Рекламу показываем только НЕзарегистрированным пользователям. Войдите или зарегистрируйтесь на Бухфоруме
    .

Базы персональных данных

новости законодательства для бухгалтера и предпринимателя, события, акции

Модераторы: Чихуа, vins

Правила форума
Раздел: НОВОСТИ
1. Размещая новости, желательно (но не обязательно) снабжать их собственными комментариями.
2. Новости должны корреспондировать с тематикой форума.

UNREAD_POST Печкин » 25 мар 2013, 17:20

Типичные нарушения в сфере защиты персональных данных

ГОСУДАРСТВЕННАЯ СЛУЖБА УКРАИНЫ ПО ВОПРОСАМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПИСЬМО

от 05.02.2013 г. N 11/257-13

В ответ на Ваш запрос относительно доступа к публичной информации Государственная служба Украины по вопросам защиты персональных данных (далее - ГСЗПД Украины) в пределах своей компетенции сообщает следующее.

1. ГСЗПД Украины за период с 16.07.2012 по 05.02.2013 все было проведено 36 (из них 7 - в 2013 году) проверок соблюдения требований законодательства о защите персональных данных. За указанный период были осуществлены проверки 22 предприятий, учреждений, организаций, которые осуществляют свою деятельность в разных сферах хозяйствования, 8 органов государственной власти и местного самоуправления и 6 коммунальных предприятий.

В ходе осуществления мероприятий государственного надзора и контроля ГСЗПД Украины проверяет соблюдение требований законодательства о защите персональных данных, а именно: Закона Украины от 01.06.2010 N 2297-VI "О защите персональных данных" (в редакции от 20.11.2012) (дальше - Закон), Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Министерства юстиции Украины от 30.12.2011 N 3659/5, зарегистрированного в Министерстве юстиции Украины 03.01.2012 за N 1/20314 (далее - Типовой порядок).

2. По результатам проведенных проверок был выявлен ряд типичных нарушений законодательства о защите персональных данных, среди которых можно выделить следующие.

Частью 6 статьи 9 Закона определено, что владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. У некоторых субъектов проверки было выявлено нарушение данного требования, а именно: не была поставлена в известность ГСЗПД Украины об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.

Часть 3 статьи 10 Закона устанавливает, что использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональными или служебными либо трудовыми обязанностями. Данная норма предусматривает, что на предприятии (в учреждении, организации) обработку персональных данных могут производить только те лица, у которых должностной инструкцией или другими внутренними документами определена обязанность осуществления обработки персональных данных. Те лица, для которых никакими внутренними документами не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным.

Больше всего проблем возникает у субъектов, осуществляющих обработку персональных данных с определением правовых оснований возникновения права на такую обработку, которые предусмотрены частью 1 статьи 11 Закона.

Согласно части 5 статьи 6 Закона обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Среди проверенных субъектов хозяйствования было выявлено, что ими нарушались требования законодательства в части обработки персональных данных без согласия субъекта персональных данных. Владелец базы персональных данных должен, прежде чем осуществлять обработку персональных данных, получить согласие субъекта персональных данных на обработку этих данных.

Вместе с тем в ходе проверок было выявлено, что некоторые владельцы и/или распорядители персональных данных не понимают, на каком из правовых оснований, предусмотренных статьей 11 Закона, они используют персональные данные. Прежде чем получать у субъекта согласие на обработку персональных данных, владельцу и/или распорядителю персональных данных необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия (учреждения, организации) с целью обеспечения реализации трудовых отношений не требует согласия, однако, если предприятием (учреждением, организацией) собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.

Не меньше нарушений касается и частей 4 и 5 статьи 4 Закона относительно обработки персональных данных распорядителями персональных данных. Во-первых, обработка персональных данных распорядителями осуществлялась без заключенного договора между владельцем и распорядителем персональных данных. Во-вторых, распорядители персональных данных осуществляли обработку персональных данных в объеме, превышавшем объем, предоставленный распорядителю владельцем персональных данных, и с целью, которая не соответствовала цели обработки персональных данных владельца персональных данных.

Часть 2 статьи 12 Закона определяет, что в момент сбора персональных данных или в течение десяти рабочих дней со дня сбора персональных данных субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных данным Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные. Однако, как показала практика проведенных проверок, имело место неуведомление или несвоевременное уведомление субъектов персональных данных об обработке их данных. У некоторых субъектов проверок такое уведомление не содержало необходимую информацию, определенную частью 2 статьи 12 Закона.

