Міністерство юстиції затвердило Типовий порядок обробки персональних даних у базах персональних даних. Відповідний наказ підписав міністр юстиції Олександр Лавринович. Порядок встановлює загальні вимоги до захисту персональних даних під час їх обробки володільцями та розпорядниками баз персональних даних. Так, порядок передбачає, що обробка персональних даних може здійснюватися в автоматизованій системі або у формі картотек.
При цьому, у разі, якщо володілець бази персональних даних обробляє їх в автоматизованій системі, він зобов’язаний забезпечити захист системи від несанкціонованого доступу, а також антивірусний захист.
Працівники володільця бази можуть допускатися до обробки персональних даних лише після відповідної авторизації (авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних).
Доступ осіб, які не пройшли процедури ідентифікації (розпізнавання користувача в системі), повинен блокуватися.
Володільці баз персональних даних можуть також вести реєстрацію дій, що здійснювалися в базі, - результатів ідентифікації користувачів у системі, дій з обробки персональних даних тощо, - повідомляє прес-служба Міністерства юстиції України.
Реєстраційні дані мають захищатися від модифікації та знищення. Крім того, реєстраційні дані мають зберігатися й надаватися на вмотивовану вимогу для аналізу, наприклад у випадку перевірки.
У разі, якщо обробка персональних даних здійснюється у формі картотек, володілець бази зобов’язаний зберігати картотеки у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу. Двері у відповідні приміщення мають бути обладнані замком або контролем доступу.
Порядок обробки персональних даних визначає також способи збирання, терміни зберігання та знищення відповідних баз персональних даних.
Так, до отримання згоди від суб’єкта персональних даних на їх збір володілець бази повинен поінформувати про мету обробки персональних даних.
При цьому володілець бази персональних даних може зберігати такі дані не більше, ніж це передбачала мета. Після цього персональні дані мають бути знищені у спосіб, який виключає подальшу можливість поновлення таких персональних даних.
На володільця (розпорядника) бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.