Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Кодекс поведінки щодо захисту персональних даних у сфері інформаційних технологій зміст вітальне слово

Скачати 267.84 Kb.

Кодекс поведінки щодо захисту персональних даних у сфері інформаційних технологій зміст вітальне слово




Скачати 267.84 Kb.
Дата конвертації12.04.2017
Розмір267.84 Kb.




ЄВРОПЕЙСЬКА БІЗНЕС АСОЦІАЦІЯ

КОРПОРАТИВНИЙ КОДЕКС поведінки

ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ У СФЕРІ

ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ



ЗМІСТ

Вітальне слово Виконавчого директора Європейської Бізнес Асоціації…………………………………….…...

Особо́ві да́ні, також персональні дані - це інформація, яка може бути використана для ідентифікації, контакту або знаходження конкретної людини, або може бути використана разом з іншими джерелами, щоб однозначно ідентифікувати окрему конкретну людину.

Європейська Бізнес Асоціація (за українським правописом - бізнес-асоціація) - організація міжнародного бізнесу в Україні, неприбуткове об'єднання юридичних осіб, засноване в 1999 році.

3
Рекомендаційний лист від Державної Служби України з питань захисту персональних

даних ……………………………............................................................................................................................

Держа́вна слу́жба - професійна діяльність щодо практичного виконання завдань і функцій держави особами, які мають посади в державних органах та одержують заробітну плату за рахунок державних коштів.

4
РОЗДІЛ 1. Мета цього Кодексу ………………………………………………………………………………………………………….…. 5

РОЗДІЛ 2. Визначення ………………………………………………………………………………………………………………………….…. 6

РОЗДІЛ 3. Сфера застосування цього Кодексу ………………………………………………………………………………….….. 9

РОЗДІЛ 4. Загальні принципи обробки персональних даних ………………………………………………………….….. 9

РОЗДІЛ 5. Загальні рекомендації щодо захисту персональних даних ………………………………………........ 10

розділ 6. Рекомендації з безпеки даних ………………………………………..…………………………………………………. 11

розділ 7. Рекомендації стосовно безпосередніх виконавців …………………………………………………………. 12

розділ 8. Рекомендації щодо роботи із запитами по персональних даних ………………………………... 13

розділ 9. Рекомендації щодо транскордонної передачі персональних даних (з-за кордону) … 15

розділ 10. Рекомендації щодо транскордонної передачі персональних даних (за кордон) …… 15

розділ 11. Спеціальні рекомендації щодо захисту персональних даних ……………………………..…… 15

розділ 12. Питання щодо відповідності та списку ІТ компаній, які підписали Кодекс …………..… 16

розділ 13. Набуття чинності. Внесення змін. Робоча Група ……………………………………………………….… 18
Додаток 1 ....................................................................................................................................................

Додаток 2 ............................................................................................................................................



Вітальне слово Виконавчого директора Європейської Бізнес Асоціації




Шановні колеги!

Перед Вами унікальний нормативно-правовий документ, який містить основоположні принципи і рекомендації стосовно ефективного та надійного захисту персональних даних згідно з найкращими європейськими та міжнародними практиками.

Україна робить свої перші кроки на шляху до формування високих стандартів захисту персональних даних. При виборі надійного ділового партнера серед українських IT-компаній іноземні компанії нерідко перевіряють ступінь захисту особистої інформації.

Бажаючи надати ІТ-компаніям, що працюють в Україні, руку допомоги в побудові прозорих і довірчих відносин зі своїми іноземними клієнтами та партнерами, ми створили Корпоративний Кодекс захисту персональних даних у сфері інформаційних технологій.

Інформаці́йні техноло́гії, ІТ (використовується також загальніший / вищий за ієрархією термін інформаційно-комунікаційні технології (Information and Communication Technologies, ICT) - сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збирання, опрацювання, зберігання, розповсюдження, показу і використання інформації в інтересах її користувачів.



Дотримання правил Кодексу свідчить про надійність компанії, високий ступінь безпеки інформації та відданість етичним стандартам обробки персональних даних своїх співробітників, клієнтів і партнерів.

Ми сердечно дякуємо всім фахівцям і досвідченим професіоналам в області інформаційних технологій та права, членам Комітету Асоціації з інформаційних технологій,  а також представникам державних органів, які взяли активну участь у розробці Кодексу.

Органи державної влади - це ланка (елемент) механізму держави, що бере участь у виконанні функцій держави й наділений при цьому владними повноваженнями.



