Сьогодні Верховна Рада ухвалила законопроект відносно перенесення терміну введення в дію змін відносно посилення відповідальності за порушення законодавства про захист персональних даних (реєстраційний № 9624 від 20.12.2011 р.).
Згідно з документом, термін набуття чинності Закону України "Про внесення змін до деяких законодавчих актів України відносно посилення відповідальності за порушення законодавства про захист персональних даних" від 02.06.2011 р. N 3454 - VI, яким передбачена відповідальність за порушення законодавства про захист персональних даних, перенесений з 1.01.2012 на 01.07.2012.
Крім того, до сьогоднішнього дня у Верховній Раді був зареєстрований ще один законопроект про відстрочення введення в дію (реєстраційний № 9624-1 від 21.12.2011 р.) який був знятий з розгляду. Цим проектом були передбачені відстрочення введення в дію відповідальності за порушення законодавства про захист персональних даних до дати, що настає через шість місяців після твердження і введення в дію Порядку обробки персональних даних.
Цікаво, що Типовий порядок обробки персональних даних у базах персональних даних (далі - Порядок) був затверджений наказом Міністерства юстиції України від 30.12.2011 р. N 3659/5, зареєстрований в Міністерстві юстиції України 03.01.2012 р. N 1/20314, проте ще не набув чинності.
Варто відмітити, що прийнятий порядок значно відрізняється від порядку, розробленого Державною службою по захисту персональних даних, який нещодавно був опублікований на її сайті, і містив положення про класифікацію персональних даних, принципи і підстави їх обробки, перелік типових цілей обробки і етапів організації обробки персональних даних.
Затверджений Порядок містить наступні розділи:
1. загальні стани обробки персональних даних, якими зокрема, передбачено, що саме повинен ствердити власник (мета обробки, відповідальна особа або структурний підрозділ, порядок захисту персональних даних, порядок внесення, зміни, оновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних); функції відповідальної особи або структурного підрозділу; і порядок обліку фактів надання і позбавлення працівників права доступу до персональних даних і їх обробки, спроб і фактів несанкціонованих і незаконних дій з обробки персональних даних;
2. порядок обробки персональних даних у складі інформаційної (автоматизованою) системи яким зокрема, передбачено, що працівники власника бази персональних даних допускаються до обробки персональних даних тільки послеавторизации, а доступ осіб, що не пройшли процедуру ідентифікації і / або аутентифікації, повинен блокуватися, а також те, що власник бази персональних даних повинен забезпечити антивірусний захист в інформаційній (автоматизованою) системі;
3. порядок обробки персональних даних у формі картотекяким зокрема, передбачено що документи, що містять персональні дані, формуються в справи залежно від мети обробки персональних даних, такі справи повинні мати внутрішні описи документів з вказівкою мети обробки і категорії персональних даних, а також зберігатися в приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
Яна Карцева, Юрист ЮК "Правовий Альянс".
