Олег Хоменок: Открытые источники информации украина
Реєстрація баз персональних даних: правила безпеки для редакцій та журналістів
1. правила безпеки для
редакцій та журналістів
Доповідач: Людмила Опришко, медіа-юрист, медіа-тренер.
2. 1. Конституція України (ст. 32)
2. Закон України Про ратифікацію Конвенції про захист осіб у
зв'язку з автоматизованою обробкою персональних даних
та Додаткового протоколу до Конвенції про захист осіб у зв'язку з
автоматизованою обробкою персональних даних стосовно
органів нагляду та транскордонних потоків даних
3. Конвенція про захист осіб у зв'язку з автоматизованою
обробкою персональних даних
4. Додатковий протокол до Конвенції про захист осіб у зв'язку з
автоматизованою обробкою персональних даних стосовно
органів нагляду та транскордонних потоків даних
5. Закон України “ Про захист персональних даних ”
3. Ніхто не може зазнавати втручання в його особисте , сімейне життя, крім випадків,
передбачених Конституцією України.
Не допускається збирання, зберігання, використання та поширення
конфіденційної інформації про особу без її згоди, крім випадків, визначених
законом, і лише в інтересах національної безпеки, економічного добробуту та
прав людини.
Кожний громадянин має право знайомитися в органах державної влади, органах
місцевого самоврядування, установах і організаціях з відомостями про себе, які не
є державною або іншою захищеною законом таємницею.
Кожному гарантується судовий захист права спростовувати недостовірну
інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої
інформації, а також право на відшкодування матеріальної і моральної шкоди,
завданої збиранням, зберіганням, використанням та поширенням такої
недостовірної інформації.
4. Цей Закон регулює відносини, пов'язані із
захистом персональних даних ПІД ЧАС ЇХ ОБРОБКИ.
персональні дані - відомості чи сукупність
відомостей про фізичну особу, яка ідентифікована
або може бути конкретно ідентифікована.
Первинними джерелами відомостей про особу є:
- видані на її ім'я документи;
- підписані нею документи;
- відомості які особа надає про себе (див. ч. 4 ст. 6 ЗУ
Про захист персональних даних).
5. Законодавство України не містить мінімального
переліку відомостей , які дають можливість конкретно
ідентифікувати фізичну особу та складають
визначення «персональні дані».
За роз'ясненнями Державної служби України з питань
захисту персональних даних “ термін «персональні
дані» повинен охоплювати всю інформацію про
фізичну особу, яка ідентифікована або може бути
ідентифікована у будь-який можливий спосіб. Для
визначення факту ідентифікації особи необхідно
враховувати всі можливі засоби для ідентифікації
вказаної особи ”
6. ЗУ ПРО ЗАХИСТ
ЗУ ПРО ІНФОРМАЦІЮ ПЕРСОНАЛЬНИХ ДАНИХ
Інформація про фізичну особу Об'єктами захисту є ПД, які
(персональні дані) – відомості обробляються в БПД.
чи сукупність відомостей про ПД, крім знеособлених, за
фізичну особу, яка режимом доступу є інформацією з
ідентифікована або може бути обмеженим доступом (див. ст. 5)
конкретно ідентифікована.
Забороняється обробка ПД про
До конфіденційної інформації расове або етнічне походження,
про фізичну особу належать , політичні, релігійні або
зокрема, дані про її світоглядні переконання,
національність, освіту, сімейний членство в політичних партіях та
стан, релігійні переконання, стан профспілках, даних, що
здоров'я, а також адреса , дата і стосуються здоров'я чи статевого
місце народження (див. ст. 11) життя (див. ст. 7 Закону)
7. обробка персональних даних - будь-яка дія або сукупність дій,
здійснених повністю або частково в інформаційній
(автоматизованій) системі та/або в картотеках
персональних даних, які пов'язані:
зі збиранням,
реєстрацією,
накопиченням,
зберіганням,
адаптуванням,
зміною,
поновленням,
використанням
поширенням (розповсюдженням, реалізацією, передачею),
знеособленням,
знищенням відомостей про фізичну особу
8. база персональних даних - іменована сукупність
упорядкованих персональних даних в:
електронній формі;
та/або у формі картотек персональних даних;
МЮУ надало роз'яснення про те, що база персональних даних є
упорядкованою сукупністю логічно пов'язаних даних про
фізичних осіб:
- що зберігаються та обробляються відповідним програмним
забезпеченням, є базою персональних даних в електронній формі;
- що зберігаються та обробляються на паперових носіях
інформації, є базою персональних даних у формі картотек.