Ми сподіваємося, що Вам сподобається цей ресурс і Ви зможете користуватися ним для розвитку Вашої компанії, а також зробите свій внесок у просування іміджу України як надійного бізнес-партнера.

З повагою,

Анна Дерев’янко

http://www.apk-inform.com/inlinecmsassetsplugin/assets/th/250x373/00/01/27/12734/ Деревянко, на сайт.gif

Корпоративний кодекс поведінки щодо ЗАХИСТУ персональних даних у сфері інформаційних технологій

РОЗДІЛ 1. Мета цього Кодексу
Європейська Бізнес Асоціація (далі – «ЄБА»), як договірне об’єднання юридичних осіб, недержавна, неурядова та неприбуткова організація затвердила цей Кодекс, який закріплює рекомендації та практичні поради для компаній з інформаційних технологій (далі – «ІТ») щодо виконання вимог Закону України № 2297-VI від 1 червня 2010 року «Про захист персональних даних» (із подальшими змінами та доповненнями, далі – «Закон») та Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних № 108 від 28 січня 1981 року з урахуванням особливостей обробки персональних даних у ІТ секторі економіки.

Юриди́чна осо́ба - організація, суб'єкт права, здатний від свого імені набувати майнових і особистих немайнових прав і нести обов'язки та самостійно брати участь у правовідносинах, бути позивачем та відповідачем у суді.

Зако́н (англ. law, англ. act, нім. Gesetz n) - нормативно-правовий акт вищої юридичної сили, що регулює найважливіші суспільні відносини шляхом встановлення загальнообов'язкових правил, прийнятий в особливому порядку (законодавчим), або безпосередньо народом.

Неприбуткова організація (непідприємницька організація, некомерційна організація), скорочено НПО - юридична особа, метою діяльності якої не є отримання прибутку для його наступного розподілу між учасниками цієї організації.


Кодекс стане у нагоді ІТ компаніям, які прагнуть відповідати європейському та українському законодавству з питань захисту персональних даних.

Зако́нода́вство Украї́ни - сукупність чинних в Україні нормативно-правових актів.


Практичні рекомендації також допоможуть IT компаніям підвищити рівень захисту персональних даних своїх працівників, клієнтів та інших осіб при їх обробці, і тим самим побудувати довірчі відносини з ними. Це особливо актуально в еру цифрових комунікацій, Інтернет-торгівлі та інших дистанційних відносин, де довіра до ІТ компанії є запорукою розвитку бізнесу на основі використання персональних даних.
Іноземні компанії, обираючи надійного ділового партнера серед українських ІТ компаній, нерідко перевіряють рівень захищеності персональних даних. Тому дотримання рекомендацій та принципів цього Кодексу сприятиме розвитку бізнесу з іноземними замовниками.
Компанії, що приєднались до підписання цього Кодексу, прагнуть запевнити бізнес-партнерів та громадськість, що ІТ послуги надаються згідно з професійними та етичними нормами по відношенню до права на недоторканність приватного життя.

Недоторканність приватного життя, також приватність - це можливість особи або групи осіб відокремити себе, інформацію про себе, і, таким чином, виявляти свою особистість вибірково. Межі і зміст, який відноситься до приватного, відрізняється у різних культурах та для різних осіб, але об’єднані спільними темами.


З юридичної точки зору, цей Кодекс має рекомендаційний характер.

Аспект (лат. aspectus - вигляд, погляд) - поняття філософії (онтології, теорії пізнання). У філософії аспект розглядається

Водночас, його легальність як інструменту регулювання підтверджена статтею 27 (2) Закону. Кодекс не має на меті обтяжити діяльність компаній новими обов’язками, а, навпаки, спрямований на роз’яснення тих обов’язків, які встановлені Законом.


РОЗДІЛ 2. Визначення


    1. Для цього Кодексу, якщо інше не визначено у законодавстві:




  1. суб'єкт персональних даних - фізична особа, стосовно якої відповідно до Закону здійснюється обробка її персональних даних;

    Фізи́чна осо́ба - у цивільному та інших галузях права термінологія, що використовується для позначення людини (громадянина, особи без громадянства) як учасника правових відносин. Фізична особа також підпорядковується певним нормам та правилам поведінки.






  1. володілець бази персональних даних (або володілець даних) - фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку персональних даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедур їх обробки, якщо інше не визначено законом.

Формально, володілець бази персональних даних повинен бути юридичною особою або приватним підприємцем, який обробляє дані у своїх цілях та відповідно до закону.