В ходе проверок было также установлено нарушение статьи 16 Закона, которая определяет порядок доступа к персональным данным третьих лиц. Владелец базы персональных данных осуществлял передачу персональных данных третьим лицам с нарушением части 4 данной статьи, а именно - без указания всей необходимой информации, которая должна содержаться в запросе на доступ к персональным данным третьих лиц.

Кроме нарушений Закона было выявлено и нарушение Типового порядка обработки персональных данных. Так, у большинства субъектов проверок было выявлено нарушение требований пункта 1.8 Типового порядка, а именно:

- указанная в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах цель обработки отличается от цели, с которой субъект проверки осуществляет обработку персональных данных, а состав персональных данных в базе персональных данных в действительности значительно отличается от состава персональных данных, указанного в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах;

- во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок внесения, изменения, восстановления, использования, распространения, обезличивания, уничтожения персональных данных в базах персональных данных;

- субъектом проверки не определены ответственные лица или структурное подразделение, ответственные за обработку и защиту персональных данных;

- во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.

Также в ходе проверок было выявлено, что внутренними документами субъектов проверок на ответственных лиц или структурное подразделение субъекта проверки не возлагались или частично возлагались задачи, предусмотренные пунктом 1.9 Типового порядка.

Наиболее распространенными нарушениями среди проверенных субъектов были нарушения, в большей или меньшей мере, разделов II и III Типового порядка, в частности, не была определена процедура осуществления регистрации результатов идентификации и/или аутентификации работников субъекта проверки, действий по обработке персональных данных, результатов проверки целостности средств защиты персональных данных.

Кроме нарушений, указанных выше, некоторыми субъектами проверок не обеспечивалась надлежащая защита помещений, в которых находятся персональные данные, как в электронной форме, так и в форме картотек, например, двери в помещениях и/или шкафах, сейфах не были оборудованы замками.

Предоставить информацию об общем количестве выявленных нарушений невозможно, поскольку такая статистика в ГСЗПД Украины не ведется.

3. По результатам проведенных проверок было выдано 30 предписаний об устранении нарушения требований законодательства в сфере защиты персональных данных, выявленных в ходе проверки. Субъектами проверки требования предписаний выполнены в полном объеме. Обращаем внимание на то, что в случае неисполнения законных требований предписания относительно устранения нарушений законодательства о защите персональных данных ГСЗПД Украины будет рассматривать данные действия как нарушение, предусмотренное статьей 18840 Кодекса Украины об административных правонарушениях, вследствие чего будет составлен протокол об административном правонарушении и переданы материалы в суд.

Кроме того, по результатам проведенных проверок в 2013 году были составлены два протокола об административных правонарушениях, предусмотренных частями 1 и 2 статьи 18839, а материалы дела переданы в суд.

По результатам проведенного анализа нарушений, выявленных в ходе проверок, отделом контроля разработаны методические рекомендации и разъяснения относительно применения законодательства о защите персональных данных субъектами проверок, которые осуществляют свою деятельность в разных сферах хозяйствования, с целью предупреждения нарушений требований законодательства в дальнейшем. В частности, письма с разъяснениями и рекомендациями относительно приведения в соответствие с законодательством о защите персональных данных были направлены в Министерство внутренних дел Украины и Министерство регионального развития, строительства и жилищно-коммунального хозяйства Украины, Ассоциацию коллекторского бизнеса, заведения образования.

Дополнительно информируем, что Вы как субъект персональных данных, которые обрабатываются ГСЗП[Д] Украины в связи с рассмотрением Вашего обращения, имеете права, определенные статьей 8 Закона Украины "О защите персональных данных". Персональные данные, указанные в Вашем обращении, обрабатываются в "Базе персональных данных физических лиц, вступающих в правовые отношения с ГСЗПД Украины", регистрационный номер N 735 в Государственном реестре баз персональных данных. Обращение и материалы относительно его обработки регистрируются и хранятся в ГСЗПД Украины в соответствии с Инструкцией по делопроизводству по обращениям граждан в органах государственной власти и местного самоуправления, объединениях граждан, на предприятиях, в учреждениях, организациях независимо от форм собственности, в средствах массовой информации, утвержденной постановлением Кабинета Министров Украины от 14.04.97 N 348.

