Захист персональних даних
Додаток 1
розпорядження
сільського голови
від 19.07.2021 №68
ПОЛОЖЕННЯ
про порядок обробки та захисту
персональних даних у Зимноводівській сільській раді
1. Загальні положення
1.1. Положення про порядок обробки та захисту персональних даних у Зимноводівській сільській раді (далі – Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати даних під час обробки.
1.2. Положення розроблено на підставі законів України «Про захист персональних даних» (далі — Закон), «Про інформацію», «Про звернення громадян», «Про доступ до публічної інформації» та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14 (далі – Типовий порядок).
1.3. Положення є обов’язковим для виконання працівниками Зимноводівській сільській раді, які мають доступ до персональних даних та обробляють персональні дані суб’єктів звернень до виконавчих органів сільської ради.
1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону та Типового порядку.
1.5. До персональних даних осіб, що звертаються, належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
1.6. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або суб’єктом персональних даних. Персональні дані осіб є інформацією з обмеженим доступом.
Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.
Кожному забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законом.
2. Мета обробки персональних даних
2.1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
2.2. Обробка персональних даних у структурних підрозділах сільської ради проводиться з метою забезпечення реалізації конституційного права громадян на звернення, трудових, адміністративно-правових та інших відносин, вирішення питань, порушених у заявах, пропозиціях або скаргах громадян, інших випадках, передбачених законодавством.
2.3. Обробка персональних даних здійснюється відкрито і прозоро, із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки (додаток 1).
2.4. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є не сумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.
3. Склад персональних даних
3.1. Склад персональних даних визначається відповідно до вимог чинного законодавства, що регулює діяльність сільської раді щодо правового, організаційного, матеріально-технічного та іншого забезпечення діяльності, підготовки аналітичних, інформаційних та інших матеріалів, звернення громадян тощо, та інші дані, які особи добровільно, за власним бажанням, надають про себе.
3.2. Склад та зміст персональних даних мають бути відповідними, адекватними та не надмірними стосовно визначеної мети їхньої обробки.
3.3. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
4. Підстави для обробки персональних даних
4.1. Підставами для обробки персональних даних є:
4.1.1. Згода суб’єкта персональних даних на обробку його персональних даних (додаток 2).
4.1.2. Дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень.
4.1.3. Укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.
4.1.4 Захист життєво-важливих інтересів суб’єкта персональних даних.
4.1.5. Необхідність виконання обов’язку володільця персональних даних, який передбачений законом.
4.1.6. Необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
4.2. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
4.3. Якщо обробка персональних даних є необхідною для захисту життєво-важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
4.4. Збирання персональних даних є складовою процесу їхньої обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
4.5. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані (зразок Повідомлення – додаток до Положення):
4.5.1. В момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних.
4.5.2. В інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
5. Обов’язки працівників сільської ради,
які обробляють персональні дані суб’єктів звернень
5.1. Працівники сільської ради, які обробляють персональні дані суб’єктів звернень мають бути обізнані з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.
5.2. Зобов’язані:
5.2.1. Використовувати персональні дані лише відповідно до посадових чи службових обов’язків, запобігати втраті персональних даних або їхньому неправомірному використанню.
5.2.2. Не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових чи службових обов’язків (крім випадків, передбачених законом), при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.
5.2.3. Терміново повідомляти безпосереднього керівника та відповідальну особу, що організує роботу, пов’язану із захистом персональних даних при їхній обробці у сільської раді, у разі:
- втрати або неумисного знищення носіїв інформації з персональними даними;
- втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
- виявлення спроби несанкціонованого доступу до персональних даних;
- в інших випадках, що загрожують або призвели до пошкодження, псування, несанкціонованого доступу, знищення, поширення тощо персональних даних.
5.2.4. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
5.3. Посадові особи сільської ради, які мають доступ до баз персональних даних відповідно до своїх посадових обов’язків, надають письмове зобов’язання про нерозголошення персональних даних, які їм були довірені або стали відомі у зв’язку з виконанням службових обов’язків за формою, згідно з додатком 3 ( додається).
5.4. Зобов’язання про нерозголошення персональних даних реєструються у Журналі реєстрації зобов’язань про нерозголошення персональних даних за формою, згідно з додатком 4 до цього Положення (додається).
