Рекламу показываем только НЕзарегистрированным пользователям. Войдите или зарегистрируйтесь на Бухфоруме
    .

Базы персональных данных

новости законодательства для бухгалтера и предпринимателя, события, акции

Модераторы: Чихуа, vins

Правила форума
Раздел: НОВОСТИ
1. Размещая новости, желательно (но не обязательно) снабжать их собственными комментариями.
2. Новости должны корреспондировать с тематикой форума.

UNREAD_POST Elen@ » 13 дек 2011, 16:33

Asia писал(а):нее, это Вы не адресу :) берите выше ;)
если базу регистрировать, то и вести ее согласно закона, а иначе смысл телодвижений?
За "недодержання законодавством про захист порядку" больше дают, чем за "ухилення від реєстрації"


Спасибо!!!!
Чем больше узнаю, тем увереннее думаю, что лучше не регистрировать то чего на самом деле нет!!! :pro_tiv: Базу клиенты мы не ведем, после их обслуживания остаются лишь договора, в которых есть данные загранпаспорта, которые, наверное?, не являются БД. Или я ошибаюсь?
Elen@
 
Сообщений: 12
Зарегистрирован: 12 дек 2011, 18:49
Благодарил (а): 9 раз.
Поблагодарили: 0 раз.

UNREAD_POST Одуванчик » 13 дек 2011, 16:40

ок.
особисто у мене є 4 бази персональних даних
1. "Працівники" це і дані в 1с (ПІП та паспорт) плюс кадрові документи - картки і т.д.
2. "Клієнти фіз особи" це власники іменних дисконтних карток. у мене є дані про ПІП, вік, Стать, громадянство, соц стан, паспортні дані та місце проживання. база знаходиться і 1с
3. "Засновники" ооо тут у мене весело . у мене є окрема папка на своїх засновників де є навіть свід-ва про народження їх дітей, оскільки я ще й їх персональний юрист. але офіц версія - у мене є їх паспортні дані, код плюс місце проживання. база в паперовому вигляді та в 1с. з базою я постійно працюю, доповнюю, розшитряю змінюю і т. і я можу по ній ідентифіковувати

4. "Контрагенти -ФОПи" . так як я працюю з підприємцями то я від них запитуюю документи по їх підп діяльності і як не крути я отримую їх персональні дані - ПІП, вік. стать, місцезнаходження. код. місце народження та паспортні дані... база є в "1С" та в окремій папці. і знову ж таки я з нею працюю. - в основному з системою оподаткування та КВЕДами.......

як не крути але законних чотри бази у мене є.
я і планую \х зареєструвати .

зараз ми беремо згоду у всіх вищеперерахованих категорій.
доступ про базу є у директора, адміна, бухгалтера та у мене - юриста.

усьо.

За это сообщение автора Одуванчик поблагодарили: 5
Demerji, Igolkavstogesena, m_tetyana, Maria, vins
Аватар пользователя
Одуванчик
 
Сообщений: 112
Зарегистрирован: 20 янв 2011, 16:16
Откуда: Київ
Благодарил (а): 15 раз.
Поблагодарили: 101 раз.

UNREAD_POST vins » 13 дек 2011, 17:06

Одуванчик!
Спасибо, хоть кто-то порадовал определенностью в своей жизни :)
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Одуванчик » 13 дек 2011, 17:09

[ха!!!! у мене ж 5 главбухів з істериками на проводі...........
от і доводиться упорядковувати своє життя
Аватар пользователя
Одуванчик
 
Сообщений: 112
Зарегистрирован: 20 янв 2011, 16:16
Откуда: Київ
Благодарил (а): 15 раз.
Поблагодарили: 101 раз.

