ПОРЯДОК обробки та захисту персональних даних при виконанні функціональних обов’язків у Центрі надання адміністративних послуг виконавчого комітету Кілійської міської ради
ПОРЯДОК
обробки та захисту персональних даних при виконанні
функціональних обов’язків у Центрі надання
адміністративних послуг виконавчого комітету Кілійської міської ради
- Загальні положення
Порядок обробки та захисту персональних даних при виконанні функціональних обов’язків у Центрі надання адміністративних послуг виконавчого комітету Кілійської міської ради (далі – Порядок) встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки, збереження інформації про операції, пов’язані з обробкою персональних даних та доступ до них в Центрі надання адміністративних послуг виконавчого комітету Кілійської міської ради (далі – ЦНАП).
Порядок є обов’язковим для виконання працівниками ЦНАП, які мають доступ до персональних даних та обробляють персональні дані.
Для цього Порядку, якщо інше не визначено у законодавстві застосовуються такі визначення та терміни:
— персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована зокрема:
• ПІБ (прізвище, ім’я, по батькові), власноручний підпис;
• відомості про засоби зв’язку (номер телефону, адреса електронної пошти тощо);
• паспортні дані (зміст та реквізити передбачених законодавством документів, що посвідчують особу);
• будь-які інші відомості, що не суперечать законодавству України.
— суб’єкт персональних даних – фізична особа – суб’єкт звернення, персональні дані якої обробляються. У разі звернення юридичної особи – суб’єктом персональних даних визнається керівник або належним чином уповноважений представник (законний представник) юридичної особи;
— база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
— володілець персональних даних – ЦНАП та/або суб’єкт надання адміністративної послуги), який визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
— розпорядник персональних даних – ЦНАП, якому володільцем персональних даних (суб’єктом надання адміністративної послуги) або законом надано право обробляти ці дані від імені володільця;
— Уповноважений – Уповноважений Верховної Ради України з прав людини та/або інший орган/інституція на яку чинним законодавством покладено здійснення контролю за станом додержання законодавства про захист персональних даних;
— третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача/надається доступ до персональних даних;
— згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди;
— обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
— знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
— вхідний пакет документів – заява та інші документи, необхідні для надання адміністративної послуги, що подаються суб'єктом звернення/його представником та містять персональні дані;
— представник суб’єкта звернення – законний або належним чином уповноважений представник відповідного суб’єкта.
Законом України «Про захист персональних даних» встановлюються такі основні принципи обробки персональних даних:
- відкритість та прозорість – обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки;
- точність та достовірність – персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки;
- законність – обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством;
- конфіденційність – не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Персональні дані, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, обробляються з урахуванням статей 7, 9 Закону.
Посадові особи ЦНАП, які відповідно до своїх повноважень, володіють інформацією про суб’єктів персональних даних, отримують і використовують її, несуть відповідальність відповідно до законодавства України за порушення режиму захисту, обробки та порядку використання цієї інформації.
- Мета обробки персональних даних
Метою обробки персональних даних суб’єктів звернень ЦНАПом є надання адміністративної послуги таким суб’єктам.
Обробка персональних даних у ЦНАП здійснюється з метою забезпечення реалізації конституційного права громадян на звернення, порушених у заявах громадян, інших випадках, передбачених законодавством.
Обробка персональних даних здійснюється відкрито і прозоро, із застосуванням технічних засобів та у спосіб, що відповідає визначеним цілям такої обробки.
У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних відповідно до зміненої мети, якщо інше не передбачено законом.
III. Склад персональних даних
Склад персональних даних визначається відповідно до вимог чинного законодавства, що регулює діяльність ЦНАП щодо правового, організаційного, матеріально-технічного та іншого забезпечення діяльності, підготовки аналітичних, інформаційних та інших матеріалів, звернення громадян тощо, та інші дані, які особи добровільно, за власним бажанням, надають про себе.
Склад та зміст персональних даних мають бути відповідними, адекватними та не надмірними стосовно визначеної мети їхньої обробки.
Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
- Підстави для обробки персональних даних
Підставами для обробки персональних даних є:
Згода суб’єкта персональних даних на обробку його персональних даних (у разі необхідності її отримання) виражається шляхом підписання відповідної заяви.
