Ради Європейського Союзу от 24 жовтня 1995 року, Конституції України, закон

Вид материалаЗакон

Содержание


Суб’єкти персональних даних та треті особи мають право оскаржувати відстрочення або відмову у доступу до персональних даних відп
3.5. Метою обробки персональних даних в банківській діяльності є забезпечення реалізації
3.6. Додатковою метою обробки персональних даних в банківській діяльності є забезпечення реалізації
3.8. Банк реєструє бази персональних даних у Державному реєстрі баз персональних даних відповідно до процедури передбаченої Зако
5.3. Банк зобов’язаний забезпечувати суб'єкту персональних даних реалізацію прав, передбачених підпунктами 1) - 5) та 7) – 9) пу
Банк залишає персональні дані суб'єкта без змін та знімає з персональних даних позначку в разі підтвердження інформації, що запе
5.6. Суб'єкт персональних даних має право оскаржити в судовому порядку дії Банку, які порушують його права.
VІІ Додаткові Порядок щодо захисту інформації від несанкціонованого доступу при обробці персональних даних у складі інформаційно
VІІІ Особливості обробки персональних даних у картотеках персональних даних
Подобный материал:

Доцільно впровадити, як внутрішній документ банку, за рекомендацією НБУ.


ПРОЕКТ ТИПОВОГО ДОКУМЕНТУ


«Затверджено»

(після доопрацювання під бізнес процес банку)

Виконавчий орган банку


ПОРЯДОК ОБРОБКИ БАНКОМ ПЕРСОНАЛЬНИХ ДАНИХ

У БАЗАХ ПЕРСОНАЛЬНИХ ДАНИХ


І Загальні положення


1.1. Порядок обробки банком персональних даних в базах персональних даних (далі – Порядок) розроблені на виконання частини 10 статті 6 Закону України «Про захист персональних даних» (далі – Закон), відповідно до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних, вчинену 28 січня 1981 року в м. Страсбурзі, та Додаткового протоколу неї, Директиви 95/46/ЕС Європейського Парламенту та Ради Європейського Союзу от 24 жовтня 1995 року, Конституції України, Закону України «Про захист персональних даних», Цивільного кодексу України, Законів України «Про інформацію», «Про захист інформації в автоматизованих системах», інших нормативно-правових актів України.

1.2. Порядок визначає загальні правила та умови обробки персональних даних, а саме: збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання і поширення, знеособлення, знищення відомостей про фізичну особу і регламентує механізм виконання дій з обробки персональних даних володільцем або розпорядником бази персональних даних з моменту їх отримання володільцем бази персональних даних до знищення чи передачі до архіву.

Мета Порядку – забезпечення впровадження володільцем баз персональних даних найбільш оптимальних та ефективних процедур, пов’язаних з обробкою персональних даних в базах персональних даних, належного захисту прав суб’єктів персональних даних при обробці персональних даних.

1.4. Обробка персональних даних здійснюється повністю або частково в електронній формі з використанням засобів інформаційної (автоматизованої) системи та/або у паперовій формі шляхом ведення картотек персональних даних

1.6. У Порядку терміни вживаються в такому значенні:

інформаційна (автоматизована) система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

картотека персональних даних – сукупність, набір карток носіїв інформації, об’єднаних, систематизованих і розміщених у певному порядку, складові частини якої можуть бути знайдені за певним критерієм пошуку (за алфавітом, темою, строками тощо).

відповідальна особа – особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових або професійних обов'язків, цивільно-правового договору або закону покладена організація роботи, пов'язаної контролем за відповідності процедури обробки персональних даних вимогам Закону та захистом персональних даних при їх обробці.

Інші терміни вживаються у значеннях, визначених Законом та іншими нормативно-правовими актами, прийнятих відповідно до нього.


ІІ Загальні правила та умови обробки персональних даних


2.1. До персональних даних належать свідчення про суб’єкта: відомості, що ідентифікують або дають змогу ідентифікувати особу, відомості про грошові зобов'язання суб'єкта інформації, документована інформації про особу з державних реєстрів, інших баз даних публічного користування, відкритих для загального користування джерел тощо.


