ПОЛОЖЕННЯ
ПРО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
04210, м. Київ, проспект Героїв Сталінграда, буд.20-А.
ЗМІСТ
1Общее ПОЛОЖЕННЯ 4
2 СУБ'ЄКТИ І ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 6
3 ОРГАНІЗАЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 7
3.1 Призначення відповідальних осіб 7
3.2 Допуск працівників до обробки персональних даних 7
3.3 Отримання персональних даних 7
3.4 Систематизація, накопичення, уточнення і використання персональних даних 8
3.5 Передача персональних даних 8
3.6 Зберігання персональних даних 8
3.7 Повідомлення про обробку персональних даних 8
4 ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, здійснюється без використання ЗАСОБІВ АВТОМАТИЗАЦІЇ 10
5 ОРГАНІЗАЦІЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ 12
6 ПОРЯДОК ОБРОБКИ ЗВЕРНЕНЬ І ЗАПИТІВ З ПИТАНЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 13
7 Заключні положення 14
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
Положення про обробку персональних даних в ТОВ «РОКСОР» (далі - Положення) розроблено відповідно до Закону України «Про захист персональних даних» № 2297-VI.
Це Положення визначає порядок обробки персональних даних і встановлює загальні вимоги до забезпечення безпеки персональних даних, які обробляються в ТОВ «РОКСОР» (далі - Оператор) як з використанням засобів автоматизації, так і без використання таких засобів.
У Положенні терміни вживаються в такому значенні:
- автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки;
- блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних);
- інформаційна система персональних даних - сукупність містяться в базах даних персональних даних і забезпечують їх обробку інформаційних технологій і технічних засобів;
- знеособлення персональних даних - дії, в результаті яких неможливо визначити без використання додаткової інформації приналежність персональних даних конкретного суб'єкта персональних даних;
- обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;
- оператор - державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними;
- персональні дані - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних);
- надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певного кола осіб;
- поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, в тому числі оприлюднення персональних даних в засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних будь-яким іншим способом;
- транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичній або іноземній юридичній особі;
- знищення персональних даних - дії, в результаті яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних і (або) в результаті яких знищуються матеріальні носії персональних даних.
Дія Положення поширюється на всі структурні підрозділи Оператора.
Це Положення повинно бути доведено до кожного працівника Оператора, що здійснює обробку персональних даних, під розпис.
2 СУБ'ЄКТИ І ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Цілі обробки персональних даних, підстави для їх обробки, можливі дії (операції), що здійснюються з персональними даними, терміни обробки і склад оброблюваних персональних категорій суб'єктів персональних даних, які обробляються у Оператора, вказані в Переліку оброблюваних персональних даних.
3 ОРГАНІЗАЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
3.1 Призначення відповідальних осіб
Для організації обробки персональних даних у Оператора призначається відповідальна особа.
Для визначення рівня захищеності інформаційних систем персональних даних, перевірки готовності засобів захисту інформації до використання, а також знищення персональних даних наказом керівника Оператора призначається Комісія по приведенню у відповідність до вимог законодавства України в області персональних даних (далі - Комісія).
У своїй роботі Комісія керується Положенням про комісію щодо приведення у відповідність до вимог законодавства України в області персональних даних, затвердженого наказом керівника Оператора.
3.2 Допуск працівників до обробки персональних даних
Допуск працівників Оператора до обробки персональних даних здійснюється на підставі наказу про призначення на посаду відповідно до Переліку посад і третіх осіб, що мають доступ до персональних даних.
Працівники Оператора отримують доступ до обробки персональних даних для виконання ними службових (трудових) обов'язків, після виконання наступних заходів:
- ознайомлення під розпис з керівними документами Оператора і нормативними актами України з безпеки та обробки персональних даних;
- оформлення письмового зобов'язання про нерозголошення персональних даних, форма якого затверджена наказом керівника Оператора.
Працівники Оператора, що мають допуск до персональних даних, мають право отримувати тільки ті персональні дані, які необхідні їм для виконання службових (трудових) обов'язків.
