Кодекс поведінки щодо захисту персональних даних у сфері інформаційних технологій зміст вітальне слово



Скачати 267.84 Kb.
Дата конвертації07.06.2017
Розмір267.84 Kb.



ЄВРОПЕЙСЬКА БІЗНЕС АСОЦІАЦІЯ

КОРПОРАТИВНИЙ КОДЕКС поведінки

ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ У СФЕРІ

ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ



ЗМІСТ

Вітальне слово Виконавчого директора Європейської Бізнес Асоціації…………………………………….…... 3
Рекомендаційний лист від Державної Служби України з питань захисту персональних

даних ……………………………............................................................................................................................ 4
РОЗДІЛ 1. Мета цього Кодексу ………………………………………………………………………………………………………….…. 5

РОЗДІЛ 2. Визначення ………………………………………………………………………………………………………………………….…. 6

РОЗДІЛ 3. Сфера застосування цього Кодексу ………………………………………………………………………………….….. 9

РОЗДІЛ 4. Загальні принципи обробки персональних даних ………………………………………………………….….. 9

РОЗДІЛ 5. Загальні рекомендації щодо захисту персональних даних ………………………………………........ 10

розділ 6. Рекомендації з безпеки даних ………………………………………..…………………………………………………. 11

розділ 7. Рекомендації стосовно безпосередніх виконавців …………………………………………………………. 12

розділ 8. Рекомендації щодо роботи із запитами по персональних даних ………………………………... 13

розділ 9. Рекомендації щодо транскордонної передачі персональних даних (з-за кордону) … 15

розділ 10. Рекомендації щодо транскордонної передачі персональних даних (за кордон) …… 15

розділ 11. Спеціальні рекомендації щодо захисту персональних даних ……………………………..…… 15

розділ 12. Питання щодо відповідності та списку ІТ компаній, які підписали Кодекс …………..… 16

розділ 13. Набуття чинності. Внесення змін. Робоча Група ……………………………………………………….… 18
Додаток 1 ....................................................................................................................................................

Додаток 2 ............................................................................................................................................



Вітальне слово Виконавчого директора Європейської Бізнес Асоціації




Шановні колеги!

Перед Вами унікальний нормативно-правовий документ, який містить основоположні принципи і рекомендації стосовно ефективного та надійного захисту персональних даних згідно з найкращими європейськими та міжнародними практиками.

Україна робить свої перші кроки на шляху до формування високих стандартів захисту персональних даних. При виборі надійного ділового партнера серед українських IT-компаній іноземні компанії нерідко перевіряють ступінь захисту особистої інформації.

Бажаючи надати ІТ-компаніям, що працюють в Україні, руку допомоги в побудові прозорих і довірчих відносин зі своїми іноземними клієнтами та партнерами, ми створили Корпоративний Кодекс захисту персональних даних у сфері інформаційних технологій.

Дотримання правил Кодексу свідчить про надійність компанії, високий ступінь безпеки інформації та відданість етичним стандартам обробки персональних даних своїх співробітників, клієнтів і партнерів.

Ми сердечно дякуємо всім фахівцям і досвідченим професіоналам в області інформаційних технологій та права, членам Комітету Асоціації з інформаційних технологій,  а також представникам державних органів, які взяли активну участь у розробці Кодексу.

Ми сподіваємося, що Вам сподобається цей ресурс і Ви зможете користуватися ним для розвитку Вашої компанії, а також зробите свій внесок у просування іміджу України як надійного бізнес-партнера.

