Про захист персональних даних УКРАЇНИ

Про захист персональних даних УКРАЇНИ
Буду мелким шрифтом выписывать выдержки из украинского закона о персональных данных, а крупным свои комментарии от лица специалиста из России.

Идея прокомментировать закон появилась после прочтения ветки на форуме Банкира . Текст закона был скачен с сайта Верховной Рады Украины. Переведен закон был автоматически сервисом Google .

Закон был подписан Януковичем 1 июня 2010 г., вступил в силу через полгода с 1 января 2011 г., и вот-вот заканчиваются отведенные еще полгода на «продолжение банкета».

2. Кабинету Министров Украины в течение шести месяцев со дня вступления в силу настоящего Закона:
обеспечить принятие нормативно-правовых актов, предусмотренных этим Законом;
обеспечить приведение своих нормативно-правовых актов в соответствие с настоящим Законом.

Итак, интересны категории, которые выводятся из действия закона. Журналистов и творческих работников в Украине оставили в покое.

Действие настоящего Закона не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах:
физическим лицом - исключительно для непрофессиональных личных или бытовых нужд;
журналистом - в связи с исполнением им служебных или профессиональных обязанностей;
профессиональным творческим работником - для осуществления творческой деятельности.

Красной нитью на протяжении всего текста проходит защита баз персональных данных. Это и понятно: все ПДн можно свести к БД, которые и надлежит защищать.

Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базы персональных данных;

Хорошо сказано про согласие. Из текста явно следует, что, достаточно электронного согласия, лишь бы оно было документировано. Значит можно использовать ЭЦП.

согласие субъекта персональных данных - любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки;

Выводятся из под защиты ПДн разных важных политиков, если где-то в недрах Украины не говорится обратное. Сдается мне, что говорится, так как наследие единого и могучего СССР никто не отменял.

4. Персональные данные физического лица, претендующего занять или занимает выборную должность (в представительских органах) или должность государственного служащего первой категории, не относятся к информации с ограниченным доступом, за исключением информации, предусмотренной такой соответствии с законом.

Сразу становится понятным, откуда появляются на свет персональные данные. А то было не понятно, что это паспорт и все прочие документы, Вот лучше бы сделали список того, что является ПДн, а что таковыми не является.

4. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные ею документы; сведения, которые лицо предоставляет о себе.

Больше не нужно гадать о том, можно ли обрабатывать ПДн, например, в случаях когда получить такое согласие временно или постоянно невозможно.

7. Если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.

И далее об этом же, но с другой стороны и конкретизируя.

2. Положения части первой настоящей статьи не применяется, если обработка персональных данных:
6) необходима в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения

Как я уже говорил, весь закон заточен под обработку ПДн, содержащихся в базах данных. Базы данных с ПДн в том или ином виде есть у любой организации. Очень радует то, что в Украине достаточно лишь регистрации таковых баз (по крайней мере, на текущем этапе в 2011 году). Причем, судя по тексту, никакой мороки для организаций.

Статья 9. Регистрация баз персональных данных
1. База персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Положение о Государственном реестре баз персональных данных и порядок его ведения утверждаются Кабинетом Министров Украины.
2. Регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения.
4. Уполномоченный государственный орган по вопросам защиты персональных данных в порядке, утвержденном Кабинетом Министров Украины:
сообщает заявителю не позднее следующего рабочего дня со дня поступления заявления о ее получении;
принимает решение о регистрации базы персональных данных в течение десяти рабочих дней со дня поступления заявления.
Владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных.

А вот и главные слова о защите ПДн. Как и у нас в законе без какой-либо конкретики. Единственное это контроль доступа и обеспечение целостности ПДн.

2. Использование персональных данных владельцем базы осуществляется в случае создания им условий для защиты этих данных.

2. Хранение персональных данных предполагает действия по обеспечению их целостности и соответствующего режима доступа к ним.

Обнаружена интересная фразочка, согласно которой то, что личное никак не может повредить рабочему.

4. Сведения о личной жизни физического лица не могут использоваться как фактор, подтверждает или опровергает ее деловые качества.

Согласно российским реалиям основания для обработки ПДн возникают по причине их наличия. В Украине же говорится несколько иначе: после согласия и разрешения.

1. Основаниями возникновения права на использование персональных данных являются:
1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при согласии внести оговорку об ограничении права на обработку своих персональных данных;
2) разрешение на обработку персональных данных, предоставленный владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.

Очень интересная мысль, что за доступ, обработку и консалтинг в части ПДн можно брать деньги. Действительно, всё гениальное просто Осталось кому-то на этом федеральном постулате построить бизнес. Несколько омрачает факт, что ценники будут регулироваться свыше. Привожу статью 19 целиком.

Статья 19. Оплата доступа к персональным данным
1. Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно.
2. Доступ других субъектов отношений, связанных с персональными данными, к персональным данным определенного физического лица или группы физических лиц может быть платным в случае соблюдения условий, определенных настоящим Законом. Оплате подлежит работа, связанная с обработкой персональных данных, а также работа по консультированию и организации доступа к соответствующим данным.
3. Размер платы за услуги по предоставлению доступа к персональным данным органами государственной власти определяется Кабинетом Министров Украины.
4. Органы государственной власти и органы местного самоуправления имеют право на беспрепятственный и бесплатный доступ к персональным данным соответствии с их полномочиями.

Контролем всех этих мероприятий по защите ПДн, как говорилось выше, будет заниматься специальный украинский орган, кстати, пока не понятно какой. Этому органу посвящена отдельная статья закона.

Статья 23. Уполномоченный государственный орган по вопросам защиты персональных данных

2. Уполномоченный государственный орган по вопросам защиты персональных данных:
1) обеспечивает реализацию государственной политики в сфере защиты персональных данных;
2) регистрирует базы персональных данных;
3) ведет Государственный реестр баз персональных данных;


Не менее странная статья, посвященная финансированию работ. Если читать текст в лоб, повторюсь на счет метода перевода закона, то бизнесу не придется потратить и копейки, т.к. субъектами отношений являются не только операторы ПДн, но и непосредственно те, кому эти ПДн принадлежат.

Статья 26. Финансирование работ по защите персональных данных
Финансирование работ и мероприятий по обеспечению защиты персональных данных осуществляется за счет средств Государственного бюджета Украины и местных бюджетов, средств субъектов отношений, связанных с персональными данными.

В заключении остается посоветовать нашим украинским коллегам работать, следить за обстановкой в части своего законодательства по ПДн и еще раз работать.
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Евгений Шауро

Блог специалиста по информационной безопасности