Документи
Згода на обробку персональних даних
Відкрити документСправжнім, я (Користувач) даю добровільну згоду ТОВ «РОКСОР», розташованому за адресою https://mazilla.net.ua/ (далі - Оператор), на обробку наданих мною персональних даних (прізвище, ім'я, по батькові, дата, місце народження, вік, стать, адреса, телефон, адреса електронної пошти, відомості про місце роботи та посади, а також іншої зазначеної мною інформації). Згода дається на будь-які дію (операції) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання , передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних, з метою надання Сервісів і надання Послуг (виконання угод і договорів з Користувачем), ідентифікації Користувача як сторони в рамках угод і договорів, надання Користувачеві персоналізованих Сервісів, зв'язку з користувачем, у тому числі направлення повідомлень, запитів та інформації, що стосуються використання Сервісів, надання послуг, а також обробки запитів і заявок від користувача, поліпшення якості Послуг, зручності їх використання, розробки нових Сервісів і послуг, таргетування рекламних матеріалів, проведення статистичних та інших досліджень на основі знеособлених даних і в інших цілях, про ределенном видами діяльності в Статуті Оператора. Я погоджуюся з тим, що Оператор під свою відповідальність має право доручити обробку персональних даних будь-якій третій особі на свій розсуд, у тому числі здійснення такою особою конфіденційності та захисту моїх персональних даних. Передача моїх персональних даних третій стороні і отримання від третьої сторони персональних даних може здійснюватися зазначеними операторами персональних даних з дати підписання даного згоди. Згода на обробку моїх персональних даних та інші вищевказані дії надається без обмеження терміну його дії. Я сповіщений про те, даний згода може бути відкликане мною за допомогою складання відповідної письмової заяви, яке може бути направлено мною на адресу Оператора на адресу електронної пошти ua@broker-online.online, поштою рекомендованим листом з повідомленням про вручення вручений або особисто під розписку представнику Оператора, але не пізніше, ніж за 1 (один) місяць до дати набрання відповідним відкликання в силу. Я також погоджуюся з тим, що реєстрація на Сайті Оператора (https://mazilla.net.ua/) іабо оформлення Заявки на послуги Оператора з урахуванням попереднього ознайомлення з цим текстом є, достатньою формою згоди на обробку моїх персональних даних. Зазначена форма згоди дозволяє підтвердити факт отримання моєї згоди, при цьому письмова форма або інші докази для додаткового підтвердження мого вільного волевиявлення Оператору не будуть потрібні. Моя згода є конкретним, поінформованим і свідомим.
Даю згоду на передачу, зберігання, використання та поширення через Бюро кредитних історій інформації, щодо себе та згоду ТОВ "Українському бюро кредитних історій", що знаходиться за адресою: 01001, м.Київ, вул.Грушевського, 1-д. на збір, зберігання і використання інформації з інших джерел, яка впливає на можливість виконання моїх зобов'язань відповідно до ст.9, ст.11 Закону України «Про організацію формування та обігу кредитних історій», а так само на доступ і отримання своєї кредитної історії в ТОВ "Українське Бюро кредитних історій" у порядку, передбаченому ст.11 Закону України «Про організацію формування та обігу кредитних історій» та відповідно до Закону України «Про захист персональних даних ».
А також згоден з тим, що в разі неналежного виконання своїх зобов'язань ТОВ «Українське бюро кредитних історій», де буде зберігатись і оброблятися моя кредитна історія, розмір фінансової відповідальності ТОВ «Українське бюро кредитних історій» перед мною обмежується розміром, що вказаний в договорі про надання інформаційних послуг, укладеним між Банком / Лізингова компанія / Страхова компанія / Не фінансова організація ін., та ТОВ «Українське бюро кредитних історій
Захист особистих даних і застереження на приватність
Відкрити документЗахист особистих даних відвідувачів сайту mazilla.net.ua (далі в тексті так званої «Сайт») компанія забезпечує відповідно до чинних нормативних актів України. Компанія власник провела всі необхідні заходи для забезпечення безпеки особистих даних і для того щоб не допустити їх необгрунтоване потрапляння в розпорядження третіх осіб. Однак компанія не може нести відповідальності за інші сайти, на які є посилання з mazilla.net.ua. Інформація, запитувана у відвідувачів при відвідуванні mazilla.net.ua. обробляється відповідно до мети її отримання. Для перегляду сайту і пропозицій mazilla.net.ua надання особистої інформації не потрібно. Зміст Сайту є у вільному доступі, і користувач може отримати всю необхідну йому інформацію про пропоновану послугу без реєстрації.
Для забезпечення послуг і оцінки необхідності поліпшень змісту Сайту і його розміщення сервіс має право обробити для відвідувачів Сайту також інформацію, яка міститься в файлах доступу до Сайту, наприклад IP-адреса, інтернет-провайдер, час відвідування, переглянуті розділи та інші.