Приватні підприємці, тж індивідуальні підприємці - фізичні особи (громадяни України, іноземні громадяни чи особи без громадянства) з повною цивільною дієздатністю, не обмежені законом у правоздатності, які зареєстровані в установленому законом порядку як суб'єкти підприємницької діяльності та безпосередньо виконують таку діяльність (виробляють продукцію, виконують роботи, надають послуги тощо) і несуть відповідальність за своїми зобов'язаннями усім майном, що належить їм на праві власності.

Наприклад, компанії/ приватні підприємці у процесі їх господарської діяльності можуть вести базу даних своїх приватних клієнтів, потенційних клієнтів, співробітників або інших ключових контактних осіб; органи влади можуть вести офіційні бази даних громадян для виконання своїх громадських обов'язків;




  1. розпорядник бази персональних даних (або розпорядник даних) - фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Мета обробки даних є ключовим критерієм, який відрізняє володільця даних від розпорядника даних.

Обро́бка да́них - систематична цілеспрямована послідовність дій над даними. Обробка даних містить в собі множину різних операцій.

Володілець даних обробляє персональні дані у своїх цілях або може призначити розпорядника даних у рамках аутсорсингу. ІТ компанії можуть виступати як володільцами, так і розпорядниками баз даних, визначаючи свій статус самостійно відповідно до даних, які вони обробляють. ІТ компанії, що залучені до аутсорсингу послуг, зазвичай розглядаються в якості розпорядників даних, тому що вони обробляють персональні дані, отримані від своїх клієнтів, які замовляють аутсорсинг ІТ послуг.




  1. уповноважений державний орган з питань захисту персональних даних – центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства.

    Викона́вча вла́да - одна з трьох гілок державної влади відповідно до принципу поділу влади. Розробляє і втілює державну політику, спрямовану на забезпечення виконання законів, та керує сферами суспільного життя.

    На момент прийняття Кодексу таким органом є Державна служба України з питань захисту персональних даних;




  1. IT компанії – це компанії, які здійснюють розробку програмного забезпечення, операційні послуги або хмарні комп’ютерні послуги.

    Розробка програмного забезпечення (англ. software engineering, software development) - це рід діяльності (професія) та процес, спрямований на створення та підтримку працездатності, якості та надійності програмного забезпечення, використовуючи технології, методологію та практики з інформатики, керування проектами, математики, інженерії та інших областей знання.

    У разі необхідності IT компанії діють як володільці або розпорядники. Приватні підприємці можуть також розглядатися як ІТ компанії;




  1. персональні дані - відомості чи сукупність відомостей про фізичну особу (суб’єкта персональних даних), яка ідентифікована або може бути конкретно ідентифікована.




  1. безпосередній виконавець – це фізична особа, яка прийнята на роботу або залучена ІТ компанією на умовах цивільно-правового договору і реалізує конкретні завдання, технологічні процеси, послуги, в ході яких здійснюється обробка персональних даних.

    Цивільно-правовий договір (також цивільно-правова угода) -– домовленість (правочин) двох або більше сторін, спрямована на встановлення, зміну або припинення цивільних прав та обов'язків (ч. 4 ст. 202, ч. 1 ст. 626 Цивільного кодексу України)

    Технологі́чний проце́с - це впорядкована послідовність взаємопов'язаних дій та операцій, що виконуються над початковими даними до отримання необхідного результату.


За загальним правилом, вони діють від імені володільця чи розпорядника бази персональних даних, якщо інше не випливає із суті справи;




  1. третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця та/або розпорядника бази персональних даних, уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;




  1. персональні дані - відомості чи сукупність відомостей про фізичну особу (суб’єкта персональних даних), яка ідентифікована або може бути конкретно ідентифікована.

Конкретно ідентифікованою може бути особа, наприклад, через посилання на ідентифікаційний код або один чи декілька факторів, притаманних для його фізичної, психологічної, розумової, економічної, культурної, соціальної індивідуальності. Вичерпний перелік таких відомостей законодавством та міжнародними документами не закріплено і не може бути передбачено з об’єктивних причин;


Зазвичай, всі персональні дані відносяться до категорії "загальних" або "чутливих" персональних даних. Перелік видів чутливих даних обмежується: расовим або етнічним походженням, політичними, релігійними чи світоглядними переконаннями, належністю до політичних партій та профспілок, а також даних про стан здоров'я або статевого життя, інші дані можна розглядати як загальні. Тим не менш, не існує вичерпного списку того, що можна віднести до «персональних даних». Будь-яка спроба скласти список того, що може розглядатися як персональні дані, рано чи пізно стає неактуальним, так як це може вплинути на права громадян на недоторканність приватного життя.

