Вступил в силу Типовой порядок обработки персональных данных

20 января вступил в силу Типовой порядок обработки персональных данных в базах персональных данных, утвержденный приказом Минюста №3659/5 от 30.12.2011 г.

Порядок устанавливает общие требования к организационным и техническим мероприятиям по защите персональных данных при их обработке владельцами и распорядителями в базах персональных данных, которая может осуществляться полностью или частично в автоматизированной системе или в форме картотек.

Если владелец базы персональных данных обрабатывает их в автоматизированной системе – он обязан обеспечить защиту базы от несанкционированного доступа, а также обеспечить антивирусную защиту системы.

Если обработка персональных данных осуществляется в форме картотек – владелец базы обязан хранить картотеки в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.

МИНИСТЕРСТВО ЮСТИЦИИ УКРАИНЫ

ПРИКАЗ

Зарегистрировано в Министерстве юстиции Украины
3 января в 2012 г. за N 1/20314

Об утверждении Типового порядка обработки персональных данных в базах персональных данных

В соответствии с частью десятой статьи 6 Закона Украины «О защите персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить Типовой порядок обработки персональных данных в базах персональных данных, который прилагается.

2. Департаменту взаимодействия с органами власти (Зеркаль О.В.) подать этот приказ на государственную регистрацию в соответствии с Указом Президента Украины от 03.10.92 N 493 «О государственной регистрации нормативно-правовых актов министерств и других органов исполнительной власти» (с изменениями).

3. Контроль за выполнением этого приказа оставляю за собой.

4. Этот приказ вступает в силу со дня его официального опубликования.

УТВЕРЖДЕНО
Приказ Министерства юстиции Украины
30.12.2011 N 3659/5

Зарегистрировано
в Министерстве юстиции Украины
3 января в 2012 г. за N 1/20314

Типовой порядок
обработки персональных данных в базах персональных данных

I. Общие положения

1.1. Этот Типовой порядок разработан во исполнение требований части десятой статьи 6 Закона Украины «О защите персональных данных» (далее – Закон).

1.2. Этот Типовой порядок устанавливает общие требования к организационным и техническим мероприятиям по защите персональных данных во время их обработки в базах персональных данных владельцами и распорядителями баз персональных данных.

1.3. Обработка персональных данных может осуществляться полностью или частично в информационной (автоматизированной) системе и/или в форме картотек персональных данных.

1.4. В этом Типовом порядке термины употребляются в таком значении:

• аутентификация – процедура установления принадлежности работнику владельца или распорядителя базы персональных данных предъявленного им идентификатора;
• авторизация – процедура получения разрешения на проведение действий по обработке персональных данных в базе персональных данных в составе информационной (автоматизированной) системы;
• ответственное лицо – лицо, на которого владельцем или распорядителем базы персональных данных в соответствии с его служебными, трудовыми, профессиональными обязанностями возложена организация работы, связанной с защитой персональных данных при их обработке;
• идентификация – процедура распознавания пользователя в системе, как правило, с помощью заранее определенного имени (идентификатора) или другой информации о нем, которая воспринимается информационной (автоматизированной) системой;
• структурное подразделение – структурная единица, которая функционирует в составе владельца или распорядителя персональных данных и в соответствии с его правами и обязанностями на основании положения о нем осуществляет организацию работы, связанной с защитой персональных данных при их обработке.

Другие термины в этом Типовом порядке употребляются в значениях, приведенных в Законе.

1.5. Защита персональных данных возлагается на владельца базы персональных данных.

Распорядитель базы персональных данных производит обработку персональных данных в соответствии с законом или на основании заключенного с владельцем базы персональных данных договора в письменной форме с целью и в объеме, определенными в договоре.

На действия владельца и/или распорядителя базы персональных данных распространяются все требования относительно защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним.

1.6. Владелец или распорядитель базы персональных данных предоставляет субъекту персональных данных информацию о цели обработки персональных данных до момента получения согласия от субъекта персональных данных.

