Page 1

ДЕРЖАВНА СЛУЖБА УКРАЇНИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ Україна, 02660, м. Київ, вул. Марини Раскової, 15, тел. /факс: +380 44 517-68-00 E-mail: info@zpd.gov.ua http://www.zpd.gov.ua

Щодо окремих питань пов 'язаних з обробкою персональних даних Державна служба України з питань захисту персональних даних (далі ДСЗПД України) на лист стосовно питань пов'язаних із автоматизованою обробкою персональних даних інформує про таке. Дії осіб, пов'язаних з персональними даними, що здійснюються з 01.01.2011, зокрема дії стосовно збирання, поширення, зберігання, знищення відомостей про фізичних осіб, зокрема, і з використанням веб-ресурсів повинні узгоджуватися з нормами Закону України «Про захист персональних даних» (далі - Закон). Загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки в складі інформаційної (автоматизованої) системи встановлені II розділом Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованого в Міністерстві юстиції України 03.01.2012 за № 1/20314 (далі - Типовий порядок). Відомості, які особа надає про себе відповідно до частини четвертої статті 6 Закону, є персональними даними. За певних умов фізична особа, яка надає інформацію про себе може бути ідентифікована. Відповідно до міжнародних стандартів термін «персональні дані» повинен охоплювати всю інформацію про фізичну особу, яка ідентифікована або може бути ідентифікована у будь-який можливий спосіб. Для визначення факту ідентифікації особи необхідно враховувати всі можливі засоби для ідентифікації вказаної особи. У момент збору персональних даних або у випадках, передбачених пунктами 2 - 5 частини першої статті 11 цього Закону, протягом десяти робочих днів з дня збору персональних даних суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані (частина другв статті 12).


2

Разом з цим, володілець або розпорядник бази персональних даних надає суб'єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб'єкта персональних даних (пункт 1.6 Типового порядку). При цьому слід враховувати, що згода суб'єкта персональних даних добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання. Повідомлення клієнтів, як суб'єктів персональних даних, про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені цим Законом, мету збору даних та осіб, яким передаються їх персональні дані (вимоги частини другої статті 12 Закону), може здійснюватися до початку обробки персональних даних за допомогою управляючих елементів веб-ресурсів володільця персональних даних, зокрема шляхом пропозиції укласти договір та ознайомлення з його умовами. Стверджувальна відповідь на застереження щодо точності і достовірності персональних даних шляхом проставлення відповідних відміток на веб-сайті може вважатися підтвердженням точності і достовірності наданих відомостей. Надання згоди на обробку персональних даних здійснюється відповідно до сформульованої мети їх обробки у письмовій формі або у формі, що дає змогу зробити висновок про її надання. Практика встановлення процедур отримання згоди суб'єкта персональних даних на обробку персональних даних володільцями баз персональних даних дає змогу визначити такі типові форми надання згоди: документ у паперовій або електронній формі з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб'єкта персональних даних засвідчується його власним підписом або його електронним цифровим підписом; ознаку «Підтвердження надання згоди на обробку персональних даних у базі персональних даних» за допомогою управляючих елементів веб-ресурсів володільця та/або розпорядника баз персональних даних, інтерфейсів користувача програмного забезпечення; відмітку на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмнотехнічних рішень, які, в свою чергу: не дозволяють обробку персональних даних до того часу, поки суб'єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди; забезпечують реєстрацію дій суб'єкта персональних даних та цілісність протоколів реєстрації таких дій. Рекомендуємо звернути увагу на важливість забезпечення цілісності відомостей про факти надання згод. Слід зазначити, що використання механізмів цифрового підпису дозволяє не лише підтверджувати цілість відомостей


з реєстрації, а й надати статус документа зафіксованим відомостям про отримані згоди. Варто відзначити, що підприємство самостійно визначає спосіб підтвердження надання згоди в залежності від існуючих ризиків та можливостей підприємства щодо використання наявних документованих програмно-технічних рішень. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних у базі персональних даних» за допомогою управляючих елементів веб-ресурсів володільця бази персональних даних, інтерфейсів користувача програмного забезпечення. Відповідно до частини другої статті 8 Закону суб'єкт персональних даних має право знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних. Отже, на виконання зазначених вимог, є необхідним розміщення на вебсайті умов використання даних про відвідувачів сайту (файли cookie, ір-адреси, параметри та налаштування інтернет-браузерів), згода з якими є обов'язковою при реєстрації відвідувачів сайту.

Голова

Ситник О .А. 5410122

О.І.Мервінський

13 06 2013 щодо автоматизованої обробки пд