9. МЮУ надало роз'яснення про те, що “ картотекою персональних
даних є будь-який СТРУКТУРОВАНИЙ масив персональних
даних, що є доступним за визначеними критеріями, незалежно
від того, чи є такий масив централізованим, децентралізованим
або розділеним на функціональних або географічних засадах. Такі
дані мають бути структуровані за визначеними критеріями, що
стосуються фізичних осіб, щоб забезпечити легкий доступ до
відповідних персональних даних.
Такі дані мають бути структуровані за визначеними критеріями,
що стосуються фізичних осіб, щоб забезпечити легкий доступ до
відповідних персональних даних.
На думку МЮУ, персональні дані одночасно можуть бути
упорядковані і в електронній формі, і в формі картотек.
10. ВАЖЛИВО !
Об'єктами захисту за ЗУ “ Про захист
персональних даних ” є лише ті персональні
дані, які обробляються в БАЗАХ персональних
даних.
Фізичніособи-підприємці та самозайняті особи
самостійно визначають чи володіють вони
базами персональних даних у сенсі Закону (із
листа МЮУ: http://minjust.gov.ua/0/38266#2 ).
11. під час здійснення своєї професійної діяльності на адвокатів
законодавством не покладено обов’язок ведення баз персональних даних
клієнтів. Але, якщо адвокати формують справи на своїх клієнтів, які вони
постійно оновлюють та підтримують в актуальному стані, такі справи є
базою персональних даних та підлягають державній реєстрації;
Нотаріуси можуть обробляти персональні дані своїх найманих
працівників, клієнтів у базах персональних даних, однак, документи
нотаріального діловодства та архів нотаріуса, визначені у статті 14
Закону України «Про нотаріат» не є базою персональних даних у сенсі
Закону України «Про захист персональних даних» та не підлягають
державній реєстрації.
Крім того, у випадку, якщо фізичні особи - підприємці укладають
договори виконання робіт або надання послуг з фізичними особами,
такі договори також не є базою персональних даних та не підлягають
державній реєстрації (!!!).
12. Дія Закону НЕ ПОШИРЮЄТЬСЯ:
на діяльність зі створення баз персональних даних та
обробки персональних даних у цих базах:
фізичною особою - виключно для непрофесійних
особистих чи побутових потреб;
ЖУРНАЛІСТОМ - у зв'язку з виконанням ним
службових чи професійних обов'язків;
професійним творчим працівником - для
здійснення творчої діяльності.
13. Журналістом редакції друкованого засобу масової інформації
відповідно до цього Закону є творчий працівник, який професійно
збирає, одержує, створює і займається підготовкою інформації для
друкованого засобу масової інформації та діє на підставі трудових
чи інших договірних відносин з його редакцією або займається такою
діяльністю за її уповноваженням. Належність журналіста до друкованого
засобу масової інформації підтверджується редакційним посвідченням чи
іншим документом, виданим йому редакцією цього друкованого засобу
масової інформації (ст. 25 ЗУ Про друковані ЗМІ (пресу) в Україні).
Телерадіожурналіст - штатний або позаштатний творчий працівник
телерадіоорганізації, який професійно збирає, одержує, створює і готує
інформацію для розповсюдження;
Телерадіопрацівник - штатний або позаштатний працівник
телерадіоорганізації, який за характером своєї професійної діяльності та
відповідно до посадових обов'язків бере участь у створенні та
розповсюдженні телерадіопрограм та передач (ст.1 ЗУ Про телебачення і
радіомовлення).
14. Журналіст інформаційного агентства - це творчий працівник, який
збирає, одержує, створює та готує інформацію для інформаційного
агентства і діє від його імені на підставі трудових чи інших договірних
відносин з ним або за його уповноваженням. Належність журналіста до
інформаційного агентства підтверджується службовим посвідченням
цього агентства чи іншим документом, виданим йому цим агентством
(ст. 21 ЗУ Про інформаційні агентства ).
