Немного ранее
Тот самый гость писав:Золотые слова!Яков писав:... Зачем себе всё усложнять? ...
И я о том же - зачем себе заводить то, чего нет на самом деле, а потом его усиленно охранять под угрозой штрафов (т.к. подтвердив наличие у себя мифических баз, можно ли быть уверенным, что омбудсмену понравится Ваше хранилище)?
А ПД работников Вы используете на основании возложенных на Вас по договору заказчиком функций бухгалтера, который по НКУ обязан знать данные работников. Всё просто как апельсин. #wink#
Добавлю на всякий случай - ЧТО такое с 2014 персональные данные, нуждающиеся в защите.ИМХО, для Люлика сейчас важнее выяснить - обязана ли она в акте возврата указывать паспортные данные как того требует Закон "Об РРО" или, если заказчик отказывается их предоставить, то не обязана. Полагаю, что если не используется РРО, то можно не ориентироваться на Закон "Об РРО", т.к. он не распространяется на ЧПЕНов в случае ведения ими книги в установленном порядке.Уязвимые ПД, среди которых нет ФИО, паспортных данных
Утверждены документы в сфере защиты персональных данных
14 января 2014 г.
В связи с выполнением Офисом Омбудсмена с 1 января 2014 года новых функций как уполномоченного органа в сфере защиты персональных данных после публичного обсуждения и внесенных предложений приказом Уполномоченного по правам человека утверждены следующие документы:
— Типовой порядок обработки персональных данных;
— Порядок осуществления Уполномоченным Верховной Рады Украины по правам человека контроля за соблюдением законодательства о защите персональных данных и приложения к нему;
— Порядок уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародование указанной информации и приложения к нему.
Так, этими документами установлено, что персональные данные, которые представляют особый риск для прав и свобод субъектов и об обработке которых необходимо уведомлять Уполномоченного, — это данные о:
— расовом, этническом и национальном происхождении;
— политических, религиозных или мировоззренческих убеждениях;
— членстве в политических партиях и/или организациях, профсоюзах, религиозных организациях или общественных организациях мировоззренческой направленности;
— состоянии здоровья;
— сексуальной жизни;
— биометрические данные;
— генетические данные;
— привлечении к административной или уголовной ответственности, применении в отношении лица мер в рамках досудебного расследования; применении к лицу мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;
— совершении в отношении лица тех или иных видов насилия;
— местонахождении и/или путях передвижения лица.
Владельцу персональных данных не нужно уведомлять Уполномоченного об обработке указанных данных, если:
— единственной целью обработки является ведение реестра, предоставление информации населению, который открыт для населения в целом;
— обработка осуществляется общественными объединениями, политическими партиями и/или организациями, профсоюзами, объединениями работодателей, религиозными организациями, общественными организациями мировоззренческой направленности при условии, что обработка касается исключительно персональных данных членов этих объединений и не передается без их согласия;
— обработка необходима для реализации прав и выполнения обязанностей владельца персональных данных в сфере трудовых правоотношений.
Источник:
© nibu.factor.ua
Можно ещё обыграть возврат на карточку, если заказчик не возражает - пусть укажет в заявлении, что просит вернуть на такие-то реквизиты. А если заказчик - СХД, то ещё проще.
Просто так
1. Закон о защите персональных данных не отменён.Тот самый гость писав: ...Добавлю на всякий случай - ЧТО такое с 2014 персональные данные, нуждающиеся в защите.
2. Ссылка (спасибо за неё!) указывает на те базы данных, которые надо регистрировать.
Т.е., не только БПД "Работники" (как я думал), но и "Клиенты", "Контрагенты" не нуждаются в регистрации (сообщении Омбудсмену), если они не содержат... и дальше по тексту то, что Вы написали
3. Если бы Вы сами перешли по своей ссылке, то прочитали бы
Типовой порядок
П'ятниця, 10 січня 2014, 11:42
1. Загальні положення
1.1. Цим Порядком обробки персональних даних (далі – Порядок) визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.2. Володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом України «Про захист персональних даних» (далі – Закон) та цим Порядком.
1.3. Вимоги цього Порядку враховуються під час розробки кодексів поведінки щодо обробки персональних даних професійними, самоврядними та іншими громадськими об’єднаннями чи юридичними особами відповідно до статті 27 Закону.
2. Вимоги до обробки персональних даних
2.1. Володілець визначає:
1) мету та підстави обробки персональних даних;
2) категорії суб’єктів персональних даних;
3) склад персональних даних;
4) порядок обробки персональних даних, а саме:
– спосіб збору, накопичення персональних даних;
– строк та умови зберігання персональних даних;
– умови та процедуру зміни, видалення або знищення персональних даних;
– умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
– порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
– заходи забезпечення захисту персональних даних;
– процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.
