В июле 2012 года вступят в силу нормы, определяющих административную и уголовную ответственность за несоблюдение Закона Украины «О защите персональных данных».
До этого времени законодатель предоставил бизнесу последний шанс урегулировать свои бизнес-процессы так, чтобы персональные данные, которыми он располагает, обрабатывались без нарушений норм законодательства.
Прямо или косвенно Закон Украины «О защите персональных данных» затронет практически каждого украинца, не говоря уже о компаниях и рынках: каждый предприниматель и каждое предприятие в стране может стать объектом непосредственного и жесткого контроля со стороны Государственной службы по защите персональных данных.
Закон обязывает владельцев персональных данных провести ряд мероприятий, направленных на защиту персональных данных физических лиц от неправомерного доступа.
Кроме того, такие владельцы должны побеспокоиться о том, чтобы персональные данные, которые собираются в базы, пополнялись с ведома, а по необходимости - и с позволения физических лиц.
Базы персональных данных должны быть зарегистрированы в государственном реестре.
Все физические лица, персональные данные которых помещены в эту базу, должны быть надлежащим образом уведомлены о своих правах (возникших в связи с такой обработкой), месте нахождения базы и конечно, о целях обработки.
Для физических лиц – одни плюсы
Что означает такой закон для граждан? Закон защищает их персональные данные от неправомерного использования. Без прямого согласия никто не сможет эти персональные данные как-либо собирать или обрабатывать.
Если же такие данные по каким-либо причинам стали доступны третьим лицам, то лицо, виновное в утечке информации, будет нести административную, а в некоторых случаях – и уголовную ответственность.
Например, теперь отправителя незатейливых смс-сообщений с информацией о скидках в торговой сети и о новых услугах такси можно предупредить звонком с требование прекратить рассылку. Если не последовало реакции - вторым шагом может стать cуд.
Согласно ст.8 Закона «О защите персональных данных», субъект персональных данных имеет право: знать о местонахождении и назначении базы персональных данных, местонахождении владельца или распорядителя этой базы; получать полную информацию об условиях предоставления доступа к базе; получать ответ на запрос о том, хранятся ли его персональные данные в базе; требовать изменить либо уничтожить свои персональные данные любым владельцем или распорядителем базы персональных данных, если эти данные обрабатываются незаконно или они недостоверны; обращаться по вопросам защиты своих прав, связанных с персональными данными, в уполномоченные органы власти.
Теперь можно не отвечать на звонки банкиров, требующих предоставить информацию о коллеге, вроде: работает ли в компании такой человек, какая у него зарплата и характеристика личности?
Если существует необходимость в получении какой-то информации о любом физическом лице – банк или другая организация обязаны присылать письменный запрос на имя руководителя организации с точной информацией о том, какие персональные данные и с какой целью необходимы. Ответ должен быть предоставлен в сроки, предусмотренные Законом «О защите персональных данных». А именно –предприятие, владеющее такими персональными данными, может рассматривать данный запрос десять дней, и еще двадцать – писать ответ.
Владельцам баз придется нелегко!
На владельца базы персональных данных закон возложил ряд обязательств. Имея намерение обрабатывать персональные данные, владелец обязан растолковать субъекту персональных данных все его права, получив в итоге согласие на их обработку.
После получения согласие субъекта персональных данных и создания базы персональных данных, необходимо ее зарегистрировать в государственном реестре. Однако регистрацией все не заканчивается. База персональных данных должна быть надлежащим образом защищена от неправомерного доступа. Режим такой защиты обеспечиваться определенными людьми – руководящими сотрудниками компании либо иными уполномоченными субъектами.
У многих предпринимателей часто возникает вопрос: сколько может быть баз персональных данных? Ответ на этот вопрос простой: сколько целей обработки, столько и баз. Каждая база создается для выполнения определенных задач и с определенной целью. Логично, что практически в каждой компании есть база персональных данных сотрудников, даже, если сотрудник на данный момент всего один – директор.
Чтобы существование такой базы не принесло ее владельцу массу проблем с проверяющими органами, необходимо предпринять ряд мер, направленных на обеспечение норм Закона «О защите персональных данных»: получить письменное согласие сотрудников на обработку их персональных данных, предусмотреть порядок обработки таких персональных данных, назначив ответственных лиц, обеспечить защиту персональных данных, ограничив к ним доступ всех, кроме сотрудников, имеющих доступ к таким данным исключительно для выполнения функций, направленных на реализацию норм трудового законодательства, начисления и выплаты заработной платы, и т.д. Всю эту процедуру необходимо закрепить в положении о защите персональных данных на предприятии.
Особое внимание на требования закона следует обратить и владельцам сайтов, на которых пользователи оставляют свои персональные данные в каком-либо виде. Будь это магазин по продаже техники или мебели, или сайт по поиску работы, где владелец оставляет свое резюме.
В случае, если происходит малейший контакт с пользователем, например, в виде указания своего мобильного телефона для связи менеджера интернет-магазина, уже – на лицо передача персональных данных. Если же на сайте происходит прямая и наглядная обработка персональных данных, как например, на сайтах по поиску работы, таких как HeadHunter, то такой сайт сразу же попадает под особое внимание Государственной службы по защите персональных данных.
ВЫВОД: Универсального плана для приведения всех бизнес-процессов в соответствие с нормами Закона и пожеланиями чиновников не существует. Конкретных мер и способов защиты персональных данных профильный Закон также не содержит. Выбор соответствующих мероприятий лежит полностью на владельце базы персональных данных. Однако общие рекомендации уже выработаны. Ряд компаний в Украине уже имеют опыт внедрения конкретных мер защиты. В том числе и международный кадровый портал HeadHunter (hh.ua), владеющий крупнейшей базой персональных данных соискателей в рунете.
Поскольку джоб-сайты автоматически попадают в группу риска, компания очень внимательно подходит к обработки персональных данных соискателей и одной из первых зарегистрировала базу резюме соискателей в Украине. HeadHunter Украина регулярно проводит семинары-практикумы о внедрении законных способов обработки персональных данных в Украинских компаниях.
Ближайший практический семинар в Киеве запланирован на 20 марта, в здании Киево-Могилянской бизнес-школы. В ходе практикума HeadHunter поделится своим опытом внедрения легальной процедуры обработки персональных данных с клиентами сайта и расскажет о наиболее частых заблуждениях и ошибках, которые допускают украинские компании в ходе реализации норм Закона Украины «О защите персональных данных». Детали и условия участия можна узнать на hh.ua.Польза такого семинара в том, что участники получают практьический опыт полный пакет внутрикорпоративной документации, необходимой для внедрения мероприятий защиты персональных данных в компании.
Источник: ОБОЗРЕВАТЕЛЬ
Комментариев нет:
Отправить комментарий