Журналіст - творчий працівник, який професійно збирає, одержує,
створює і займається підготовкою інформації для засобів масової
інформації, виконує редакційно-посадові службові обов'язки в засобі
масової інформації (в штаті або на позаштатних засадах) відповідно до
професійних назв посад (роботи) журналіста, які зазначаються в
державному класифікаторі професій України
(ст. 1 ЗУ Про державну підтримку ЗМІ та соціальний захист журналістів)
15. Професійний творчий працівник - особа, яка провадить творчу
діяльність на професійній основі, результатом якої є створення
або інтерпретація творів у сфері культури та мистецтва, публічно
представляє такі твори на виставках, шляхом публікації,
сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є
членом творчої спілки, та/або має державні нагороди за
діяльність у сфері культури і мистецтва;
Творча діяльність - індивідуальна чи колективна творчість,
результатом якої є створення або інтерпретація творів, що мають
культурну цінність.
(ст. 1 ЗУ Про професійних творчих працівників та творчі спілки)
16. Якщо журналісти мають певні БПД на своєму робочому місці
(комп'ютері) в редакції, керівник ЗМІ повинен вжити заходів для
відмежування цих БПД від БПД ЗМІ.
Для цього рекомендується видати наказ, яким:
за кожним із журналістів закріпити окремий комп'ютер,
зазначивши, що володільцем наявної на ньому інформації, в тому
числі, БПД є конкретний журналіст.
Визначити види БПД, володільцем яких є ЗМІ, та зазначити в
наказі:
місце зберігання таких баз;
посадових осіб, які здійснюють обробку ПД, мають доступ до БПД
та несуть відповідальність за збереження цієї інформації;
засоби безпеки, які мають вживатись для обмеження доступу
сторонніх осіб до персональних даних.
17. ЗАГАЛЬНЕ ПРАВИЛО:
Персональні дані, крім знеособлених, є інформацією з обмеженим
доступом.
ВИКЛЮЧЕННЯ:
Персональні дані фізичної особи, яка претендує зайняти чи
займає виборну посаду (у представницьких органах) або посаду
державного службовця першої категорії, якщо інше не
передбачено законом;
Інші випадки, передбачені законом, щодо певних категорій
громадян чи їх вичерпного переліку.
18. відповідно до мети, визначеної законом, іншим НПА;
для конкретних і законних цілей, визначених згодою суб'єкта
персональних даних/законом;
в порядку, встановленому законом;
Персональні дані мають бути:
- точними;
- достовірними;
- оновлюватись за необхідності;
- відповідними за змістом;
- пропорційними (не надмірними/мінімальними) відносно мети
обробки
Зберігатись не більше, ніж це необхідно за їх призначенням
19. Згода суб'єкта персональних даних – це будь-яке документоване,
зокрема письмове, добровільне волевиявлення фізичної особи щодо
надання дозволу на обробку її персональних даних відповідно до
сформульованої мети їх обробки ( див. ст. 2 Закону України «Про захист
персональних даних» ).
Формами надання згоди суб’єкта персональних даних є:
документ у паперовій або електронній формі з реквізитами, що дає
змогу ідентифікувати цей документ та фізичну особу (документ має бути
засвідчений власним підписом особи або його електронним підписом);
- ознака «Підтвердження надання згоди на обробку персональних
даних у базі персональних даних» за допомогою управляючих
елементів веб - ресурсів володільця та/або розпорядника баз
персональних даних, інтерфейсів користувача програмного забезпечення.
Згода щодо надання дозволу на обробку персональних даних повинна
надаватися відповідно до сформульованої мети їх обробки.
20. Типовий порядок обробки персональних даних у
базах персональних даних затверджено наказом
Міністерства юстиції України 30.12.2011 року №
3659/5.
Цей Типовий порядок встановлює загальні вимоги до
організаційних та технічних заходів захисту
персональних даних під час їх обробки у базах
персональних даних володільцями та розпорядниками
баз персональних даних.
21. Захист персональних даних покладається на володільця
бази персональних даних. Розпорядник бази персональних даних
здійснює обробку персональних даних відповідно до закону або
на підставі укладеного з володільцем бази персональних даних
договору у письмовій формі з метою і в обсязі, визначеними в
договорі.
