Embed Size (px)
DESCRIPTION
Ігор Розкладай, юрист Інституту Медіа Права
Citation preview
Захист персональних даних: український аспект
Ігор Розкладай, Інститут Медіа Права
Personal data protection: Ukrainian aspect
Igor Rozkładaj,Media Law Institute
Регулювання: базові НПА Закон України «Про ратифікацію Конвенції про захист прав людини і
основоположних свобод 1950 року, Першого протоколу та протоколів № 2, 4, 7 та 11 до Конвенції» (1997)
Закон України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» (01.01.2011)
Конституція України (1996)
Закон України «Про інформацію» (09.05.2011)
Закон України «Про доступ до публічної інформації» (09.05.2011)
Закон України «Про захист персональних даних» (01.01.2011)
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» (1994/2005)
ЄКПЛСтаття 8Стаття 8
Право на повагу до приватного і сімейного життя Право на повагу до приватного і сімейного життя
1. Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.1. Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.
2. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання 2. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров'я чи моралі або для захисту прав і свобод інших осіб. захисту здоров'я чи моралі або для захисту прав і свобод інших осіб.
Стаття 10Стаття 10
Свобода вираження поглядів Свобода вираження поглядів
1. Кожен має право на свободу вираження поглядів. Це право включає свободу дотримуватися своїх поглядів, 1. Кожен має право на свободу вираження поглядів. Це право включає свободу дотримуватися своїх поглядів, одержувати і передавати інформацію та ідеї без втручання органів державної влади і незалежно від кордонів. Ця одержувати і передавати інформацію та ідеї без втручання органів державної влади і незалежно від кордонів. Ця стаття не перешкоджає державам вимагати ліцензування діяльності радіомовних, телевізійних або стаття не перешкоджає державам вимагати ліцензування діяльності радіомовних, телевізійних або кінематографічних підприємств.кінематографічних підприємств.
2. Здійснення цих свобод, оскільки воно пов'язане з обов'язками і відповідальністю, може підлягати таким 2. Здійснення цих свобод, оскільки воно пов'язане з обов'язками і відповідальністю, може підлягати таким формальностям, умовам, обмеженням або санкціям, що встановлені законом і є необхідними в демократичному формальностям, умовам, обмеженням або санкціям, що встановлені законом і є необхідними в демократичному суспільстві в інтересах національної безпеки, територіальної цілісності або громадської безпеки, для суспільстві в інтересах національної безпеки, територіальної цілісності або громадської безпеки, для запобігання заворушенням чи злочинам, для охорони здоров'я чи моралі, для захисту репутації чи прав інших запобігання заворушенням чи злочинам, для охорони здоров'я чи моралі, для захисту репутації чи прав інших осіб, для запобігання розголошенню конфіденційної інформації або для підтримання авторитету і безсторонності осіб, для запобігання розголошенню конфіденційної інформації або для підтримання авторитету і безсторонності суду. суду.
Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних
Предмет і метаПредмет і мета
Метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, Метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканість приватного життя, у зв’язку з основоположних свобод, зокрема її права на недоторканість приватного життя, у зв’язку з автоматизованою обробкою персональних даних, що її стосуються (далі – захист даних).автоматизованою обробкою персональних даних, що її стосуються (далі – захист даних).
Конституція УкраїниСтаття 31.Стаття 31. Кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої Кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з'ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо.
Стаття 32Стаття 32. Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, . Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. передбачених Конституцією України.
Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею.
Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.
Конституція України
Стаття 34. Кожному гарантується право на свободу думки і слова, на вільне вираження своїх поглядів і переконань.
Кожен має право вільно збирати, зберігати, використовуватиі поширювати інформацію усно, письмово або в інший спосіб - насвій вибір.
Здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту для захисту репутації або прав інших людей, для запобігання прав інших людей, для запобігання розголошенню інформації, одержано їконфіденційно, розголошенню інформації, одержано їконфіденційно, або для підтримання авторитету і неупередженості правосуддя.
Закон про інформацію (2011)Стаття 6. Гарантії права на інформацію
1. Право на інформацію забезпечується:
(…)
здійсненням державного і громадського контролю за додержанням законодавства про інформацію;
встановленням відповідальності за порушення законодавства про інформацію.
2. Право на інформацію може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку, з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення,для захисту репутації або прав іншихл юдей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя.
