Виконання вимог законодавства щодо захисту...
DESCRIPTION
TRANSCRIPT
Юрій Гарасим,
куратор Студентського науково-технічного товариства
захисту інформації
Виконання вимог законодавства
щодо захисту персональних даних.
Веб-сайт організації
Мета впровадження Закону
Законодавство про захист персональних даних спрямоване
на забезпечення конституційного права кожного не
зазнавати втручання в його особисте і сімейне життя.
2
Окремі терміни та визначення
Володілець бази персональних даних – власник веб-
сайту.
Державна служба України з питань захисту
персональних даних (надалі Служба) – уповноважений
орган, який здійснює контроль за додержанням
законодавства у сфері захисту персональних даних.
Суб’єкт персональних даних – відвідувачі веб-сайту.
Професійний творчий працівник – особа, яка
здійснює творчу діяльність на професійній основі,
результатом якої є створення або інтерпретація творів у
сфері культури та мистецтва, публічно представляє такі
твори на виставках, шляхом публікації, сценічного
виконання, кіно-, теле-, відеопоказу тощо та/або є членом
творчої спілки, та/або має державні нагороди за діяльність у
сфері культури та мистецтва.
3
Хто не підпадає під сферу дії Закону?
• сайт-візитка;
• сайт, що містить лише інформаційні та рекламні
матеріали про саму організацію.
4
Хто змушений виконувати вимоги Закону?
• інтерактивний сайт, на якому відбувається збір
інформації про відвідувачів сайту, зокрема:
• спілкування з відвідувачами або забезпечення спілкування
відвідувачів сайту на форумі;
• отримання повідомлення електронною поштою;
• забезпечення розсилання листів та інформаційних повідомлень
за підпискою чи за запитами;
• збирання і публікування коментарів на веб-сайті, у тому числі в
блогах, що ведуться на сайті;
• тощо.
В цьому випадку необхідно забезпечити
дотримання вимог законодавства про захист
персональних даних.
5
Зміст Закону?
6
Ціль оброблення
Склад персональних даних
Процедури оброблення
Склад персональних даних в контексті
функціонування веб-сайту
7
• відомості, які ідентифікують відвідувачів веб-сайту:
• прізвище, ім’я та по батькові,
• місце проживання,
• телефонний номер,
• електрона адреса;
• відомості, які стосуються відвідувача та дають змогу
ідентифікувати його прямо чи опосередковано:
• псевдонім,
• логін та пароль,
• IP-адреса чи URL;
• листи, повідомлення;
• записи на форумах та коментарі у блогах відвідувачів.
Вимоги законодавства щодо оброблення
персональних даних
8
• оброблення персональних даних може здійснюватися
лише за згодою суб’єкта персональних даних для
конкретних і законних цілей або для здійснення
повноважень організації відповідно до закону;
• склад та зміст персональних даних мають бути
відповідними та не надмірними щодо визначеної мети їх
оброблення;
• персональні дані обробляються у формі, що допускає
ідентифікацію фізичної особи, якої вони стосуються, у
строк, не більший ніж це необхідно відповідно до їх
законного призначення;
• персональні дані мають бути точними, достовірними, у
разі необхідності – оновлюватися;
Вимоги законодавства щодо оброблення
персональних даних
9
• персональні дані повинні оброблятися з дотриманням прав
суб’єкта персональних даних, визначених Законом України
«Про захист персональних даних»;
• повинен бути забезпечений захист персональних даних
від незаконного оброблення, а також від незаконного
доступу до них;
• передавання персональних даних іноземним суб'єктам
відносин, пов'язаних із персональними даними,
здійснюється лише за умов забезпечення належного
захисту персональних даних, за наявності відповідного
дозволу та у випадках, встановлених законом або
міжнародним договором України, у порядку, встановленому
законодавством. Персональні дані не можуть
поширюватися з іншою метою, ніж та, з якою вони були
зібрані.
Відповідальність
10
За результатами контролю Служба може видавати
обов’язкові для виконання приписи про усунення
порушень законодавства в сфері захисту персональних
даних. Невиконання у визначений термін таких приписів,
інші порушення законодавства про захист персональних
даних тягне за собою накладання штрафу на
посадових осіб, громадян – суб’єктів підприємницької
діяльності.
З чого почати? Вступ
11
Починати варто з розуміння:
• хто є власником сайту;
• володільцем бази (баз) персональних даних в рамках якої (яких)
на сайті здійснюється оброблення персональних даних;
• які саме персональні дані обробляються на сайті та у який спосіб;
• для чого потрібна і для чого (з якою метою) використувуються такі
персональні дані;
• чи є user generated content (UGC), тобто контент, що генерується
відвідувачами персональними даними, чи це відомості, що
обробляються приватними особами/журналістами/творчими
працівниками. Часто UGC, контент, який згенерований
відвідувачами, відносять як до персональних даних, так і до тих
сфер, в до який законодавство про ПД не застосовується, це,
переважно «виключно для непрофесійних особистих і побутових
потреб.. журналістом.. , професійним творчим працівником…»
З чого почати?