1.7. Владелец базы персональных данных хранит персональные данные не дольше, чем это необходимо в соответствии с целью их обработки, если другое не предусмотрено законодательством.

1.8. Владелец базы персональных данных определяет:

• цель обработки, состав персональных данных в базе персональных данных и ее местонахождение;
• порядок внесения, изменения, возобновления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных;
• ответственное лицо или структурное подразделение;
• порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.

1.9. Ответственное лицо или структурное подразделение в соответствии с возложенными заданиями:

• обеспечивает ознакомление работников владельца и распорядителя базы персональных данных с требованиями законодательства о защите персональных данных, в частности относительно их обязанности не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали им известны в связи с выполнением профессиональных, служебных или трудовых обязанностей;
• обеспечивает организацию обработки персональных данных работниками владельца и распорядителя базы персональных данных в соответствии с их профессиональными, служебными или трудовыми обязанностями в объеме, необходимом для выполнения таких обязанностей;
• организует работу по обработке запросов относительно доступа к персональным данным субъектам отношений, связанных с обработкой персональных данных;
• обеспечивает доступ субъектов персональных данных к собственным персональным данным;
• информирует руководителя владельца и распорядителя базы персональных данных о мероприятиях, которые необходимо провести для приведения состава персональных данных и процедур их обработки в соответствие с законом;
• информирует руководителя владельца и распорядителя базы персональных данных о нарушении установленных процедур по обработке персональных данных.

1.10. Владелец базы персональных данных ведет учет:

• фактов предоставления и лишения работников права доступа к персональным данным и их обработке;
• попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.

1.11. Владелец базы персональных данных может разграничить режимы доступа работников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.

1.12. Уничтожение персональных данных осуществляется способом, исключающим дальнейшую возможность возобновления таких персональных данных.

II. Обработка персональных данных в составе информационной (автоматизированной) системы

2.1. Владелец базы персональных данных обрабатывает персональные данные в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных в соответствии с требованиями закона.

2.2. Обработка персональных данных в информационной (автоматизированной) системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа во время обработки персональных данных.

2.3. Работники владельца базы персональных данных допускаются к обработке персональных данных лишь после их авторизации.

2.4. Доступ лиц, которые не прошли процедуру идентификации и/или аутентификации, должен блокироваться.

2.5. В информационной (автоматизированной) системе, где обрабатываются персональные данные, может осуществляться регистрация, в частности:

• результатов идентификации и/или аутентификации работников владельца базы персональных данных;
• действий по обработке персональных данных;
• факта установки признака «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных» с помощью управляющих элементов веб-ресурсов владельца или распорядителя базы персональных данных, интерфейсов пользователя программного обеспечения;
• результатов проверки целостности средств защиты персональных данных.

Ответственное лицо и/или структурное подразделение может проводить анализ регистрационных данных.

Регистрационные данные защищаются от модификации и уничтожения.

Регистрационные данные должны храниться и предоставляться по мотивируемому требованию для анализа субъектам отношений, связанным с персональными данными.

2.6. Владелец базы персональных данных обеспечивает антивирусную защиту в информационной (автоматизированной) системе.

2.7. Владелец базы персональных данных обеспечивает использование технических средств бесперебойного питания элементов информационной (автоматизированной) системы.

III. Обработка персональных данных в форме картотек

3.1. Владелец базы персональных данных производит обработку персональных данных в картотеках в порядке, определенном Законом и разделом I данного Типового порядка, с учетом таких требований:

• документы, которые содержат персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
• дела с документами, которые содержат персональные данные, должны иметь внутренние описания документов с указанием цели обработки и категории персональных данных;
• картотеки хранятся в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.

3.2. Двери в помещениях (шкафах, сейфах) должны быть оборудованы замком или контролем доступа.

 
PS: Приказ опубликован 20.01.2012 в издании «Офіційний вісник України» 2012 №3.