З повагою,

Анна Дерев’янко

http://www.apk-inform.com/inlinecmsassetsplugin/assets/th/250x373/00/01/27/12734/%20%d0%94%d0%b5%d1%80%d0%b5%d0%b2%d1%8f%d0%bd%d0%ba%d0%be,%20%d0%bd%d0%b0%20%d1%81%d0%b0%d0%b9%d1%82.gif

Корпоративний кодекс поведінки щодо ЗАХИСТУ персональних даних у сфері інформаційних технологій

РОЗДІЛ 1. Мета цього Кодексу
Європейська Бізнес Асоціація (далі – «ЄБА»), як договірне об’єднання юридичних осіб, недержавна, неурядова та неприбуткова організація затвердила цей Кодекс, який закріплює рекомендації та практичні поради для компаній з інформаційних технологій (далі – «ІТ») щодо виконання вимог Закону України № 2297-VI від 1 червня 2010 року «Про захист персональних даних» (із подальшими змінами та доповненнями, далі – «Закон») та Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних № 108 від 28 січня 1981 року з урахуванням особливостей обробки персональних даних у ІТ секторі економіки.
Кодекс стане у нагоді ІТ компаніям, які прагнуть відповідати європейському та українському законодавству з питань захисту персональних даних.
Практичні рекомендації також допоможуть IT компаніям підвищити рівень захисту персональних даних своїх працівників, клієнтів та інших осіб при їх обробці, і тим самим побудувати довірчі відносини з ними. Це особливо актуально в еру цифрових комунікацій, Інтернет-торгівлі та інших дистанційних відносин, де довіра до ІТ компанії є запорукою розвитку бізнесу на основі використання персональних даних.
Іноземні компанії, обираючи надійного ділового партнера серед українських ІТ компаній, нерідко перевіряють рівень захищеності персональних даних. Тому дотримання рекомендацій та принципів цього Кодексу сприятиме розвитку бізнесу з іноземними замовниками.
Компанії, що приєднались до підписання цього Кодексу, прагнуть запевнити бізнес-партнерів та громадськість, що ІТ послуги надаються згідно з професійними та етичними нормами по відношенню до права на недоторканність приватного життя.
З юридичної точки зору, цей Кодекс має рекомендаційний характер. Водночас, його легальність як інструменту регулювання підтверджена статтею 27 (2) Закону. Кодекс не має на меті обтяжити діяльність компаній новими обов’язками, а, навпаки, спрямований на роз’яснення тих обов’язків, які встановлені Законом.


РОЗДІЛ 2. Визначення


    1. Для цього Кодексу, якщо інше не визначено у законодавстві:




  1. суб'єкт персональних даних - фізична особа, стосовно якої відповідно до Закону здійснюється обробка її персональних даних;




  1. володілець бази персональних даних (або володілець даних) - фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку персональних даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедур їх обробки, якщо інше не визначено законом.

Формально, володілець бази персональних даних повинен бути юридичною особою або приватним підприємцем, який обробляє дані у своїх цілях та відповідно до закону. Наприклад, компанії/ приватні підприємці у процесі їх господарської діяльності можуть вести базу даних своїх приватних клієнтів, потенційних клієнтів, співробітників або інших ключових контактних осіб; органи влади можуть вести офіційні бази даних громадян для виконання своїх громадських обов'язків;




  1. розпорядник бази персональних даних (або розпорядник даних) - фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Мета обробки даних є ключовим критерієм, який відрізняє володільця даних від розпорядника даних. Володілець даних обробляє персональні дані у своїх цілях або може призначити розпорядника даних у рамках аутсорсингу. ІТ компанії можуть виступати як володільцами, так і розпорядниками баз даних, визначаючи свій статус самостійно відповідно до даних, які вони обробляють. ІТ компанії, що залучені до аутсорсингу послуг, зазвичай розглядаються в якості розпорядників даних, тому що вони обробляють персональні дані, отримані від своїх клієнтів, які замовляють аутсорсинг ІТ послуг.




  1. уповноважений державний орган з питань захисту персональних даних – центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства. На момент прийняття Кодексу таким органом є Державна служба України з питань захисту персональних даних;




  1. IT компанії – це компанії, які здійснюють розробку програмного забезпечення, операційні послуги або хмарні комп’ютерні послуги. У разі необхідності IT компанії діють як володільці або розпорядники. Приватні підприємці можуть також розглядатися як ІТ компанії;




  1. персональні дані - відомості чи сукупність відомостей про фізичну особу (суб’єкта персональних даних), яка ідентифікована або може бути конкретно ідентифікована.




