На виконання вимог ч.10 ст. 6 Закону України «Про захист персональних даних» (далі - Закон) Державною службою України з питань захисту персональних даних (далі - ДСЗПД) було прийнято активну участь у розробці Типового порядку обробки персональних даних у базах персональних даних (далі - Типовий порядок).
Відповідний Типовий порядок був затверджений наказом Міністерства юстиції України від 30 грудня 2011 року №3659/5 та зареєстрований в Мінюсті 3 січня 2012 року за №1/20314.
Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних.
Законом визначено, що:
- Обробка персональних даних - це будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
- База персональних даних - це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Враховуючи викладене, сама структура побудови Типового прядку включає три розділи: загальні положення, обробка персональних даних в складі інформаційної (автоматизованої) системи та обробка персональних даних у формі картотек.
В Типовому порядку терміни вживаються у значенні, наведеному в Законі «Про захист персональних даних», а також використані у відповідності до діючих законодавчих та нормативно-правових актів (авторизація, автентифікація та ідентифікація). Крім того, було здійснено конкретизацію деяких базових термінів та понять, з урахуванням специфіки цього нормативно-правового акту та сфери його застосування, зокрема, відповідальна особа та структурний підрозділ, які призначаються володільцем бази персональних даних. При цьому термін «відповідальна особа» визначено з урахуванням вимог п.3 ст. 10 Закону щодо використання персональних даних працівниками відповідно до їх професійних чи службових або трудових обов'язків.
За основу при викладенні загальних положень покладено вимоги ст.. 24 Закону України «Про захист персональних даних»:
1. Держава гарантує захист персональних даних.
2. Суб'єкти відносин, пов'язаних з персональними даними, зобов'язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них.
3. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази.
4. Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону.
5. В органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону.
6. Фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.
Також у Типовому порядку, акцентовано увагу на окремих положеннях Закону «Про захист персональних даних», які найбільш пов'язані з процесом обробки персональних даних в базах персональних даних.
Зокрема, правові норми, закріплені у:
- ч. 8 ст. 6 Закону щодо обробки персональних даних у строк, не більший ніж це необхідно відповідно до їх законного призначення, відображена в п. 1.7 Типового порядку: «… строк не більше, ніж це необхідно відповідно до мети їх (персональних даних) обробки, якщо інше не передбачено законодавством»;
- ч. 2 ст. 12 Закону щодо повідомлення володільцем бази персональних даних суб'єкта персональних даних про мету обробки персональних даних, яка у п. 1.6 Типового порядку також визначає те, що це повідомлення повинно бути здійснено «… до моменту отримання згоди від суб'єкта персональних даних»;
- ст. 12 Закону щодо збирання, ст.13 щодо накопичення та зберігання, ст. 20 щодо зміни та доповнення, ст. 10 щодо використання, ст. 14 щодо поширення, ст. 15 щодо знищення та ст. 5 щодо знеособлення персональних даних. Проте, Типовий порядок вимагає від володільця бази персональних даних визначення чіткого та розмежованого порядку здійснення всіх зазначених дій у базі персональних даних;
- ст. 15 Закону щодо знищення персональних даних, яка відображена у п. 1.12 Типового положення, де наголошується на тому, що знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних;
- ч. 2 ст. 24 Закону щодо зобов'язання забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також незаконного доступу до них, відображено у п. 1.8 Типового порядку, яким наголошується на необхідності визначення володільцем бази персональних даних відповідного порядку захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них;
- ч. 3 ст. 10 Закону щодо використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними у відповідності до їхніх професійних чи службових або трудових обов'язків. В свою чергу, п. 1.11 Типового порядку визначається те, що «володілець бази персональних даних може розмежовувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов'язків».
Окрему увагу слід приділити п. 1.8 Типового порядку, у якому знайшли відображення положення ч. 5 ст. 24 Закону щодо визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці. Далі за текстом у п. 1.9 Типового порядку визначаються конкретні завдання відповідальної особи або структурного підрозділу щодо:
- забезпечення ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
- забезпечення організації обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
- організації роботи з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
- забезпечення доступу суб'єктів персональних даних до власних персональних даних;
- інформування керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
- інформування керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.
