1. Общие положения
1.1. Настоящим Порядком обработки персональных данных (далее — Порядок) определены общие требования к обработке и защите персональных данных субъектов персональных данных, обрабатываемых полностью или частично с применением автоматизированных средств, а также персональных данных, содержащихся в картотеке или предназначенных для внесения в картотеку, с применением неавтоматизированных средств.
1.2. Владельцы, распорядители персональных данных самостоятельно определяют порядок обработки персональных данных, учитывая специфику обработки персональных данных в различных сферах, в соответствии с требованиями, определенными Законом Украины «О защите персональных данных" (далее — Закон) и настоящим Порядком.
1.3. Требования настоящего Порядка учитываются при разработке кодексов поведения по обработке персональных данных профессиональными, самоуправляющимися и другими общественными объединениями или юридическими лицами в соответствии со статьей 27 Закона.
2. Требования к обработке персональных данных
2.1. Владелец определяет:
1) цель и основания обработки персональных данных;
2) категории субъектов персональных данных;
3) состав персональных данных;
4) порядок обработки персональных данных, а именно:
— способ сбора, накопления персональных данных;
— срок и условия хранения персональных данных;
— условия и процедуру изменения, удаления или уничтожения персональных данных;
— условия и процедуру передачи персональных данных и перечень третьих лиц, которым могут передаваться персональные данные;
— порядок доступа к персональным данным лиц, осуществляющих обработку, а также субъектов персональных данных;
— меры обеспечения защиты персональных данных;
— процедуру сохранения информации об операциях, связанных с обработкой персональных данных и доступом к ним.
2.2. В случаях, предусмотренных Законом, владелец также определяет обязанности и права лиц, ответственных за организацию работы, связанной с защитой персональных данных при их обработке.
2.3. Процедуры обработки, срок обработки и состав персональных данных должны быть пропорциональны цели обработки.
2.4. Цель обработки персональных данных должна быть четкой и законной.
2.5. Цель обработки персональных данных должна быть определена до начала их сбора.
2.6. В случае изменения определенной цели обработки персональных данных на новую цель, которая несовместима с предыдущей, для дальнейшей обработки данных владелец персональных данных, кроме случаев, определенных законодательством, должен получить согласие субъекта персональных данных на обработку его данных в соответствии с новой целью.
2.7. Обработка персональных данных осуществляется владельцем персональных данных только с согласия субъекта персональных данных, за исключением тех случаев, когда такое согласие не требуется Законом.
2.8. Согласие субъекта на обработку его персональных данных должно быть добровольным и информированным. Согласие может предоставляться субъектом в письменной или электронной форме, что позволяет сделать вывод о его предоставлении. Документы (информация), подтверждающие предоставление субъектом согласия на обработку его персональных данных, хранятся владельцем в течение времени обработки таких данных.
2.9. Владелец персональных данных, кроме случаев, предусмотренных законодательством Украины, сообщает субъекту персональных данных о составе и содержании собранных персональных данных, его правах, определенных Законом, цели сбора персональных данных и третьих лиц, которым передаются его персональные данные:
— в момент сбора персональных данных, если персональные данные собираются у субъекта персональных данных;
— в других случаях в течение тридцати рабочих дней со дня сбора персональных данных.
Владелец сохраняет информацию (документы), подтверждающие предоставление заявителю вышеупомянутой информации в течение всего периода обработки персональных данных.
2.10. Персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, в срок не более, чем это необходимо в соответствии с целью их обработки. В любом случае они обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, не дольше, чем это предусмотрено законодательством в сфере архивного дела и делопроизводства.
2.11. В случае выявления сведений о лице, которые не соответствуют действительности, такие сведения должны быть безотлагательно изменены или уничтожены.
2.12. Субъект персональных данных имеет право предъявлять мотивированное требование владельцу персональных данных о запрете обработки своих персональных данных (их части) и/или изменения их состава/содержания. Такое требование рассматривается владельцем в течение 10 дней с момента получения.
2.13. Если по результатам рассмотрения такого требования выявлено, что персональные данные субъекта (их часть) обрабатываются незаконно владелец прекращает обработку персональных данных субъекта (их части) и информирует об этом субъекта персональных данных.
Если по результатам рассмотрения такого требования выявлено, что персональные данные субъекта (их часть) являются недостоверными, владелец прекращает обработку персональных данных субъекта (или их части) и/или изменяет их состав/содержание и информирует об этом субъекта персональных данных.
2.14. В случае если требование не подлежит удовлетворению, субъекту предоставляется мотивированный ответ об отсутствии оснований для его удовлетворения.
2.15. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных без указания мотивов, в случае если единственным основанием для обработки является согласие субъекта персональных данных. С момента отзыва согласия владелец обязан прекратить обработку персональных данных.
2.16. Удаление и уничтожение персональных данных осуществляется способом, исключающим дальнейшую возможность обновления таких персональных данных.
2.17. Порядок доступа к персональным данным субъекта персональных данных и третьих лиц определяется статьями 16 — 17 Закона.
2.18. Владелец уведомляет субъекта персональных данных о действиях с его персональными данными на условиях, определенных статьей 21 Закона.
3. Защита персональных данных
3.1. Владелец, распорядитель персональных данных принимают меры по обеспечению защиты персональных данных на всех этапах их обработки, в том числе с помощью организационных и технических мероприятий.
3.2. Владелец, распорядитель персональных данных самостоятельно определяют перечень и состав мероприятий, направленных на безопасность обработки персональных данных, с учетом требований законодательства в сферах защиты персональных данных, информационной безопасности.