  1. безпосередній виконавець – це фізична особа, яка прийнята на роботу або залучена ІТ компанією на умовах цивільно-правового договору і реалізує конкретні завдання, технологічні процеси, послуги, в ході яких здійснюється обробка персональних даних.

За загальним правилом, вони діють від імені володільця чи розпорядника бази персональних даних, якщо інше не випливає із суті справи;




  1. третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця та/або розпорядника бази персональних даних, уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;




  1. персональні дані - відомості чи сукупність відомостей про фізичну особу (суб’єкта персональних даних), яка ідентифікована або може бути конкретно ідентифікована.

Конкретно ідентифікованою може бути особа, наприклад, через посилання на ідентифікаційний код або один чи декілька факторів, притаманних для його фізичної, психологічної, розумової, економічної, культурної, соціальної індивідуальності. Вичерпний перелік таких відомостей законодавством та міжнародними документами не закріплено і не може бути передбачено з об’єктивних причин;


Зазвичай, всі персональні дані відносяться до категорії "загальних" або "чутливих" персональних даних. Перелік видів чутливих даних обмежується: расовим або етнічним походженням, політичними, релігійними чи світоглядними переконаннями, належністю до політичних партій та профспілок, а також даних про стан здоров'я або статевого життя, інші дані можна розглядати як загальні. Тим не менш, не існує вичерпного списку того, що можна віднести до «персональних даних». Будь-яка спроба скласти список того, що може розглядатися як персональні дані, рано чи пізно стає неактуальним, так як це може вплинути на права громадян на недоторканність приватного життя. У зв'язку з цим є загальна європейська практика - ввести абстрактне юридичне визначення персональних даних;
Для того, щоб визначити, чи наявні дані повинні розглядатися як персональні дані, рекомендується відповісти на наступні питання:
1.Чи дані відносяться до особи?

2. Чи дані містять будь-яку інформацію (опис), який відноситься до особи?

3. Чи може хтось ідентифікувати певну людину за допомогою цих даних?
Володілець даних чи розпорядник даних повинні бути в змозі ідентифікувати особу на основі наявних даних.


  1. згода суб'єкта персональних даних (або згода) - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;




  1. база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;




  1. обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;




  1. знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу;




  1. інформаційні технології (або ІТ) - програмно-апаратні засоби збору, обробки, зберігання і розповсюдження голосової, візуальної, текстової та числової інформації;




  1. розробка програмного забезпечення - це розробка комп’ютерної програми (набір інструкцій у вигляді слів, цифр, кодів, схем, символів чи у будь-якому іншому вигляді, виражених у формі, придатній для зчитування комп'ютером, які приводять його у дію для досягнення певної мети або результату);




  1. операційні послуги – процес управління інформаційними системами як практика управління щоденними рутинними процесами, пов’язаними з підтримкою, функціонуванням цих інформаційних систем в їх життєвому циклі;




  1. Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних.




  1. хмарні комп’ютерні послуги - це надання обчислювальних ресурсів на вимогу за допомогою комп'ютерних мереж.

Інші поняття (або терміни) повинні мати те ж саме значення, яке визначене дійсним законодавством України.



РОЗДІЛ 3. Сфера застосування цього Кодексу
3.1. Цей Кодекс адресований до ситуацій та випадків обробки персональних даних у ході господарської діяльності ІТ компаній.
3.2. ІТ компанії, які підписались або в майбутньому підпишуться під даним Кодексом, слідують керівним принципам Кодексу, що стосуються захисту персональних даних, які можуть бути корисними для будь-якого розпорядника або володільця бази персональних даних..
3.3. ІТ компанії, які підписались під даним Кодексом, беруть на себе зобов'язання забезпечити, щоб всі безпосередні виконавці відповідали вимогам Закону та цього Кодексу.
3.4. IT компанії запрошуються долучитися до підписання цього Кодексу та дотримуватися норм Кодексу в їх господарській діяльності, а також сприяти подальшому обміну інформацією та виконанню керівних принципів Кодексу в області інформаційних технологій.
РОЗДІЛ 4. Загальні принципи обробки персональних даних