Председатель
А. Мервинский
живу на Бухфоруме
Аватар пользователя
Печкин
 
Сообщений: 6649
Зарегистрирован: 18 ноя 2010, 13:03
Благодарил (а): 73 раз.
Поблагодарили: 2882 раз.

UNREAD_POST Наташа216 » 26 мар 2013, 11:43

Добрый день. Запуталась с датами, которые нужно указать.
Заявления от работников (работающих до 2011 года) мы брали датой 03 января 2011 года. Сами заявления подали в декабре 2012 года (еще не зарегистрировали). У меня вопросы - какие даты ставить на положении о персональных данных и на приказе (о назначении ответственного). Спасибо
Наташа216
 
Сообщений: 314
Зарегистрирован: 18 июл 2011, 14:51
Благодарил (а): 31 раз.
Поблагодарили: 5 раз.

UNREAD_POST Дашка_Плашка » 28 мар 2013, 09:21

Добрый день! Подскажите пожалуйста, как правильно составить письмо с уведомлением о переименовании предприятия? И в какие сроки нужно посылать такое письмо? Спасибо огромное заранее)
Дашка_Плашка
 
Сообщений: 7
Зарегистрирован: 08 июн 2012, 12:28
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

UNREAD_POST vins » 28 мар 2013, 09:40

Наташа216 писал(а):Добрый день. Запуталась с датами, которые нужно указать.
Заявления от работников (работающих до 2011 года) мы брали датой 03 января 2011 года. Сами заявления подали в декабре 2012 года (еще не зарегистрировали). У меня вопросы - какие даты ставить на положении о персональных данных и на приказе (о назначении ответственного). Спасибо


Вы же это делаете для избежания штрафов. Посмотрите, какие штрафы и за что

Стаття 188-39. Порушення законодавства у сфері захисту персональних даних

Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, -

тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, -

тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -

тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від чотирьохсот до семисот неоподатковуваних мінімумів доходів громадян.

Ухилення від державної реєстрації бази персональних даних -

тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, -

тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян.


То есть перспектив наложения хоть какого-то из них не вижу, какую бы Вы дату не поставили.
Поставьте 01.01.2012, например.
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 28 мар 2013, 09:45

Дашка_Плашка писал(а):Добрый день! Подскажите пожалуйста, как правильно составить письмо с уведомлением о переименовании предприятия? И в какие сроки нужно посылать такое письмо? Спасибо огромное заранее)


Статья 9, ч. 6 Закона о защите персональных данных

6. Володілець персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.

То есть 10 дней со дня госрегистрации изменений в Едином госреестре.

Ув. Дашка_Плашка, так а у Вас уже зарегистрирована база персональных данных?

За это сообщение автора vins поблагодарил:
Дашка_Плашка
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Дашка_Плашка » 28 мар 2013, 09:53

Да, у нас три базы, все зарегистрированы, вот планируем вносить изменения) Спасибо большое)
Дашка_Плашка
 
Сообщений: 7
Зарегистрирован: 08 июн 2012, 12:28
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

UNREAD_POST vins » 28 мар 2013, 10:07

Дашка_Плашка писал(а):Да, у нас три базы, все зарегистрированы, вот планируем вносить изменения) Спасибо большое)


Тогда воспользуйтесь разъяснением самой Госслужбы

Внесення змін до відомостей Державного реєстру баз персональних даних.