Персональні дані, незалежно від природи, змісту, способів та форми обробки відомостей, застосування загальних чи особливих вимог обробки, а також незалежно від ступеню зв’язку з фізичною особою, повинні оброблятися відповідно до встановлених законодавством України принципів обробки персональних даних.

2.2. Принципами обробки персональних даних є:

1) принцип законності: персональні дані повинні оброблятись лише на законних підставах;

2) принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями, згідно із видами діяльності банку, передбаченими Законом України «Про банки та банківську діяльність» та оброблятися відповідно до них;

3) принцип адекватності і ненадлишковості: персональні дані повинні бути адекватними, не надлишковими (але в обсязі не менше, ніж передбачено фінансовим законодавством та банківським правилами), відповідати цілям обробки;

4) принцип точності: персональні дані повинні бути точними та актуальними;

5) принцип строковості зберігання: персональні дані не повинні зберігатися довше, ніж це передбачено згодою суб’єкта персональних даних та/або вимогами законів України та прийнятим на їх виконання нормативно-правових актів Національного банку України;

6) принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних, включаючи право на доступ до даних;

7) принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних;

8) принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб'єктам відносин, пов'язаних із персональними даними, без належного захисту.

2.3. Загальними підставами виникнення права на обробку персональних даних є:

2.3.1. згода суб'єкта персональних даних на обробку його персональних даних.

2.3.2. укладення та виконання правочину, в якому однією із сторін якого є суб’єкт персональних даних;

2.3.3. виконання юридичного зобов’язання, сторонами якого є володілець бази персональних даних та суб’єкт персональних даних.

2.3.4. надане Банку, як володільцю бази персональних даних право на обробку персональних даних відповідно до його прав та обов’язків, передбачених Законом України «Про Національний банк України», «Про банки та банківську діяльність», «Про платіжні системи та переказ коштів в Україні», «Про організацію формування та обігу кредитних історій» та прийнятих у відповідності до них нормативно правових актів Національного банку України і виключно в інтересах економічного добробуту людини та суспільства і прав людини на отримання фінансових послуг;

2.3.5. необхідність захисту життєво важливих інтересів суб'єкта персональних даних, яка виникала при виконанні банком своїх обов’язків передбачених законодавством (в т.ч. Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму") до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим.

2.4. Підставами виникнення права на обробку персональних даних, щодо яких встановлено особливі вимоги до обробки, визначені частиною другою статті 7 Закону.

2.5. Формами надання згоди суб’єкта персональних даних можуть бути:

а) документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;

б) електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;

в) відмітка на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:

- не дозволяють обробку персональних даних до того часу, поки суб'єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;

- забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.

г) інші форми, що не суперечать законодавству України та дозволяють виконувати типові банківські операції (обмін валют, переказ коштів без відкриття банківського рахунку тощо) в звичайний спосіб, в т.ч. усно або шляхом акцепту публічно доступної інформації про обробку персональних даних, доступного для кожного суб’єкта персональних даних, що здійснює типову банківську операцію.

Надана згода може включати всі або окремі цілі обробки персональних даних для яких вони будуть використовуватися, підтвердження, що суб'єкт персональних даних повідомлений Банком про включення його персональних даних до бази персональних даних, про доступ до персональних даних суб’єкта розпорядників та третіх осіб, про права суб'єкта персональних даних відповідно до Закону та може бути викладена як цілісний документ, в анкеті для укладення правочину, в тексті договору про укладення правочину або іншим прийнятним для сторін шляхом, згідно домовленості між ними.


2.6. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.

2.7. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних, а банк – надавати послуги, якщо таке застереження суб’єкта дозволяє банку виконувати вимоги Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму";

2.8. Володілець бази персональних даних має зберігати фактичні дані, що свідчять про згоду суб’єкта персональних даних на обробку даних протягом строку обробки персональних даних.