Стаття 7. Охорона права на інформацію
2. (…) Суб'єкт інформаційних відносин може вимагати усунення будь-яких порушень його права на інформацію.
Закон про інформацію (2011)Стаття 11. Інформація про фізичну особу
1. Інформація про фізичну особу (персональні дані) - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
2. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. також адреса, дата і місце народження.
Кожному забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законом.
Закон про доступ до публічної інформації (2011)
Стаття 1. Публічна інформація
1. Публічна інформація - це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, що була отримана або створена в процесі виконання суб'єктами владних повноважень своїх обов'язків, передбачених чинним законодавством, або яка знаходиться у володінні суб'єктів владних повноважень, інших розпорядників публічної інформації, визначених цим Законом.
2. Публічна інформація є відкритою, крім випадків, встановлених законом. 2. Публічна інформація є відкритою, крім випадків, встановлених законом.
Закон про доступ до публічної інформації (2011)
Трискладовийтест
Публічні особи
Стаття 6. Публічна інформація з обмеженим доступом
2. Обмеження доступу до інформації здійснюється відповідно до закону при дотриманні сукупності таких вимог:
1) виключно в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання для запобігання розголошенню інформації, одержаної конфіденційнорозголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя;
2) розголошення інформації може завдати істотної шкоди цим інтересам;
3) шкода від оприлюднення такої інформації переважає суспільний інтерес в її отриманні.
6. Не належать до інформації з обмеженим доступом декларації про доходи осіб та членів їхніх сімей, які:
1) претендують на зайняття чи займають виборну посаду в органах влади;
2) обіймають посаду державного службовця, службовця органу місцевого самоврядування першої або другої категорії.
Закон про інформацію (2011)
Закон про доступ до публічної інформації (2011)
Закон про захист персональних даних (2011)
Загальний
Загальний Спеціальний
Спеціальний
Загальні vs. спеціальні
Персональні дані
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
Об'єкт регулювання
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeliwymagałoby to nadmiernych kosztów, czasu lub działań.
Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i
trybie określonym ustawą.
a) термін «персональні дані» означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі – суб’єкт даних);
закони
Конвенція
Польща
Персональні дані
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
Об'єкт регулювання
До конфіденційної інформації про фізичну особу належать, зокрема, До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. переконання, стан здоров'я, а також адреса, дата і місце народження.
ст.11 закону про інформацію (2011)
Предмет регулювання
Обробка персональних даних
Автоматизована система
ІС/АС + картотека
Автоматизована системаІнформаційна (автоматизована)
система ПД Картотека ПД
Стаття 1. Сфера дії Закону Стаття 1. Сфера дії Закону
Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки. Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки.
База персональних даних
Інформаційна (автоматизована) система ПД
інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»
БАЗА ПД
Іменована сукупність
Упорядковані ПД
Е-форма/ картотека
Відсутність назви/упорядкованості – не база?! Відсутність назви/упорядкованості – не база?!
Обробка ПД
Чітко сформульована
мета Ненадмірність ПД
Точність та актуальність
ПД
Строковість збергіання ПД Конкретні і
законні цілі
Обробка ПД
Не допускається обробка ПД без згоди суб'єкта ПД
крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини
Допускається обробка ПД
Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згперсональних даних в історичних, статистичних чи наукових ціляходи стане можливим.
Не допускається обробка ПД без знеособлення в історичних, статистичних чи наукових цілях
Обробка ПД
Забороняється обробка персональних даних про
расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя
Дозволяється якщо: здійснюється за умови надання суб'єктом ПД однозначної згоди на обробку таких даних; це потрібно для здійснення прав та виконання обов'язків у сфері трудових правовідносин відповідно до закону; це потрібно для захисту інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або
обмеження цивільної дієздатності суб'єкта персональних даних; здійснюється релігійною організацією, громадською організацією світоглядної спрямованості,
політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;
необхідно для обґрунтування, задоволення або захисту правової вимоги; необхідно в цілях охорони здоров'я, для забезпечення піклування чи лікування за умови, що такі дані
обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних;
стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
стосується даних, які були оприлюднені суб'єктом персональних даних.