3.3 Отримання персональних даних
Персональні дані суб'єкта виходять від нього самого або від нього законного представника. У разі, якщо персональні дані отримані не від суб'єкта персональних даних, Оператор до початку обробки таких персональних даних зобов'язаний повідомити суб'єкта про отримання його персональних даних.
3.4 Систематизація, накопичення, уточнення і використання персональних даних
Систематизація, накопичення, уточнення і використання персональних даних здійснюється шляхом оформлення і ведення документів обліку і баз даних суб'єктів персональних даних.
Працівники Оператора, що мають доступ до персональних даних, повинні забезпечити їх обробку, яка виключає несанкціонований доступ до них третіх осіб.
3.5 Передача персональних даних
Передача персональних даних суб'єктів третім особам може здійснюватися тільки при наявності письмової згоди суб'єкта, якщо інше не передбачено законодавством.
При передачі персональних даних суб'єктів третім особам, з третьою особою має бути підписана Угода про дотримання безпеки персональних даних, переданих на обробку, форма якого затверджена наказом керівника Оператора.
Передача персональних даних суб'єктів між підрозділами Оператора повинна здійснюватися тільки між працівниками, допущеними до обробки персональних даних.
3.6 Зберігання персональних даних
Зберігання персональних даних суб'єктів здійснюється на паперових та машинних носіях інформації в спеціально виділених сховищах підрозділів Оператора, а також в інформаційних системах Оператора, що забезпечують збереження персональних даних та їх захист від несанкціонованого доступу.
Знищення персональних даних в інформаційних системах, на машинних і паперових носіях інформації має здійснюватися протягом тридцяти днів з дати досягнення мети обробки (граничного терміну зберігання) персональних даних. При неможливості знищення персональних даних протягом тридцяти днів з дати досягнення мети обробки персональних даних, забезпечується їх блокування і знищення в термін, що не перевищує шести місяців.
Порядок і правила обліку, зберігання і знищення персональних даних описані в Регламенті з обліку, зберігання та знищення носіїв персональних даних.
3.7 Повідомлення про обробку персональних даних
Оператор повідомляє Уповноважений орган із захисту прав суб'єктів персональних даних про обробку персональних даних.
У разі зміни відомостей, зазначених у повідомленні, а також у разі припинення обробки персональних даних Оператор також повідомляє про це Уповноважений орган.
4 ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, здійснюється без використання ЗАСОБІВ АВТОМАТИЗАЦІЇ
Персональні дані при їх обробці без використання засобів автоматизації відокремлюються від іншої інформації шляхом фіксації їх на окремих матеріальних носіях персональних даних, в спеціальних розділах або на полях форм (бланків).
При фіксації персональних даних на матеріальних носіях не допускається запис на одному матеріальному носії персональних даних, мету обробки яких свідомо несумісні. При обробці різних категорій персональних даних без використання засобів автоматизації для кожної категорії персональних даних повинен використовуватися окремий матеріальний носій.
При використанні типових форм документів, характер інформації в яких передбачає або допускає включення в них персональних даних, необхідно додержуватися таких умов:
- типова форма повинна містити відомості про мету обробки персональних даних, найменування та адреса Оператора, прізвище, ім'я, по батькові та адреса суб'єкта персональних даних, джерело отримання персональних даних, терміни обробки персональних даних, перелік дій з персональними даними, які будуть відбуватися в процесі їх обробки , загальний опис використовуваних оператором способів обробки персональних даних;
- типова форма повинна передбачати поле, в якому суб'єкт персональних даних може поставити позначку про свою згоду на обробку персональних даних - при необхідності отримання письмової згоди на обробку персональних даних;
- типова форма повинна бути складена таким чином, щоб кожен із суб'єктів персональних даних, що містяться в документі, мав можливість ознайомитися зі своїми персональними даними, що містяться в документі, не порушуючи прав і законних інтересів інших суб'єктів персональних даних;
- типова форма повинна виключати об'єднання полів, призначених для внесення персональних даних, мету обробки яких свідомо не сумісні.