Секс (лат. sexus - стать, статеві відносини) - категорія близьких людських відносин, що спрямована на задоволення статевого потягу (у вузькому сенсі коїтус), зумовлена інстинктом розмноження і є однією з основних фізіологічних потреб організму людини, яка приносить велику користь для здоров'я.

Політи́чна па́ртія - особлива громадська організація (об'єднання), яка прагне досягти мети, загальної для її членів шляхом придбання і здійснення політичної влади. Інструментом партії є оволодіння політичною владою в державі або взяти в ній участь через своїх представників в органах державної влади та місцевого самоврядування.

Особисте життя - це особлива частина приватної сфери людської життєдіяльності, яка полягає в різноманітних відносинах, стосунках, явищах, подіях і таке інше, що не мають публічного значення, визначається і регулюється самою особою.

У зв'язку з цим є загальна європейська практика - ввести абстрактне юридичне визначення персональних даних;
Для того, щоб визначити, чи наявні дані повинні розглядатися як персональні дані, рекомендується відповісти на наступні питання:
1.Чи дані відносяться до особи?

2. Чи дані містять будь-яку інформацію (опис), який відноситься до особи?

3. Чи може хтось ідентифікувати певну людину за допомогою цих даних?
Володілець даних чи розпорядник даних повинні бути в змозі ідентифікувати особу на основі наявних даних.


  1. згода суб'єкта персональних даних (або згода) - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;




  1. база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;




  1. обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;




  1. знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу;




  1. інформаційні технології (або ІТ) - програмно-апаратні засоби збору, обробки, зберігання і розповсюдження голосової, візуальної, текстової та числової інформації;




  1. розробка програмного забезпечення - це розробка комп’ютерної програми (набір інструкцій у вигляді слів, цифр, кодів, схем, символів чи у будь-якому іншому вигляді, виражених у формі, придатній для зчитування комп'ютером, які приводять його у дію для досягнення певної мети або результату);




  1. операційні послуги – процес управління інформаційними системами як практика управління щоденними рутинними процесами, пов’язаними з підтримкою, функціонуванням цих інформаційних систем в їх життєвому циклі;

    Інформацíйна систéма (англ. Information system) - сукупність організаційних і технічних засобів для збереження та обробки інформації з метою забезпечення інформаційних потреб користувачів.






  1. Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних.




  1. хмарні комп’ютерні послуги - це надання обчислювальних ресурсів на вимогу за допомогою комп'ютерних мереж.

    Обчи́слювальні ресу́рси - можливості, забезпечувані компонентами обчислювальної системи, що витрачаються (зайняті) в процесі її роботи.


Інші поняття (або терміни) повинні мати те ж саме значення, яке визначене дійсним законодавством України.



РОЗДІЛ 3. Сфера застосування цього Кодексу
3.1. Цей Кодекс адресований до ситуацій та випадків обробки персональних даних у ході господарської діяльності ІТ компаній.
3.2. ІТ компанії, які підписались або в майбутньому підпишуться під даним Кодексом, слідують керівним принципам Кодексу, що стосуються захисту персональних даних, які можуть бути корисними для будь-якого розпорядника або володільця бази персональних даних..
3.3. ІТ компанії, які підписались під даним Кодексом, беруть на себе зобов'язання забезпечити, щоб всі безпосередні виконавці відповідали вимогам Закону та цього Кодексу.
3.4. IT компанії запрошуються долучитися до підписання цього Кодексу та дотримуватися норм Кодексу в їх господарській діяльності, а також сприяти подальшому обміну інформацією та виконанню керівних принципів Кодексу в області інформаційних технологій.

Комуніка́ція (від лат. communicatio - єдність, передача, з'єднання, повідомлення, пов'язаного з дієсловом лат. communico - роблю спільним, повідомляю, з'єдную, похідним від лат. communis - спільний) - це процес обміну інформацією (фактами, ідеями, поглядами, емоціями тощо) між двома або більше особами, спілкування за допомогою вербальних і невербальних засобів із метою передавання та одержання інформації.


РОЗДІЛ 4. Загальні принципи обробки персональних даних

4.1. В доповнення до принципів, встановлених чинним законодавством України, додаються наступні принципи Кодексу:




  1. IT компанії повинні поважати конфіденційність персональних даних, які обробляють у своїй професійній діяльності;

  2. IT компанії повинні збалансовувати потреби суб’єктів відносин, пов’язаних із персональними даними.

  3. IT компанії повинні запевняти, що їх професійна діяльність, пов’язана з обробкою персональних даних, виконується особами з відповідними навичками, досвідом та усвідомленням принципів даного Кодексу;

    Професі́йна дія́льність - діяльність людини за ознаками певної сукупності професійних завдань та обов'язків (робіт), які виконує фахівець. Функції професійної діяльності полягають у тому, щоб матеріально забезпечити робітника, який працює.



