Ключевые правовые аспекты регулирования обработки персональных данных на пред...
ISACA_Slides_Ermolaev_16 December 2011
1. Соответствие Закону Украины по
защите персональных данных
Евгений Ермолаев, CISM
Технический директор
Агентство Активного Аудита
2. Требования законодательства по
защите персональных данных
С 1 января 2012 года
вступают в силу изменения в:
ЗАКОН - Кодекс Украины об
УКРАЇНИ административных
правонарушениях
Про захист - и Уголовный кодекс Украины
персональних даних
Типовой порядок обработки
Вступил в силу персональных данных в базах
1 января 2011 персональных данных
пока не утвержден
http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17
3. Требования законодательства по
защите персональных данных
Должны исполнять все юридические и
физические лица, обрабатывающие
ЗАКОН персональные данные в базах
УКРАЇНИ персональных данных.
Про захист Кроме:
персональних даних
физических лиц - для
Вступил в силу непрофессиональных личных
1 января 2011 или бытовых нужд;
журналистов - в связи с исполнением ими
служебных или профессиональных
обязанностей;
профессиональных творческих работников -
для осуществления творческой деятельности.
4. Основные требования закона
1) Для обработки персональных данных должно быть законное основание
2) ПД должны обрабатывается только в соответствии с четко
сформулированной целью, быть точными, достоверными и не быть
чрезмерными
1) Все базы персональных данных подлежат регистрации
в Государственном реестре баз персональных данных.
2) Использование персональных данных владельцем базы
осуществляется в случае создания им условий для защиты этих данных.
5. Основные требования закона
1) Для обработки персональных данных должно быть законное
основание
Законные основания обработки ПД:
• Задокументированное согласие субъекта
• В случаях, определенных законом, и только в
интересах национальной безопасности,
экономического благосостояния и прав человека.
• В случае защиты жизненно важных интересов
субъекта до времени, когда получение согласия
станет возможным
6. Основные требования закона
2) ПД должны обрабатывается только в соответствии с четко
сформулированной целью и не быть чрезмерными:
Обработка данных производится в целях обеспечения реализации:
трудовых отношений;
налоговых отношений и отношений в сфере бухгалтерского учета и аудита;
отношений в сфере управления человеческими ресурсами;
отношений в сфере экономических, финансовых услуг;
отношений в сфере телекоммуникационных услуг…. и т.д.
Цель обработки персональных данных должна быть сформулирована в
документах, регулирующих деятельность владельца базы персональных данных
ПД должны быть точными и достоверными
7. Основные требования закона
3) Все базы персональных данных подлежат регистрации
в Государственном реестре баз персональных данных.
Подается заявка путем уведомления:
- По почте на адрес службы
- Опустив в ящик в приемной службы
- Электронным письмом (необходима ЭЦП)
Заявка обязательно должна содержать:
- обращение о внесении базы в Гос. реестр
- информацию о владельце базы персональных данных;
- наименование и местонахождение базы
- цели обработки
- информацию о других распорядителях ( если имеются)
- подтверждение выполнений требований защиты ПД
8. x x
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ФАРТ»
1 2 3 4 5 6 7 - - - - -
Україна 1 1 1 1 1 Київська
Київ Забарська 1 1 1
9. База персональних даних співробітників ТОВ «ФАРТ»
Україна 1 1 1 1 1 Київська
Київ Забарська 1 1 1
Наименование владелец решает сам.
Местонахождение:
картотека – адрес, по которому она находится
в электронном виде – адрес, по которому находятся носители
10.
11. Распорядитель базы персональных данных - физическое или юридическое
лицо, которому владельцем базы персональных данных или законом
предоставлено право обрабатывать эти данные;
12. x
x
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ФАРТ»
Україна 1 1 1 1 1 Київська
Заявитель базы персональных данных - физическое или юридическое
лицо, которому владельцем базы персональных данных или законом
предоставлено право обрабатывать эти данные;
13. 3) Все базы персональных данных подлежат регистрации
в Государственном реестре баз персональных данных.
Об изменениях владелец базы ПД должен уведомить службу не позднее чем
через 10 дней.
СВИДЕТЕЛЬСТВО
О ГОСУДАРСТВЕННОЙ
РЕГИСТРАЦИИ БАЗЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
14. Основные требования закона
4) Использование персональных данных владельцем базы
осуществляется в случае создания им условий для защиты этих
данных.
Согласно требованиям статьи 24 Закона:
владельцы баз персональных данных обязаны принять меры по обеспечению
защиты персональных данных от незаконной обработки, а также от
незаконного доступа к ним.
Условия защиты определяются владельцем баз персональных данных
самостоятельно.
Рекомендация – провести анализ рисков.
15. Есть СУИБ :
- compliance (соответствие требованиям регуляторов)
Все процессы уже построены, необходимо пересмотреть
подход к защите персональных данных, запустить
необходимые процессы.
Нет СУИБ или компания маленькая-
Система управления персональными данными.
- Выполнить рекомендации Службы в Типовом порядке
обработки персональных данных в базах
персональных данных, где пошагово описаны необходимые
действия.
- Или обратится к третьим сторонам.
16. СПАСИБО ЗА ВНИМАНИЕ
Евгений Ермолаев, CISM
Технический директор
Агентство Активного Аудита
e.ermolaev@auditagency.com.ua