РЕГИСТРИРУЕМ БАЗУ ПЕРСОНАЛЬНЫХ ДАННЫХ

АЛГОРИТМ ДЕЙСТВИЙ

Шаг 1.

Определиться, обрабатывает компания персональные данные (далее - ПД) или нет

Каждый работодатель в Украине является владельцем как минимум одной базы ПД - это база персональных данных сотрудников. Но в зависимости от рода деятельности компания может быть владельцем и других баз данных: клиентов, контрагентов и т. д.

Шаг 2.

Определить цели обработки и количество баз

Не исключено, что информация о лицах может использоваться в будущем для разных целей, поэтому рекомендуем максимально широко подойти к данному вопросу. Лицо, ПД которого будут обрабатываться, дает свое согласие на обработку данных в соответствии с конкретной целью и если в будущем такая цель изменится - необходимо будет получить новое согласие (ч. 1 ст. 6 Закона).

Количество баз ПД зависит от особенностей организации бизнес-процессов и является индивидуальным для каждой компании.

Шаг 3.

Разработать внутренние документы о порядке обработки ПД

Документ, который бы полностью регламентировал порядок обработки и защиты ПД в компании, целесообразно утвердить отдельным приказом директора. Им может стать локальный Порядок обработки и защиты персональных данных, с которым необходимо ознакомить сотрудников, чья работа непосредственно связана с обработкой ПД.

Шаг 4.

Получить согласие субъекта ПД

Получение согласия является одним из наиболее важных моментов процесса регистрации базы. Наряду с внутренними документами будет правильным также утвердить текст согласия лица на обработку его ПД. Кроме того, следует разработать уведомление, содержащее информацию о правах субъекта ПД, цели обработки данных и лицах, которым передаются ПД. С целью экономии времени, возможно, вручать такую памятку субъекту ПД следует сразу после их сбора, то есть до того, как данные фактически поступят в базу.

Шаг 5.

Определить ответственное лицо

Закон требует, чтобы работу, связанную с защитой ПД при их обработке, организовывало должностное лицо или структурное подразделение. Назначение ответственного лица целесообразно определить в специальном внутреннем.

На этом этапе полезен независимый аудит компанией, специализирующейся на технической защите информации. Это позволит создать систему защиты от утечки ПД и возможности их неправомерного использования. Кроме того, это отличная возможность получить подтверждение надлежащего уровня защищенности систем, что, как показывает европейская практика, может повлиять на определение размера санкций в случае их наложения компетентным органом.

Шаг 6.

Подать заявление о регистрации базы ПД

На каждую базу ПД нужно заполнить и подать в Государственную службу по вопросам защиты персональных данных (далее - Служба) отдельное заявление. 

Допускается две формы подачи заявления: бумажная (желательно с предоставлением электронной копии) и электронная, отвечающая требованиям законов Украины "Об электронных документах и электронном документообороте" и "Об электронной цифровой подписи".

Шаг 7.

Регистрация базы ПД

Эта процедура осуществляется бесплатно и является обязанностью Службы.

На протяжении 10 рабочих дней со дня поступления заявления Службой принимается решение о регистрации базы ПД или отказе в таковой. Частая причина отказа в регистрации - ненадлежащим образом заполненное заявление.

На каждую базу ПД компания получает свидетельство о государственной регистрации такой базы.