4.1. В доповнення до принципів, встановлених чинним законодавством України, додаються наступні принципи Кодексу:




  1. IT компанії повинні поважати конфіденційність персональних даних, які обробляють у своїй професійній діяльності;

  2. IT компанії повинні збалансовувати потреби суб’єктів відносин, пов’язаних із персональними даними.

  3. IT компанії повинні запевняти, що їх професійна діяльність, пов’язана з обробкою персональних даних, виконується особами з відповідними навичками, досвідом та усвідомленням принципів даного Кодексу;

  4. IT компанії повинні захищати репутацію та гідність IT професії та індустрії;

  5. IT компанії повинні відслідковувати будь-які зміни в законодавстві щодо захисту персональних даних, зміни цього Кодексу, а також передового досвіду у сфері захисту персональних даних.

РОЗДІЛ 5. Загальні рекомендації щодо захисту персональних даних

5.1. IT послуги повинні надаватися у відповідності з чинним законодавством України або законами інших юрисдикцій, які пов’язані з проектом, якщо це необхідно.


5.2. IT компанії повинні брати на себе відповідальність за всі необхідні заходи щодо захисту персональних даних, щоб уникнути конфлікту інтересів з клієнтами та/або суб'єктами персональних даних.
5.3. IT компанії повинні здійснювати свою діяльність з усвідомленням постійної загрози електронних атак злочинців, які діють в кіберпросторі, та можуть призвести до порушення захисту персональних даних.
5.4. IT компанії повинні бути готовими відреагувати на будь-яке порушення безпеки швидко та ефективно.
5.5. IT компанії повинні розробляти та організовувати відповідні рівні безпеки.
5.6. Безпосередні виконавці можуть отримати доступ і обробляти персональні дані тільки в межах своїх повноважень.
5.7. IT компанії повинні брати на себе відповідальність за всі необхідні заходи для забезпечення того, що якщо персональні дані були випадково втрачені, змінені або знищені, вони можуть бути відновленими.
5.8.   IT компанії, які є володільцями даних, повинні дотримуватися вимоги щодо реєстрації баз персональних даних в Державному реєстрі баз персональних даних.

розділ 6. Рекомендації з безпеки даних
6.1. IT компанії повинні приймати заходи щодо безпеки відповідно до ризику щодо несанкціонованого розголошення, втрати, знищення або зміни персональних даних. ІТ компанії повинні вжити заходів безпеки, щоб запобігти повторенню будь-якого інциденту порушення захисту персональних даних.
6.2. IT компанії можуть вводити різні рівні безпеки щодо персональних даних, які відповідають наступним критеріям:


  1. визначеним правовим вимогам, встановленими Законом та іншими нормативно-правовими актами України;

  2. категоріям (загальні та чутливі) та обсягу персональних даних, які необхідно захищати;

  3. шкоді, яка може виникнути в результаті неправильної, несанкціонованої або незаконної обробки персональних даних, або від випадкової втрати чи знищення;

  4. розміру та складності організації;

  5. рекомендаціям та технологіям, які загально доступні та/або прийняті іншими ІТ компаніями або бізнес-партнерами ІТ компаній;

  6. вартості імплементації;

  7. зобов'язанням, встановлених у контрактах з контрагентами щодо надання послуг.

6.3. IT Компанії самостійно та з урахуванням вимог чинного законодавства визначають заходи безпеки / безпеки програм, які вони повинні використовувати, зокрема:




  1. фізичну безпеку (безпека приміщень, відсутність екранів комп'ютерів доступних для загалу/відвідувачів; безпека робочого місця та обслуговування; безпека від несанкціонованого друку інформації та інше);

  2. технологічну безпеку (безпека внутрішньої ІТ мережі, безпека комп'ютерних серверів і прикладних програм, безпека мобільних комп'ютерів; надання персональних даних анонімно; шифрування та інше);

  3. безпеку управління (відстеження та управління інцидентами; управління авторизацією і активізацією користувачів; управління завданнями; резервне копіювання та безперервності бізнесу; архівування; забезпечення доступності та інше);

  4. організаційну безпеку (оцінка ризику; правила безпеки компанії; ідентифікація користувачів; обмін інформацією про потенційні ризики з іншими організаціями та інше).