На Сайті mazilla.net.ua використовуються куки (cookies), що забезпечують можливості ширшого користування Сайтом. Відповідно до можливостями, запропонованими використовуваними технологіями, можна відмовитися від використання куки, однак це не рекомендується, так як в даному випадку знизяться можливості користування Сайтом mazilla.net.ua. Компанія рекомендує, залишивши куки включеними, переконатися, що ти вийшов з системи після закінчення роботи на комп'ютері загального користування.
На сторінках Google і партнерів Google демонструється реклама mazilla.net.ua, при цьому для показу реклами використовуються файли cookies, оскільки реклама демонструється на підставі того, що раніше за допомогою даного інтернет-браузера ви відвідували домашню сторінку mazilla.net.ua. Ви можете відмовитися від cookies Google, зайшовши нa сторінку установок реклами Google або на сторінку відмови від всієї реклами в мережі.
Для забезпечення організації роботи в глобальній комп'ютерній середовищі mazilla.net.ua рекомендує до початку використання Сайту переконатися, чи забезпечений комп'ютер актуалізований і працюючим антивірусним програмним забезпеченням, а також в тому, що операційна система на вашому комп'ютері оснащена всіма доступними в конкретний момент поліпшеннями безпеки.
Згода користувача на дзвінки та СМС повідомлення
Відкрити документТОВ «РОКСОР»
___________________________________________________________________________
04210, м. Київ, проспект Героїв Сталінграда, буд.20-А.
Згода
Я дозволяю ТОВ «РОКСОР» збирати, зберігати, обробляти мої персональні дані:
- Мобільний телефон
- Домашній телефон
- Електронна адреса
Дана згода дається мною для:
- Підтримки зв'язку зі мною
- Напрямки мені кореспонденції на вказану поштову адресу
- Здійснення звернень за вказаними номерами телефону
- Здійснення відправки СМС-повідомлень на вказаний мобільний телефон
- Здійснення відправки повідомлень по каналах Viber на вказаний мобільний телефон
- Здійснення відправки електронних листів на вказану електронну адресу для інформування про надходження нових послуг, перевірки актуалізації запиту, узгодження заявки, перевірки отримання інформації
Я підтверджую, що:
- Персональні дані свідомо і добровільно;
- Дані, зазначені в анкеті, відповідають дійсності і коректні;
- Згода дається на 5 (п'ять) років з можливістю одностороннього відкликання в будь-який час, будь-яким з наступних способів:
- Звернення за телефоном: +38 094 71 20 318
- Відправлення електронного листа на електронну адресу: ua@broker-online.online
Положення про обробку персональних даних
Відкрити документПОЛОЖЕННЯ
ПРО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
04210, м. Київ, проспект Героїв Сталінграда, буд.20-А.
ЗМІСТ
1Общее ПОЛОЖЕННЯ 4
2 СУБ'ЄКТИ І ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 6
3 ОРГАНІЗАЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 7
3.1 Призначення відповідальних осіб 7
3.2 Допуск працівників до обробки персональних даних 7
3.3 Отримання персональних даних 7
3.4 Систематизація, накопичення, уточнення і використання персональних даних 8
3.5 Передача персональних даних 8
3.6 Зберігання персональних даних 8
3.7 Повідомлення про обробку персональних даних 8
4 ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, здійснюється без використання ЗАСОБІВ АВТОМАТИЗАЦІЇ 10
5 ОРГАНІЗАЦІЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ 12
6 ПОРЯДОК ОБРОБКИ ЗВЕРНЕНЬ І ЗАПИТІВ З ПИТАНЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 13
7 Заключні положення 14
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
Положення про обробку персональних даних в ТОВ «РОКСОР» (далі - Положення) розроблено відповідно до Закону України «Про захист персональних даних» № 2297-VI.
Це Положення визначає порядок обробки персональних даних і встановлює загальні вимоги до забезпечення безпеки персональних даних, які обробляються в ТОВ «РОКСОР» (далі - Оператор) як з використанням засобів автоматизації, так і без використання таких засобів.
У Положенні терміни вживаються в такому значенні:
- автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки;
- блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних);
- інформаційна система персональних даних - сукупність містяться в базах даних персональних даних і забезпечують їх обробку інформаційних технологій і технічних засобів;
- знеособлення персональних даних - дії, в результаті яких неможливо визначити без використання додаткової інформації приналежність персональних даних конкретного суб'єкта персональних даних;
- обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;
- оператор - державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними;
- персональні дані - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних);
- надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певного кола осіб;
- поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, в тому числі оприлюднення персональних даних в засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом;
- транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичній або іноземній юридичній особі;
- знищення персональних даних - дії, в результаті яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних і (або) в результаті яких знищуються матеріальні носії персональних даних.