2.9. Обробка персональних даних банками здійснюється у відповідності до Закону, Закону України «Про банки та банківську діяльність», «Про платіжні системи та переказ коштів в Україні», «Про організацію формування та обігу кредитних історій» та прийнятих у відповідності до них актів Національного банку України і включає право розпорядників та третіх осіб обробляти персональні дані із баз персональних даних, що належать банкам та право банків, як розпорядників, обробляти персональні дані із баз персональних даних, що не належать банкам.

Банк має право у відповідності до Закону відстрочити або відмовити у доступу до персональних даних третім особам і не має права відстрочити або відмовити у доступу до персональних даних суб’єкту персональних даних.

Суб’єкти персональних даних та треті особи мають право оскаржувати відстрочення або відмову у доступу до персональних даних відповідно до Закону.


ІІІ Порядок збору персональних даних


3.1. При зборі персональних даних володілець бази персональних даних повинен отримати згоду у суб’єкта персональних даних на обробку його персональних даних, а також:

3.3.1. проінформувати суб’єкта персональних даних про мету обробки персональних даних;

3.3.2. надати суб’єкту інформацію про місцезнаходження володільця бази персональних даних, його контактні дані;

3.3.3. проінформувати суб’єкта персональних даних про його право відмовитися чи внести застереження щодо обробки персональних даних;

3.3.4. забезпечити суб’єкту персональних даних право на отримання доступу до його даних, а також на виправлення недостовірної інформації, що стосується його персональних даних;

3.3.5. у випадку, якщо мета збору передбачає передачу персональних даних третім особам, - проінформувати суб’єкта персональних даних про можливість такої передачі, вказавши цих третіх осіб чи категорії таких осіб.

3.2. Обсяг персональних даних, які включаються володільцем бази персональних даних до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до Закону.

3.3. Умови згоди суб’єкта персональних даних можуть містити як опис персональних даних, обробка яких буде здійснюватися безпосередньо після надання згоди, так і опис персональних даних, збирання яких буде здійснюватися в процесі подальших взаємовідносин з суб’єктом персональних даних.


3.4. Мета обробки персональних даних повинні відповідати напрямам діяльності банка, володільця бази персональних даних, які передбачені Законом України «Про банки та банківську діяльність», Законами України;

3.5. Метою обробки персональних даних в банківській діяльності є забезпечення реалізації:

відносин у сфері економічних, фінансових послуг;

відносин у сфері безпеки, управління кредитними ризиками, включаючи страхування суб’єктів кредитних правовідносин та їх майна;

адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;

інших відносин, що вимагають обробки персональних даних та мають на меті реалізацію положень Закону України «Про банки та банківську діяльність»;

3.6. Додатковою метою обробки персональних даних в банківській діяльності є забезпечення реалізації:

трудових відносин;

відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;


3.7. Банк може узагальнити персональні дані, які він використовує, як основну та додаткову базу персональних даних для реалізації цілей обробки персональних даних передбачених п.3.5 - 3.6 Порядку.

3.8. Банк реєструє бази персональних даних у Державному реєстрі баз персональних даних відповідно до процедури передбаченої Законом.


3.6. При отриманні згоди володілець бази персональних даних може вказувати декілька цілей обробки персональних даних, якщо такі цілі не суперечать одна одній,

3.7. При отриманні згоди володілець бази персональних даних може застосовувати як конкретизовані формулювання щодо цілей обробки, так і загальні формулювання, передбачені п.3.5 -3.6 даного Порядку.

3.8. Суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані, у письмовій формі.

3.9. В розумінні даного Порядку до письмової форми повідомлення застосовуються правила, які встановлені до письмової форми правочину, встановлені ст. 207 Цивільного кодексу України, тобто володілець бази персональних даних може використовувати засоби телетайпного, електронного чи іншого технічного засобу зв’язку (e-mail, sms-повідомлення тощо).

Таке повідомлення може бути, зокрема, здійснене володільцем бази персональних даних в момент отримання персональних даних від суб’єкта персональних даних будь-яким прийнятним для сторін шляхом, згідно домовленості між ними. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.


ІV Порядок поширення персональних даних

4.1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу володільцем бази персональних даних розпоряднику бази персональних даних чи третій особі.