UNREAD_POST налоговик » 13 дек 2011, 17:30

Нашел такое

РЕГИСТРАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ - ЭТО СЕРЬЕЗНО

С начала 2011 года в Украине действует закон, который защищает персональную информацию о физическом лице, а с 2012 года вступают в силу нормы об ответственности за нарушение законодательства в сфере персональных данных. В частности, уклонение от государственной регистрации базы персональных данных чревато для должностных лиц предприятия штрафом в размере от 8 500 до 17 ООО грн. Поговорим о том, что необходимо сделать, чтобы избежать нарушений.
Общие положения
Персональные данные - это сведения или совокупность сведений о физическом лице, которые позволяют его идентифицировать (ст. 2 Закона от 01.06.10 г. № 2297-VI «О защите персональных данных», далее - Закон № 2297).
В контексте Закона № 2297 любая информация о человеке, которая подается с указанием фамилии и имени, является персональными данными, поскольку позволяет определить, о ком идет речь. Такой информацией может быть: дата и место рождения, место жительства, национальность и гражданство, информация о состоянии здоровья, семейном положении и пр.
Правда, некоторые сведения о человеке запрещено собирать, регистрировать, накапливать, хранить, использовать и распространять, а именно: сведения, касающиеся расового или этнического происхождения, политических и религиозных убеждений, членства в политических партиях, здоровья или половой жизни. Хотя и из этого правила есть исключения (ст. 7 Закона № 2297). Например, медучреждения могут накапливать и обрабатывать информацию о состоянии здоровья - для обеспечения лечения.
База персональных данных - это именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотеки персональных данных.
Любое юридическое лицо или частный предприниматель, которые хранят у себя информацию о физических лицах, составляя базы данных в электронном или бумажном виде, являются их владельцами, а значит, обязаны соблюдать требования Закона № 2297. Источниками сведений о физлице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо подает о себе (ч. 4 ст. 6 Закона № 2297).
Государственная служба Украины по вопросам защиты персональных данных (уполномоченный государственный орган по вопросам защиты персональных данных) рекомендует рассматривать кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, которая обрабатывается работодателем и содержит персональные данные работников, как базу персональных данных или ее составную часть.
Таким образом, каждое предприятие (организация) является владельцем как минимум двух баз персональных данных, а именно:
базы персональных данных работников (ведется с целью обеспечить требования трудового законодательства, реализовать налоговые отношения);
базы персональных данных клиентов или других лиц (эти данные обрабатываются владельцем в результате хозяйственной деятельности предприятия).
Эти базы данных подлежат регистрации. При этом регистрируется не сама информация о конкретном работнике или клиенте, а тот факт, что предприятие владеет этими персональными данными и использует их с определенной целью.
Документальная обработка персональных данных
Для обработки персональных данных необходимо:
• получить согласие физлица на обработку его персональных данных;
• уведомить физлицо о целях, для которых необходимы его персональные данные.
Письменное согласие предоставляется в форме отдельного документа либо может быть составной частью другого документа, например заявления о приеме на работу (формулировка в заявлении о приеме на работу может быть такой: «Я, Иванов Сергей Владимирович, путем подписания этого текста, предоставляю согласие ООО «Вихрь» на сбор и использование информации обо мне для реализации требований трудового законодательства, в сфере административно-правовых отношений, налоговых отношений и отношений в сфере бухгалтерского учета; управления кадрами и в сфере других отношений, требующих обработки персональных данных»).
Поскольку законы обратной силы не имеют, мы считаем, что требования Закона № 2297 распространяются на правоотношения, возникшие с 01.01.11 г. То есть получать согласие физлиц на использование их персональных данных, которые уже были известны предприятию до этой даты, нет необходимости. А вот у наемных работников, которые были приняты на работу в текущем году и будут приниматься потом (по крайней мере пока действует Закон № 2297), рекомендуем получать письменное согласие на использование и обработку их персональных данных.
Кроме того, приказом по предприятию необходимо либо определить сотрудника, ответственного за организацию работы по защите персональных данных при их обработке (например, менеджера по персоналу), либо создать подразделение по базам персональных данных, которое занималось бы текущей деятельностью. Цели накопления и использования данных, порядок их обработки, функции должностных лиц предприятия, задействованных в работе с персональными данными, советуем закрепить в положении об обработке и защите персональных данных.
Как зарегистрировать базы персональных данных
Органом регистрации является Государственная служба по вопросам защиты персональных данных. Информацию о работе данной службы можно узнать на ее официальном сайте: http://www.zpd.gov.ua. Порядок регистрации, кроме Закона № 2297, регулируется:
• Положением о Госреестре баз персональных данных, утвержденным постановлением КМУ от 25.05.11 г. № 616:
• Порядком подачи заявлений о регистрации базы персональных данных, утвержденным приказом Минюста от 08.07.11 г. № 1824/5 (далее - Приказ № 1824/5).
База персональных данных подлежит государственной регистрации путем внесения соответствующей записи в Государственный реестр баз персональных данных. Основанием для внесения такой записи является поданное заявление установленного образца (форма утверждена Приказом № 1824/5). Форму заявления можно скачать на сайте Госслужбы по вопросам защиты персональных данных.
Шаг 1. Подача заявления о регистрации базы персональных данных
На каждую базу данных подается отдельное заявление. Заявление подается в бумажном виде (тогда желательно приложить электронную версию заполненного заявления) или в электронном виде (с наложением электронной цифровой подписи).
На бумажном носителе заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). Заявления заполняются на государственном языке, без помарок, зачеркиваний и исправлений. Выбранный заявителем признак отмечается символом «х». Даты в заявлениях заполняются арабскими цифрами в формате — день, месяц, год. Страницы заявлений нумеруются, причем на каждой странице указываются номер страницы и общее количество страниц в заявлении.
При наличии обособленных структурных подразделений, руководители которых вправе принимать работников, в разд. II заявления необходимо указывать адреса местонахождения базы персональных данных работников предприятия и каждого обособленного структурного подразделения.
Заявление состоит из нескольких разделов (фрагмент заполнения заявления см. в конце консультации), которые содержат такую информацию:
• разд. I - информация о владельце базы персональных данных. Здесь указывается полное название юридического лица без сокращений в соответствии с учредительными документами и/или свидетельством о государственной регистрации, резидент/нерезидент, код налогоплательщика по ЕГРПОУ или налоговый номер (для резидента), место нахождения;
• разд. II - информация о наименовании и месте нахождения базы персональных данных. Например, «Персонал» и адрес, где находятся личные дела работников;
• разд. Ill - цель обработки персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, регулирующие деятельность юридического лица, в том числе об их категориях и правовых основаниях такой обработки. Такими целями могут быть: обеспечение реализации трудовых отношений, ведение учета (статистического, управленческого, бухгалтерского), в сфере рекламы, образования, здравоохранения и пр.;
• разд. IV - информация о распорядителях баз персональных данных. Указываются лица, которым переданы базы данных.
Заявление подается (отправляется) по адресу: 02660, г. Киев, ул. Марины Расковой, 15, каб. № 1205. В электронном виде заявление подается по электронному адресу Государственной службы Украины по вопросам защиты персональных данных (http://www.register@zpd.gov.ua).
Шаг 2. Рассмотрение заявления и получение свидетельства
Не позже следующего рабочего дня со дня поступления заявления Госслужба по защите персональных данных информирует заявителя о получении заявления. В уведомлении указываются регистрационный номер и дата получения заявления, а также срок принятия решения относительно регистрации базы персональных данных в Реестре.
Срок рассмотрения заявления - 10 рабочих дней со дня его поступления.
Итогом рассмотрения может быть:
• принятие решения о регистрации базы персональных данных. В этом случае владельцу выдается свидетельство о государственной регистрации базы персональных данных. Его форма утверждена приказом Минюста от 08.07.11 г. № 1823/5;
• уведомление об отказе в регистрации, о чем вносится запись в Реестр. Отказать могут, если заявление неправильно заполнено или поданные сведения являются неполными или недостоверными. После исправления замечаний заявление можно подать снова.
Владелец базы персональных данных обязан уведомлять Госслужбу по защите персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы. К указанным сведениям относятся: изменение информации о владельце и распорядителях базы персональных данных, смена наименования и места нахождения базы персональных данных и изменение цели обработки персональных данных. Для этого подается заявление о внесении изменений в сведения Госреестра баз персональных данных - в течение 10 рабочих дней со дня наступления такого изменения.