У зв’язку з надходженням великої кількості заяв фізичних та юридичних осіб на адресу Державної служби України з питань захисту персональних даних щодо внесення змін до відомостей Державного реєстру баз персональних даних, повідомляємо наступне.
Згідно пункту шостого статті 9 Закону України «Про захист персональних даних» володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.
Звертаємо Вашу увагу, що повідомляти необхідно лише про зміну тих відомостей, які були подані володільцем при реєстрації бази персональних даних (зміна мети обробки, зміна місця знаходження бази, зміна адреси або інших відомостей володільця, зміна розпорядника і т.д.). Володілець бази персональних даних для того, щоб повідомити ДСЗПД про зміни, повинен заповнити заяву, відповідного зразка.
Згідно Порядку подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, затвердженого наказом Міністерства юстиції України № 1824/5 від 08.07.2011, заявник повідомляє ДСЗПД про кожну зміну відомостей, необхідних для реєстрації бази персональних даних, не пізніше ніж протягом десяти робочих днів з дня настання такої зміни шляхом подання відповідної заяви. Зразок такої заяви (заява про внесення змін до відомостей Державного реєстру баз персональних даних) затверджений тим же наказом.
При заповненні заяви про внесення змін до відомостей Державного реєстру баз персональних даних необхідно знати та вказати реєстраційний номер бази персональних та дату її реєстрації.
У зв’язку з великою кількістю поданих заяв та неможливістю ДСЗПД обробити дані заяви у строк, визначений законодавством про захист персональних даних, багато володільців не отримало свідоцтва про реєстрацію бази персональних даних.
В такому випадку пропонуємо володільцям бази персональних даних повідомляти ДСЗПД про зазначені зміни шляхом надсилання листа до ДСЗПД у довільному форматі на бланку підприємства з зазначенням змін, які відбулися.

Приклад листа: ТОВ «ХХХ» дата була подана заява про реєстрацію бази персональних даних. Відповідно до п.6.ст.9. ЗУ «Про захист персональних даних» повідомляємо Вас про зміну таких відомостей: ХХХ. Станом на дата з незалежних від ТОВ «ХХХ» причин Свідоцтво про державну реєстрацію баз персональних даних не отримано. Після отримання свідоцтва ТОВ «ХХХ» у визначеному законом порядку буде заповнена на надіслана до Державної служби України з питань захисту персональних даних заява про внесення змін до відомостей Державного реєстру баз персональних даних.

За это сообщение автора vins поблагодарил:
Дашка_Плашка
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Дашка_Плашка » 28 мар 2013, 10:32

Огромное спасибо) :D
Дашка_Плашка
 
Сообщений: 7
Зарегистрирован: 08 июн 2012, 12:28
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

UNREAD_POST vins » 30 мар 2013, 10:42

Чи отримувати згоду контрагента на обробку персональних даних після змін у Законі «Про захист персональних даних"?

Під час господарської діяльності підприємство взаємодіє з фізичними особами - контрагентами - клієнтами чи підрядниками. У багатьох випадках йдеться про договірні відносини, за яких підприємство надає певні послуги (товари) клієнтам чи отримує послуги (товари) від постачальників.
Як правило, для оформлення і виконання договору (тобто укладення і виконання правочину) між підприємством і фізичною особою від останньої потрібні паспортні дані та номер ідентифікаційного коду.
У разі, якщо надання послуг підприємству пов'язано з наявністю у фізичної особи - контрагента спеціальних знань та навичок, можуть оброблятися відомості про освіту, кваліфікацію на підставі наданих фізичною особою документів.
Відповідно до частини шостої статті 6 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі - Закон № 2297) не допускається обробка даних про фізичну особу без їі згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Нова редакція статті 11 Закону № 2297 містить розширений перелік підстав для обробки персональних даних.
Так, підставами для обробки персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
З) укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;
4) захист життєво важливих інтересів суб'єкта персональних даних;
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Як бачите, необхідність реалізації договірних відносин є законною підставою для обробки персональних даних фізичної особи - контрагента підприємства.
Але лише наявності законної підстави для обробки персональних даних замало. Закон N 2297 містить низку норм, які передбачають необхідність врегулювання питань захисту персональних даних між володільцем та суб'єктом персональних даних.
Так, використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону (частина перша ст. 10 Закону N 2297).
Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.
Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини (частини перша, друга ст. 14 Закону N 2297).

Таким чином, володільцю персональних даних не потрібно отримувати окрему згоду на обробку персональних даних, необхідність обробки яких пов'язана з укладенням та виконанням правочину (у т. ч. цивільно-правового договору, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних), оскільки укладання та виконання правочину є законною підставою для обробки персональних даних.
Разом з цим, інші питання, пов'язані із захистом персональних даних контрагента (порядок використання, поширення персональних даних, доступу третіх осіб до персональних даних), мають бути врегульовані сторонами договору, наприклад, шляхом фіксації відповідних домовленостей у тексті договору.
Також при обробці персональних даних контрагента важливо дотримати вимог частини другої статті 12 Закону N 2297, згідно з якою у момент збору персональних даних або, зокрема, при укладенні та виконанні правочину, протягом десяти робочих днів з дня збору персональних даних суб'єкт персональних даних має бути повідомлений про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені цим Законом, мету збору
персональних даних та осіб, яким передаються його персональні дані.
Зафіксувати факт повідомлення також можна за допомогою договору, який укладається з контрагентом.

