Отключить рекламу

Подпишитесь!


20.05.12
788 20 Печатать

Базовый перечень вопросов для проверки работниками Госслужбы по защите персональных данных

   Председатель Государственной службы Украины по вопросам защиты персональных данных Алексей Мервинский подготовил для ЮРЛИГИ перечень вопросов, на которые работники службы обращают внимание в первую очередь при проверке предприятия.
   
   Базовый перечень вопросов для проверки работниками Государственной службы Украины по вопросам защиты персональных данных соблюдения субъектами проверок (владельцами/распорядителями баз персональных данных или третьими лицами) требований законодательства о защите персональных данных:

   
   1. Наличие у субъекта проверки действительного факта обработки персональных данных: выяснения сферы деятельности, категорий субъектов персональных данных и категорий персональных данных, которые обрабатываются.
   
   2. Наличие документов, регламентирующих деятельность субъекта проверки:
   
   - Для органов государственной власти: Указ Президента Украины о создании и об утверждении соответствующих Положений; свидетельства о государственной регистрации других нормативных документов, регулирующих деятельность;
   
   - Для субъектов хозяйствования: учредительные документы;
   
   - Для субъектов предпринимательской деятельности: свидетельство о государственной регистрации физического лица-предпринимателя и свидетельство об уплате единого налога (если лицо является плательщиком единого налога).
   
   3. Статус субъекта проверки: принадлежность к владельцам/распорядителям базы персональных данных или к третьему лицу.
   
   4. В случае наличия у распорядителя базы персональных данных, владельцем которой является орган государственной власти или орган местного самоуправления, - проверка его принадлежности к государственной или коммунальной форме собственности, которая относится к сфере управления этого органа.
   
   5. Наличие у субъекта проверки документов, подтверждающих регистрацию баз персональных данных или копий документов касаемо их отправки для регистрации в ГСЗПД.
   
   6. Правовые основания для осуществления обработки персональных данных в базе персональных данных:
   
   - На основании разрешения, предоставленного в соответствии с законодательством Украины исключительно для осуществления полномочий;
   
   - На основании согласия, предоставленного субъектом персональных данных на обработку его персональных данных.
   
   7. В случае изучения разрешения на обработку персональных данных, предоставленного субъекту проверки в соответствии с законом исключительно для осуществления его полномочий, проверяется соответствие конкретным положением каждого акта (пункт, часть, статья), которые предусматривают право на обработку субъектом проверки персональных данных физических лиц, а также установление соответствия процедур обработки персональных данных положением акта, которым было предусмотрено право на обработку персональных данных.
   
   8. При наличии согласия субъекта персональных данных как правового основания для обработки персональных данных проверяется и определяется полнота охвата предоставленным согласием всех установленных субъектом проверки процессов обработки персональных данных.
   
   9. Наличие нормативно-правового акта, учредительного или иного документа, регулирующего деятельность субъекта проверки, который содержит или утверждает цель обработки персональных данных.
   
   10. Проверка соответствия цели обработки персональных данных целям, установленной нормативно-правовыми актами, учредительными или другими документами, а также цели, которая была указана субъектом проверки в заявлении на регистрацию базы персональных данных.
   
   11. Проверка соответствия определенной или установленной цели состава и содержания персональных данных, содержащихся в соответствующей базе персональных данных.
   
   12. Установка источников получения сведений о физическом лице (первичные источники в виде подписанных физическим лицом документов, сведений, которые физическое лицо предоставляет о себе или общедоступные источники, что предусмотрено законодательством).
   
   13. Наличие у субъекта проверки персональных данных, по которым установлены особые требования для их обработки, а также проверка наличия соответствующих правовых оснований для их обработки.
   
   14. Наличие однозначно предоставленного согласия субъекта персональных данных на обработку персональных данных, по которым установлены особые требования для их обработки.
   
   15. Законность осуществления субъектом проверки составляющих процесса обработки персональных данных в соответствии с законодательством:
   
   - Сообщение субъекта персональных данных в течение десяти рабочих дней со дня включения его персональных данных в соответствующую базу персональных данных;
   
   - Обеспечение субъектом проверки целостности персональных данных и соответствующего режима доступа к ним;
   
   - Проверка сроков обработки персональных данных в форме, допускающей идентификацию физического лица и правовые основания для установления именно таких сроков обработки персональных данных;
   
   - Наличие и законность процедур распространения персональных данных (правовые основания, обеспечения защиты персональных данных при их передаче, выполнение стороной, которой осуществлялась передачи персональных данных соответствующих гарантий выполнения требований законодательства);
   
   - Законность процедур уничтожения персональных данных (наличие фактов о персональных данных, срок хранения которых истек, а также наличие фактов обработки персональных данных субъекта, правоотношения по которым приостановлено);
   
   - Наличие уведомления субъекта персональных данных о включении в базу персональных данных, его права, определенные Законом, цель сбора данных и лиц, которым передаются его персональные данные;
   
   - Соответствие данных и сведений, представленных субъектом проверки для регистрации баз персональных данных фактическому состоянию обработки персональных данных у субъекта проверки;
   
   - Законность установленного в субъекте проверки порядка доступа к персональным данным.
   