4.2. Поширення персональних даних здійснюються за правилами, встановленими розділом ІІ цього Порядку з урахуванням особливостей, встановлених цим розділом.

4.3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

4.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.

4.5. Не вимагається отримання згоди у суб’єкта персональних даних для передачі бази персональних даних розпоряднику бази персональних даних чи особі, яка виконує для володільця бази персональних даних технічні роботи, пов’язані з обробкою персональних даних без доступу до змісту персональних даних. В такому випадку відповідальність за шкоду, завдану неправомірною обробкою цих даних, несе володілець бази персональних даних.

4.6. Передача бази персональних даних здійснюється за договором, укладеним у письмовій формі між володільцем бази персональних даних та особою, якій передаються персональні дані, якщо окремими нормативно-правовими актами не передбачений інший порядок передачі персональних даних.

З метою забезпечення вимог Закону при передачі бази персональних даних до Договору мають бути включені наступні умови:
  • опис персональних даних, що передається (при цьому повинно бути зазначено, чи не містять персональні дані відомостей, передбачених статтею 7 Закону, для яких встановлено особливі вимоги щодо обробки);
  • мета, з якою є можлива обробка персональних даних;
  • правова підстава знаходження персональних даних у розпорядженні особи, яка передає дані та гарантія щодо наявності згоди суб’єктів персональних даних на передачу їх персональних даних чи інших підстав, встановлених законом;
  • зобов’язання особи, що отримує персональні дані, не здійснювати обробку персональних даних з метою іншою, ніж передбачено умовами договору;
  • зобов’язання щодо знищення персональних даних отримувачем даних після виконання договору (якщо умови договору не встановлюють іншого порядку та строку обробки персональних даних).


V Знищення та зміна персональних даних


5.1. Персональні дані в базах персональних даних підлягають знищенню у разі:

5.1.1. закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;

5.1.2. припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;

5.1.3. набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.

5.1.4. надходження вмотивованої вимоги суб’єкта персональних даних про припинення обробки /знищення його даних у випадках та в порядку, встановленому Законом.

5.2. При знищенні персональних даних володілець бази персональних даних повинен вжити заходів, що виключають можливість подальшого поновлення таких персональних даних у відповідній базі.

В разі знищення персональних даних суб'єкта персональних даних в базах персональних даних, якщо правовідносини між суб'єктом персональних даних та банком не припинені – банк має право припинити правовідносини з суб'єктом персональних даних та ініціювати негайне виконання суб'єктом персональних даних кредитних зобов'язань в порядку передбаченому законодавством.


5.3. Банк зобов’язаний забезпечувати суб'єкту персональних даних реалізацію прав, передбачених підпунктами 1) - 5) та 7) – 9) пункту 2 статті 8 Закону.

5.4. В разі пред'явлення банку (як володільцю бази персональних даних) суб'єктом персональних даних вмотивованої вимоги, передбаченої підпунктом 6) пункту 2 статті 8 Закону щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними, банк:


при отриманні заяви від суб'єкта персональних даних зобов'язаний перевірити інформацію, яка заперечується, протягом п'яти робочих днів з дня отримання заяви. На час перевірки інформації слід позначити персональні дані такого суб'єкта відповідною позначкою.

Банк залишає персональні дані суб'єкта без змін та знімає з персональних даних позначку в разі підтвердження інформації, що заперечується.

Банк вносить зміни до інформації, що міститься в персональних даних суб'єкта, та знімає з персональних даних позначку в разі не підтвердження інформації, що заперечувалася суб'єктом персональних даних.

Банк вилучає з персональних даних суб'єкта інформацію, що заперечується суб'єктом, а також знімає відповідну позначку, якщо у п'ятнадцятиденний термін з моменту звернення до нього Банк не отримав інформації, що підтверджувала б або заперечувала інформацію з інших джерел та в банку відсутня згода суб’єкта на обробку його персональних даних.

