Стаття 30. Прикінцеві положення

1. Цей Закон набирає чинності з 1 січня 2011 року.

2. Кабінету Міністрів України протягом шести місяців з дня набрання чинності цим Законом:

забезпечити прийняття нормативно-правових актів, передбачених цим Законом;

забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом.

 

18. Заява про реєстрацію бази персональних даних. Форма. Зміст. Порядок подання (ПКМ 616).

1. Державний реєстр баз персональних даних (далі - Реєстр) як
єдина державна інформаційна система збору, накопичення та обробки
відомостей про зареєстровані бази персональних даних ведеться з
метою реалізації державної політики у сфері захисту персональних
даних.
2. Держателем Реєстру є ДСЗПД, яка забезпечує його створення
та ведення.
3. Адміністратором Реєстру є державне підприємство
"Інформаційний центр" Мін'юсту, що забезпечує технічне і
технологічне створення та супроводження програмного забезпечення
Реєстру, надання реєстраторам доступу до нього, збереження і
захист даних, що містяться у Реєстрі.
4. Реєстр ведеться державною мовою.
5. ДСЗПД здійснює реєстрацію баз персональних даних, а також
вносить зміни до відомостей, що містяться в Реєстрі, про
зареєстровану базу персональних даних на підставі заяви, поданої
володільцем такої бази або уповноваженою ним особою (далі -
заявник).
6. Заява подається щодо кожної бази даних, яка перебуває у
володінні заявника, за формою та у порядку, що затверджуються
Мін'юстом.
7. Заява повинна містити:
звернення про внесення бази персональних даних до Реєстру;
інформацію про володільця бази персональних даних:
- найменування, резидент/нерезидент, код платника податків
згідно з ЄДРПОУ або податковий номер (для резидента),
місцезнаходження - для юридичних осіб;
- прізвище, ім'я та по батькові (за наявності), громадянство,
номер, серія паспорта та орган, що його видав, а також для
громадян України реєстраційний номер облікової картки платника
податків (не подається фізичними особами, які через свої релігійні
переконання відмовилися від присвоєння реєстраційного номера
облікової картки платника податків та офіційно повідомили про це
відповідним органам державної влади, що підтверджується відміткою
в паспорті), місце проживання - для фізичних осіб;
інформацію про найменування і місцезнаходження бази
персональних даних:
- адреса фактичного розміщення - для баз даних у формі
картотек;
- фактичні адреси зберігання носіїв інформації - для баз
даних в електронній формі;
інформацію про мету обробки персональних даних у базі
персональних даних з посиланням на нормативно-правові акти,
положення, установчі чи інші документи, які регулюють діяльність
володільця бази персональних даних, у тому числі про їх категорії
та правові підстави такої обробки;
інформацію про інших розпорядників баз персональних даних:
- найменування, резидент/нерезидент, код платника податків
згідно з ЄДРПОУ або податковий номер (для резидента),
місцезнаходження - для юридичних осіб;
- прізвище, ім'я та по батькові (за наявності), громадянство,
номер, серія паспорта та орган, що його видав, а також для
громадян України реєстраційний номер облікової картки платника
податків (не подається фізичними особами, які через свої релігійні
переконання відмовилися від присвоєння реєстраційного номера
облікової картки платника податків та офіційно повідомили про це
відповідним органам державної влади, що підтверджується відміткою
в паспорті), місце проживання - для фізичних осіб;
документ, що підтверджує зобов'язання стосовно виконання
вимог законодавства щодо захисту персональних даних.
8. ДСЗПД у зв'язку з отриманням заяви вносить до Реєстру такі
відомості:
інформація про заявника;
найменування бази персональних даних;
дата реєстрації заявником та вихідний номер (за наявності)
заяви.
9. Після внесення до Реєстру відомостей про заяву їй
автоматично (з використанням програмного забезпечення Реєстру)
присвоюється реєстраційний номер. При цьому фіксуються дата і час
реєстрації заяви.
10. ДСЗПД повідомляє заявникові не пізніше наступного
робочого дня з дня надходження заяви про її отримання. У
повідомленні зазначаються дата та реєстраційний номер запису про
заяву у Реєстрі, а також дата звернення за отриманням свідоцтва чи
повідомлення про відмову в реєстрації.
11. ДСЗПД приймає протягом 10 робочих днів з дня надходження
відповідної заяви рішення про реєстрацію бази персональних даних
шляхом видання її володільцю свідоцтва про державну реєстрацію
бази персональних даних чи повідомлення про відмову в реєстрації,
про що вносить запис до Реєстру.
12. Запис у Реєстрі про базу персональних даних містить такі
відомості:
інформація, передбачена у пункті 7 цього Положення;
реєстраційний номер запису в Реєстрі;
дата та час здійснення запису (змін до нього) в Реєстрі;
прізвище, ім'я та по батькові реєстратора, який здійснив
запис (зміни до нього);
відомості про видане свідоцтво про державну реєстрацію;
відомості про внесення змін.
13. ДСЗПД відмовляє у реєстрації бази персональних даних у
разі, коли подані відповідно до пункту 7 цього Положення
відомості, є неповними чи недостовірними.
14. ДСЗПД надає інформацію з Реєстру, у тому числі витяги з
нього, за запитом будь-якої фізичної чи юридичної особи відповідно
до законодавства про захист персональних даних, про звернення
громадян та про доступ до публічної інформації.
15. Органи державної влади, органи місцевого самоврядування,
державні підприємства, установи, організації, інші юридичні і
фізичні особи отримують доступ до відомостей Реєстру через
веб-сайт, який ведеться адміністратором Реєстру, шляхом пошуку та
перегляду такої інформації про базу персональних даних:
найменування бази персональних даних;
відомості про володільця бази персональних даних:
- найменування, місцезнаходження, код платника податків
згідно з ЄДРПОУ або податковий номер (для резидента) - для
юридичних осіб;
- прізвище, ім'я та по батькові (за наявності) - для фізичних
осіб;
мета обробки персональних даних;
реєстраційний номер запису про базу персональних даних у
Реєстрі.
16. Пошук інформації про базу персональних даних через
веб-сайт здійснюється за будь-якими з таких відомостей:
реєстраційний номер запису про базу персональних даних у
Реєстрі;
найменування юридичної особи - володільця бази персональних
даних та код платника податків згідно з ЄДРПОУ;
прізвище, ім'я та по батькові (за наявності) фізичної особи -
володільця бази персональних даних та реєстраційний номер
облікової картки платника податків.