6.4. Від ІТ компаній не вимагається мати найсучасніші технології безпеки для захисту персональних даних, проте ІТ компаніям слід регулярно переглядати свої заходи безпеки у ході технічного розвитку, або потенційного збільшення ризику.

розділ 7. Рекомендації стосовно безпосередніх виконавців
7.1. IT компанії повинні письмово призначити структурний підрозділ або відповідальну особу, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до Закону та цього Кодексу.
7.2 IT компаніям рекомендовано призначити безпосередніх виконавців, які мають або не мають право доступу та обробки персональних даних, та встановити відповідні заходи щодо встановлення особи безпосередніх виконавців. Ідентифікатор безпосереднього виконавця, який втратив право на обробку персональних даних, не повинен бути переданий іншому безпосередньому виконавцю, який має право на обробку персональних даних.
7.3. IT компаніям рекомендовано врегулювати юридичні зобов'язання щодо захисту персональних даних у власних правилах трудового розпорядку, політиках та/або довідниках. IT компаніям рекомендується укладати угоди про конфіденційність з кожним безпосереднім виконавцем та/або включати застереження про конфіденційність в трудові/цивільні договори.
7.4. ІТ компаніям рекомендовано проводити відповідні базові тренінги та тренінги з перепідготовки для безпосередніх виконавців, які мають право обробляти персональні дані.
7.5. ІТ компаніям рекомендовано визначити відповідні обмеження щодо персонального використання корпоративних комп’ютерів або інших приладів для безпосередніх виконавців. Безпосередній виконавець, який користується ноутбуком або іншими приладами, які містять персональні дані, зобов’язаний вживати спеціальних заходів під час користування ноутбуком/іншими приладами, які можна транспортувати, зберігати або використовувати поза приміщенням/території ІТ компанії, у якій обробляються дані.
7.6. У разі необхідності, ІТ компаніям рекомендовано проінформувати безпосередніх виконавців про факт моніторингу осіб/приміщень. ІТ компанія повинна розробити політику щодо моніторингу, і безпосередні виконавці повинні визнати її дотримання. Практика моніторингу не повинна порушувати прав безпосередніх виконавців на приватне життя, приватне листування і конфіденційність їх персональних даних.
7.7. ІТ компаніям рекомендовано проінформувати безпосередніх виконавців щодо положень Закону, цього Кодексу та відповідних положень у власних правилах трудового розпорядку, політиках та/або довідниках.

розділ 8. Рекомендації щодо роботи із запитами по персональних даних
8.1. Запит щодо доступу (далі - Запит) до персональних даних може подати як сам суб’єкт персональних даних відносно себе, так і третя особа чи державний орган відносно певного суб’єкта персональних даних. Залежно від того, хто подає запит – існують різні умови щодо його розгляду. Тому ІТ Компанія насамперед повинна визначити, ким є автор запиту відносно персональних даних, що запитуються, - суб’єктом персональних даних чи ні.
8.2. Якщо запит подає сам суб’єкт персональних даних відносно відомостей про себе, то існують такі правила. Відповідно до статті 16 (6) Закону суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту. При цьому, ІТ Компанія повинна пересвідчитись, що у запиті відображено відповідно:


  1. прізвище, ім'я та по-батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

  2. відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника даних;

  3. перелік персональних даних, що запитуються.

Крім того, суб’єкт персональних даних має право вимагати від володільця даних змінити або доповнити персональні дані або видалити персональні дані, якщо вони обробляються незаконно або не відповідають дійсності.