Дія Положення поширюється на всі структурні підрозділи Оператора.
Це Положення повинно бути доведено до кожного працівника Оператора, що здійснює обробку персональних даних, під розпис.
2 СУБ'ЄКТИ І ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Цілі обробки персональних даних, підстави для їх обробки, можливі дії (операції), що здійснюються з персональними даними, терміни обробки і склад оброблюваних персональних категорій суб'єктів персональних даних, які обробляються у Оператора, вказані в Переліку оброблюваних персональних даних.
3 ОРГАНІЗАЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
3.1 Призначення відповідальних осіб
Для організації обробки персональних даних у Оператора призначається відповідальна особа.
Для визначення рівня захищеності інформаційних систем персональних даних, перевірки готовності засобів захисту інформації до використання, а також знищення персональних даних наказом керівника Оператора призначається Комісія по приведенню у відповідність до вимог законодавства України в області персональних даних (далі - Комісія).
У своїй роботі Комісія керується Положенням про комісію щодо приведення у відповідність до вимог законодавства України в області персональних даних, затвердженого наказом керівника Оператора.
3.2 Допуск працівників до обробки персональних даних
Допуск працівників Оператора до обробки персональних даних здійснюється на підставі наказу про призначення на посаду відповідно до Переліку посад і третіх осіб, що мають доступ до персональних даних.
Працівники Оператора отримують доступ до обробки персональних даних для виконання ними службових (трудових) обов'язків, після виконання наступних заходів:
- ознайомлення під розпис з керівними документами Оператора і нормативними актами України з безпеки та обробки персональних даних;
- оформлення письмового зобов'язання про нерозголошення персональних даних, форма якого затверджена наказом керівника Оператора.
Працівники Оператора, що мають допуск до персональних даних, мають право отримувати тільки ті персональні дані, які необхідні їм для виконання службових (трудових) обов'язків.
3.3 Отримання персональних даних
Персональні дані суб'єкта виходять від нього самого або від нього законного представника. У разі, якщо персональні дані отримані не від суб'єкта персональних даних, Оператор до початку обробки таких персональних даних зобов'язаний повідомити суб'єкта про отримання його персональних даних.
3.4 Систематизація, накопичення, уточнення і використання персональних даних
Систематизація, накопичення, уточнення і використання персональних даних здійснюється шляхом оформлення і ведення документів обліку і баз даних суб'єктів персональних даних.
Працівники Оператора, що мають доступ до персональних даних, повинні забезпечити їх обробку, яка виключає несанкціонований доступ до них третіх осіб.
3.5 Передача персональних даних
Передача персональних даних суб'єктів третім особам може здійснюватися тільки при наявності письмової згоди суб'єкта, якщо інше не передбачено законодавством.
При передачі персональних даних суб'єктів третім особам, з третьою особою має бути підписана Угода про дотримання безпеки персональних даних, переданих на обробку, форма якого затверджена наказом керівника Оператора.
Передача персональних даних суб'єктів між підрозділами Оператора повинна здійснюватися тільки між працівниками, допущеними до обробки персональних даних.
3.6 Зберігання персональних даних
Зберігання персональних даних суб'єктів здійснюється на паперових та машинних носіях інформації в спеціально виділених сховищах підрозділів Оператора, а також в інформаційних системах Оператора, що забезпечують збереження персональних даних та їх захист від несанкціонованого доступу.
Знищення персональних даних в інформаційних системах, на машинних і паперових носіях інформації має здійснюватися протягом тридцяти днів з дати досягнення мети обробки (граничного терміну зберігання) персональних даних. При неможливості знищення персональних даних протягом тридцяти днів з дати досягнення мети обробки персональних даних, забезпечується їх блокування і знищення в термін, що не перевищує шести місяців.
Порядок і правила обліку, зберігання і знищення персональних даних описані в Регламенті з обліку, зберігання та знищення носіїв персональних даних.
3.7 Повідомлення про обробку персональних даних
Оператор повідомляє Уповноважений орган із захисту прав суб'єктів персональних даних про обробку персональних даних.
У разі зміни відомостей, зазначених у повідомленні, а також у разі припинення обробки персональних даних Оператор також повідомляє про це Уповноважений орган.
4 ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, здійснюється без використання ЗАСОБІВ АВТОМАТИЗАЦІЇ
Персональні дані при їх обробці без використання засобів автоматизації відокремлюються від іншої інформації шляхом фіксації їх на окремих матеріальних носіях персональних даних, в спеціальних розділах або на полях форм (бланків).
При фіксації персональних даних на матеріальних носіях не допускається запис на одному матеріальному носії персональних даних, мету обробки яких свідомо несумісні. При обробці різних категорій персональних даних без використання засобів автоматизації для кожної категорії персональних даних повинен використовуватися окремий матеріальний носій.