Лілія ОЛЕКСЮК, перший заступник Голови Державної служби України з питань захисту персональних даних
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST alex88 » 04 апр 2013, 16:36

Також хочемо підкреслити, що ДСЗПД не уточнила, хто саме може відкликати свою заяву. Але враховуючи її попередні роз’яснення*, висновок може бути лише такий: відкликати заяву може той, кому ще не видано свідоцтво про реєстрацію БПД.

Подробнее: Базы персональных данных


Для тех, кто решит отозвать заявления.
1.04 отправили письма с просьбой не регистрировать базу "Работники" (по рекомендованному Службой образцу), и вот - всего 3 дня прошло, на электронку пришло сначала сообщение о том, что зарегистрировано само заявление на регистрацию БПД (отправленное почтой 26 июня прошлого года :) ), и тут же "ПОВІДОМЛЕННЯ про відмову у реєстрації бази персональних даних"
Відповідно до Положення про Державний реєстр баз персональних даних,
затвердженого постановою КМУ від 26 травня 2011 року № 616, Закону України "Про
захист персональних даних", прийнято рішення про відмову у реєстрації бази
персональних даних.
Підстава відмови: Лист володільця
Відмова у реєстрації запису про базу персональних даних в Реєстрі не
перешкоджає повторному зверненню до реєстратора в загальному порядку після
усунення причин, що були підставою для відмови.

Так что совсем ничего страшного :) Они наверное и сами рады
“Taxation is just a sophisticated way of demanding money with menaces.”(с)
Аватар пользователя
alex88
 
Сообщений: 776
Зарегистрирован: 16 дек 2011, 09:45
Благодарил (а): 395 раз.
Поблагодарили: 397 раз.

UNREAD_POST Печкин » 07 май 2013, 16:16

Может быть интересно тем предприятиям у которых есть сайт с регистрацией пользователей.

КОЛЕГІЯ ДЕРЖАВНОЇ СЛУЖБИ УКРАЇНИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

РІШЕННЯ

від 22 березня 2013 року N 6

Практика застосування законодавства з питань захисту персональних даних при обробці персональних даних з використанням веб-ресурсів

Рішення оголошено для реалізації
 наказом Державної служби України з питань захисту персональних даних
 від 22 березня 2013 року N 81

Колегія Державної служби України з питань захисту персональних даних (далі - ДСЗПД) заслухала доповідь заступника Голови ДСЗПД Козака В. Ф., в ході якої було розглянуто такі питання:

- типові порушення законодавства з питань захисту персональних даних при обробці персональних даних з використанням веб-ресурсів;

- заходи, спрямовані на усунення порушень законодавства з питань захисту персональних даних при їх обробці з використанням веб-ресурсів, за результатами перевірок;

- рекомендації міжнародних організацій щодо захисту персональних даних при здійсненні рекламної діяльності і маркетингових досліджень з використанням методів відслідковування поведінки відвідувачів веб-ресурсів (web-tracking);

- особливості проведення перевірок дотримання законодавства при обробці персональних даних з використанням веб-ресурсів у 2 та 3 кварталах 2013 року.

Колегія вважає, що ДСЗПД в достатній мірі підтримуються ініціативи, спрямовані на зростання обізнаності суб'єктів, які займаються обробкою персональних даних (володільців та розпорядників персональних даних), та суб'єктів, чиї персональні дані обробляються з кращими практиками та стандартами обробки персональних даних.

Колегією взято до уваги результати громадського моніторингу "Забезпечення прозорості та відкритості обробки персональних даних на веб-ресурсах", проведеного ВГО "Українська асоціація захисту персональних даних", а також переважну відсутність можливості користувачів веб-сайтів українського сегменту Інтернет як суб'єктів персональних даних отримати інформацію про володільця персональних даних, за явних ознак їх обробки, і, як наслідок, - не мають можливостей на захист свої персональних даних.