АЛЕАЛЕ
Предмет регулювання
Обробка персональних даних
Автоматизована система
ІС/АС + картотека
Автоматизована системаІнформаційна (автоматизована)
система ПД Картотека ПД
Стаття 1. Сфера дії Закону Стаття 1. Сфера дії Закону
Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки. Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки.
База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних
Обробка ПД
обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі
збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням іпоширенням (розповсюдженням, реалізацією,
передачею), знеособленнямзнеособленням, знищенням відомостей про фізичну особу;
ЗУ «Про захист персональних даних»
обробка інформації в системі - виконання однієї або кількох операцій, зокрема:
збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою
технічних і програмних засобів;
ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»
Закон про захист персональних даних (2011)
Журналісти(професійні та службові обов'язки)
Фізичні особи (непрофесійні особисті або побутові
потреби)
ЗМІ (у т.ч. редакції)
Органи державної влади та органи місцевого самоврядування
Юридичні особи
Фізичні особи - СПД
Професійні творчі працівники
Суб'єкти правовідносин
Професійні творчі працівники
Журналісти
Журналістом редакції друкованого засобу масової інформації відповідно до цього Закону є творчий працівник, який професійно збирає, одержує, створює і займається підготовкою інформації...
преса
телерадіожурналіст - штатний або позаштатний творчий працівник телерадіоорганізації, який професійно збирає, одержує, створює і готує інформацію для розповсюдження;
ТБ&Р
професійний творчий праgцівник - особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури і мистецтва.
Закон України «Про професійних творчих працівників та творчі спілки»Закон України «Про культуру»
Журналісти
Телебачення/радіо
Преса
Інформаційні аґенства
Член профспілки
Інтернет-ЗМІ, якщо не ІА
Професійні блоґери
Самозайняті (фрілансери)
??
Суб'єкти правовідносин
Публічні особи
Закон про захист персональних даних
Стаття 6
6. Не належать до інформації з обмеженим доступом декларації про доходи осіб та членів їхніх сімей, які:
1) претендують на зайняття чи займають виборну посаду в органах влади; 2) обіймають посаду державного службовця, службовця органу місцевого самоврядування першої або другої категорії.
Претендує ― виборні посади, це не лише пряме народоволевиявлення
Закон про доступ до публічної інформації
Стаття 5. Об'єкти захисту
1. Об'єктами захисту є персональні дані, які обробляються в базах персональних даних.
2.. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
3. Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом.
4. Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.
Публічні особиВідповідно до ст.25 Закону України «Про державну службу»
до першої категорії належать: посади перших заступників міністрів, керівників центральних органів виконавчої влади, які не є членами Уряду України, їх перших заступників, Постійного Представника Президента України в Автономній Республіці Крим, голів обласних, Київської та Севастопольської міських державних адміністрацій,керівників Адміністрації Президента України, Апарату Верховної Ради України,заступників керівників Адміністрації Президента України, Апарату Верховної Ради України, інші прирівняні до них посади;
+ члени Національної ради України з питань телебачення і радіомовлення (ст. 7 Закону про Національну раду)
До другої категорії входять посади :керівників секретаріатів комітетів Верховної Ради України, структурних підрозділів Адміністрації Президента України, Апарату Верховної Ради України, Секретаріату Кабінету Міністрів України, радників та помічників Президента України, Голови Верховної Ради України, Прем'єр-міністра України, заступників міністрів, заступників інших керівників центральних органів виконавчої влади, першого заступника Постійного Представника Президента України в Автономній Республіці Крим, перших заступників голів обласних, Київської та Севастопольської міських державних адміністрацій та інші прирівняні до них посади.
Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її
ділові якості
Фізичні особи
Особисті непрофесійні й побутові потреби
Професійні потреби
??Форуми/чати/сайти
з реєстрацієюПублічна генеалогія
Суб'єкти правовідносин
Володілець БД
Розпорядник БД
Треті особи
Державна служба захисту ПД Інші органи
Суб'єкт ПД
Суб'єкти правовідносин
Омбудсмен
Володілець БД
Розпорядник БД
Третя особа
Суб'єкт ПД
Суб'єкти правовідносин
фізичнафізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;процедури їх обробки, якщо інше не визначено законом;
фізичнафізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані; чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до законурозпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону
ст. 1
Володільцем чи розпорядником бази персональних даних можуть бути:Володільцем чи розпорядником бази персональних даних можуть бути:
підприємства, установи і організації усіх форм власності, підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до фізичні особи - підприємці, які обробляють персональні дані відповідно до
закону. закону.