Відповіді повинні бути точними, повними і своєчасними (попередня відповідь – протягом 10 робочих днів, відповідь по суті запиту – протягом 30 днів з дня отримання запиту).
8.3. Якщо запит подає третя особа чи державний орган відносно певного суб’єкта персональних даних, то існують такі правила. Відповідно до статті 16 (3) Закону запит повинен подаватись володільцю бази персональних даних. Якщо ІТ Компанія вважається не володільцем бази персональних даних, а її розпорядником, то рекомендуємо скеровувати запит на розгляд безпосередньо володільцю даних, а автора запиту повідомити протягом 10 робочих днів про скерування його запиту за належністю. Якщо ІТ Компанія є володільцем бази персональних даних, або якщо володілець доручив розглядати усі запити ІТ Компанією самостійно, то ІТ Компанія повинна пересвідчитись, що у запиті відображено відповідно:


    1. прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

    2. найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

(2) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

(3) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця даних чи розпорядника даних;

(4) перелік персональних даних, що запитуються;

(5) мета запиту.


8.4. Відповіді повинні бути точними, повними і своєчасними (попередня відповідь – протягом 10 робочих днів, відповідь по суті запиту – протягом 30 днів з дня отримання запиту); строк розгляду запиту від третьої особи може бути продовжений ще на 15 днів за об’єктивних причин та за умови повідомлення у письмовій формі третьої особи, яка подала запит, про таке продовження, з роз’ясненням причин відстрочення.
8.5. Суб’єкти персональних даних повинні мати можливість знати, хто є володільцем бази персональних даних. Володільці даних повинні надати цю інформацію суб’єкту персональних даних у тексті згоди чи повідомленні, або зробити цю інформацію публічно доступною через свій корпоративний сайт.

розділ 9. Рекомендації щодо транскордонної передачі персональних даних (з-за кордону)
9.1. Закон не регулює умови транскордонної передачі персональних даних з іноземних юрисдикцій в Україну. Тому, коли передача персональних даних з іноземної юрисдикції необхідна для виконання послуг IT компанії, то ІТ компанія може погодити з іноземним партнером (володільцем даних) здійснення певних переддоговірних заходів безпеки. Передача даних в Україну може також здійснюватись на умовах відповідного договору щодо обробки даних, додаткових контрактних положеннях на основі Стандартних Контрактних Положень ЄС, які можуть підпорядковуватись законодавству України або іноземному законодавству.
розділ 10. Рекомендації щодо транскордонної передачі персональних даних (за кордон)
10.1. Транскордонна передача персональних даних іноземним суб'єктам відносин, здійснюється лише за умов (1) забезпечення належного захисту персональних даних, (2) за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані, відповідно до статті 29 (3) Закону.
10.2. ІТ компанії, які виступають володільцями даних, повинні бути відповідальними за дотримання захисту персональних даних при транскордонній передачі даних.
розділ 11. Спеціальні рекомендації щодо захисту персональних даних
1. Спеціальні рекомендації, спрямовані на захист обміну персональними даними передового досвіду в сфері ІТ. Ці керівні принципи будуть розроблені у майбутньому та пропонуватимуть наступне:
(1) типовий перелік вимог на сумісництво з вимогами безпеки замовників щодо загальної безпеки персональних даних та питання захисту персональних даних, для структурування угоди для аутсорсингу послуг;

(2) типовий перелік вимог на сумісництво з вимогами безпеки замовників для кожного життєвого циклу.



розділ 12. Питання щодо відповідності та списку ІТ компаній, які підписали Кодекс
12.1. Відповідність цьому Кодексу визначається за декларативним принципом, і ІТ компанії несуть самостійну відповідальність за виконання принципів даного Кодексу.