  4. IT компанії повинні захищати репутацію та гідність IT професії та індустрії;

  5. IT компанії повинні відслідковувати будь-які зміни в законодавстві щодо захисту персональних даних, зміни цього Кодексу, а також передового досвіду у сфері захисту персональних даних.

РОЗДІЛ 5. Загальні рекомендації щодо захисту персональних даних

5.1. IT послуги повинні надаватися у відповідності з чинним законодавством України або законами інших юрисдикцій, які пов’язані з проектом, якщо це необхідно.


5.2. IT компанії повинні брати на себе відповідальність за всі необхідні заходи щодо захисту персональних даних, щоб уникнути конфлікту інтересів з клієнтами та/або суб'єктами персональних даних.

Конфлікт інтересів - правове поняття; ситуація, за якої сторона, що укладає угоду, потенційно може одержати безпосередню вигоду, здійснюючи дії, які завдають збиток іншій стороні.


5.3. IT компанії повинні здійснювати свою діяльність з усвідомленням постійної загрози електронних атак злочинців, які діють в кіберпросторі, та можуть призвести до порушення захисту персональних даних.
5.4. IT компанії повинні бути готовими відреагувати на будь-яке порушення безпеки швидко та ефективно.
5.5. IT компанії повинні розробляти та організовувати відповідні рівні безпеки.
5.6. Безпосередні виконавці можуть отримати доступ і обробляти персональні дані тільки в межах своїх повноважень.
5.7. IT компанії повинні брати на себе відповідальність за всі необхідні заходи для забезпечення того, що якщо персональні дані були випадково втрачені, змінені або знищені, вони можуть бути відновленими.
5.8.   IT компанії, які є володільцями даних, повинні дотримуватися вимоги щодо реєстрації баз персональних даних в Державному реєстрі баз персональних даних.

Державний реєстр, Єдиний державний реєстр - автоматизована система обліку інформації про осіб, майно, документи, яка створюється та ведеться державою з метою реалізації своїх функцій.



розділ 6. Рекомендації з безпеки даних
6.1. IT компанії повинні приймати заходи щодо безпеки відповідно до ризику щодо несанкціонованого розголошення, втрати, знищення або зміни персональних даних. ІТ компанії повинні вжити заходів безпеки, щоб запобігти повторенню будь-якого інциденту порушення захисту персональних даних.
6.2. IT компанії можуть вводити різні рівні безпеки щодо персональних даних, які відповідають наступним критеріям:


  1. визначеним правовим вимогам, встановленими Законом та іншими нормативно-правовими актами України;

    Нормати́вно-правови́й а́кт - офіційний письмовий документ, прийнятий уповноваженими фізичними особами у визначеній законодавством формі та за встановленою законодавством процедурою, спрямований на регулювання суспільних джерел права що містить норми права, має неперсоніфікований характер і розрахований на неодноразове застосування.



  2. категоріям (загальні та чутливі) та обсягу персональних даних, які необхідно захищати;

  3. шкоді, яка може виникнути в результаті неправильної, несанкціонованої або незаконної обробки персональних даних, або від випадкової втрати чи знищення;

  4. розміру та складності організації;

  5. рекомендаціям та технологіям, які загально доступні та/або прийняті іншими ІТ компаніями або бізнес-партнерами ІТ компаній;

  6. вартості імплементації;

  7. зобов'язанням, встановлених у контрактах з контрагентами щодо надання послуг.

6.3. IT Компанії самостійно та з урахуванням вимог чинного законодавства визначають заходи безпеки / безпеки програм, які вони повинні використовувати, зокрема:




  1. фізичну безпеку (безпека приміщень, відсутність екранів комп'ютерів доступних для загалу/відвідувачів; безпека робочого місця та обслуговування;

    Робо́че мі́сце - елементарна одиниця виробничої структури, що містить частину простору виробничого підрозділу, яка потрібна для здійснення трудової операції та оснащена матеріально-технічними засобами, що використовуються у процесі праці.

