Міністерство юстиції затвердило Типовий порядок обробки персональних даних у базах персональних даних. Відповідний наказ підписав міністр юстиції Олександр Лавринович.
Порядок встановлює загальні вимоги до захисту персональних даних під час їх обробки володільцями та розпорядниками баз персональних даних.
Так, порядок передбачає, що обробка персональних даних може здійснюватися в автоматизованій системі або у формі картотек.
При цьому, у разі якщо володілець бази персональних даних обробляє їх в автоматизованій системі, він зобов’язаний забезпечити захист системи від несанкціонованого доступу, а також антивірусний захист.
Працівники володільця бази можуть допускатися до обробки персональних даних лише після відповідної авторизації (авторизація — процедура отримання дозволу на проведення дій з обробки персональних даних). Доступ осіб, які не пройшли процедуру ідентифікації (розпізнавання користувача в системі), повинен блокуватись.
Володільці баз персональних даних можуть також вести реєстрацію дій, що здійснювалися в базі, результатів ідентифікації користувачів в системі, дій з обробки персональних даних тощо.
Реєстраційні дані повинні захищатися від модифікації та знищення. Крім того, реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу, наприклад, у випадку перевірки.
У разі якщо обробка персональних даних здійснюється у формі картотек, володілець бази зобов’язаний зберігати картотеки у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу. Двері у відповідні приміщення повинні бути обладнані замком або контролем доступу.
Порядок обробки персональних даних визначає також способи збирання, терміни зберігання та знищення відповідних баз персональних даних.
Так, до отримання згоди від суб’єкта персональних даних на їх збір володілець бази повинен поінформувати про мету обробки персональних даних.
При цьому володілець бази персональних даних може зберігати такі дані не довше, ніж це передбачала мета. Після цього персональні дані мають бути знищені у спосіб, який виключає подальшу можливість поновлення таких персональних даних.
На володільця (розпорядника) бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.