При використанні типових форм документів, характер інформації в яких передбачає або допускає включення в них персональних даних, необхідно додержуватися таких умов:
- типова форма повинна містити відомості про мету обробки персональних даних, найменування та адреса Оператора, прізвище, ім'я, по батькові та адреса суб'єкта персональних даних, джерело отримання персональних даних, терміни обробки персональних даних, перелік дій з персональними даними, які будуть відбуватися в процесі їх обробки , загальний опис використовуваних оператором способів обробки персональних даних;
- типова форма повинна передбачати поле, в якому суб'єкт персональних даних може поставити позначку про свою згоду на обробку персональних даних - при необхідності отримання письмової згоди на обробку персональних даних;
- типова форма повинна бути складена таким чином, щоб кожен із суб'єктів персональних даних, що містяться в документі, мав можливість ознайомитися зі своїми персональними даними, що містяться в документі, не порушуючи прав і законних інтересів інших суб'єктів персональних даних;
- типова форма повинна виключати об'єднання полів, призначених для внесення персональних даних, мету обробки яких свідомо не сумісні.
При несумісності цілей обробки персональних даних, зафіксованих на одному матеріальному носії, якщо матеріальний носій не дозволяє здійснювати обробку персональних даних окремо від інших зафіксованих на тому ж носії персональних даних, повинні бути вжиті заходи щодо забезпечення роздільної обробки персональних даних.
Необхідно забезпечувати роздільне зберігання персональних даних (матеріальних носіїв), обробка яких здійснюється в різних цілях.
Знищення або знеособлення частини персональних даних, якщо це допускається матеріальним носієм, може проводитися способом, що виключає подальшу обробку цих персональних даних зі збереженням можливості обробки інших даних, зафіксованих на матеріальному носії.
Уточнення персональних даних при їх обробці без використання засобів автоматизації проводиться шляхом відновлення або зміни даних на матеріальному носії, а якщо ці закони не дозволяють технічними особливостями матеріального носія, - шляхом фіксації на тому ж матеріальному носії відомостей про внесені в них зміни або шляхом виготовлення нового матеріального носія з уточненими персональними даними.
Особи, які здійснюють обробку персональних даних без використання засобів автоматизації, повинні бути проінформовані:
- про факт обробки ними персональних даних, обробка яких здійснюється без використання засобів автоматизації;
- про категорії оброблюваних персональних даних;
- про особливості і правила здійснення такої обробки.
5 ОРГАНІЗАЦІЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
Персональні дані обробляються у Оператора як з використанням засобів автоматизації, так і без використання таких засобів.
Порядок обробки та захисту персональних даних в інформаційних системах Оператора визначається Положенням про забезпечення безпеки персональних даних.
Захист персональних даних від неправомірного їх використання або втрати забезпечується Оператором за рахунок власних коштів.
Працівники Оператора, які в рамках виконання посадових обов'язків мають доступ до персональних даних, зобов'язані дотримуватися режиму конфіденційності персональних даних на всіх етапах їх обробки.
За відсутності працівника на його робочому місці не повинно бути документів і машинних носіїв інформації, що містять персональні дані.
Доступ працівників Оператора та інших осіб в приміщення, в яких здійснюється обробка і зберігання персональних даних, обмежується організаційними заходами і застосуванням системи контролю та управління доступом.
З огляду на масовість і єдині місця обробки і зберігання, гриф «конфіденційно» на документах, що містять персональні дані, не ставиться.
Організацію обробки персональних даних суб'єктів, контроль дотримання заходів їх захисту в структурних підрозділах Оператора, співробітники яких мають доступ до персональних даних, здійснюють їх безпосередні керівники.
Заходи щодо захисту персональних даних здійснюються відповідно до Плану заходів
6 ПОРЯДОК ОБРОБКИ ЗВЕРНЕНЬ І ЗАПИТІВ З ПИТАНЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Порядок обробки запитів суб'єктів персональних даних описаний в Регламенті по реагуванню на запити суб'єктів персональних даних.
Порядок обробки запитів уповноважених органів в області персональних даних описаний в Регламенті по взаємодії з органами державної влади в області персональних даних.
7 Заключні положення
Інші права та обов'язки працівників, до функцій яких входить обробка персональних даних, визначаються Інструкцією користувача інформаційних систем персональних даних.
Особи, винні в порушенні норм, що регулюють обробку і захист персональних даних, несуть матеріальну, дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність у порядку, встановленому законами.
Розголошення персональних даних, їх публічне розкриття, втрата документів і інших носіїв, що містять персональні дані, а також інші порушення обов'язків по їх захисту та оброблення, встановлених цим Положенням, іншими локальними нормативними актами (наказами, розпорядженнями) Оператора, тягне за собою накладення на працівника, який має доступ до персональних даних, дисциплінарного стягнення - зауваження, догани, звільнення.