    безпека від несанкціонованого друку інформації та інше);

  2. технологічну безпеку (безпека внутрішньої ІТ мережі, безпека комп'ютерних серверів і прикладних програм, безпека мобільних комп'ютерів; надання персональних даних анонімно; шифрування та інше);

  3. безпеку управління (відстеження та управління інцидентами; управління авторизацією і активізацією користувачів; управління завданнями; резервне копіювання та безперервності бізнесу;

    Застосунок, застосовна програма, прикладна програма (англ. application, application software; пол. aplikacja; рос. приложение, прикладная программа) - користувацька комп'ютерна програма, що дає змогу вирішувати конкретні прикладні задачі користувача.

    Резе́рвне копіюва́ння або бека́п (англ. backup) - процес створення копії даних з носія (жорсткого диска, дискети тощо), призначений для відновлення цих даних у разі їх пошкодження або видалення.

    архівування; забезпечення доступності та інше);

  4. організаційну безпеку (оцінка ризику; правила безпеки компанії; ідентифікація користувачів; обмін інформацією про потенційні ризики з іншими організаціями та інше).

6.4. Від ІТ компаній не вимагається мати найсучасніші технології безпеки для захисту персональних даних, проте ІТ компаніям слід регулярно переглядати свої заходи безпеки у ході технічного розвитку, або потенційного збільшення ризику.

розділ 7. Рекомендації стосовно безпосередніх виконавців
7.1. IT компанії повинні письмово призначити структурний підрозділ або відповідальну особу, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до Закону та цього Кодексу.
7.2 IT компаніям рекомендовано призначити безпосередніх виконавців, які мають або не мають право доступу та обробки персональних даних, та встановити відповідні заходи щодо встановлення особи безпосередніх виконавців.

Право доступу (англ. access right) - дозвіл або заборона здійснення певного типу доступу до інформаційної системи.

Ідентифікатор безпосереднього виконавця, який втратив право на обробку персональних даних, не повинен бути переданий іншому безпосередньому виконавцю, який має право на обробку персональних даних.
7.3. IT компаніям рекомендовано врегулювати юридичні зобов'язання щодо захисту персональних даних у власних правилах трудового розпорядку, політиках та/або довідниках. IT компаніям рекомендується укладати угоди про конфіденційність з кожним безпосереднім виконавцем та/або включати застереження про конфіденційність в трудові/цивільні договори.
7.4. ІТ компаніям рекомендовано проводити відповідні базові тренінги та тренінги з перепідготовки для безпосередніх виконавців, які мають право обробляти персональні дані.
7.5. ІТ компаніям рекомендовано визначити відповідні обмеження щодо персонального використання корпоративних комп’ютерів або інших приладів для безпосередніх виконавців. Безпосередній виконавець, який користується ноутбуком або іншими приладами, які містять персональні дані, зобов’язаний вживати спеціальних заходів під час користування ноутбуком/іншими приладами, які можна транспортувати, зберігати або використовувати поза приміщенням/території ІТ компанії, у якій обробляються дані.
7.6. У разі необхідності, ІТ компаніям рекомендовано проінформувати безпосередніх виконавців про факт моніторингу осіб/приміщень. ІТ компанія повинна розробити політику щодо моніторингу, і безпосередні виконавці повинні визнати її дотримання. Практика моніторингу не повинна порушувати прав безпосередніх виконавців на приватне життя, приватне листування і конфіденційність їх персональних даних.
7.7. ІТ компаніям рекомендовано проінформувати безпосередніх виконавців щодо положень Закону, цього Кодексу та відповідних положень у власних правилах трудового розпорядку, політиках та/або довідниках.

розділ 8. Рекомендації щодо роботи із запитами по персональних даних
8.1. Запит щодо доступу (далі - Запит) до персональних даних може подати як сам суб’єкт персональних даних відносно себе, так і третя особа чи державний орган відносно певного суб’єкта персональних даних. Залежно від того, хто подає запит – існують різні умови щодо його розгляду. Тому ІТ Компанія насамперед повинна визначити, ким є автор запиту відносно персональних даних, що запитуються, - суб’єктом персональних даних чи ні.
8.2. Якщо запит подає сам суб’єкт персональних даних відносно відомостей про себе, то існують такі правила. Відповідно до статті 16 (6) Закону суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту. При цьому, ІТ Компанія повинна пересвідчитись, що у запиті відображено відповідно:


  1. прізвище, ім'я та по-батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

    Місце мешкання - юридичний термін, під яким мається на увазі юридично оформлене місце, в якому індивідуум має постійне та довгострокове помешкання.



  2. відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника даних;

  3. перелік персональних даних, що запитуються.

Крім того, суб’єкт персональних даних має право вимагати від володільця даних змінити або доповнити персональні дані або видалити персональні дані, якщо вони обробляються незаконно або не відповідають дійсності.