Дозвіл на обробку персональних даних, наданих володільцю персональних даних відповідно до закону виключно для здійснення його повноважень.
Захист життєво важливих інтересів суб’єкта персональних даних.
Необхідність виконання обов’язку володільця персональних даних, який передбачений законом.
Необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
Збирання персональних даних є складовою процесу їхньої обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
Володілець персональних даних після отримання Згоди суб’єкта персональних даних здійснює обробку персональних даних, шляхом реєстрації, накопичення, зберігання, адаптування, зміни, поновлення і поширення відповідно до посадових обов’язків, керуючись законами чинного законодавства України.
В інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
- Захист персональних даних
Персональні дані залежно від способу їх зберігання (паперові, електронні бази) обробляються способом, що унеможливлює доступ до них сторонніх осіб.
До роботи з персональними даними допускаються лише посадові особи ЦНАП, які надали письмове зобов’язання щодо нерозголошення персональних даних.
Обробка персональних даних на комп’ютерах, в автоматизованих системах здійснюється із забезпеченням захисту персональних даних відповідно до Закону, нормативних документів із питань захисту інформації.
Посадові особи ЦНАП допускаються до обробки персональних даних на комп’ютерах та в автоматизованих системах лише після їх ідентифікації (логін, пароль та /або електронний цифровий підпис).
Комп’ютери на яких здійснюється обробка персональних даних, в обов’язковому порядку забезпечуються антивірусним захистом.
Кожен співробітник ЦНАП, який отримує для роботи конфіденційний документ, несе одноосібну відповідальність за збереження носія і конфіденційність інформації.
VI. Обов’язки працівників, які обробляють персональні дані суб’єктів звернень
Працівники, які обробляють персональні дані суб’єктів звернень мають бути обізнані з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.
Зобов’язані:
Використовувати персональні дані лише відповідно до посадових чи службових обов’язків, запобігати втраті персональних даних або їхньому неправомірному використанню.
Не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових чи службових обов’язків (крім випадків, передбачених законом), при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.
Терміново повідомляти безпосереднього керівника та відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їхній обробці, у разі:
- втрати або неумисного знищення носіїв інформації з персональними даними;
- втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
- якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам;
- виявлення спроби несанкціонованого доступу до персональних даних;
- в інших випадках, що загрожують або призвели до пошкодження, псування, несанкціонованого доступу, знищення, поширення тощо персональних даних.
При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику або іншому працівнику, визначеному керівництвом, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
VII. Порядок та документальне забезпечення обробки персональних даних суб’єктів звернень
Обробка персональних даних:
Персональних дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їхньої обробки, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.
У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
Використання персональних даних працівниками при розгляді звернень громадян:
Використання персональних даних передбачає будь-які дії працівників щодо обробки цих даних, дії щодо їхнього захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно закону.
Використання персональних даних працівниками здійснюється у разі створення ними умов для захисту цих даних.
Використання персональних даних працівниками суб’єктів відносин, пов’язаних із персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових обов’язків.
Доступ до персональних даних суб’єкта персональних даних та третіх осіб:
Посадові особи ЦНАП, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням посадових обов’язків (додаток 2) Зобов’язання про нерозголошення персональних даних зберігається в особовій справі посадової особи. Датою позбавлення права доступу до обробки персональних даних вважається дата звільнення особи, переведення на посаду виконання обов’язків на якій не пов’язане з обробкою персональних даних.
Поширення персональних даних суб’єктів звернень третім особам допускається посадовими особами ЦНАПу при виконанні функціональних обов’язків. У інших випадках поширення персональних даних третім особам, якщо це не входить в функціональні обов’язки ЦНАПу забороняється, окрім випадків передбачених Законом України «Про захист персональних даних».
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
VIII. Знищення персональних даних
Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
Персональні дані підлягають видаленню або знищенню у разі:
Закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом.
Припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом.
Видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого.
Набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню в установленому законодавством порядку.
Відповідальність за дотримання Закону при знищенні або видаленні персональних даних покладається на працівників, які мають до них доступ.