3.3. Защита персональных данных предусматривает меры, направленные на предотвращение их случайных потери или уничтожения, незаконной обработки, в том числе незаконного уничтожения или доступа к персональным данным.
3.4. Организационные мероприятия охватывают:
— определение порядка доступа к персональным данным работников владельца/распорядителя;
— определение порядка ведения учета операций, связанных с обработкой персональных данных субъекта и доступом к ним;
— разработку плана действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования, возникновения чрезвычайных ситуаций;
— регулярное обучение сотрудников, которые работают с персональными данными.
3.5. Владелец/распорядитель ведет учет работников, имеющих доступ к персональным данным субъектов. Владелец/распорядитель определяет уровень доступа указанных работников к персональным данным субъектов. Каждый из этих работников пользуется доступом только к тем персональным данным (их части) субъектов, которые необходимы ему в связи с выполнением своих профессиональных или служебных или трудовых обязанностей.
3.6. Все другие работники владельца/распорядителя имеют право на полную информацию только относительно собственных персональных данных.
3.7. Работники, имеющие доступ к персональным данным, дают письменное обязательство о неразглашении персональных данных, которые им было доверено или которые стали им известны в связи с выполнением профессиональных или служебных или трудовых обязанностей.
3.8. Датой предоставления права доступа к персональным данным считается дата предоставления обязательства соответствующим работником.
3.9. Датой лишения права доступа к персональным данным считается дата увольнения работника, дата перевода на должность, исполнение обязанностей на которой не связано с обработкой персональных данных.
3.10. В случае увольнения работника, который имел доступ к персональным данным, или перевода его на другую должность, не предусматривающую работу с персональными данными субъектов, принимаются меры по предотвращению доступа такого лица к персональным данным, а документы и другие носители, содержащие персональные данные субъектов, передаются другому работнику.
3.11. Владелец/распорядитель ведет учет операций, связанных с обработкой персональных данных субъекта и доступом к ним. С этой целью владельцем/распорядителем хранится информация о:
— дату, время и источник сбора персональных данных субъекта;
— изменение персональных данных;
— просмотр персональных данных;
— любую передачу (копирование) персональных данных субъекта;
— дату и время удаления или уничтожения персональных данных;
— работника, осуществившего одну из указанных операций;
— цель и основания изменения, просмотра, передачи и удаления или уничтожения персональных данных.
Владелец/распорядитель персональных данных самостоятельно определяет процедуру сохранения информации об операциях, связанных с обработкой персональных данных субъекта и доступом к ним. В случае обработки персональных данных субъектов с помощью автоматизированной системы такая система автоматически фиксирует указанную информацию. Эта информация хранится владельцем/распорядителем в течение одного года с момента окончания года, в котором были осуществлены указанные операции, если иное не предусмотрено законодательством Украины.
3.12 Требования по учету и сохранению информации о пересмотре персональных данных не распространяется на владельцев/распорядителей, осуществляющих обработку персональных данных в реестре, который является открытым для населения в целом.
3.13. Персональные данные в зависимости от способа их хранения (бумажные, электронные носители) должны обрабатываться таким образом, чтобы исключить доступ к ним посторонних лиц.
3.14. С целью обеспечения безопасности обработки персональных данных принимаются специальные технические меры защиты, в том числе по исключению несанкционированного доступа к персональным данным, которые обрабатываются и работе технического и программного комплекса, с помощью которого осуществляется обработка персональных данных.
3.15. В органах государственной власти, органах местного самоуправления, а также у владельцев или распорядителей персональных данных, осуществляющих обработку персональных данных, которая подлежит уведомлению в соответствии с Законом, создается (определяется) структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке.
3.16. Информация о структурном подразделении или ответственном лице, организующем работу, связанную с защитой персональных данных при их обработке, сообщается Уполномоченному Верховной Рады Украины по правам человека в соответствии с Законом.
3.17. Ответственное лицо/структурное подразделение выполняет следующие задачи:
— информирует и консультирует владельца или распорядителя персональных данных по вопросам соблюдения законодательства о защите персональных данных;
— взаимодействует с Уполномоченным Верховной Рады Украины по правам человека и определенными им должностными лицами его Секретариата по вопросам предотвращения и устранения нарушений законодательства о защите персональных данных.
3.18. С целью выполнения указанных задач ответственное лицо/структурное подразделение:
— обеспечивает реализацию прав субъектов персональных данных;
— пользуется доступом к любым данным, которые обрабатываются владельцем/распорядителем и ко всем помещениям владельца/распорядителя, где осуществляется такая обработка;
— в случае выявления нарушений законодательства о защите персональных данных и/или этого Порядка сообщает об этом руководителю владельца/распорядителя с целью принятия необходимых мер;
— анализирует угрозы безопасности персональных данных.
3.19. Требования ответственного лица к мерам по обеспечению безопасности обработки персональных данных являются обязательными для всех работников, осуществляющих обработку персональных данных.
3.20. Факты нарушений процесса обработки и защиты персональных данных должны быть документально зафиксированы ответственным лицом или структурным подразделением, организующим работу, связанную с защитой персональных данных при их обработке.
3.21. Взаимодействие с Уполномоченным Верховной Рады Украины по правам человека осуществляется в порядке, определенном Законом и Законом Украины «Об Уполномоченном Верховной Рады Украины по правам человека".
3.22. Организация работы, связанной с защитой персональных данных при их обработке, тех владельцев/распорядителей, на которых не распространяются требования части второй статьи 24 Закона, возлагается непосредственно на тех лиц, которые осуществляют обработку персональных данных, или, в случае необходимости, — на отдельные структурные подразделения или должностных лиц.