Відповіді повинні бути точними, повними і своєчасними (попередня відповідь – протягом 10 робочих днів, відповідь по суті запиту – протягом 30 днів з дня отримання запиту).
8.3. Якщо запит подає третя особа чи державний орган відносно певного суб’єкта персональних даних, то існують такі правила. Відповідно до статті 16 (3) Закону запит повинен подаватись володільцю бази персональних даних. Якщо ІТ Компанія вважається не володільцем бази персональних даних, а її розпорядником, то рекомендуємо скеровувати запит на розгляд безпосередньо володільцю даних, а автора запиту повідомити протягом 10 робочих днів про скерування його запиту за належністю. Якщо ІТ Компанія є володільцем бази персональних даних, або якщо володілець доручив розглядати усі запити ІТ Компанією самостійно, то ІТ Компанія повинна пересвідчитись, що у запиті відображено відповідно:


    1. прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

    2. найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

(2) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

(3) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця даних чи розпорядника даних;

(4) перелік персональних даних, що запитуються;

(5) мета запиту.


8.4. Відповіді повинні бути точними, повними і своєчасними (попередня відповідь – протягом 10 робочих днів, відповідь по суті запиту – протягом 30 днів з дня отримання запиту); строк розгляду запиту від третьої особи може бути продовжений ще на 15 днів за об’єктивних причин та за умови повідомлення у письмовій формі третьої особи, яка подала запит, про таке продовження, з роз’ясненням причин відстрочення.
8.5. Суб’єкти персональних даних повинні мати можливість знати, хто є володільцем бази персональних даних. Володільці даних повинні надати цю інформацію суб’єкту персональних даних у тексті згоди чи повідомленні, або зробити цю інформацію публічно доступною через свій корпоративний сайт.

розділ 9. Рекомендації щодо транскордонної передачі персональних даних (з-за кордону)
9.1. Закон не регулює умови транскордонної передачі персональних даних з іноземних юрисдикцій в Україну. Тому, коли передача персональних даних з іноземної юрисдикції необхідна для виконання послуг IT компанії, то ІТ компанія може погодити з іноземним партнером (володільцем даних) здійснення певних переддоговірних заходів безпеки. Передача даних в Україну може також здійснюватись на умовах відповідного договору щодо обробки даних, додаткових контрактних положеннях на основі Стандартних Контрактних Положень ЄС, які можуть підпорядковуватись законодавству України або іноземному законодавству.

Передача даних (обмін даними, цифрова передача, цифровий зв'язок) - фізичне перенесення даних цифрового (бітового) потоку у вигляді сигналів від точки до точки або від точки до множини точок засобами електрозв'язку каналом зв'язку; як правило, для подальшої обробки засобами обчислювальної техніки.


розділ 10. Рекомендації щодо транскордонної передачі персональних даних (за кордон)
10.1. Транскордонна передача персональних даних іноземним суб'єктам відносин, здійснюється лише за умов (1) забезпечення належного захисту персональних даних, (2) за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством.

Міжнаро́дний до́говір - це письмова угода, що регулюється міжнародним правом, укладена між двома або декількома суб'єктами міжнародного права незалежно від того, міститься вона в одному документі, у двох або кількох пов'язаних між собою документах, а також незалежно від її конкретної назви (договір, угода, конвенція, пакт, протокол тощо).

Міжнаро́дні догово́ри Украї́ни - сукупність договорів, укладених у письмовій формі Україною з іноземною державою або іншим суб'єктом міжнародного права, незалежно від того, міститься договір в одному чи декількох пов'язаних між собою документах, і незалежно від його конкретного найменування (договір, угода, конвенція, пакт, протокол тощо).

Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані, відповідно до статті 29 (3) Закону.
10.2. ІТ компанії, які виступають володільцями даних, повинні бути відповідальними за дотримання захисту персональних даних при транскордонній передачі даних.
розділ 11. Спеціальні рекомендації щодо захисту персональних даних
1. Спеціальні рекомендації, спрямовані на захист обміну персональними даними передового досвіду в сфері ІТ. Ці керівні принципи будуть розроблені у майбутньому та пропонуватимуть наступне:
(1) типовий перелік вимог на сумісництво з вимогами безпеки замовників щодо загальної безпеки персональних даних та питання захисту персональних даних, для структурування угоди для аутсорсингу послуг;

(2) типовий перелік вимог на сумісництво з вимогами безпеки замовників для кожного життєвого циклу.