   16. Наличие у субъекта проверки документов, устанавливающих процедуры обработки персональных данных и связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
   
   17. Установлением субъектом проверки:
   
   - Порядка внесения, изменения, обновления, использования, распространения, обезличивание, уничтожение персональных данных в базе персональных данных;
   
   - Порядка защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним;
   
   - Распространение на все действия субъекта проверки всех требований по защите персональных данных от незаконной обработки, а также от незаконного доступа к ним.
   
   18. Наличие у субъекта проверки - владельца базы персональных данных распорядителя базы. В случае наличия распорядителя проверяется:
   
   - Документальное подтверждение факта заключения договора в письменной форме между владельцем и распорядителем баз персональных данных;
   
   - Соответствие условий обработки распорядителем базы персональных данных условиям, которые определены в соответствующем договоре с владельцем баз персональных данных (в частности, соответствие целям, составу, содержанию, объему и т.д.). А также выяснение, не предоставлено ли распорядителю базы персональных данных больше полномочий по обработке персональных данных, чем у владельца.
   
   19. Порядок доступа к персональным данным, которые обрабатываются субъектом проверки третьих лиц.
   
   20. Наличие передачи персональных данных иностранным субъектам отношений, связанных с персональными данными. В случае наличия - установление соответствующих процедур.
   
   21. Наличие документа об определении структурного подразделения или ответственного лица, которые организуют работу, связанную с защитой персональных данных при их обработке, а также документов, регламентирующих его деятельность.
   
   22. Выполнение структурным подразделением или ответственным лицом задач по организации работы, связанной с защитой персональных данных при их обработке.
   
   23. Ведение субъектом проверки учета фактов предоставления и лишения работников права доступа к персональным данным и их обработки, а также попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.
   
   24. Разграничение режимов доступа сотрудников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.
   
   25. Организация обработки субъектом проверки персональных данных в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных в соответствии с законодательством.
   
   26. Выполнение субъектом проверки требований по внедрению организационных и технических мер защиты персональных данных при их обработке в форме картотек.

По материалам ЮРЛИГА
Теги
Отключить рекламу
Комментарии
  • Aananas
20.05.12 23:18

18.05.12 звонила в эту гос.службу узнать, где же мое сво-во о регистрации баз данных (регистрировала 19.12.11), сказали, что они по обработке только до 15 ноября дошли. Страна дураков!!!!!!

Ответить
    Оценить
  • 0
  • 0
  • Большое видится на расстоянии
20.05.12 23:56

"Для субъектов предпринимательской деятельности: свидетельство о государственной регистрации физического лица-предпринимателя и свидетельство об уплате единого налога (если лицо является плательщиком единого налога)." 1. Свидетельство уже давно заменено выпиской. И у многих уже не действительно, т.к. были изменения. На кой.... этим деятелям свидетельство? 2. А какое их дело!!! на какой системе налогообложения находится СПД? Работники-они и в Африке работники, и контрагенты - аналогично! А где пункт о лицензированном ПО, которое обрабатывает БД? Что, у СБУ вопросы закончились?

Ответить
    Оценить
  • 0
  • 0
  • Наталия
21.05.12 00:06

- Сообщение субъекта персональных данных в течение десяти рабочих дней со дня включения его персональных данных в соответствующую базу персональных данных; В это полный маразм ! Кому и что субъект ПД должен сообщить! Если физ лицу, то это требует трудовой кодекс. Подписание трудового догвора и приказа физ лицом

Ответить
    Оценить
  • 0
  • 0
  • Закон
21.05.12 00:08

"господин Мертвинский" требований много. А где были твои разьяснения в 2011году, когда предприятия былы в шоке...??? Здоровья Вам!!!

Ответить
    Оценить
  • 0
  • 0
  • стажор
21.05.12 01:43

Подскажите пожалуйста, если предприятие до сих пор не зарегистрировалось в этой базе , но деятельности не ведет, какие последствия нас ожидают.

Ответить
    Оценить
  • 0
  • 0
  • Лёка
21.05.12 01:59

9. Наличие нормативно-правового акта, учредительного или иного документа, регулирующего деятельность субъекта проверки, который содержит или утверждает ЦЕЛЬ обработки персональных данных.... ОЧЕНЬ ИНТЕРЕСНО ОТМЕЧЕНО! А если у предпринимателя занимающегося розничной торговлей ни в каких документах и слова нет о ЦЕЛИ обработки персон.данных , и не должно быть таковых, может ли это означать отсутствие обработки как таковой. Ни в каких учредительных документах ни у юриков и физиков никогда не упоминалось об обработке персональных данных на работников и контрагентов. Похоже, что это очередной развод, как с мусором в урнах (экологический), водой для питья и туалета при наличии договора с водоканалом ( но при отсутствии разрешения на спецпользование - а кто вам его даст?) Подождем еще немножко и все устаканится: ну зачем тратить время и силы на мелочь по 1,2,3 и т.д. грн. если при товарообороте до 300 тыс.грн всех заставили сняться с учета НДС-ков. Но самое главное проскочить через "жернова" именно сейчас во время хаоса и неразберихи.