5.5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
5.6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
6. Порядок та документальне забезпечення обробки
персональних даних суб’єктів звернень
6.1. Обробка персональних даних
6.1.1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їхньої обробки, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.
6.1.2. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
6.2. Використання персональних даних працівниками виконавчих органів при розгляді звернень громадян
6.2.1. Використання персональних даних передбачає будь-які дії працівників сільської ради щодо обробки цих даних, дії щодо їхнього захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.
6.2.2. Використання персональних даних працівниками сільської ради здійснюється у разі створення ними умов для захисту цих даних. Забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних із такими даними.
6.2.3. Використання персональних даних працівниками сільської ради суб'єктів відносин, пов'язаних із персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків.
6.3. Доступ до персональних даних суб’єкта персональних даних та третіх осіб.
6.3.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону.
6.3.2. Поширення персональних даних суб’єктів звернень третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причині поширення відповідних даних.
6.3.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або не спроможна їх забезпечити.
7. Знищення персональних даних
7.1. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
7.2. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
7.3. Персональні дані підлягають видаленню або знищенню у разі:
7.3.1. Закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом.
7.3.2. Припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом.
7.3.3 Набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
7.4. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню в установленому законодавством порядку.
7.5. Відповідальність за дотримання Закону при знищенні або видаленні персональних даних покладається на керівників структурних підрозділів сільської ради.
8. Захист персональних даних суб’єктів звернень
при їхній обробці в Автоматизованій системі
8.1. Право доступу до Автоматизованої системи надається працівникам, які відповідно надали письмове зобов’язання щодо нерозголошення персональних даних.
8.2. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує відділ інформаційного та програмного забезпечення сільської ради.
Додаток 1
до Положення про порядок обробки
та захисту персональних даних
_________________________________ _________________________________ _________________________________ _________________________________
(прізвище, ім’я, по батькові, місце проживання, паспортні дані (якщо такі відомі), РНОКПП (якщо такий відомий) суб’єкта персональних даних)
Повідомлення про збір та обробку персональних даних
Зимноводівська сільська рада відповідно до ст.12 Закону України «Про захист персональних даних» повідомляє Вас, як суб’єкта персональних даних, про те, що сільською радою здійснюється збір та обробка Ваших персональних даних, а саме: ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
(склад та зміст зібраних персональних даних)
Збір та обробка вказаних вище персональних даних здійснюється з метою: ______________________________________________________________________________________________________________________________________________________________________________________________________
Відповідно до ст.8 Закону України «Про захист персональних даних» Ви, як суб’єкт персональних даних, маєте право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місце знаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5)пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
Особи, яким передаються Ваші персональні дані:
____________________________________________________________________________________________________________________________________
(посада) (підпис) (ПІБ)
Додаток 2
до Положення про порядок обробки
та захисту персональних даних
ЗГОДА
на збір та обробку персональних даних
Я, _________________________________________________________________
(народився «_____» ______________ ____ року , паспорт __________________, виданий________________________________________________________________реєстраційний номер облікової картки платника податків _________________, який проживає за адресою: ___________________________________________________________________________________________________________________________________________________) шляхом підписання цього тексту, відповідно до Закону України «Про захист персональних даних», надаю згоду Зимноводівській сільській раді на обробку моїх персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені для внесення до картотеки, із застосуванням неавтоматизованих засобів, бази персональних даних__________________________________________________________________ (назва бази персональних даних, до якої вносяться відомості) у такому обсязі: ______________________________________________________________________________________________________________________________________ з метою _______________________________________________________________________. Зобов’язуюся в разі зміни моїх персональних даних подати у найкоротший строк уточнену достовірну інформацію та оригінали відповідних документів для оновлення моїх персональних даних.
„___”_________20___року, ________________________(____________________________)
Особу та підпис __________________________________________ перевірено Відповідальна особа __________________ ____________
( ___________________________)
Додаток 3
до Положення про порядок обробки
та захисту персональних даних
Зобов’язання
про нерозголошення персональних даних
____________________________________________________________________________________________________________________________________
(прізвище, ім’я, по батькові)
__________________________________________________________________
(структурний підрозділ)
__________________________________________________________________
(посада)
Відповідно до статті 10 Закону України «Про захист персональних даних» зобов’язуюсь не розголошувати у будь-який спосіб персональні дані інших осіб, що стали мені відомі у зв’язку з виконанням посадових обов’язків або повноважень.