Працівник, який має доступ до персональних даних і що зробив вказаний дисциплінарний проступок, несе повну матеріальну відповідальність у разі заподіяння його діями шкоди роботодавцю
Працівники Оператора, що мають доступ до персональних даних, винні в їх незаконне розголошення або використання без згоди суб'єктів персональних даних з корисливої або іншої особистої зацікавленості і завдали великих збитків, несуть кримінальну відповідальність.
Публічна оферта
Відкрити документПоложення про забезпечення безпеки персональних даних
Відкрити документПОЛОЖЕННЯ
ПРО ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ
персональних даних
ТОВ «РОКСОР»
04210, м. Київ, проспект Героїв Сталінграда, буд.20-А.
ЗМІСТ
1.Терміни та скорочення
2.Область застосування
3.Общіе положення
4. Організація робіт по забезпеченню безпеки персональних даних
5.Проведение робіт по забезпеченню безпеки персональних даних
Терміни та скорочення
Персональні дані (ПДН) - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних).
Оператор - державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними.
Обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.
Автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки.
Поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб.
Надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певного кола осіб.
Блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних).
Знищення персональних даних - дії, в результаті яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних і (або) в результаті яких знищуються матеріальні носії персональних даних.
Знеособлення персональних даних - дії, в результаті яких стає неможливим без використання додаткової інформації визначити приналежність персональних даних конкретного суб'єкта персональних даних.
Інформаційна система персональних даних (ІСПДн) - сукупність містяться в базах даних персональних даних і забезпечують їх обробку інформаційних технологій і технічних засобів.
Транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичній особі або іноземній юридичній особі.
Галузь застосування
2.1 Положення про забезпечення безпеки персональних даних (далі - Положення) розроблено з метою виконання вимог законодавства України у сфері захисту персональних даних.
2.2 Це Положення визначає порядок і правила організації і проведення робіт із забезпечення безпеки персональних даних в ТОВ «РОКСОР». (далі - Оператор).
2.3 Цей документ враховує положення основних нормативних правових актів у сфері захисту персональних даних, перерахованих в Положенні про комісії щодо приведення у відповідність c вимогам законодавства в області персональних даних.
2.4 Це Положення призначене для всіх працівників Оператора, а також третіх осіб, які отримують тимчасовий або постійний доступ до оброблюваних у нього ПДН на законній підставі.
2.5 Це Положення діє з моменту його затвердження керівником Оператора.
2.6 Актуалізація цього Положення проводиться не рідше, ніж два рази на рік відповідно до Регламенту щодо проведення контрольних заходів та реагування на інциденти інформаційної безпеки в ТОВ «РОКСОР».
2.7 Внесення змін до цього Положення або затвердження його нової редакції виробляється на підставі відповідного наказу керівника Оператора.
Загальні положення
3.1 ПДН, оброблювані у Оператора, цілі, підстава та терміни їх обробки вказані в Переліку оброблюваних персональних даних.
3.2 Обробка ПДН здійснюється Оператором з використанням засобів автоматизації та без їх використання.
3.3 Терміни зберігання ПДН встановлюються в письмовій згоді суб'єкта ПДН на обробку його персональних даних, а також вимогами законодавства України, що встановлюють терміни зберігання документів.
Організація робіт по забезпеченню безпеки персональних даних
4.1 Під організацією робіт по забезпеченню безпеки ПДН розуміється формування та всебічне забезпечення реалізації сукупності узгоджених за метою, завданнями, місцем і часом організаційних і технічних заходів, спрямованих на мінімізацію як безпосереднього, так і опосередкованого шкоди від реалізації загроз безпеки ПДН, і здійснюються з метою:
- запобігання можливих (потенційних) загроз безпеки ПДН;
- нейтралізації і / або парирування реалізованих загроз безпеки ПДН;
- ліквідації наслідків реалізації загроз безпеки ПДН.
4.2 Організація робіт по забезпеченню безпеки ПДН у Оператора повинна здійснюватися відповідно до чинних нормативно-правовими актами та розробленими для цих цілей організаційно-розпорядчими документами щодо забезпечення безпеки ПДН Оператором.
4.3 Завдання щодо приведення діяльності Оператора у відповідність до вимог законодавства України в області ПДН покладаються на спеціально створювану для цих цілей Комісію та осіб, відповідальних за організацію обробки та забезпечення безпеки ПДН, які можуть бути включені до складу даної комісії.
4.4 У випадках, коли Оператор на підставі договору доручає обробку ПДН третій особі, Оператору необхідно укласти з цією особою угоду про дотримання безпеки персональних даних, з покладанням на третю особу обов'язки щодо забезпечення конфіденційності і безпеки переданих Оператором ПДН (або включити дане зобов'язання в укладається / чинний договір).