Ответить
    Оценить
  • 0
  • 0
  • Ага
21.05.12 07:36

Народ, підкажіть, така ситуація: якщо по авансовим звітам по відрядженням присутні товарні чеки (квитанції тощо) за товари, роботи, послуги від ФОПів,то що у цьому випадку від всіх них потрібні тоже згоди на використання їхніх персональних даних ???

Ответить
    Оценить
  • 0
  • 0
  • Оксана
21.05.12 13:10

Якщо їх дані ні де не формуються (н-д, контрагенти в 1С), а лише прописані в авансових звітах (зворотня сторона) і чеки підшиваються в первинку, а не окремо по кожному ФОПу (типу картотеки), то не потрібно, так як база відсутня. Схожа ситуація з довіреностями від контрагентів - дані довіреності (ПІБ, паспортні дані на кого виписана довіреність) не являє собою базу персональних даних.

Ответить
    Оценить
  • 0
  • 0
  • Iehbr
21.05.12 15:21

Щкаты писаки законов защиту данных высрали а про ЗАЩИТУ самой ПЕРСОНЫ типа ЗАБЫЛИ. Такого закона нет только в этой недоделаной уркаине, когда ЭТА ХРЕНЬ будучи частью большего станет абсолюто ясной и понятной. Защите не только от государства а и везде и во всём - от воров, страховщиков, врачей, падатковцев, мусоров и всего прочего.

Ответить
    Оценить
  • 0
  • 0
  • для Iehbr
22.05.12 00:19

Извините, но Вы действительно дурак(а). Нельзя же себя, свой дом и свою страну так ненавидеть. Все мы люди со своими недостатками и законы создаем такие какие заслуживаем. И только когда науимся себя уважать, тогда и будет у нас достойное существование. Нельзя так опускаться.

Ответить
    Оценить
  • 0
  • 0
  • Новичок
22.05.12 00:30

Читаю и балдею! Обьясните каким образом воплотить в жизнь : Разграничить режимы доступа сотрудников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями? - Как обеспечить защиту персональных данных, в том числе о доступа к ним, если особа отвечающая за их сохранность работает в кабинете с 10 другими сотрудниками.

Ответить
    Оценить
  • 0
  • 0
  • Леля
22.05.12 01:05

Стажору. Чревато это только тогда, когда кто то кто имел с вами отношения и пожаловался на Вас за то,что Вы используете его данные без его согласия и к Вам пришла проверка после 1 июля, когда эта фигня вступает в силу.

Ответить
    Оценить
  • 0
  • 0
  • Ольга
22.05.12 01:31

Красиво написано статья)))

Ответить
    Оценить
  • 0
  • 0
  • стажор
22.05.12 04:57

Леля, спасибо, но у нас деятельность не велась уже три года. Сдаем пустые отчеты, баз данных нет.

Ответить
    Оценить
  • 0
  • 0
  • Королева в пальто
22.05.12 05:56

" - Для субъектов хозяйствования: учредительные документы;" А вот мне интересно , каким нормативно - правовым актом регламентируется наличие в уставных документах цели обработки персональных данных .

Ответить
    Оценить
  • 0
  • 0
  • ААААА
22.05.12 06:27

Только что прочитала в ЛИГЕ что данные указанные на визитке тоже являются базой персональных данных. такие пояснение дал начальник службы. Воот теперь сижу и думаю .... чего делать то регистрировать или подождать может их попустит и они одумаются

Ответить
    Оценить
  • 0
  • 0
  • ААААА
22.05.12 06:51

Девочки и мальчики хочу вас предупредить что телефон указанный на сайте службы +38(044) 517-68-00 (канцелярія) - не верен - это квартира. поэтому хозяйка просила уведомить по возможности всех бухгалтеров.

Ответить
    Оценить
  • 0
  • 0
  • Аноним
22.05.12 11:31

Ине пришло три отказа, сдавала в эл. виде. Что делпть с этим бредом незнаю ПРОШУ СОВЕТА!

Ответить
    Оценить
  • 0
  • 0
  • Оля
23.05.12 02:24

Люди, сегодня получила заказным письмом в офис свидетельства о регистрации этих баз. Офигела от удивления- я-то надеялась, что бред этот отменят. Теперь новая морока-надо оформить под них документы(приказы, згоды и т.д).

Ответить
    Оценить
  • 0
  • 0
  • Новичок
29.05.12 03:05

Большая просьба!!! Кто делал документацию по персональним даним для предпринимателей (приказы или др.) или знает где можно подсмотреть подобное - напишите.

Ответить
    Оценить
  • 0
  • 0
Комментирование новости отключено
Для того, чтоб распечатать текст необходимо авторизоваться или зарегистрироваться