Колегією зважено на результати перевірок веб-сайтів українського сегменту Інтернет, за результатами яких виявлено такі недоліки:

- під час збору персональних даних суб'єкт персональних даних не повідомляється про володільця персональних даних (найменування юридичної особи - володільця та її адресу), склад та зміст зібраних персональних даних, права такого суб'єкта, визначені Законом України "Про захист персональних даних", мету збору персональних даних та осіб, яким передаються його персональні дані;

- зміст персональних даних був надмірним відповідно до визначеної мети обробки персональних даних;


- процедури обробки персональних даних були визначені на веб-сайті, але не були визначені розпорядчими документами володільця, як це передбачено законодавством.

Враховуючи зазначене, колегія вирішила:

1. Продовжити висвітлення проблем захисту персональних даних в Інтернет медіа, брати участь у конференціях, круглих столах тощо.

Термін - постійно.

Відповідальний - Козак В. Ф.

2. Включати до планів перевірок підприємств, установ та організацій з питань дотримання законодавства про захист персональних даних питань перевірки дотримання законодавства при обробці персональних даних з використанням веб-ресурсів.

Термін - протягом року.

Відповідальний - Черних Р. М.

3. Опрацювати питання щодо включення до планів перевірок на II та III квартали 2013 року суб'єктів, які здійснюють обробку персональних даних з використанням веб-ресурсів.

Термін - постійно.

Відповідальні - Черних Р. М., Муригін О. А.

4. Продовжити вивчення правових, організаційних і технічних аспектів можливих порушень законодавства про захист персональних даних при відслідковуванні поведінки відвідувачів веб-ресурсів.

Термін - протягом II та III кварталів 2013 року.

Відповідальний - Козак В. Ф.

5. Винести на розгляд колегії ДСЗПД у IV кварталі 2013 року питання щодо дієвості заходів Державної служби з питань захисту персональних даних, спрямованих на забезпечення захисту персональних даних при їх обробці з використанням веб-ресурсів.

Термін - листопад 2013 року.

Відповідальний - Філіпов К. А.

 

Голова колегії
О. І. Мервінський
живу на Бухфоруме

За это сообщение автора Печкин поблагодарил:
VOA
Аватар пользователя
Печкин
 
Сообщений: 6649
Зарегистрирован: 18 ноя 2010, 13:03
Благодарил (а): 73 раз.
Поблагодарили: 2882 раз.

UNREAD_POST VOA » 14 май 2013, 20:02

15:12 14.05.2013
Рада заменила регистрацию баз персональных данных на уведомление об обработке этих данных


Верховная Рада Украины заменила регистрацию баз персональных данных на уведомление об обработке этих данных.

За закон о внесении изменений в некоторые законодательные акты, касающиеся системы защиты персональных данных, проголосовали 348 народных депутатов из 419 зарегистрировавшихся в зале.

Кроме того, парламент определил уполномоченного Верховной Рады по правам человека уполномоченным органом в сфере защиты персональных данных.

В частности, владелец персональных данных должен подавать уполномоченному уведомление об обработке данных по форме и в порядке, определенном уполномоченным.

Закон также вносит изменения, которые предоставляют уполномоченному Верховной Рады по правам человека такие полномочия: проведение плановых и внеплановых выездных проверок владельцев или распорядителей персональных данных; предоставление рекомендаций в сфере защиты персональных данных; внесение предложений по формированию и реализации государственной политики в сфере персональных данных в порядке, определенном законодательством; осуществление мониторинга, новых практик, тенденций и технологий защиты персональных данных, согласование корпоративных кодексов поведения и другие.
http://interfax.com.ua/news/economic/152656.html
http://stopfake.org/ Бывают такие решения, после принятия которых тараканы в голове аплодируют стоя.

За это сообщение автора VOA поблагодарил:
vins
Аватар пользователя
VOA
 
Сообщений: 5110
Зарегистрирован: 07 сен 2012, 21:37
Благодарил (а): 1785 раз.
Поблагодарили: 1977 раз.

UNREAD_POST lutishka » 14 май 2013, 20:13

VOA писал(а): владелец персональных данных должен подавать уполномоченному уведомление об обработке данных по форме и в порядке, определенном уполномоченным.
:? и шо, теперь опять все по-новой?
Аватар пользователя
lutishka
 
Сообщений: 2185
Зарегистрирован: 24 ноя 2012, 11:47
Благодарил (а): 894 раз.
Поблагодарили: 991 раз.