4.5 Роботи по приведенню діяльності Оператора у відповідність до вимог законодавства України ведуться за двома напрямками: забезпечення безпеки ПДН, оброблюваних без використання засобів автоматизації, і забезпечення безпеки ПДН в ІСПДн Оператора.
4.6 Роботи по забезпеченню безпеки ПДН, оброблюваних без використання засобів автоматизації, ведуться за наступними напрямками:
- визначення переліку осіб, допущених до обробки ПДН;
- визначення приміщень, в яких обробляються персональні дані;
- інформування працівників Оператора про встановлені правила обробки ПДН і вимог щодо їх захисту, підвищення обізнаності в питаннях забезпечення безпеки ПДН;
- облік і захист носіїв ПДН;
- розмежування доступу до носіїв ПДН;
- знищення ПДН.
4.7 Організація і виконання заходів щодо забезпечення безпеки ПДН, оброблюваних в ІСПДн Оператора, здійснюються в рамках системи захисту персональних даних ІСПДн (далі - СЗПДн), розгорнутих в ІСПДн в процесі її створення або модернізації.
4.8 СЗПДн являє собою сукупність організаційних заходів і технічних засобів захисту інформації, а також використовуються в ІСПДн інформаційних технологій, що функціонують відповідно до певними цілями і завданнями забезпечення безпеки ПДН.
4.9 СЗПДн повинна бути невід'ємною складовою частиною кожної новостворюваної ІСПДн Оператора.
4.10 Для існуючих ІСПДн, в яких в процесі їх створення не були передбачені заходи щодо забезпечення безпеки ПДН повинен бути проведений комплекс організаційних і технічних заходів по розробці і впровадженню СЗПДн.
4.11 Структура, склад і основні функції СЗПДн визначаються відповідно до рівня захищеності персональних даних, які обробляються в ІСПДн і моделлю загроз безпеки персональних даних при їх обробці в ІСПДн.
Проведення робіт із забезпечення безпеки персональних даних
5.1 З метою оцінки рівня захищеності оброблюваних у Оператора ПДН і своєчасного усунення невідповідностей вимогам законодавства України в сфері захисту ПДН у Оператора раз на рік повинен проводитися аналіз змін процесів захисту ПДН.
5.2 Аналіз змін проводиться за такими основними напрямками:
- перелік працівників і третіх осіб, допущених в обробці ПДН, ступінь їх участі в обробці ПДН і характер взаємодії між собою;
- перелік приміщень, в яких обробляються персональні дані;
- перелік і обсяг оброблюваних ПДН;
- мети обробки ПДН;
- процедури збору, запису, систематизації, накопичення, зберігання, уточнення (оновлення, зміни), вилучення, використання, передачі (поширення, надання, доступу), знеособлення, блокування, видалення і знищення ПДН;
- способи обробки ПДН (автоматизована, неавтоматизована);
- перелік уповноважених органів, в рамках відносин з якими здійснюється обробка ПДН;
- перелік програмно-технічних засобів, що використовуються для обробки ПДН;
- конфігурація і топологія ІСПДн в цілому і її окремих компонент, фізичні, функціональні і технологічні зв'язки як всередині цих систем, так і з іншими системами різного рівня і призначення;
- способи фізичного підключення і логічного взаємодії компонент ІСПДн, способи підключення до мереж зв'язку загального користування та міжнародного інформаційного обміну з визначенням пропускної здатності ліній зв'язку;
- режими обробки ПДН в ІСПДн в цілому і в окремих компонентах;
- склад використовуваного комплексу засобів захисту ПДН і механізмів ідентифікації, аутентифікації і розмежування прав доступу користувачів ІСПДн на рівні операційних систем, баз даних і прикладного програмного забезпечення;
- перелік організаційно-розпорядчої документації, яка визначає порядок обробки та захисту ПДН у Оператора;
- фізичні заходи захисту ПДН, організація пропускного режиму.
5.3 Результати аналізу змін використовуються для оцінки коректності вимог щодо забезпечення безпеки ПДН, оброблюваних з використанням засобів автоматизації та без використання таких засобів і при необхідності їх уточнення.
5.4 У Оператора повинен вестися облік дій, що здійснюються працівниками Оператора при обробці ПДН в ІСПДн. Дії з ПДН враховуються в log-файлах ІСПДн і / або в окремій базі даних ІСПДн.
5.5 Доступ до ПДН здійснюється відповідно до Регламенту щодо допуску працівників і третіх осіб до обробки персональних даних, затвердженого Оператором.
5.6 Особи, допущені до обробки ПДН, повинні бути проінформовані:
- про допуск до обробки ПДН шляхом ознайомлення з Переліком посад і третіх осіб, що мають доступ до персональних даних, оброблюваних у Оператора;
- про категорії, оброблюваних ПДН шляхом ознайомлення з затвердженим Переліком оброблюваних персональних даних;
- про правила здійснення обробки ПДН шляхом ознайомлення під розпис з Положенням про обробку персональних даних.