Наталья РОМАНОВА, юрист
"Баланс" № 98 за 2011

Не знаю, прояснилось ли что либо. Понятно только, что Баланс считает, что две базы у субъектов хозяйствования точно есть.

За это сообщение автора налоговик поблагодарили: 2
Demerji, vins
Аватар пользователя
налоговик
 
Сообщений: 5577
Зарегистрирован: 20 ноя 2010, 23:29
Благодарил (а): 780 раз.
Поблагодарили: 2486 раз.

UNREAD_POST Maria » 13 дек 2011, 17:34

налоговик писал(а):Баланс считает, что две базы у субъектов хозяйствования точно есть.

Баланс так считает, на основании Довідковой інформації с http://www.zpd.gov.ua/indexDovidkaInfo.html
Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до ДСЗПД, можна дійти висновку, що кожне підприємство (організація) є володільцем щонайменше двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, та бази персональних даних клієнтів або інших осіб персональні дані яких обробляються володільцем в результаті господарської діяльності організації.
Аватар пользователя
Maria
 
Сообщений: 49
Зарегистрирован: 14 сен 2011, 15:44
Благодарил (а): 37 раз.
Поблагодарили: 18 раз.

UNREAD_POST налоговик » 13 дек 2011, 17:44

Maria писал(а): Баланс считает, что две базы у субъектов хозяйствования точно есть.


Баланс так считает, на основании Довідковой інформації


Да, подкорректирую свое утверждение: Баланс присоединяется к выводу Государственной службы, что у каждого субъекта хозяйствования есть как минимум две базы данных.
Аватар пользователя
налоговик
 
Сообщений: 5577
Зарегистрирован: 20 ноя 2010, 23:29
Благодарил (а): 780 раз.
Поблагодарили: 2486 раз.

UNREAD_POST izbushka » 13 дек 2011, 17:56

Доброго дня всім! Будь ласка підскажіть,як створити наказ, або положення про базу даних.Дуже вдячна.
izbushka
 
Сообщений: 2
Зарегистрирован: 13 дек 2011, 17:26
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

UNREAD_POST vins » 13 дек 2011, 17:59

izbushka писал(а):Доброго дня всім! Будь ласка підскажіть,як створити наказ, або положення про базу даних.Дуже вдячна.


Для начала - почитайте первое сообщение этой темы.
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Demerji » 13 дек 2011, 18:00

izbushka писал(а):Доброго дня всім! Будь ласка підскажіть,як створити наказ, або положення про базу даних.Дуже вдячна.

см. стр. 1 п. 13 там ссылки на образцы приказа и положения.
vins, как всегда опередили :D

За это сообщение автора Demerji поблагодарил:
vins
Аватар пользователя
Demerji
 
Сообщений: 149
Зарегистрирован: 03 фев 2011, 15:25
Благодарил (а): 391 раз.
Поблагодарили: 70 раз.

UNREAD_POST izbushka » 13 дек 2011, 18:03

СПАСИБО.
izbushka
 
Сообщений: 2
Зарегистрирован: 13 дек 2011, 17:26
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

UNREAD_POST vins » 13 дек 2011, 18:22

Нашел давненькое интервью (еще сентябрьское) с председателем часто вспоминаемой тут Государственной службы.
Говорит такое

... підприємствам, установами і організаціями незалежно
від форм власності (далі - підприємство) необхідно отримувати документовану
згоду від фізичних осіб - найманих працівників для
цілей обробки документації при здійсненні своєї діяльності.
Згода працівника на обробку його персональних даних має бути
оформлена письмово.
Згоду на обробку персональних даних слід отримати від усіх працівників,
прийнятих після 1 січня 2011 року.
Щодо працівників, прийнятих до 1 січня 2011 року, зауважимо таке.
Отримання згоди працівника на обробку його персональних даних
відповідно до сформульованої мети їх обробки є підставою для виникнення
права щодо обробки персональних даних найманих працівників.
Втім, згода повторно не надається,
якщо володілець бази персональних даних
(роботодавець) продовжує обробляти
персональні дані працівника відповідно
до правовідносин на основі вільного волевиявлення
працівника, що виникли до
набрання чинності Законом NQ 2297.
Однак згоду працівника потрібно отримати у разі зміни визначеної
мети обробки персональних даних або складу та змісту персональних
даних, що обробляються.


