Мін’юст затвердив Типовий порядок обробки персональних даних у базах персональних даних. Незважаючи на значно менший обсяг, ніж був викладений на обговорення на сайті Державної служби захисту персональних даних, все ж таки є кілька моментів, які варто врахувати при створенні відповідного Порядку обробки персональних даних на підприємствах — володільцях чи розпорядниках баз персональних даних.
Затверджений Типовий порядок:
1) встановлює загальні вимоги до організаційних і технічних заходів захисту персональних даних під час їх обробки у базах;
2) стосується обробки персональних даних в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
Отже, які саме дії володільця чи розпорядника бази даних вимагає вчинити Типовий порядок:
1) визначити мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
2) встановити порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
3) призначити відповідальну особу або структурний підрозділ;
4) визначити порядок захисту персональних даних, у т. ч. від незаконної обробки та незаконного доступу до них;
5) вести облік фактів надання та позбавлення працівників права доступу до персональних даних і їх обробки, а також спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних;
6) вживати заходів щодо знищення персональних даних у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
Крім того, Типовим порядком визначено особливі вимоги щодо обробки персональних даних в автоматизованих системах та у формі картотек, зокрема вимоги щодо авторизації та антивірусного захисту автоматизованих систем, вимоги щодо приміщень та їх захисту від несанкціонованого доступу — для баз персональних даних у формі картотек.
Але, на нашу думку, при визначенні порядку обробки персональних даних варто врахувати і такі моменти, наявність яких вимагається іншими нормативними актами.
1. Місцезнаходження бази персональних даних та порядок дій у разі зміни місцезнаходження та внесення змін до відомостей, що містяться у Реєстрі.
2. Умови розкриття інформації про персональні дані третім особам, зокрема визначити вимоги щодо змісту запиту на доступ до персональних даних, строків його обробки та підстав для відмови у задоволенні запиту.
3. Права суб’єкта персональних даних та порядок доступу до даних про нього.
4. Застереження та умови поширення персональних даних — зокрема, це може стосуватися учасників фондового ринку (процедур здійснення операцій із ЦП, випущеними у бездокументарній формі, та знерухомленими ЦП).
Див. також:
«Типовой порядок обработки персональных данных вступает сегодня в силу»
«Минюст утвердил Типовой порядок обработки персональных данных»