5.7 Неавтоматизована обробка ПДН повинна здійснюватися таким чином, щоб по відношенню до кожної категорії ПДН можна було визначити місця зберігання матеріальних носіїв та встановити перелік осіб, допущених до обробки ПДН. У Оператора повинен вестися облік носіїв ПДН.
5.8 Фіксація ПДН повинна здійснюватися на окремих матеріальних носіях (окремих документах). ПДН повинні відділятися від іншої інформації.
5.9 Фіксація на одному матеріальному носії ПДН, мету обробки яких свідомо несумісні, не допускається. У разі якщо на одному матеріальному носії все ж зафіксовані ПДН, мету обробки яких несумісні, повинні бути вжиті заходи щодо забезпечення роздільної обробки ПДН, зокрема:
- при необхідності використання або поширення певних ПДН здійснюється вибіркове копіювання ПДН, що підлягають поширенню або використання, способом, що виключає одночасне копіювання ПДН, що не підлягають поширенню і використанню, і використовується (поширюється);
- при необхідності знищення або блокування частини ПДН знищується або блокується матеріальний носій з попередніми вибірковим копіюванням відомостей, що не підлягають знищенню або блокування, способом, що виключає одночасне копіювання ПДН, що підлягають знищенню або блокування.
5.10 Правила обліку, зберігання і знищення ПДО при неавтоматизированной обробці описані в Регламенті по обліку, зберігання та знищення носіїв персональних даних, затвердженому Оператором.
5.11 Повинен здійснюватися моніторинг фактів несанкціонованого доступу до персональних даних та вживати відповідних заходів при їх виявленні. Моніторинг здійснюється Адміністратором безпеки ІСПДн.
5.12 Адміністратором безпеки ІСПДн повинен здійснюватися контроль за прийнятими заходами щодо забезпечення безпеки персональних даних.
5.13 При обробці ПДН Оператор повинен мати можливість і засоби для відновлення ПДН, в разі їх модифікації або знищення внаслідок несанкціонованого доступу до них. Правила резервного копіювання та відновлення ПДН Оператором встановлені в Регламенті щодо створення резервної копії персональних даних, затвердженого Оператором.
5.14 Оператор визначає перелік приміщень, що використовуються при обробці ПДН. При цьому організація режиму безпеки, охорона цих приміщень повинні забезпечувати збереження носіїв ПДН, а також виключати можливість неконтрольованого проникнення або перебування в цих приміщеннях сторонніх осіб.
5.15 Учасники ІСПДн повинні забезпечувати збереження знімних носіїв, які містять ПДН. У разі втрати носія користувачі повинні негайно повідомити про це Адміністратора безпеки ІСПДн.
5.16 Якщо при роботі з ПДН працівнику Оператора необхідно залишити робоче місце, матеріальні носії ПДН повинні бути захищені від неконтрольованого доступу до них. Для цього матеріальні носії поміщаються в відведених для зберігання місця.
5.17 У разі досягнення мети обробки ПДН Оператор припиняє обробку ПДН або забезпечує її припинення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) і знищує ПДН або забезпечити їх знищення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) в термін , що не перевищує тридцяти днів з дати досягнення мети обробки ПДН, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт ПДН. У разі якщо ПДН неможливо знищити, то вони блокуються і знищуються в термін, що не перевищує шести місяців.
5.18 Проведення робіт зі створення (модернізації) СЗПДн включає наступні стадії:
- передпроектна стадія;
- стадія проектування;
- стадія реалізації СЗПДн;
- стадія введення в дію СЗПДн.
5.19 На передпроектної стадії проводиться визначення рівня захищеності персональних даних, які обробляються в ІСПДн, формується Модель загроз безпеки ПДО при їх обробці в ІСПДн, розробляється Технічне завдання на СЗПДн.
5.20 Визначення рівня захищеності персональних даних, які обробляються в ІСПДн здійснюється відповідно до Регламенту щодо визначення рівня захищеності персональних даних, які обробляються в інформаційних систем персональних даних.
5.21 ІСПДн Оператора вказані в Переліку інформаційних систем персональних даних.
5.22 Рівень захищеності персональних даних, які обробляються в ІСПДн, оформляється відповідним актом.
5.23 Модель загроз безпеки ПДО при їх обробці в ІСПДн формується на підставі керівних документів СБУ України.
5.24 Перелік актуальних загроз формується для кожної ІСПДн Оператора з урахуванням умов функціонування ІСПДн і особливостей обробки ПДН.
5.25 За підсумками визначення рівня захищеності персональних даних, які обробляються в ІСПДн і результатами визначення актуальних загроз безпеки ПДН формуються вимоги щодо забезпечення безпеки ПДН, оброблюваних в ІСПДн. Дані вимоги оформляються у вигляді технічного завдання на СЗПДн.