У Типовому порядку термін «процедури з обробки персональних даних» є одним з найбільш ключових.
Відповідно до вимог Закону кожний володілець бази персональних даних повинен встановити Процедури з обробки персональних даних як основу для опису цілей і процесів захисту приватного життя, опису принципів законності обробки та доступу до персональних даних, які вони зобов'язуються виконувати, забезпечення контролю за їх реалізацією, а також процесів, які вони будуть використовувати для встановлення та забезпечення дотримання цих принципів.
Враховуючи те, що згідно ст. 3 Закону законодавство про захист персональних даних складають Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, то практичне впровадження положень Закону та інших законодавчих актів, що безпосередньо стосуються питань встановлення відповідних організаційних правил в сфері захисту персональних даних, змісту документації стосовно затвердження мети обробки персональних даних у базі персональних даних, встановлення складу цих даних, процедур щодо їх обробки, кваліфікаційних вимог до фізичних осіб, які окремо визначають процедури обробки, співробітників, які безпосередньо реалізовують процедури з обробки персональних даних, а також виконання заходів, пов'язаних з забезпечення відповідних гарантій, забезпечення захисту персональних даних від незаконної обробки, а також від незаконного доступу до них повинно стати ефективним механізмом для максимально повної реалізації вимог Закону у практичній діяльності усіх суб'єктів відносин, пов'язаних з персональними даними.
Суб'єкти відносин, пов'язаних з персональними даними, не тільки повинні знати норми законодавства, вони насамперед повинні чітко розуміти, що відбувається у ході реалізації процедур з обробки персональних даних, знати що конкретно необхідно зробити щоб на практиці реалізувати вимоги законодавства з метою підвищення рівня відповідності вимогам законодавства щодо забезпечення законності збору та обробки персональних даних, а також здійснення належного технічного та процедурного контролю. Це повинно стати інструментом, на який суб'єкти персональних даних можуть посилатися для того, щоб обумовити правила поведінки у формі, яку всі зрозуміють, що полегшить докази відповідності у правовому полі або у ході здійснення контролю з боку ДСЗПД як уповноваженого державного органу з питань захисту персональних даних.
Насамперед володільцю або розпоряднику бази персональних даних роботу із захисту персональних даних необхідно розпочинати з інвентаризації процедур, пов'язаних з збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
Інвентаризації також підлягає вся документація, розроблена володільцем бази персональних даних.
Для кожної з процедур або у ході використання конкретних положень, вони можуть бути посилені додатковими вимогами щодо забезпечення цілісності, конфіденційності тощо, вимоги яких повинні бути реалізовані.
Однак, гарантії того, що вимоги дійсно виконуються і контроль щодо ефективної реалізації здійснюється можливо реалізувати лише шляхом впровадження управління процедурами обробки персональних даних та реалізацією процесів внутрішнього аудиту отриманих результатів.
Особливого значення встановлення процедур обробки персональних даних набувають у стосунках між володільцями та розпорядниками баз персональних даних. Вимоги щодо законної обробки та законного доступу між договірними сторонами повинні бути узгоджені. Це має особливе значення, у випадку, коли володілець та розпорядники баз персональних даних належать до різних нормативно-правових середовищ функціонування (середовищ з істотно різними підходами до вирішення питань законності обробки та законності доступу до персональних даних).
Водночас, п. 1.10 Типового порядку на володільця (розпорядника) бази персональних даних покладається зобов'язання ведення обліку:
- фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
- спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
Зміст та порядок здійснення всіх зазначених заходів та відповідальних за це осіб повинен бути встановлений володільцем (розпорядником) бази персональних даних самостійно окремим внутрішнім документом.
Олексій Мервінський, голова Державної служби України з питань захисту персональних даних.