Банк зобов'язаний повідомити суб'єкта персональних даних, а також усіх розпорядників та третіх осіб, які на законних підставах зверталися до персональних даних цього суб'єкта впродовж одного року, про зміну інформації, що заперечувалась або була вилучена з персональних даних, цього суб’єкта, не пізніше двох днів з моменту внесення таких змін до персональних даних суб'єкта.

Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.


5.5. Якщо вмотивована вимога щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними, пред'явлена суб'єктом персональних даних банку, який є розпорядником бази персональних даних, банк має повідомити суб’єкту персональних даних контактну інформацію володільця бази персональних даних та діяти згідно п.5.4. цього Порядку, в частині яка його може стосуватися.

5.6. Суб'єкт персональних даних має право оскаржити в судовому порядку дії Банку, які порушують його права.


VІ Організація обробки персональних даних

володільцями баз персональних даних та розпорядниками баз

персональних даних


6.1. Володілець або розпорядник бази персональних даних вживає необхідні організаційні та технічні заходи з метою забезпечення процедури обробки персональних даних відповідно до вимог законодавства, належного рівня захисту персональних даних від несанкціонованого та незаконного доступу інших осіб.

6.2. Перелік таких заходів визначається володільцем або розпорядником бази персональних даних самостійно виходячи із складу персональних даних, що обробляються, способу обробки, ризиків заподіяння шкоди внаслідок неправомірної обробки таких даних, 6.3. З метою приведення своєї діяльності у відповідність до вимог законодавства про захист персональних даних, мінімізації ризиків заподіяння шкоди суб’єктам персональних даних неправомірною обробкою персональних даних, володільцям та розпорядникам баз персональних даних рекомендується вживати заходів щодо впровадження системи обробки персональних даних у наступній послідовності.

6.3.1. первинна оцінка стану обробки персональних даних;

6.3.2. планування та впровадження системи обробки персональних даних; ;

6.3.3. забезпечення поточного функціонування системи обробки персональних даних;

6.3.4. періодична та поточна оцінка ефективності ситеми обробки персональних даних;

6.3.5. удосконалення системи обробки персональних даних.


6.4. Первинна оцінка стану обробки персональних даних.

6.4.1. Цілями первинної оцінки стану обробки персональних даних є визначення переліку процесів обробки персональних даних, а також визначення статусу банка, суб'єкта обробки персональних даних: володілець або розпорядник бази персональних даних та визначення розпорядників, які обробляють персональні дані з баз персональних даних, володільцем яких є банк.

6.4.2. Метою первинної оцінки стану обробки персональних даних володільця є оцінка поточних процесів та процедур обробки персональних даних з метою приведення їх у відповідність до вимог законодавства України з питань захисту персональних даних.

6.4.3. Завданнями первинної оцінки стану обробки персональних даних володільця є:

6.4.3.1. встановлення цілей обробки персональних даних у ході поточної діяльності банку, як володільця та розпорядника баз персональних даних, а також інших розпорядників, які обробляють персональні дані з баз персональних даних, володільцем яких є банк;


6.4.3.2. перевірка відповідності цілей обробки персональних даних у ході поточної діяльності банка, як володільця, розпорядника баз персональних даних та інших розпорядників, які обробляють персональні дані з баз персональних даних, володільцем яких є банк цілям, визначених законами, іншими нормативно-правовими актами, установчими чи іншими документами, які регулюють діяльність володільця;

6.4.3.3. встановлення підстав для обробки персональних даних володільцем у визначених процесах обробки персональних даних;


6.4.3.4. оцінка сумісності застосовуваних способів обробки персональних даних встановленим цілям їх обробки; оцінка адекватності, ненадлишковості, відповідності оброблюваних персональних даних встановленим цілям;

6.4.3.5. оцінка точності, достовірності та процесів оновлення, у разі необхідності, персональних даних, що обробляються;

6.4.3.6. оцінка термінів зберігання персональних даних, визначення наявності чи відсутності даних, які зберігаються довше, ніж це необхідно;

6.4.3.7. оцінка поточних процедур, що забезпечують права фізичної особи, включаючи право на доступ до даних;

6.4.3.8. оцінка стану дотримання вимог щодо захисту даних;

6.4.3.10. перевірка наявності чи відсутності процедур передачі персональних даних за кордон;

6.4.3.11. перевірка наявності обробки персональних даних розпорядниками та відповідності банківському законодавству підстав для передачі персональних даних розпорядникам;

6.4.3.12. перевірка наявності доступу до персональних даних третіх осіб та процедур передачі персональних даних третім особам. Перевірка відповідності підстав для доступу до персональних даних третіх осіб та для передачі персональних даних третім особам банківському законодавству.