5.26 Стадія проектування СЗПДн включає розробку СЗПДн в складі ІСПДн, а саме розробку розділів завдання і проекту проведення по створенню (модернізації) СЗПДн відповідно до вимог технічного завдання;
5.27 Стадія реалізації СЗПДн включає:
- закупівлю сукупності використовуваних в СЗПДн сертифікованих технічних, програмних і програмно-технічних засобів захисту інформації та їх установку;
- визначення підрозділів і призначення осіб, відповідальних за експлуатацію засобів захисту інформації з їх навчанням;
- розробку експлуатаційної документації на СЗПДн і засоби захисту інформації.
5.28 На стадії введення в дію СЗПДн здійснюються:
- попередні випробування засобів захисту інформації в комплексі з іншими технічними і програмними засобами;
- усунення невідповідностей за підсумками попередніх випробувань;
- дослідна експлуатація засобів захисту інформації в комплексі з іншими технічними і програмними засобами з метою перевірки їх працездатності в складі ІСПД;
- приймально-здавальні випробування засобів захисту інформації за результатами дослідної експлуатації.
5.29 У процесі функціонування ІСПДн може здійснюватися модернізація СЗПДн. В обов'язковому порядку модернізація проводиться в разі, якщо:
- відбулася зміна номенклатури оброблюваних ПДН, що несе за собою зміну рівня захищеності персональних даних, які обробляються в ІСПДн;
- відбулася зміна номенклатури і / або актуальності загроз безпеки ПДН;
- змінилася структура ІСПДн або технічні особливості її побудови (змінився склад або структура програмного забезпечення, технічних засобів обробки ПДН, топології ІСПДн і т.п.);
- відбулася зміна законодавства України в області ПДН, що зачіпає питання забезпечення безпеки ПДО при їх обробці в ІСПДн.
5.30 При виникненні умов, що впливають на безпеку ПДН (компрометація паролів, порушення цілісності та доступності персональних даних та ін.) Працівник Оператора зобов'язаний негайно проінформувати про це Адміністратора безпеки ІСПДн.
5.31 Особи, винні в порушенні вимог, що пред'являються законодавством України до захисту ПДН, несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством України відповідальність.
Політика обробки персональних даних
Відкрити документПОЛИТИКА
ТОВ «РОКСОР» В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
04210, м. Київ, проспект Героїв Сталінграда, буд.20-А.
СОДЕРЖАНИЕ
1)ОБЩИЕ ПОЛОЖЕНИЯ 3
2)ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 5
2.1 Принципы обработки персональных данных 5
2.2 Условия обработки персональных данных 5
2.3 Конфиденциальность персональных данных 6
2.4 Общедоступные источники персональных данных 6
2.5 Специальные категории персональных данных 7
2.6 Биометрические персональные данные 8
2.7 Поручение обработки персональных данных другому лицу 8
2.8. Обработка персональных данных граждан Украины 8
2.9. Трансграничная передача персональных данных 9
3.1. Согласие субъекта персональных данных на обработку его персональных данных 10
3.2. Права субъекта персональных данных 10
1)ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных (далее – Политика) разработана в соответствии с законом Украины "О защите персональных данных".
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ТОВ «РОКСОР» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
- обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных.
2)ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено законом.
2.2 Условия обработки персональных данных
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Украины или законом, для осуществления и выполнения возложенных законодательством Украины на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Украины об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - общедоступные персональные данные);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.
2.3 Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
2.4 Общедоступные источники персональных данных
В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.
2.5 Специальные категории персональных данных
Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных;
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Украины о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Украины сохранять врачебную тайну;
- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с законами.
2.6 Биометрические персональные данные
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные - могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.
2.7 Поручение обработки персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных.
2.8 Обработка персональных данных граждан Украины
Ооператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Украины с использованием баз данных, находящихся на территории Украины, за исключением случаев:
-
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Украины или законом, для осуществления и выполнения возложенных законодательством Украины на оператора функций, полномочий и обязанностей;
-
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Украины об исполнительном производстве (далее - исполнение судебного акта);
-
обработка персональных данных необходима для исполнения полномочий органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Украины, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
-
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
2.9 Трансграничная передача персональных данных
Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- исполнения договора, стороной которого является субъект персональных данных.
3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом.
3.1 Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законами, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничение состава лиц, допущенных к обработке персональных данных;
- ознакомление субъектов с требованиями законодательства и нормативных документов Оператора по обработке и защите персональных данных;
- организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- разработка на основе модели угроз системы защиты персональных данных;
- проверка готовности и эффективности использования средств защиты информации;
- разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
- регистрация и учет действий пользователей информационных систем персональных данных;
- использование антивирусных средств и средств восстановления системы защиты персональных данных;
- применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
- организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Украины в области персональных данных.
Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законами.