Володілець або розпорядник бази персональних даних надає
суб'єкту персональних даних інформацію про мету обробки
персональних даних до моменту отримання згоди від суб'єкта
персональних даних.
Володілець бази персональних даних зберігає персональні
дані у строк не більше, ніж це необхідно відповідно до мети їх
обробки, якщо інше не передбачено законодавством.
22. 1.8. Володілець бази персональних даних визначає:
- мету обробки,
- склад персональних даних у базі персональних даних
- її місцезнаходження;
- порядок внесення, зміни, поновлення, використання,
поширення, знеособлення, знищення персональних
даних у базі персональних даних;
- відповідальну особу або структурний підрозділ;
- порядок захисту персональних даних, в тому числі від
незаконної обробки та незаконного доступу до них.
23. 1.9. Відповідальна особа або структурний підрозділ відповідно до покладених
завдань:
- забезпечує ознайомлення працівників володільця та розпорядника бази
персональних даних з вимогами законодавства про захист персональних даних,
зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб
персональних даних, які їм було довірено або які стали їм відомі у зв'язку з
виконанням професійних, службових чи трудових обов'язків;
- забезпечує організацію обробки персональних даних працівниками володільця та
розпорядника бази персональних даних відповідно до їх професійних, службових
чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
- організовує роботу з обробки запитів щодо доступу до персональних даних
суб'єктів відносин, пов'язаних з обробкою персональних даних;
- забезпечує доступ суб'єктів персональних даних до власних персональних даних;
- інформує керівника володільця та розпорядника бази персональних даних про
заходи, яких необхідно вжити для приведення складу персональних даних та
процедур їх обробки у відповідність до закону;
- інформує керівника володільця та розпорядника бази персональних даних про
порушення встановлених процедур з обробки персональних даних.
24. 1.10. Володілець бази персональних даних веде облік:
- фактів надання та позбавлення працівників права доступу до
персональних даних та їх обробки;
- спроб та фактів несанкціонованих та/або незаконних дій з
обробки персональних даних.
1.11. Володілець бази персональних даних може розмежувати
режими доступу працівників до обробки персональних даних у
базі персональних даних відповідно до їх професійних, трудових
чи службових обов'язків.
1.12. Знищення персональних даних здійснюється у спосіб, що
виключає подальшу можливість поновлення таких персональних
даних.
25. При обробці необхідно забезпечити від несанкціонованого доступу під
час обробки персональних даних.
Доступ осіб, які не пройшли процедуру ідентифікації та/або
автентифікації, повинен блокуватись.
В інформаційній (автоматизованій) системі, де обробляються
персональні дані, може здійснюватись реєстрація, зокрема: результатів
ідентифікації та/або автентифікації працівників володільця бази
персональних даних; дій з обробки персональних даних; факту
встановлення ознаки "Підтвердження надання згоди на обробку
персональних даних у базі персональних даних" за допомогою
управляючих елементів веб-ресурсів володільця або розпорядника
бази персональних даних, інтерфейсів користувача програмного
забезпечення; результатів перевірки цілісності засобів захисту
персональних даних. Відповідальна особа та/або структурний підрозділ
може проводити аналіз реєстраційних даних. Реєстраційні дані
захищаються від модифікації та знищення.
26. Володілець бази персональних даних
забезпечує антивірусний захист в
інформаційній (автоматизованій) системі.
Володілець бази персональних даних
забезпечує використання технічних засобів
безперебійного живлення елементів
інформаційної (автоматизованої) системи.
27. Володілець бази персональних даних здійснює обробку
персональних даних у картотеках у порядку, визначеному
Законом
та розділом I Типового порядку, з урахуванням таких вимог:
- документи, що містять персональні дані, формуються у справи
залежно від мети обробки персональних даних;
- справи з документами, що містять персональні дані, повинні
мати внутрішні описи документів із зазначенням мети обробки і
категорії персональних даних;
- картотеки зберігаються у приміщеннях (шафах, сейфах),
захищених від несанкціонованого доступу.
Двері у приміщеннях (шафах, сейфах) повинні бути обладнані
замком або контролем доступу.