6.4. Цілями первинної оцінки стану обробки персональних даних розпорядника є:

6.4.1. встановлення наявності чи відсутності підписаного договору у письмовій формі з володільцем щодо обробки персональних даних;

6.4.2. оцінка відповідності умов обробки персональних даних законодавству України з питань захисту персональних даних;

6.4.3. перевірка виконання умов підписаного договору у письмовій формі з володільцем;

6.4.5. Результати первинної оцінки стану обробки персональних даних дозволяють спланувати заходи щодо створення системи обробки персональних даних.

6.5. Планування та впровадження системи обробки персональних даних володільцем включає в себе:

6.5.1. визначення переліку баз персональних даних, які обробляються володільцем відповідно до Закону з урахуванням:

- цілей обробки персональних даних, сформульованих відповідно до вимог законодавства України;

- бізнес-процесів володільця, структури, місцезнаходження баз персональних даних, структури інформаційної системи тощо;

6.5.2. коректування положень, установчих та інших документів, які регулюють діяльність володільця;

6.5.3. найменування баз персональних даних та затвердження цілей обробки персональних даних у базах персональних даних;

6.5.4. визначення законних підстав для обробки персональних даних у базах персональних даних;

6.5.5. визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці відповідно до Закону;

6.5.6. впровадження процедур доступу до персональних даних працівників відповідно до їхніх професійних чи службових або трудових обов'язків та надання ними зобов’язань (гарантій) не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом;

6.5.7. впровадження процедур, спрямованих на забезпечення дотримання принципів обробки персональних даних;

6.5.8. надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюється за згодою суб'єкта персональних даних та/чи відповідно до Закону;

6.5.9. забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них, відповідно до Закону;

6.5.10. обґрунтування необхідності передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними, у випадках, встановлених законом або міжнародним договором України; обґрунтування відповідності мети поширення персональних даних меті, з якою вони були зібрані; впровадження відповідного захисту персональних даних.

6.5.11. оформлення інформаційної картки бази персональних даних, яка містить відомості щодо найменування, місцезнаходження бази персональних даних, володільця, розпорядника, цілей обробки персональних даних, категорій персональних даних, які обробляються, обробки персональних даних, стосовно яких Законом передбачені особливі вимоги, правових підстав обробки персональних даних, передачі персональних даних за кордон, захисту бази даних, проведення періодичних та поточних оцінок стану обробки персональних даних;

6.5.12. оформлення заяви про реєстрацію бази персональних даних. Форма заяви бази персональних даних та інструкція з її заповнення затверджуються Державною службою України з питань захисту персональних даних;

6.5.13. реєстрація баз персональних даних, у порядку, визначеному Законом;

6.5.14. навчання, підвищення кваліфікації та вжиття інших заходів, спрямованих на забезпечення компетентності персоналу володільця.

6.6. З метою створення дієвої системи обробки персональних даних володільцем бази персональних даних перед початком роботи визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із здійсненням контролю за законністю обробки персональних даних та захистом персональних даних при їх обробці, відповідно до законодавства України, яке регулює його діяльність, та/або його установчих документів.

6.7. Володілець бази персональних даних з метою належного функціонування системи обробки персональних даних забезпечує:

6.7.1. загальну відповідальність за дотримання законодавства України у сфері захисту персональних даних;

6.7.2. затвердження необхідних процедур (методичних рекомендацій та правил тощо) стосовно вжиття заходів із забезпечення поточного функціонування системи обробки персональних даних у базах персональних даних;

6.7.3. забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них;

6.7.4. здійснення періодичної та поточної оцінки ефективності функціонування системи обробки персональних даних у базах персональних даних;

6.7.5. організацію внесення пропозицій керівництву володільця щодо удосконалення системи обробки персональних даних у базах персональних даних;

6.7.6. обов’язкову реєстрацію баз персональних даних в Державному реєстрі баз персональних даних.