Розпорядником бази персональних даних, володільцем якої є орган державної влади Розпорядником бази персональних даних, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери підприємство державної або комунальної форми власності, що належить до сфери управління цього органу. управління цього органу.
Суб'єкти правовідносин
ФІЗИЧНІ ОСОБИ?ФІЗИЧНІ ОСОБИ?
ст. 4
Суб'єкт ПД
Суб'єкти ПД
База даних
Володілець БД
Розпорядник БД
Треті особи
де знаходитьсяде знаходитьсянайменуваннянайменуванняпризначенняпризначення
Хто і де перебуваєХто і де перебуває
перевіряти наявністьперевіряти наявністьзаперечувати проти обробкизаперечувати проти обробкивимагати виправленнявимагати виправленнявимагати знищеннявимагати знищення
Умови доступуУмови доступу
Державна служба захисту ПД
Інші органи
Захист правЗахист прав
безоплатно
Суб'єкт ПД
ех-Суб'єкти ПД
Живі особи Померлі
Закон України «Про державну реєстрацію актів цивільного стану»:
інформація, що міститься в актовому записі цивільного стану, є конфіденційною і не підлягає розголошенню» (ч.3 ст.9)
«порядок, умови і строки зберігання книг державної реєстрації актів цивільного стану і метричних книг в архівах відділів державної реєстрації актів цивільного стану та порядок передачі цих книг до державного архіву встановлюються центральним органом виконавчої влади у сфері державної реєстрації актів цивільного стану (Мін'юст) за погодженням із центральним органом виконавчої влади у сфері архівної справи і діловодства (Державна архівна служба України) , (ч. 4 ст. 25)
Наказ Мін’юсту «Про затвердження Умов зберігання книг реєстрації актів цивільного стану і метричних книг у відділах реєстрації актів цивільного стану та порядку передачі цих книг на зберігання до державних архівів, Переліку документів відділів реєстрації актів цивільного стану зі строками їх зберігання» №94/5 від 04.11.2002.
Книги реєстрації актів цивільного стану і метричні книги зберігаються у відділах реєстрації актів цивільного стану впродовж 75 років з часу їх складання.
Надання згодизгода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне
волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки; (ст.1)
здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних (ст.7)
1. Підставами виникнення права на використання персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних; (ст.11)
1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. (ст. 14)
1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або
відповідно до вимог закону. (ст.16)
Е-форма згодиУсна форма Документована форма
Письмова згода Е-форма
Простий підпис Електронний цифровий підпис
Е-форма згодиПростий електронний
підписЕлектронний
цифровий підпис
Електронний підпис є обов'язковим реквізитом Електронний підпис є обов'язковим реквізитом електронного документа, який використовується електронного документа, який використовується для ідентифікації автора та/або підписувача для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного документа іншими суб'єктами електронного Документообігуелектронного Документообігу
Закон про електронні документи та Закон про електронні документи та електронний документообіг електронний документообіг
Стаття 7. Оригінал електронного документа Стаття 7. Оригінал електронного документа
Оригіналом електронного документа Оригіналом електронного документа вважається електронний примірник документа з вважається електронний примірник документа з обов'язковими реквізитами, у тому числі з обов'язковими реквізитами, у тому числі з електронним цифровим підписом автора. електронним цифровим підписом автора.
електронний підпис - дані в електронній формі, електронний підпис - дані в електронній формі, які додаються до інших електронних даних які додаються до інших електронних даних або логічно з ними пов'язані та призначені або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних; для ідентифікації підписувача цих даних;
електронний цифровий підпис - вид електронний цифровий підпис - вид електронного підпису, отриманого за електронного підпису, отриманого за результатом криптографічного перетворення результатом криптографічного перетворення набору електронних даних, який додається набору електронних даних, який додається до цього набору або логічно з ним поєднується до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою цифровий підпис накладається за допомогою особистого ключа та перевіряється за особистого ключа та перевіряється за допомогою відкритого ключадопомогою відкритого ключа
Закон про електронний цифровий підписЗакон про електронний цифровий підпис
Дія цього Закону не поширюється на Дія цього Закону не поширюється на відносини, що виникають під час використання відносини, що виникають під час використання інших видів електронного підпису, в тому інших видів електронного підпису, в тому числі переведеного у цифрову форму числі переведеного у цифрову форму зображення власноручного підпису. зображення власноручного підпису.