2.2. У випадках, передбачених Законом, володілець також визначає обов’язки та права осіб, відповідальних за організацію роботи, пов’язаної із захистом персональних даних під час їх обробки.
2.3. Процедури обробки, строк обробки та склад персональних даних повинні бути пропорційними меті обробки.
2.4. Мета обробки персональних даних повинна бути чіткою і законною.
2.5. Мета оброки персональних даних повинна бути визначена до початку їх збору.
2.6. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.
2.7. Обробка персональних даних здійснюється володільцем персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.
2.8. Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.
2.9. Володілець персональних даних, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані:
– в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
– в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки персональних даних.
2.10. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.
2.11. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
2.12. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання.
2.13. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно володілець припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.
2.14. У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
2.15. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.
2.16. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
2.17. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16 – 17 Закону.
2.18. Володілець повідомляє суб’єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону.
3. Захист персональних даних
3.1. Володілець, розпорядник персональних даних вживають заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.
3.2. Володілець, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
3.4. Організаційні заходи охоплюють:
– визначення порядку доступу до персональних даних працівників володільця/розпорядника;
– визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
– розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
– регулярне навчання співробітників, які працюють з персональними даними.
3.5. Володілець/розпорядник веде облік працівників, які мають доступ до персональних даних суб’єктів. Володілець/розпорядник визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
3.6. Усі інші працівники володільця/розпорядника мають право на повну інформацію лише стосовно власних персональних даних.
3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
3.8. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
3.9. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
3.10. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.
3.11. Володілець/розпорядник веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою володільцем/розпорядником зберігається інформація про:
– дату, час та джерело збирання персональних даних суб’єкта;
– зміну персональних даних;
– перегляд персональних даних;
– будь-яку передачу (копіювання) персональних даних суб’єкта;
– дату та час видалення або знищення персональних даних;
– працівника, який здійснив одну із указаних операцій;
– мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.
Володілець/розпорядник персональних даних самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних суб’єкта та доступом до них. У випадку обробки персональних даних суб’єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається володільцем/розпорядником упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
3.12 Вимоги щодо обліку та збереження інформації про перегляд персональних даних не поширюється на володільців/розпорядників, які здійснюють обробку персональних даних в реєстрі, який є відкритим для населення в цілому.
3.13. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.
3.14. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
3.15. В органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до Закону, створюється (визначається) структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.
3.16. Інформація про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, повідомляється Уповноваженому Верховної Ради України з прав людини відповідно до Закону.
3.17. Відповідальна особа/структурний підрозділ виконує такі завдання:
– інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
– взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
3.18. З метою виконання вказаних завдань відповідальна особа/структурний підрозділ:
– забезпечує реалізацію прав суб’єктів персональних даних;
– користується доступом до будь-яких даних, які обробляються володільцем/розпорядником та до всіх приміщень володільця/розпорядника, де здійснюється така обробка;
– у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника володільця/розпорядника з метою вжиття необхідних заходів;
– аналізує загрози безпеці персональних даних.
3.19. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
3.20. Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою або структурним підрозділом, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
3.21. Взаємодія з Уповноваженим Верховної Ради України з прав людини здійснюється в порядку, визначеному Законом та Законом України «Про Уповноваженого Верховної Ради України з прав людини».
3.22. Організація роботи, пов’язаної із захистом персональних даних при їх обробці, тих володільців/розпорядників, на яких не поширюються вимоги частини другої статті 24 Закону, покладається безпосередньо на тих осіб, які здійснюють обробку персональних даних, або, у разі необхідності, – на окремі структурні підрозділи чи посадових осіб.
1. Загальні положення
1.1. Цим Порядком обробки персональних даних (далі – Порядок) визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.2. Володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом України «Про захист персональних даних» (далі – Закон) та цим Порядком.
1.3. Вимоги цього Порядку враховуються під час розробки кодексів поведінки щодо обробки персональних даних професійними, самоврядними та іншими громадськими об’єднаннями чи юридичними особами відповідно до статті 27 Закону.
2. Вимоги до обробки персональних даних
2.1. Володілець визначає:
1) мету та підстави обробки персональних даних;
2) категорії суб’єктів персональних даних;
3) склад персональних даних;
4) порядок обробки персональних даних, а саме:
– спосіб збору, накопичення персональних даних;
– строк та умови зберігання персональних даних;
– умови та процедуру зміни, видалення або знищення персональних даних;
– умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
– порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
– заходи забезпечення захисту персональних даних;
– процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.
2.2. У випадках, передбачених Законом, володілець також визначає обов’язки та права осіб, відповідальних за організацію роботи, пов’язаної із захистом персональних даних під час їх обробки.
2.3. Процедури обробки, строк обробки та склад персональних даних повинні бути пропорційними меті обробки.