При несумісності цілей обробки персональних даних, зафіксованих на одному матеріальному носії, якщо матеріальний носій не дозволяє здійснювати обробку персональних даних окремо від інших зафіксованих на тому ж носії персональних даних, повинні бути вжиті заходи щодо забезпечення роздільної обробки персональних даних.
Необхідно забезпечувати роздільне зберігання персональних даних (матеріальних носіїв), обробка яких здійснюється в різних цілях.
Знищення або знеособлення частини персональних даних, якщо це допускається матеріальним носієм, може проводитися способом, що виключає подальшу обробку цих персональних даних зі збереженням можливості обробки інших даних, зафіксованих на матеріальному носії.
Уточнення персональних даних при їх обробці без використання засобів автоматизації проводиться шляхом відновлення або зміни даних на матеріальному носії, а якщо ці закони не дозволяють технічними особливостями матеріального носія, - шляхом фіксації на тому ж матеріальному носії відомостей про внесені в них зміни або шляхом виготовлення нового матеріального носія з уточненими персональними даними.
Особи, які здійснюють обробку персональних даних без використання засобів автоматизації, повинні бути проінформовані:
- про факт обробки ними персональних даних, обробка яких здійснюється без використання засобів автоматизації;
- про категорії оброблюваних персональних даних;
- про особливості і правила здійснення такої обробки.
5 ОРГАНІЗАЦІЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
Персональні дані обробляються у Оператора як з використанням засобів автоматизації, так і без використання таких засобів.
Порядок обробки та захисту персональних даних в інформаційних системах Оператора визначається Положенням про забезпечення безпеки персональних даних.
Захист персональних даних від неправомірного їх використання або втрати забезпечується Оператором за рахунок власних коштів.
Працівники Оператора, які в рамках виконання посадових обов'язків мають доступ до персональних даних, зобов'язані дотримуватися режиму конфіденційності персональних даних на всіх етапах їх обробки.
За відсутності працівника на його робочому місці не повинно бути документів і машинних носіїв інформації, що містять персональні дані.
Доступ працівників Оператора та інших осіб в приміщення, в яких здійснюється обробка і зберігання персональних даних, обмежується організаційними заходами і застосуванням системи контролю та управління доступом.
З огляду на масовість і єдині місця обробки і зберігання, гриф «конфіденційно» на документах, що містять персональні дані, не ставиться.
Організацію обробки персональних даних суб'єктів, контроль дотримання заходів їх захисту в структурних підрозділах Оператора, співробітники яких мають доступ до персональних даних, здійснюють їх безпосередні керівники.
Заходи щодо захисту персональних даних здійснюються відповідно до Плану заходів
6 ПОРЯДОК ОБРОБКИ ЗВЕРНЕНЬ І ЗАПИТІВ З ПИТАНЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Порядок обробки запитів суб'єктів персональних даних описаний в Регламенті по реагуванню на запити суб'єктів персональних даних.
Порядок обробки запитів уповноважених органів в області персональних даних описаний в Регламенті по взаємодії з органами державної влади в області персональних даних.
7 Заключні положення
Інші права та обов'язки працівників, до функцій яких входить обробка персональних даних, визначаються Інструкцією користувача інформаційних систем персональних даних.
Особи, винні в порушенні норм, що регулюють обробку і захист персональних даних, несуть матеріальну, дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність у порядку, встановленому законами.
Розголошення персональних даних, їх публічне розкриття, втрата документів і інших носіїв, що містять персональні дані, а також інші порушення обов'язків по їх захисту та оброблення, встановлених цим Положенням, іншими локальними нормативними актами (наказами, розпорядженнями) Оператора, тягне за собою накладення на працівника, який має доступ до персональних даних, дисциплінарного стягнення - зауваження, догани, звільнення.
Працівник, який має доступ до персональних даних і що зробив вказаний дисциплінарний проступок, несе повну матеріальну відповідальність у разі заподіяння його діями шкоди роботодавцю
Працівники Оператора, що мають доступ до персональних даних, винні в їх незаконне розголошення або використання без згоди суб'єктів персональних даних з корисливої або іншої особистої зацікавленості і завдали великих збитків, несуть кримінальну відповідальність.