+
Світлана КРИВДА, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних
Документація підприємств в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, підпадає під визначення «база персональних даних» відповідно до статті 2 Закону NQ 2297.
З точки зору Закону NQ 2297 підприємство є володільцем бази персональних даних
..
Звертаємо увагу, якщо на підприємстві обробляються персональні дані у вигляді картотеки особових карток (за типовою формою NQ П-2), особових справ та в автоматизованій системі (наприклад, 1 с), але мета обробки цих даних однакова (зокрема, забезпечення реалізації трудових відносин, відносин У сфері управління людськими ресурсами, кадровим
потенціалом), то такі відомості на розсуд володільця можуть розглядатися як одна база (у цьому разі вона вважається базою, до якої застосовується змішаний, тобто автоматичний та неавтоматичний, спосіб обробки даних).
... щодо кожної бази даних, яка перебуває у володінні
заявника, подається окрема заява. Так, якщо окрім бази персональних
даних найманих працівників підприємство веде базу персональних
даних клієнтів, як правило, реєстрації підлягають обидві бази за окремими
заявами.

За это сообщение автора vins поблагодарил:
Demerji
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Печкин » 13 дек 2011, 18:24

Печкин писал(а):
Одуванчик писал(а):щойно прибігла бухгалтер з сусідньої фірми з новинами , що потрібно вносити зміни до статуту, що підприємство має право отримувати БПД. і це їй сказали на семінарі і показала приклад заповненої заявки де йде конкретне посилання на п. Статуту
на семінарі послались на п. 1 с. 6 ЗУ
" Загальні вимоги до обробки персональних даних
1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних


я не погоджуюсь, що потрібно вносити зміни до статуту ( бідолашні реєстратори будуть...... татарська навала відпочиває поруч з їхніми чергами)
як на мене достатньо буде ПОЛОЖЕННЯ про захист персональних даних та наказу про його затвердження.

ваша думка?


:pro_tiv:
Замордуют семинаристы в край.


Дополню также это чисто эмоциональное утверждение тем, что свежайший устав от КМУ ничего подобного не предусматривает.
живу на Бухфоруме

За это сообщение автора Печкин поблагодарили: 3
Ангва, Demerji, vins
Аватар пользователя
Печкин
 
Сообщений: 6649
Зарегистрирован: 18 ноя 2010, 13:03
Благодарил (а): 73 раз.
Поблагодарили: 2882 раз.

UNREAD_POST vins » 13 дек 2011, 19:22

За сегодня еще 9 баз зарегистрировали.
Кто берется подсчитать, сколько понадобиться времени, чтобы зарегистрировать все базы, если в условиях задачи сказано, что у каждого субъекта хозяйствования как минимум их две?
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 13 дек 2011, 22:16

МІНІСТЕРСТВО ОХОРОНИ ЗДОРОВ’Я УКРАЇНИ

ЛИСТ
від 01.12.2011 р. № 11-02-09/10-299


Направляємо для керівництва в роботі методичні рекомендації щодо приведення обробки персональних даних у закладах охорони здоров’я (освіти) галузі у відповідність до вимог Закону «Про захист персональних даних».

До методичних рекомендацій доданий приклад визначення володільця, розпорядників, третіх осіб, мети обробки та правових підстав для формування бази персональних даних «Працівники» (або «Кадровий облік») у закладах сфери управління МОЗ України».


Скрытый текст: показать
Просимо довести дані рекомендації до всіх закладів охорони здоров’я (освіти) територій сфери управління УОЗ ОДА (обласних (міських) СЕС), забезпечити термінове ознайомлення всіх зацікавлених осіб та виконання вимог зазначеного Закону.

Інформація розміщена на сайті Міністерства охорони здоров’я України.

В.о. Міністра Р.О. Моісеєнко
МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
ЩОДО ПРИВЕДЕННЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У ЗАКЛАДАХ ОХОРОНИ ЗДОРОВ’Я (ОСВІТИ) ГАЛУЗІ У ВІДПОВІДНІСТЬ ДО ВИМОГ ЗАКОНУ «ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ»


З 1 січня 2011 року набрав чинності Закон України «Про захист персональних даних» (далі — Закон) від 1 червня 2010 р. № 2297. Відповідно до Закону, бази персональних даних (далі — БПД) підлягають обов’язковій реєстрації (далі — Реєстрація) у Державному реєстрі баз персональних даних (далі — Реєстр). Реєстрація здійснюється Державною службою захисту персональних даних (далі — ДСЗПД).

У статті 2 Закону дано визначення термінів, які застосовуються у такому значенні:

персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або конкретно може бути ідентифікована…». Тобто, на підставі наявності у будь-якій системі сукупності даних про особу, наприклад, прізвища, ім’я, по батькові та року її народження, особа може бути ідентифікована, а тому такі дані є персональними.

Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом (пункт 2 статті 5 Закону).

База даних, що містить такі відомості є БПД і, відповідно, підлягає обов’язковій реєстрації. Зауважуємо, що термін «персональні дані» стосується лише фізичних осіб;

знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;

база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Необхідно зазначити, що «база персональних даних» — це умовне поняття, що може об’єднувати різні складові, які мають однакову мету обробки;

володілець бази персональних даних — фізична або юридична особа, якій законом за згодою суб’єкта персональних даних надано право:

на обробку цих даних,
затвердження мети обробки персональних даних,
встановлення складу цих даних та процедури їх обробки, якщо інше не визначено законом;
суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети її обробки;

обробка персональних даних — будь-яка дія, або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані із:

збиранням інформації (значення терміну у статті 12 Закону),
реєстрацією (порядок визначений у статті 10 Закону),
накопиченням та зберіганням (стаття 13 Закону),
адаптуванням, зміною, поновленням,
використанням (стаття 10 Закону),
поширенням (розповсюдженням, реалізацією, передачею) — порядок регламентований статтею 12 Закону,
знеособленням (абзац 6 статті 2 Закону),
знищенням відомостей про фізичну особу (стаття 15 Закону).
База персональних даних може оброблятися володільцем, що і спостерігається в абсолютній більшості випадків у закладах галузі. В окремих випадках таке право може бути надане іншій особі — розпоряднику бази персональних даних відповідно до договору в письмовій формі (пункт 2 статті 11 Закону).

Наприклад, управління охорони здоров’я обласної державної адміністрації як володілець автоматизованої бази даних медичних фармацевтичних та науково-педагогічних працівників території може надати право на обробку зазначеної бази розпоряднику — центру медичної статистики.

розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надане право обробляти ці дані. Розпорядник може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

Необхідно зазначити, що відповідно до пункту 3 статті 4 Закону, розпорядником бази персональних даних, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу;

третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.

У процесі діяльності закладів охорони здоров’я функціонує і відповідно використовується певна кількість документів, що містять персональні дані, наприклад:

облікові медичні форми (історії хвороб, амбулаторні карти пацієнтів та інші), що використовуються при веденні обліку пацієнтів. Зазначені документи є підґрунтям для формування у закладі умовної БПД, наприклад «Пацієнти».
відомості про особу, що використовуються при здійсненні бухгалтерського обліку працівників закладу, є основою для створення БПД — «Бухгалтерія», або «Бухгалтерський облік»,
працівники кадрової служби обробляють персональні дані у вигляді картотеки особових карток (за типовою формою П-2), особових справ, трудових книжок та персональних даних працівників в автоматизованій системі, що є складовими відповідної БПД, наприклад «Працівники», або «Кадровий облік»,
відомості про особу, що використовуються при здійсненні обліку студентів у закладах освіти, є основою для створення БПД — «Студенти», або інше, на розсуд володільця БПД,
у разі залучення до господарської діяльності закладу фізичних осіб — підрядників, клієнтів, тощо, інформація щодо них має бути сформована у базу персональних даних, наприклад, «Фізичні особи, персональні дані яких обробляються у ході ведення господарської діяльності» або інше.
Назву і кількість БПД визначає володілець. Наведені вище БПД та їх назви є прикладами. У разі наявності у закладі іншої інформації про фізичних осіб, що обробляється у ході діяльності закладу, можуть бути сформовані і інші бази персональних даних. Але, зауважуємо, що немає потреби формувати у закладі дуже велику кількість БПД: їх кількість визначається однаковою метою їх обробки для забезпечення реалізації певних відносин:

трудових,
адміністративно-правових,
відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом,
податкових відносин та відносин у сфері бухгалтерського обліку,
відносин у сфері економічних, фінансових послуг та страхування,
відносин у сфері охорони здоров’я,
відносин у сфері освіти,
відносин у сфері транспорту та інше (див. проект Типового порядку обробки персональних даних у базах персональних даних).
Мета обробки персональних даних повинна відповідати напрямку діяльності володільця БПД і має бути сформульована в його установчих документах та/або передбачена законодавством, що регулює діяльність володільця БПД (пункт 1 статті 6 Закону). Тобто у Статут закладу повинні бути внесені зміни щодо формулювання мети обробки баз персональних даних у закладі.

Певна БПД може використовуватися у закладі по частинах і на різних носіях (електронні та паперові). При наявності різних складових (наприклад, картотеки особових карток ф. П-2, трудових книжок, особових справ та персональних даних працівників в автоматизованій системі «Облік медичних кадрів України», що застосовується у галузі), але однакової мети обробки (забезпечення реалізації трудових відносин, управління кадровим потенціалом), такі відомості повинні розглядатися як єдина БПД і інформація по ній у такому разі буде реєструватися під однією назвою. У наведеному вище випадку, база даних вважається базою персональних даних, до якої застосований змішаний, тобто автоматизований та неавтоматизований, спосіб обробки даних.

Визначення володільця, наявність розпорядника БПД, третіх осіб, мети та правових підстав для обробки персональних даних щодо БПД «Працівники» («Кадровий облік») у якості прикладу наведені у таблиці, що додається.