2.4. Мета обробки персональних даних повинна бути чіткою і законною.
2.5. Мета оброки персональних даних повинна бути визначена до початку їх збору.
2.6. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.
2.7. Обробка персональних даних здійснюється володільцем персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.
2.8. Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.
2.9. Володілець персональних даних, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані:
– в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
– в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки персональних даних.
2.10. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.
2.11. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
2.12. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання.
2.13. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно володілець припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.
2.14. У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
2.15. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.
2.16. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
2.17. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16 – 17 Закону.
2.18. Володілець повідомляє суб’єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону.
3. Захист персональних даних
3.1. Володілець, розпорядник персональних даних вживають заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.
3.2. Володілець, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
3.4. Організаційні заходи охоплюють:
– визначення порядку доступу до персональних даних працівників володільця/розпорядника;
– визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
– розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
– регулярне навчання співробітників, які працюють з персональними даними.
3.5. Володілець/розпорядник веде облік працівників, які мають доступ до персональних даних суб’єктів. Володілець/розпорядник визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
3.6. Усі інші працівники володільця/розпорядника мають право на повну інформацію лише стосовно власних персональних даних.
3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
3.8. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
3.9. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
3.10. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.
3.11. Володілець/розпорядник веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою володільцем/розпорядником зберігається інформація про:
– дату, час та джерело збирання персональних даних суб’єкта;
– зміну персональних даних;
– перегляд персональних даних;
– будь-яку передачу (копіювання) персональних даних суб’єкта;
– дату та час видалення або знищення персональних даних;
– працівника, який здійснив одну із указаних операцій;
– мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.
Володілець/розпорядник персональних даних самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних суб’єкта та доступом до них. У випадку обробки персональних даних суб’єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається володільцем/розпорядником упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
3.12 Вимоги щодо обліку та збереження інформації про перегляд персональних даних не поширюється на володільців/розпорядників, які здійснюють обробку персональних даних в реєстрі, який є відкритим для населення в цілому.
3.13. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.
3.14. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
3.15. В органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до Закону, створюється (визначається) структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.
3.16. Інформація про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, повідомляється Уповноваженому Верховної Ради України з прав людини відповідно до Закону.
3.17. Відповідальна особа/структурний підрозділ виконує такі завдання:
– інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
– взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
3.18. З метою виконання вказаних завдань відповідальна особа/структурний підрозділ:
– забезпечує реалізацію прав суб’єктів персональних даних;
– користується доступом до будь-яких даних, які обробляються володільцем/розпорядником та до всіх приміщень володільця/розпорядника, де здійснюється така обробка;
– у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника володільця/розпорядника з метою вжиття необхідних заходів;
– аналізує загрози безпеці персональних даних.
3.19. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
3.20. Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою або структурним підрозділом, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
3.21. Взаємодія з Уповноваженим Верховної Ради України з прав людини здійснюється в порядку, визначеному Законом та Законом України «Про Уповноваженого Верховної Ради України з прав людини».
3.22. Організація роботи, пов’язаної із захистом персональних даних при їх обробці, тих володільців/розпорядників, на яких не поширюються вимоги частини другої статті 24 Закону, покладається безпосередньо на тих осіб, які здійснюють обробку персональних даних, або, у разі необхідності, – на окремі структурні підрозділи чи посадових осіб.
Т.е., в 2014г., так же, как и ранее:
1. Базы данных "Работники", "Клиенты", "Контрагенты" /или другие/ всё равно ведутся.
2. Согласие (добровольное!#smile3#) на сбор, хранение и обработку... персональных данных работников - берётся
3. Согласие (добровольное!#smile3#) на сбор, хранение и обработку... персональных данных клиентов - берётся
4. При заключении договоров между двумя ФЛ-П, каждый из них даёт согласие друг другу на сбор, хранение и обработку... персональных данных клиентов/контрагентов - соответственно
5. При заключении договора между ФЛ-П и юрлицом первый должен дать своё "добровольное" согласие на сбор, хранение и обработку... персональных данных в БПД клиентов/контрагентов юрлица
6. Даже при получении электронных ключей в АЦСК МД ФЛ-П (ФЛ) даёт согласие, и расписывается в этом,
ина оброблення (збирання, накопичення, зберігання) своїх персональних даних зазначених у цій заяві та інших документах (заявах)
Единственное, что упростилось и изменилось, так это порядок регистрации (сообщения омбудсмену) БПД (о котором Вы написали)відповідно до Закону України від 01 червня 2010 № 2297 "Про захист персональних даних" та Закону України від 22 травня 2003 № 852 "Про електронний цифровий підпис" підписувач дає згоду на вільне розповсюдження своїх персональних даних, що входять до складу посиленого сертифіката, через веб-сайт АЦСК ІДД ―