12
• повідомити відвідувачів веб-сайту про мету оброблення персональних
даних на вашому веб-сайті та отримати згоду на оброблення їх
персональних даних для конкретних і законних сформульованих Вами
цілей;
• повідомити відвідувачів веб-сайту про те, хто є власником веб-сайту і
володільцем бази персональних даних, про найменування,
призначення та місцезнаходження бази персональних даних, про умови
надання доступу персональних даних та про інші права суб’єктів
персональних даних;
• повідомити відвідувачів веб-сайту про третіх осіб, яким передаються або
можуть передаватися їх персональні дані;
• повідомити відвідувачів веб-сайту про те, які відомості вони повинні
надати обов’язково, які відомості вони можуть надавати додатково, та
які відомості про відвідувачів збираються автоматично програмно-
технічними засобами веб-сайту;
З чого почати?
13
У випадку, якщо за допомогою веб-сайту, на підставі зібраних Вами
персональних даних відвідувачів веб-сайту, їм розсилаються рекламні
матеріали Ви, зокрема, повинні:
• повідомити відвідувачів веб-сайту про те, які їх персональні дані Ви
маєте намір використовувати для розсилання реклами;
• отримати згоду на розсилання відвідувачам веб-сайту рекламних
повідомлень та надати їм детальну інформацію про те, яким чином
відвідувачі веб-сайту в будь який час можуть відмовитись від
подальшого розсилання рекламних повідомлень;
• надавати повне ім’я, найменування, адресу надавача рекламної послуги.
Процедура надання згоди
14
Надання згоди шляхом встановлення ознаки щодо
підтвердження згоди на оброблення персональних даних у базі
персональних даних за допомогою управляючих елементів веб-
ресурсу доцільно здійснювати на основі документованих програмно-
технічних рішень, які, в свою чергу:
• не дають змоги оброблення персональних даних до того часу,
поки суб'єкт персональних даних не виконає дії, що
підтверджують надання ним відповідної згоди;
• забезпечують реєстрацію дій суб’єкта персональних даних та
цілісність протоколів реєстрації таких дій.
Процедура надання згоди
15
Захист персональних даних від незаконного оброблення та від
незаконного доступу до них на веб-сайті в мережі Інтернет
здійснюється відповідно до вимог закону. Може здійснюватися
реєстрація, зокрема, результатів ідентифікації та/або автентифікації
працівників, що забезпечують функціонування веб-сайту, дій з
оброблення персональних даних, результатів перевірки цілісності
засобів захисту персональних даних.
Такі реєстраційні дані повинні захищатися від модифікації та
знищення, зберігатися та використовуватися для аналізу в
необхідних випадках. Найпростіше реалізувати зазначені вище
вимоги з використанням технологій електронного цифрового
підпису.
Процедура надання згоди
16
Надання згоди шляхом встановлення ознаки «підтвердження
згоди на оброблення персональних даних у базі персональних
даних» за допомогою управляючих елементів веб-ресурсу доцільно
здійснювати на основі документованих програмно-технічних рішень,
які, в свою чергу:
• не дозволяють оброблення персональних даних до того часу,
поки суб'єкт персональних даних не виконає дії, що
підтверджують надання ним відповідної згоди;
• забезпечують реєстрацію дій суб’єкта персональних даних та
цілісність протоколів реєстрації таких дій.
Політика у сфері захисту персональних
даних
17
Політика оброблення персональних даних на сайті є
складовою частиною загальної політики оброблення
персональних даних організації, а отже повинна бути надалі
офіційно затверджена, а не написана працівником від свого
імені.
Можна захищатися від скарг громадян використовуючи
документовану процедуру, в межах якої, забезпечується
цілісність протоколів дій абонентів на сайті (суб’єкт, який
заходив на сайт з ІР … (провайдер доступу до Інтернет),
тоді-то, ознайомившись з тим-то … вчинив добровільне
волевиявлення…) *див.ст.205 ЦК, яке було його згодою на…)
Реєстрація баз персональних даних
18
Сукупність персональних даних, що обробляються на веб-сайті
можуть розглядатися як окрема база персональних даних або як
частина іншої бази персональних даних в залежності від того, яким
чином у документах, які регулюють діяльність володільця бази
персональних даних визначено мету оброблення персональних
даних, склад персональних даних та процедури оброблення
персональних даних у базах персональних даних.
Бази персональних даних підлягають державній реєстрації
в порядку встановленому законодавством.
Висновки
19
1. Правила оброблення персональних даних на веб-сайті повинні бути
простими для розуміння та повними. Відвідувачі повинні мати просту
можливість ознайомитися з цими правилами.
2. Доцільно збирати лише мінімально необхідний склад персональних
даних відвідувачів веб-сайту, дійсно необхідних для надання їм
визначених Вами послуг. На простих веб-сайтах, які призначені лише
для перегляду, відомості про осіб, які ідентифіковані та можуть бути
ідентифіковані збирати не доцільно.
3. Персональні дані відвідувачів сайту, не повинні використовуватися для
надсилання їм рекламних повідомлень без згоди відвідувачів.
Персональні дані відвідувачів сайту, не повинні передаватися будь-кому
без згоди відвідувачів сайту. Без такої згоди персональні дані можуть
передаватися виключно у випадках, визначених законом і лише в
інтересах національної безпеки, економічного добробуту та прав
людини.
За матеріалами ЗУ «Про захист персональних даних» та http://astol.com.ua
Дякую за увагу
20