РЕГИСТРИРУЕМ БАЗУ ПЕРСОНАЛЬНЫХ ДАННЫХ
АЛГОРИТМ ДЕЙСТВИЙ
Шаг 1.
|
Определиться, обрабатывает компания персональные данные (далее - ПД) или нет
Каждый работодатель в Украине является владельцем как минимум одной базы ПД - это база персональных данных сотрудников. Но в зависимости от рода деятельности компания может быть владельцем и других баз данных: клиентов, контрагентов и т. д.
|
Шаг 2.
|
Определить цели обработки и количество баз
Не исключено, что информация о лицах может использоваться в будущем для разных целей, поэтому рекомендуем максимально широко подойти к данному вопросу. Лицо, ПД которого будут обрабатываться, дает свое согласие на обработку данных в соответствии с конкретной целью и если в будущем такая цель изменится - необходимо будет получить новое согласие (ч. 1 ст. 6 Закона).
Количество баз ПД зависит от особенностей организации бизнес-процессов и является индивидуальным для каждой компании.
|
Шаг 3.
|
Разработать внутренние документы о порядке обработки ПД
Документ, который бы полностью регламентировал порядок обработки и защиты ПД в компании, целесообразно утвердить отдельным приказом директора. Им может стать локальный Порядок обработки и защиты персональных данных, с которым необходимо ознакомить сотрудников, чья работа непосредственно связана с обработкой ПД.
|
Шаг 4.
|
Получить согласие субъекта ПД
Получение согласия является одним из наиболее важных моментов процесса регистрации базы. Наряду с внутренними документами будет правильным также утвердить текст согласия лица на обработку его ПД. Кроме того, следует разработать уведомление, содержащее информацию о правах субъекта ПД, цели обработки данных и лицах, которым передаются ПД. С целью экономии времени, возможно, вручать такую памятку субъекту ПД следует сразу после их сбора, то есть до того, как данные фактически поступят в базу.
|
Шаг 5.
|
Определить ответственное лицо
Закон требует, чтобы работу, связанную с защитой ПД при их обработке, организовывало должностное лицо или структурное подразделение. Назначение ответственного лица целесообразно определить в специальном внутреннем.
На этом этапе полезен независимый аудит компанией, специализирующейся на технической защите информации. Это позволит создать систему защиты от утечки ПД и возможности их неправомерного использования. Кроме того, это отличная возможность получить подтверждение надлежащего уровня защищенности систем, что, как показывает европейская практика, может повлиять на определение размера санкций в случае их наложения компетентным органом.
|
Шаг 6.
|
Подать заявление о регистрации базы ПД
На каждую базу ПД нужно заполнить и подать в Государственную службу по вопросам защиты персональных данных (далее - Служба) отдельное заявление.
Допускается две формы подачи заявления: бумажная (желательно с предоставлением электронной копии) и электронная, отвечающая требованиям законов Украины "Об электронных документах и электронном документообороте" и "Об электронной цифровой подписи".
|
Шаг 7.
|
Регистрация базы ПД
Эта процедура осуществляется бесплатно и является обязанностью Службы.
На протяжении 10 рабочих дней со дня поступления заявления Службой принимается решение о регистрации базы ПД или отказе в таковой. Частая причина отказа в регистрации - ненадлежащим образом заполненное заявление.
На каждую базу ПД компания получает свидетельство о государственной регистрации такой базы.
|
|
|