Захист ПД: ТЗІ?
Органи влади
ТЗІ
Володільці баз ПД
ФО-СПД, у т.ч. лікарі, адвокати,
нотаріуси
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
(Ст. 6 закону про захист інформації в інформаційно-телекомунікаційних сстемах)
ДСТСЗІ
Строки доступу
Закон про доступ до публічної інформації (2011)
48 годин
20 робочих днів
5 робочих днів
5 днів на сповіщення
1 місяць
10 днів на розгляд прийнятності
Закон про захист персональних даних (2011)
+ відсрочка для 3х осіб
Регулятор
Україна Польща
Уповноважений державний орган з Уповноважений державний орган з питань захисту персональних даних - питань захисту персональних даних - центральний орган виконавчої влади,центральний орган виконавчої влади, до повноважень якого належить захист до повноважень якого належить захист персональних даних, що утворюється персональних даних, що утворюється відповідно до законодавства. відповідно до законодавства.
Organem do spraw ochrony danych Organem do spraw ochrony danych osobowych jest Generalny Inspektor osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej Ochrony Danych Osobowych, zwany dalej „Generalnym Inspektorem”.„Generalnym Inspektorem”.
Generalnego Inspektora powołuje i Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatuzgodą Senatu
Generalny Inspektor nie może należeć do Generalny Inspektor nie może należeć do partii politycznej, związku zawodowe-partii politycznej, związku zawodowe-go ani prowadzić działalności publicznej go ani prowadzić działalności publicznej niedającej się pogodzić z godnością je-niedającej się pogodzić z godnością je-go urzędu.go urzędu.КМУКМУ
Санкції
проект Закону України «Про внесення змін до деяких законодавчих актів України щодо порушення проект Закону України «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних», №7355. Проект пропонує доповнити законодавство законодавства про захист персональних даних», №7355. Проект пропонує доповнити законодавство кількома адміністративними і кримінальним статтями, якими буде встановлено відповідальність від 200–300 кількома адміністративними і кримінальним статтями, якими буде встановлено відповідальність від 200–300 до 400-500 неоподатковуваних мінімумів доходів громадян, а на посадових осіб – до 1000 н.м.д.г. за до 400-500 неоподатковуваних мінімумів доходів громадян, а на посадових осіб – до 1000 н.м.д.г. за ухиляння від реєстрації, порушення порядку доступу, неповідомлення про зміну відомостей органу та ухиляння від реєстрації, порушення порядку доступу, неповідомлення про зміну відомостей органу та суб’єкта.суб’єкта.
За порушення встановлених законодавством вимог щодо захисту інформації про особу фізична особа може За порушення встановлених законодавством вимог щодо захисту інформації про особу фізична особа може сплатити 800–1000 н.м.д.г., а посадова особа – 1000–2000 н.м.д.г. Якщо спотворення призвело до значної сплатити 800–1000 н.м.д.г., а посадова особа – 1000–2000 н.м.д.г. Якщо спотворення призвело до значної шкоди, санкція може становити 800–2000 н.м.д.г., або виправні роботи від 2 до 4 років, або арешт на 6 міс, шкоди, санкція може становити 800–2000 н.м.д.г., або виправні роботи від 2 до 4 років, або арешт на 6 міс, або обмеженням волі на строк до двох років. За умисне порушення вищезгаданих вимог особа сплатить або обмеженням волі на строк до двох років. За умисне порушення вищезгаданих вимог особа сплатить штраф у розмірі 500–1000 н.м.д.г., або її буде засуджено до 2 років виправних робіт, або її буде покарано штраф у розмірі 500–1000 н.м.д.г., або її буде засуджено до 2 років виправних робіт, або її буде покарано тримісячним арештом.тримісячним арештом.
Проблеми Закон не містить перехідних положень до баз, що вже існують, а виходячи з того, що закон може мати
зворотню дію це може спричинити чимало проблем
Що робити, якщо немає контактів для повідомлення суб'єкта
Загальнодоступні джерела – всі, чи лише легальні?
Бази даних без володільця
Неможливість використання простих форм згоди
Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел vs Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. (ст. 12 vs 14)
