27.01.2014
Защита персональных данных-2014: прощание с регистрацией баз
Приказ Уполномоченного Верховной Рады Украины по правам человека от 08.01.14 г. № 1/02-14
«Об утверждении документов в сфере защиты персональных данных»
На дворе год 2014. А значит, заработали (с 01.01.14 г.) новые правила в сфере защиты персональных данных (далее — ПД).
Напомним, Закон № 383-VII значительно «облегчил тяжесть требований» Закона Украины «О защите персональных данных» от 01.06.10 г. № 2297-VI. Госслужбу по защите ПД заменили Уполномоченным ВРУ по правам человека (далее — Уполномоченный), а регистрацию баз ПД заменили уведомлением Уполномоченного*. Но самое важное: отправлять уведомление нужно, только если обработка ПД составляет особый риск для прав и свобод субъектов ПД. Все подробности вы найдете в газете «БН», 2013, № 32, с. 4.
Так вот, благодаря комментируемому приказу мы с вами наконец-то узнали, кому все-таки придется иметь дело с уведомлением.
Этот секрет раскрывает Порядок уведомления Уполномоченного об обработке ПД, которая представляет особый риск для прав и свобод субъектов ПД, о структурном подразделении или ответственном лице, организующем работу, связанную с защитой ПД при их обработке, а также опубликования указанной информации.
Итак, «особо рисковая» обработка ПД — это любые действия (сбор, хранение, изменение и т. д.) относительно ПД (список исчерпывающий) о:
• расовом, этническом и национальном происхождении;
• политических, религиозных или мировоззренческих убеждениях;
• членстве в политических партиях и/или организациях, профсоюзах, религиозных организациях или в общественных организациях мировоззренческой направленности;
• состоянии здоровья;
• половой жизни;
• биометрических, генетических данных;
• привлечении к административной или уголовной ответственности;
• применении мер в рамках досудебного расследования и предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;
• совершении в отношении лица насилия;
• местонахождении и/или пути передвижения лица.
Вывод: не имеете дело с информацией из «особого» списка — уведомлять Уполномоченного об обработке ПД не нужно. Как видите, это достаточно специфическая информация, которую большинство хозсубъектов не обрабатывают.
Внимание, работодатели! Даже если вы обрабатываете «особую» информацию, но делаете это в силу закона для реализации своих прав и обязанностей в сфере трудовых правоотношений, то уведомлять об этом Уполномоченного все-равно не нужно. Об этом прямо сказано в п. 2.1.3 Порядка.
Для тех, кто проводит «особо рискованную» обработку ПД. В течение 30 рабочих дней со дня начала такой обработки подайте в Секретариат Уполномоченного соответствующее заявление (приложение 1 к Порядку).
Правила обработки ПД, которые понадобятся всем субъектам обработки ПД (не только «особым»), прописаны в Типовом порядке обработки ПД.
Владелец/распорядитель ПД должен защищать вверенные ему ПД. В частности, вести учет:
• работников, которые имеют доступ к ПД, и определить уровень доступа каждого из них. Такие работники дают письменное обязательство о неразглашении ПД, которые им доверили или стали известны в процессе обработки;
• операций, связанных с обработкой ПД (сбор, изменение, уничтожение и т. п.).
Помните! Уполномоченный и/или уполномоченные им лица могут проводить плановые, внеплановые, выездные и безвыездные проверки, чтобы узнать, как вы соблюдаете законодательство по защите ПД. Они также могут привлекать к проверке представителей госорганов, в частности, правоохранительных. Все подробности проведения проверок вы найдете в Порядке осуществления Уполномоченным контроля за соблюдением законодательства о защите персональных данных.
Но, опять же, былая практика говорит, что эти проверки — явление для «обычных» субъектов исключительно редкое.
* Старую «ПД-подзаконную нормативку» Минюст отменил приказом от 27.09.13 г. № 2043/5 // «БН», 2013, № 46, с. 9.