 

19. Типовий порядок обробки персональних даних у базах персональних даних. Загальні положення щодо організації обробки персональних даних на підприємстві (Наказ Міністерства юстиції України 30.12.2011 № 3659/5).

І. Загальні положення

1.1 Цей Типовий порядок розроблено на виконання вимог частини десятої статті 6 Закону України «Про захист персональних даних» (далі – Закон).

1.2 Цей Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних.

1.3 Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.

1.4 У цьому Типовому порядку терміни вживаються у такому значенні:

автентифікація – процедура встановлення належності працівникові володільця або розпорядника бази персональних даних пред’явленого ним ідентифікатора;

авторизація – процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;

відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов’язків покладена організація роботи, пов’язаної із захистом персональних даних при їх обробці;

ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;

структурний підрозділ – структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов’язків на підставі положення про нього здійснює організацію роботи, пов’язаної із захистом персональних даних при їх обробці.

Інші терміни у цьому Типовому порядку вживаються у значеннях, наведених у Законі.

1.5. Захист персональних даних покладається на володільця бази персональних даних.

Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з володільцем бази персональних даних договору у письмовій формі з метою і в обсязі, визначеними в договорі.

На дії володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

1.6. Володілець або розпорядник бази персональних даних надає суб’єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб’єкта персональних даних.

1.7. Володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

1.8. Володілець бази персональних даних визначає:

мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;

порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;

відповідальну особу або структурний підрозділ;

порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.

1.9. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:

забезпечує ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків;

забезпечує організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов’язків в обсязі, необхідному для виконання таких обов’язків;

організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних;

забезпечує доступ суб’єктів персональних даних до власних персональних даних;

інформує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;

інформує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.

1.10. Володілець бази персональних даних веде облік:

фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;

спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

1.11. Володілець бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов’язків.

1.12. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

 

20. Типовий порядок обробки персональних даних у базах персональних даних. Загальні положення щодо організації обробки персональних даних у картотеках та автоматизованих системах (Наказ Міністерства юстиції України 30.12.2011 № 3659/5).