Підтверджую, що зобов’язання буде чинним після припинення мною діяльності, пов’язаної з обробкою персональних даних, крім випадків, передбачених законом.
«___»_____________20__року _____________ підпис
Додаток 4
до Положення про порядок обробки
та захисту персональних даних
ЖУРНАЛ
реєстрації зобов’язань про нерозголошення персональних даних
№ ПП/п |
Прізвище, ім’я, по батькові працівника |
Структурний підрозділ, посада |
Назва бази персональних даних, склад персональних даних, до яких має доступ працівник |
Дата та підстава надання права на доступ до персональних даних |
Дата та підстава позбавлення права доступу до персональних даних та їх обробки |
1. |
2. |
3. |
4. |
5. |
6. |
Додаток 2
до розпорядження
сільського голови
від 19.07.2021 №68
Примірний План
дій працівників виконавчих органів сільської ради на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій
1. При виявленні ознак несанкціонованого доступу до персональних даних суб’єктів звернень до виконавчих органів Зимноводівській сільській ради таких як: несанкціоноване отримання логінів і паролів, підбір паролів та ключів, працівник, який виявив дані ознаки, зобов’язаний негайно:
- припинити обробку персональних даних;
- звернутися до адміністратора системи з метою блокування доступу до облікового запису;
- повідомити безпосереднього керівника та відповідальну особу, що організує роботу, пов’язану із захистом персональних даних при їхній обробці у виконавчих органах Зимноводівській сільській ради (далі – відповідальна особа);
- змінити паролі доступу (за наявності технічної можливості);
2. При виявленні зараження програмного забезпечення та носіїв інформації комп’ютерними вірусами працівник зобов’язаний:
- негайно припинити обробку персональних даних;
- вимкнути комп’ютерну техніку від електроживлення;
- повідомити адміністратора системи;
- повідомити безпосереднього керівника та відповідальну особу.
3. При вчиненні випадкових та/або помилкових дій, що можуть призвести до втрати, зміни, поширення, розголошення персональних даних тощо, необхідно:
- припинити обробку персональних даних;
- про всі події та факти повідомити безпосереднього керівника та відповідальну особу.
4. При відмові та/або збої програмного забезпечення, за допомогою якого здійснюється обробка персональних даних, працівник зобов’язаний:
- припинити обробку персональних даних;
- повідомити адміністратора системи;
- повідомити безпосереднього керівника та відповідальну особу.
5. При виявленні пошкодження, втрати, викрадення документа або іншого носія персональних даних невідкладно повідомити безпосереднього керівника та відповідальну особу.
6. В разі виникнення надзвичайних ситуацій (пожежа, повінь, стихійні лиха тощо):
- вжити невідкладних заходів щодо оповіщення відповідних служб реагування;
- забезпечити збереження носіїв персональних даних осіб від втрати та пошкодження (за наявної можливості та у спосіб, що не загрожує життю та здоров’ю працівників);
- повідомити безпосереднього керівника та відповідальну особу.
7. Про всі випадки несанкціонованого доступу до персональних даних, передбачені пунктами 1-6 даного Плану, та/або інші випадки, що призвели до пошкодження, псування, несанкціонованого доступу, знищення, поширення тощо персональних даних, працівник, який виявив даний факт, та керівник виконавчого органу невідкладно письмово повідомляють про подію відповідальну особу.
Повідомлення реєструється відповідно до вимог діловодства у виконавчих органах сільської ради.
8. Після отримання повідомлення відповідальна особа складає Акт про факт порушення процесу обробки та захисту персональних даних (далі – Акт).
Акт підписується відповідальною особою та працівником, яким виявлено (вчинено) дане порушення. Відмова від підпису працівника фіксується відповідно до вимог чинного законодавства.
Організація роботи, пов’язаної із захистом персональних даних при їхній обробці, тих володільців/розпорядників, на яких не поширюються вимоги частини другої статті 24 Закону України «Про захист персональних даних», покладається безпосередньо на тих осіб, які здійснюють обробку персональних даних.
Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
9. Підписаний Акт надається сільському голові або, в разі його відсутності, – посадовій особі, на яку покладено виконання його повноважень для прийняття рішення про проведення службового розслідування, повідомлення правоохоронних органів про несанкціонований доступ до персональних даних та вжиття відповідних