UNREAD_POST VOA » 14 май 2013, 20:18

Ну, не знаю. Я не связывалась с БПД. Предлагаю дождаться текста закона, который они в очередной раз наваяли. Вряд ли забыли о переходных положениях. Иначе те, кто этой регистрацией занимался, несмотря на оставшуюся неприкосновенность, могут не выдержать "невыносимой лёгкости бытия". :evil:
http://stopfake.org/ Бывают такие решения, после принятия которых тараканы в голове аплодируют стоя.
Аватар пользователя
VOA
 
Сообщений: 5110
Зарегистрирован: 07 сен 2012, 21:37
Благодарил (а): 1785 раз.
Поблагодарили: 1977 раз.

UNREAD_POST VOA » 14 май 2013, 22:55

Вот текст законопроекта http://w1.c1.rada.gov.ua/pls/zweb2/webp ... 401=258673
В переходных положениях о переходных моментах с заявлений на регистрацию на уведомления увидела такое:
ІІІ. Прикінцеві та перехідні положення

1. Цей Закон набирає чинності 1 січня 2014 року.

2. Володільці персональних даних, які на момент набрання чинності цим Законом здійснюють обробку персональних даних, що підлягає повідомленню, подають відповідне повідомлення у встановленому цим Законом порядку упродовж шести місяців з дня набрання чинності цим Законом.

3. Кабінету Міністрів України протягом трьох місяців з дня набрання чинності цим Законом:

1) привести свої нормативно-правові акти у відповідність із цим Законом;

2) забезпечити перегляд та приведення міністерствами та іншими органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом;

3) забезпечити, у встановленому законодавством порядку, знищення заяв про реєстрацію баз персональних даних, поданих до набрання чинності цим Законом, та ліквідацію Державного реєстру баз персональних даних з видаленням даних, які у ньому містяться.

4. Кабінету Міністрів України передбачати у проектах законів України про Державний бюджет України на відповідний рік видатки на забезпечення Уповноваженим Верховної Ради України з прав людини контролю у сфері додержання законодавства про захист персональних даних в обсязі, необхідному для належного виконання повноважень, передбачених цим Законом.

5. Уповноваженому Верховної Ради України з прав людини протягом трьох місяців з дня набрання чинності цим Законом прийняти нормативно-правові акти, передбачені цим Законом.

Очередное выделение денег уже на новую службу.
(Фраза из пояснительной записки к проекту http://w1.c1.rada.gov.ua/pls/zweb2/webp ... 401=258675:
5. Фінансово-економічне обґрунтування законопроекту
Реалізація проекту Закону не потребує виділення додаткових коштів з Державного бюджету України.) А как жеж п.4 - про внесение расходов в Госбюджет? А уволить людей из не успевшей состариться команды? Оплатить им выходное пособие в связи с сокращениями, неиспользованными отпусками и проч.?
:twisted:
Про выделенное на старую ГСЗПД на этот год - не упоминается. Госреестр просто будет ликвидирован, а заявления - уничтожены. Супер-супер-супер-супер! Так что всё, наверное, таки по-новому кругу - с 01.01.14, если КМУ и Лутковская не решат вопросы подзаконкой или не инициируют ещё какие-нибудь изменения в Закон...

Но там есть ещё очень интересный момент - то ли ляп, то ли таки размер ШС стал запредельным :shock: (401000 х 17 = 6817000, при этом за повторное нарушение - максимум 2000 НМДГ):
2) статтю 18839 викласти в такій редакції:
«Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей −
тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян-суб’єктів підприємницької діяльності − від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних −
тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян-суб’єктів підприємницької діяльності − від трьохсот до чотирьохсот однієї тисячі неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, −
тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян-суб’єктів підприємницької діяльності − від п’ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.
http://stopfake.org/ Бывают такие решения, после принятия которых тараканы в голове аплодируют стоя.

За это сообщение автора VOA поблагодарил:
lutishka
Аватар пользователя
VOA
 
Сообщений: 5110
Зарегистрирован: 07 сен 2012, 21:37
Благодарил (а): 1785 раз.
Поблагодарили: 1977 раз.

Пред.След.

  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Вернуться в НОВОСТИ

Кто сейчас на форуме

Зарегистрированные пользователи: Ads, alex88, Gb, hela, lily27, vikakool, Ya