12.2. Кожна IT компанія, яка має намір підписати та відповідати принципам Кодексу, повинна подати до ЄБА Декларацію щодо відповідності принципам Кодексу, підписану та скріплену печаткою у належному порядку у двох примірниках, у якій повинні бути зазначені наступні зобов'язання:

[Назва компанії] даним декларує, що має намір діяти сумлінно та обробляти персональні дані законно та справедливо по відношенню до зацікавлених суб'єктів персональних даних, у відповідності з передовою практикою і керівним принципам, що містяться в Корпоративному кодексі поведінки щодо захисту персональних даних у сфері інформаційних технологій”.

12.3. Один примірник Декларації щодо відповідності Кодексу повинен зберігатися ЄБА, а інший повертається ІТ компанії з вхідною відміткою ЄБА.


12.4. Список ІТ компаній, які підписали дану Декларацію щодо відповідності Кодексу, повинні зберігатися ЄБА.
12.5. IT компанія має право відкликати свою Декларацію щодо відповідності Кодексу, надіславши попереднє повідомлення ЄБА у 10-ти денний строк.
12.6. IT компанії – підписанти Кодексу формують колегіальний орган – Загальні збори підписантів Кодексу (надалі – Загальні збори), що складається з представників всіх IT компаній – підписантів Кодексу.
12.7. Загальні збори скликаються не рідше одного разу на рік та вважаються правомочними у випадку присутності на них більше ніж 50% підписантів Кодексу. ЄБА здійснює скликання Загальних зборів, а також організаційні питання щодо забезпечення місця проведення Загальних зборів.
12.8. Підписанти щорічно подають до розгляду на Загальних зборах звіти у довільній формі щодо дотримання належного захисту персональних даних, або, за відсутності такої можливості, публікують їх на корпоративному сайті.
12.9. Під час проведення Загальних зборів простою більшістю голосів учасників обираються Голова та Секретар Загальних зборів.
12.10. Рішення Загальних зборів приймаються простою більшістю голосів.

12.11. Результати рішень закріплюються в Протоколах засідань Загальних зборів.


12.12. До компетенції Загальних зборів відносяться наступні питання:


  1. виключення підписантів Кодексу з переліку підписантів у випадку порушень Закону та Конвенції та невідповідності Кодексу; питання про виключення  ІТ компанії  зі списку підписантів може ініціюватись за рішенням Загальних зборів на основі подання будь-яким підписантом, якому стало відомо про такі негативні факти; рішення про виключення може бути прийняте лише після обговорення фактів та надання відповідних пояснень.

  2. внесення змін до Кодексу на основі проектів, підготовлених Робочою Групою;

  3. інші питання, що стосуються використання Кодексу IT компаніями – підписантами, при цьому будь-яка компанія підписант може ініціювати розгляд будь-якого питання, яке перебуває в компетенції Загальних зборів.


розділ 13. Набуття чинності. Внесення змін. Робоча Група
13.1. Цей Кодекс набуває чинності, як тільки принаймні сім IT компаній нададуть ЄБА свої Декларації щодо відповідності Кодексу.
13.2. ЄБА повинна анонсувати на своєму веб-сайті дату набуття Кодексом чинності.
13.3. До цього Кодексу можуть вноситись зміни у разі внесення змін до Закону, а також з урахуванням правових підходів щодо особливостей застосування цього Закону, яка буде сформована у ході подальшої правозастосовної практики у сфері інформаційних технологій. Крім того, методичні матеріали щодо захисту персональних даних у сфері інформаційних технологій, практичні коментарі до чинного законодавства України та інші рекомендаційні доповнення оформляються відповідними Додатками до цього. Зміни розробляються Робочою Групою та схвалюються більшістю підписантів цього Кодексу.
13.4. Для розробки змін до Кодексу чи прийняття Додатків до нього створюється Робоча Група з числа представників ІТ компаній, які підписали даний Кодекс, представників ЄБА та залучених фахівців у сфері інформаційних технологій та юриспруденції.


Elaborated by EBA IT Committee Data Protection Working Group

© European Business Association 2012

www.eba.com.ua



Поділіться з Вашими друзьями:


База даних захищена авторським правом ©divovo.in.ua 2017
звернутися до адміністрації

войти | регистрация
    Головна сторінка


загрузить материал