Необхідно звернути увагу на значення нових термінів, що регламентовані Законом:

збирання персональних даних,
накопичення персональних даних,
зберігання,
зміна персональних даних.
Наприклад, при прийомі на роботу, заклад отримує від працівника певні персональні дані: паспортні дані, ідентифікаційний номер, у необхідних випадках — документ про освіту, склад сім’ї, дані щодо атестації та підвищення кваліфікації спеціаліста та ін. у відповідності до трудового або господарського законодавства. Отримання цих відомостей, без яких неможливий прийом на роботу,і є збиранням персональних даних. У відповідності до вимог пункту.2 статті 6 Закону персональні дані мають бути точними, достовірними, а у разі необхідності — оновлюватися.

Отримані відомості щодо працівника систематизуються, формуються, наприклад, у кадрові документи: типову форму №П-2, особову справу, вноситься інформація в автоматизовані бухгалтерські та кадрові бази даних. Це є накопичення персональних даних.

Сформованим документам необхідно забезпечити належне зберігання. При цьому зберігання персональних даних передбачає дії щодо забезпечення:

певних умов їх зберігання,
обмеження режиму доступу до них,
повноти та цілісності персональних даних,
у разі наявності БПД в електронному вигляді:
розмежування режиму доступу відповідно до повноважень посадової особи (має право вносити зміни, тільки перегляд),
заборона доступу сторонніх осіб,
забезпечення захисту інформації відповідно до стандартів ДСТУ.
Порядок умов та термінів зберігання різних видів документів передбачені відповідними нормативно-правовими актами, що регламентують їх введення, наприклад:

Інструкція про порядок ведення трудових книжок працівників, що затверджена наказом Мінпраці, Мін’юсту, Мінсоцзахисту України від 29.07.1993 № 58,
спільний наказ Держкомстату України та Міноборони України «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25 грудня 2009 р. № 495/656,
наказ Головного архівного управління при Кабінеті Міністрів України від 20.07.1998 №41, яким затверджено Перелік типових документів, що утворюється в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, зі строками зберігання документів,
Правила роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ, організацій (із змінами і доповненнями), що затверджені наказом Державного комітету архівів України від 16.03.2001 №16, зареєстрованого у Мін’юсті 08.05.2001 за № 407/5598,
інші нормативно-правові акти.
У процесі трудових відносин у працівників виникають певні зміни у відомостях щодо фізичної особи (зміна прізвища у зв’язку із вступом у шлюб, зміна кваліфікаційної категорії, підвищення кваліфікації), які потребують внесення змін до особової справи, типової форми №П-2, автоматизованої бази даних. Це і є зміна персональних даних.

Склад та зміст персональних даних повинні бути відповідними і ненадмірними стосовно визначеної мети їх обробки. Обсяг персональних даних, які можуть бути включені до БПД визначається умовами згоди суб’єкта персональних даних або відповідно до закону (пункт 3 статті 6 Закону).

Відповідно до мети обробки персональних даних повинен бути встановлений перелік інформації про фізичну особу, який необхідний для реалізації трудових (бухгалтерських, податкових) або інших відносин виключно в межах професійних, службових або трудових обов’язків.

У відповідності до пункту 5 статті 6 Закону обробка персональних даних здійснюється для конкретних і законних цілей, а тому дуже важливою умовою для створення БПД є визначення правових підстав для обробки тих чи інших персональних даних. Таким чином, перелік відомостей про фізичну особу, який буде оброблятися у БПД повинен бути регламентований тим чи іншим нормативно-правовим актом.

Відповідно до пункту 6 статті 6 Закону не допускається обробка даних про фізичну особу без її згоди. При розробці форми згоди суб’єкта персональних даних необхідно передбачити узагальнення всіх видів інформації щодо нього, які:

необхідні для забезпечення реалізації певних відносин,
відповідати меті обробки персональних даних,
бути відповідними та ненадмірними правовим підставам для обробки персональних даних.
Така згода може надаватися окремим документом, наприклад, у формі заяви, із обов’язковим зазначенням мети обробки, на яку дається згода.

Згоду на обробку персональних даних необхідно отримати від усіх працівників, прийнятих на роботу до закладу після 01.01.2011, тобто після набрання чинності Законом. У подальшому, таку заяву необхідно отримувати від кожного працівника, якого приймають у заклад.

Якщо працівник прийнятий на роботу до 01.01.2011, отримання його згоди на обробку персональних даних не потрібно, якщо володілець продовжує обробляти персональні дані працівника (з тією ж метою і в такому ж обсязі). Уважається, що обробка його персональних даних продовжується відповідно до правовідносин на основі вільного волевиявлення працівника, що виникли до набрання чинності Законом.

Однак, у разі зміни визначеної мети обробки персональних даних, суб’єктом персональних даних має бути надана нова згода на обробку його даних відповідно до зміненої мети, незалежно від дати прийняття на роботу.

Крім того, у відповідності до вимог статті 8 Закону, суб’єкта персональних даних необхідно протягом десяти робочих днів з дня включення його персональних даних до БПД виключно у письмовій формі повідомити про його права, визначені цим Законом:

знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення, найменування,
отримувати інформацію про умови надання доступу до його персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані,
на доступ до своїх персональних даних, що містяться у відповідній БПД,
на захист своїх персональних даних від незаконної обробки,
пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних,
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем або розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними та ін.
Направляти повідомлення працівникам, прийнятим у попередні роки не потрібно.