розділ 12. Питання щодо відповідності та списку ІТ компаній, які підписали Кодекс
12.1. Відповідність цьому Кодексу визначається за декларативним принципом, і ІТ компанії несуть самостійну відповідальність за виконання принципів даного Кодексу.

12.2. Кожна IT компанія, яка має намір підписати та відповідати принципам Кодексу, повинна подати до ЄБА Декларацію щодо відповідності принципам Кодексу, підписану та скріплену печаткою у належному порядку у двох примірниках, у якій повинні бути зазначені наступні зобов'язання:

[Назва компанії] даним декларує, що має намір діяти сумлінно та обробляти персональні дані законно та справедливо по відношенню до зацікавлених суб'єктів персональних даних, у відповідності з передовою практикою і керівним принципам, що містяться в Корпоративному кодексі поведінки щодо захисту персональних даних у сфері інформаційних технологій”.

12.3. Один примірник Декларації щодо відповідності Кодексу повинен зберігатися ЄБА, а інший повертається ІТ компанії з вхідною відміткою ЄБА.


12.4. Список ІТ компаній, які підписали дану Декларацію щодо відповідності Кодексу, повинні зберігатися ЄБА.
12.5. IT компанія має право відкликати свою Декларацію щодо відповідності Кодексу, надіславши попереднє повідомлення ЄБА у 10-ти денний строк.
12.6. IT компанії – підписанти Кодексу формують колегіальний орган – Загальні збори підписантів Кодексу (надалі – Загальні збори), що складається з представників всіх IT компаній – підписантів Кодексу.

Загальні збори - це зібрання, на яке скликаються всі члени спільноти для прийняття рішень з питань самоорганізації спільноти. Також вищий керівний орган організацій, створених спільнотами.


12.7. Загальні збори скликаються не рідше одного разу на рік та вважаються правомочними у випадку присутності на них більше ніж 50% підписантів Кодексу. ЄБА здійснює скликання Загальних зборів, а також організаційні питання щодо забезпечення місця проведення Загальних зборів.
12.8. Підписанти щорічно подають до розгляду на Загальних зборах звіти у довільній формі щодо дотримання належного захисту персональних даних, або, за відсутності такої можливості, публікують їх на корпоративному сайті.
12.9. Під час проведення Загальних зборів простою більшістю голосів учасників обираються Голова та Секретар Загальних зборів.
12.10. Рішення Загальних зборів приймаються простою більшістю голосів.

12.11. Результати рішень закріплюються в Протоколах засідань Загальних зборів.


12.12. До компетенції Загальних зборів відносяться наступні питання:


  1. виключення підписантів Кодексу з переліку підписантів у випадку порушень Закону та Конвенції та невідповідності Кодексу; питання про виключення  ІТ компанії  зі списку підписантів може ініціюватись за рішенням Загальних зборів на основі подання будь-яким підписантом, якому стало відомо про такі негативні факти; рішення про виключення може бути прийняте лише після обговорення фактів та надання відповідних пояснень.

  2. внесення змін до Кодексу на основі проектів, підготовлених Робочою Групою;

  3. інші питання, що стосуються використання Кодексу IT компаніями – підписантами, при цьому будь-яка компанія підписант може ініціювати розгляд будь-якого питання, яке перебуває в компетенції Загальних зборів.


розділ 13. Набуття чинності. Внесення змін. Робоча Група
13.1. Цей Кодекс набуває чинності, як тільки принаймні сім IT компаній нададуть ЄБА свої Декларації щодо відповідності Кодексу.
13.2. ЄБА повинна анонсувати на своєму веб-сайті дату набуття Кодексом чинності.
13.3. До цього Кодексу можуть вноситись зміни у разі внесення змін до Закону, а також з урахуванням правових підходів щодо особливостей застосування цього Закону, яка буде сформована у ході подальшої правозастосовної практики у сфері інформаційних технологій. Крім того, методичні матеріали щодо захисту персональних даних у сфері інформаційних технологій, практичні коментарі до чинного законодавства України та інші рекомендаційні доповнення оформляються відповідними Додатками до цього. Зміни розробляються Робочою Групою та схвалюються більшістю підписантів цього Кодексу.
13.4. Для розробки змін до Кодексу чи прийняття Додатків до нього створюється Робоча Група з числа представників ІТ компаній, які підписали даний Кодекс, представників ЄБА та залучених фахівців у сфері інформаційних технологій та юриспруденції.


Elaborated by EBA IT Committee Data Protection Working Group

© European Business Association 2012

www.eba.com.ua



Скачати 267.84 Kb.