29. Неповідомлення або несвоєчасне повідомлення суб'єкта персональних
даних про його права у зв'язку із включенням його персональних даних
до бази персональних даних, мету збору цих даних та осіб, яким ці дані
передаються, -
тягнуть за собою накладення штрафу на громадян від двохсот до
трьохсот неоподатковуваних мінімумів доходів громадян і на посадових
осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до
чотирьохсот неоподатковуваних мінімумів доходів громадян.
_________________________________________
Суб'єкт ПД протягом 10 робочих днів з дня включення його ПД до БПД
повідомляється про свої права, визначені ЗУ Про захист персональних
даних, мету збору даних та осіб, які передаються його персональні дані,
виключно в письмовій формі. Повідомлення не здійснюється, якщо ПД
збираються із загальнодоступних джерел (див. ч. 2-3 ст. 12 ЗУ Про захист
персональних даних).
Неоподатковуваний мінімум доходів громадян дорівнює 17 гривень.
30. Неповідомлення або несвоєчасне повідомлення спеціально
уповноваженого центрального органу виконавчої влади з питань
захисту персональних даних про зміну відомостей, що подаються
для державної реєстрації бази персональних даних, -
тягнуть за собою накладення штрафу на громадян від ста до
двохсот неоподатковуваних мінімумів доходів громадян і на
посадових осіб, громадян - суб'єктів підприємницької діяльності -
від двохсот до чотирьохсот неоподатковуваних мінімумів доходів
громадян.
________________________________________
Володілець БПД зобов'язаний повідомляти уповноважений
державний орган з питань захисту ПД про кожну зміну
відомостей, необхідних для реєстрації відповідної бази, не пізніш
як протягом 10 робочих днів з дня настання такої зміни (див. ч. 6
ст. 9 ЗУ Про захист персональних даних).
31. Повторне протягом року вчинення порушення з числа передбачених
частинами першою або другою цієї статті, за яке особу вже було піддано
адміністративному стягненню, -
тягне за собою накладення штрафу на громадян від трьохсот до
п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових
осіб, громадян - суб'єктів підприємницької діяльності - від чотирьохсот до
семисот неоподатковуваних мінімумів доходів громадян.
Ухилення від державної реєстрації бази персональних даних –
тягне за собою накладення штрафу на громадян від трьохсот до
п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових
осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до
тисячі неоподатковуваних мінімумів доходів громадян.
32. Недодержання встановленого законодавством про захист
персональних даних порядку захисту персональних даних у базі
персональних даних, що призвело до незаконного доступу до
них,-
тягне за собою накладення штрафу від трьохсот до тисячі
неоподатковуваних мінімумів доходів громадян.
Невиконання законних вимог посадових осіб спеціально
уповноваженого центрального органу виконавчої влади з питань
захисту персональних даних щодо усунення порушень
законодавства про захист персональних даних -
тягне за собою накладення штрафу на посадових осіб, громадян -
суб'єктів підприємницької діяльності від ста до двохсот
неоподатковуваних мінімумів доходів громадян"
33. Стаття 182. Порушення недоторканності приватного життя
1. Незаконне збирання, зберігання, використання, знищення, поширення
конфіденційної інформації про особу або незаконна зміна такої
інформації, крім випадків, передбачених іншими статтями цього Кодексу,
караються штрафом від п'ятисот до однієї тисячі неоподатковуваних
мінімумів доходів громадян або виправними роботами на строк до двох
років, або арештом на строк до шести місяців, або обмеженням волі на
строк до трьох років.
2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду
охоронюваним законом правам, свободам та інтересам особи, -
караються арештом на строк від трьох до шести місяців або
обмеженням волі на строк від трьох до п'яти років, або позбавленням волі
на той самий строк.
Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні
матеріальних збитків, вважається така шкода, яка в сто і більше разів
перевищує неоподатковуваний мінімум доходів громадян".
34. 1. Інститут розвитку регіональної преси
044-279-41-99
2. Опришко Людмила 067-449-32-56
3. Панкратова Людмила 093-102-10-81
4. Бурмагін Олександр 067-722-47-65
5. law.irrp.org.ua@gmail.com