Таким чином, здійснення дій з обробки персональних даних передбачає:

наявність правових підстав такої обробки,
згоди суб’єкта персональних даних на обробку персональних даних,
права на обробку персональних даних, наданих володільцю БПД відповідно до закону у порядку, визначеному законодавством України і виключно в інтересах національної безпеки, економічного добробуту та прав людини.
При реєстрації БПД у Реєстрі база даних не надається, а реєструється тільки факт її наявності у закладі та назва.

Порядок реєстрації БПД передбачений наказом Міністерства юстиції від 08.07.2011 №1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання».

Для реєстрації БПД її володілець (заклад охорони здоров’я або орган управління охороною здоров’я певної території) надають до Реєстру заяву встановленого зразка. Щодо кожної бази даних подається окрема заява. Державна служба з питань захисту персональних даних здійснює реєстрацію БПД на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою.

Реєстрація БПД здійснюється за заявочним принципом шляхом повідомлення і є безкоштовною для володільців БПД. Заява у паперовій формі надсилається поштою (бажано рекомендований лист з описом вкладення та повідомленням про вручення), а також може бути надана особисто представником закладу або кур’єром за адресою: 02660, м. Київ, вул. Марини Раскової, 15, Державна служба з питань захисту персональних даних.

У разі, якщо заява до Державної служби надається представником закладу або кур’єром, для пришвидшення обробки документу, бажано надати електронну копію заяви (указати при цьому її вихідний реєстраційний номер).

Рекомендуємо подати заяви про реєстрацію баз персональних даних до 1 січня 2012 року (з 1 січня 2012 року ухилення вiд державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян вiд 300 до 500 неоподатковуваних мiнiмумiв доходів громадян (нмдг) i на посадових осiб, громадян — суб’єктів підприємницької дiяльностi — вiд 500 до 1000 нмдг (див. Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення вiдповiдальностi за порушення законодавства про захист персональних даних» вiд 2 червня 2011 р. № 3454-VI).

АЛГОРИТМ ДІЙ КЕРІВНИКА ДЛЯ ПРИВЕДЕННЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У ЗАКЛАДІ ОХОРОНИ ЗДОРОВ’Я (ОСВІТИ) У ВІДПОВІДНІСТЬ ДО ВИМОГ ЗАКОНУ «ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ»


1. Даний напрямок роботи необхідно розпочинати з видання наказу по закладу щодо приведення процесів та процедур обробки персональних даних у закладі у відповідність до вимог законодавства. Для цього у наказі треба передбачити наступні заходи:

створити робочу групу, якій необхідно:
провести аналіз процесів обробки персональних даних у закладі відповідно до основних завдань і функцій закладу;

відповідно до п.1 ст. 6 Закону визначити мету (чи декілька їх), з якою обробляються персональні дані у закладі;

відповідно до пп.2, 3 ст.6 Закону (у відповідності до визначеної мети) проаналізувати склад та зміст персональних даних, що обробляються, первинні джерела відомостей про фізичну особу;

визначити правові підстави для обробки визначених БПД;

визначити чи є персональні дані відповідними та ненадмірними відповідно до визначеної мети та правових підстав;

привести перелік персональних даних у відповідність до мети та правових підстав для обробки у визначених БПД;

визначити бази персональних даних у закладі, що підлягають державній реєстрації;

встановити по кожній з них наявність розпорядників баз та перелік третіх осіб (при їх наявності);

визначити перелік посад, виконання професійних обов’язків за якими пов’язано із обробкою персональних даних, визначити ступінь їх доступу до персональних даних (внесення змін, формування звітів та аналітичної інформації, перегляд або інше за потреби)

Наказом також потрібно:

визначити коло осіб, відповідальних за внесення змін до Статуту закладу та їх наступну реєстрацію в територіальних органах виконавчої влади,
визначити відповідальних за розробку проекту Положення про захист персональних даних у закладі,
призначити відповідальних за отримання документованої згоди на обробку персональних даних від суб’єктів персональних даних,
призначити відповідальних за письмове повідомлення працівників про їх права щодо захисту персональних даних, передбачених, зокрема п.2 ст.8 Закону,
визначити відповідальних за подання заяви про реєстрацію баз персональних даних закладу,
передбачити проведення семінару з керівниками структурних підрозділів закладу щодо виконання вимог Закону,
визначити відповідальних за підготовку проектів змін до посадових інструкцій працівників, виконання професійних обов’язків за якими пов’язано із обробкою персональних даних,
визначити відповідальних за розробку зразка та отримання від працівників, робота яких пов’язана з обробкою персональних даних, письмового зобов’язання щодо недопущення розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку із виконанням професійних чи службових або трудових обов’язків. Передбачити у тексті зобов’язання його чинність і після припинення ними діяльності, пов’язаної з персональними даними (пункт 3 статті 10 Закону),
визначити відповідальних за підготовку проекту наказу щодо внесення змін до Номенклатури справ закладу,
призначити відповідального за організацію роботи із захисту персональних даних у закладі (структурному підрозділі).
2. Затвердити Положення про захист персональних даних у закладі. Зазначене Положення, на розсуд володільця баз персональних даних, може бути розроблено по кожній з БПД, що існує у закладі і надана на реєстрацію, а може бути розроблено загальне Положення (про всі БПД закладу). У такому разі у Положенні необхідно навести перелік БПД у закладі, а по кожній з них указати:

мету та правові підстави для обробки персональних даних,
розпорядника (у разі наявності) та третіх осіб,
перелік персональних даних, що будуть оброблятися, їх складові, (при наявності) та первинні джерела відомостей про фізичну особу (пункт 4 статті 6 Закону),
порядок обробки персональних даних: збирання, накопичення, періодичності поновлення, зберігання, використання, поширення, знеособлення та знищення персональних даних (з урахуванням вимог статей 10-15 Закону)
перелік посад, виконання професійних обов’язків за якими пов’язано із обробкою певних БПД, визначити порядок їх доступу до персональних даних (з урахуванням вимог статті 16 Закону),
визначити порядок захисту персональних даних. Звертаємо увагу, що відповідно до Закону, володілець БПД повинен забезпечити захист цих даних. Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані. У кожному випадку роботодавець може провести аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків роботодавець може вирішити, який рівень захищеності БПД є необхідним. Державною службою захисту персональних даних розроблений проект Типового порядку обробки персональних даних у БПД (далі —Типовий порядок), що перебуває на розгляді у Міністерстві юстиції України (джерело інформації — офіційний сайт ДСЗПД). Після прийняття Типового порядку, цей нормативно-правовий акт необхідно використати як основу при розробленні локального нормативного акту, що буде регламентувати порядок обробки персональних даних та їх захист у закладі. Відповідно до проекту Типового порядку, обробка персональних даних є планомірним процесом у закладі і має включати такі етапи:
первинна оцінка стану обробки персональних даних,

планування та впровадження системи управління персональними даними,

забезпечення поточного функціонування системи управління персональними даними,

періодична та поточна оцінка ефективності системи управління персональними даними,

удосконалення системи управління персональними даними.

3. Внести зміни до Статуту закладу щодо визначення мети обробки БПД у закладі, забезпечити їх реєстрацію в органах виконавчої влади.

4. Отримати документовану згоду на обробку персональних даних від працівників, прийнятих на роботу до закладу після 01.01.2011. Зауважуємо, що дата отримання згоди працівника повинна передувати даті реєстрації зазначеної бази даних у Реєстрі, а в подальшому — дорівнювати даті прийому його на роботу.

5. Письмово повідомити працівників, прийнятих на роботу до закладу після 01.01.2011 про їх права щодо захисту персональних даних, передбачених, п.2 ст.8 Закону.

6. Надати до Реєстру заяву про реєстрацію бази персональних даних закладу.

7. Отримати письмові зобов’язання працівників, пов’язаних із обробкою персональних даних щодо недопущення у будь-який спосіб розголошення персональних даних, які їм було довірено або які стали відомі у зв’язку із виконанням професійних чи службових або трудових обов’язків.

8. Внести зміни до посадових інструкцій працівників, виконання професійних обов’язків яких пов’язано із обробкою персональних даних.

Радимо затвердити ці посадові інструкції у новій редакції, але не буде помилковим і внесення певних змін до існуючих посадових інструкцій.

Зважаючи, що набуття чинності Закону не призводить до зміни істотних умов праці, немає необхідності попереджати зацікавлених працівників про наступні зміни у посадових інструкціях за два місяці. У зв’язку із появою нових законодавчих вимог, кадрова та інші служби набувають нових обов’язків та відповідальності, які вводяться з метою приведення порядку обробки персональних даних і документації закладу у помилковим відповідність до вимог Закону.

9. Внести зміни до Номенклатури справ закладу. Зважаючи, що особові справи ведуться не на всіх працівників закладу, крім того, долучення згод та повідомлень суб’єктів персональних даних до особових справ не передбачено основним нормативно-правовим актом, що регламентує ведення особових справ працівників (Правила роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ, організацій (із змінами і доповненнями), що затверджені наказом Державного комітету архівів України від 16.03.2001 №16, зареєстрованого у Мін’юсті 08.05.2001 за № 407/5598), рекомендуємо сформувати окремі справи щодо зберігання вищеназваних документів:

згоди суб’єктів персональних даних на обробку їх персональних даних,
повідомлення суб’єктів персональних даних про їх права щодо захисту персональних даних. За рішенням керівника закладу, або у закладах з невеликою чисельністю працюючих ці справи можуть бути поєднані,
письмові зобов’язання працівників, пов’язаних із обробкою персональних даних щодо недопущення розголошення персональних даних,
свідоцтв про державну реєстрацію БПД, та змін до них.
Термін зберігання цих документів радимо встановити «Доки не мине потреба».

Звертаємо увагу, що відповідно пункту 3 статті 15 Закону «Персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку.»

Наведений перелік дій свідчить, що закладам охорони здоров’я необхідно переглянути відношення до виконання вимог Закону, як до разової акції. Повинна функціонувати система управління захистом інформації у закладі із наявністю всіх її складових.


Крайне занимательные методрекомендации.
В том числе говорят о необходимости внести изменения в уставные документы.

За это сообщение автора vins поблагодарили: 2
Demerji, Igolkavstogesena
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

Пред.След.

  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Вернуться в НОВОСТИ

Кто сейчас на форуме

Зарегистрированные пользователи: Ads, Gb, Ya