6.7.7. розробку, впровадження та забезпечення належного функціонування системи обробки персональних даних;

6.7.8. підтримку вимог бізнесу процедурами захисту персональних даних у базах персональних даних;

6.7.9. реєстрацію інцидентів в системі обробки персональних даних.

6.8. Перевірка відповідності системи обробки персональних даних вимогам законодавства здійснюється у ході:

6.8.1. поточної перевірки ефективності системи обробки персональних даних, що проводиться володільцем самостійно відповідно до затверджених ним процедур;

6.8.2. періодичної перевірки ефективності системи обробки персональних даних, що здійснюється:

у формі внутрішньої оцінки системи обробки персональних даних, що проводиться володільцем самостійно, але не рідше одного разу на рік;

другою стороною (іншим володільцем) при передачі ним персональних даних відповідно до цілей обробки персональних даних у порядку визначеному договором;

третьою стороною (незалежною організацією) на добровільних засадах у порядку визначеному договором між володільцем та юридичною особою, компетентність якої документально засвідчена національним органом з акредитації у ході оцінки відповідності системи якості вимогам законодавства;

6.8.4. контролю за додержанням законодавства про захист персональних даних, що проводиться уповноваженим органом з питань захисту персональних даних відповідно до законодавства.

6.9. У ході перевірки третьою стороною відповідності системи обробки персональних даних вимогам законодавства здійснюється оцінка управлінських рішень володільця у сфері захисту персональних даних, відповідності технологічних рішень, прийнятих володільцем з метою виконання вимог стандартів та законодавства України про захист персональних даних.

6.10. Звіти за результатами перевірок третьою стороною повинні містити інформацію про будь-які порушення управлінських рішень володільця у сфері захисту персональних даних та встановлених процедур, а також порушення технологічних вимог до захисту персональних даних та законодавства України про захист персональних даних та зберігатися для врахування та аналізу.

6.11. Володілець зобов’язаний вживати заходів з удосконалення системи обробки персональних даних у базах персональних даних шляхом застосування превентивних і коригувальних дій.

Усі пропоновані зміни та / або поліпшення повинні бути оцінені з метою удосконалення задокументованих управлінських рішень володільця у сфері захисту персональних даних.

6.12 Зміни, що випливають з превентивних та коригувальних дій повинні бути належним чином документовані і збережені.

6.13. Володілець вживає превентивних дій для захисту забезпечення належного функціонування системи управління персональними даними у базах персональних даних шляхом:

- виявлення невідповідностей та їхніх причин;

- визначення ризиків;

- визначення та виконання необхідних превентивних заходів.

6.14. У разі виявлення потенційних невідповідностей у системі обробки персональних даних повинна бути створена процедура для розгляду кожної невідповідності і на основі оцінки ризиків для:

- усунення причин невідповідності;

- зниження рівня невідповідності.

Оцінка ризиків проводиться на регулярній основі для визначення чи змінилась ситуація і чи виправленні невідповідності.

6.15. Планування, впровадження, забезпечення поточного функціонування, здійснення оцінки та удосконалення системи обробки персональних даних розпорядником здійснюється відповідно до договору з володільцем баз персональних даних.

6.16. На підставі даних Рекомендацій володілець та розпорядник бази персональних даних може розробити власний порядок обробки персональних даних, що затверджується його керівником. Такий порядок не повинен суперечити законодавству України в сфері захисту персональних даних та може містити, зокрема, положення щодо визначення:

місця зберігання та заходів з забезпечення захисту бази персональних даних;

відповідальних осіб та осіб, які допущені до обробки персональних даних у базах персональних даних;

обліку та режиму доступу відповідальних осіб та осіб, які допущені до обробки персональних даних у базах персональних даних. Володілець або розпорядник бази персональних даних забезпечує ведення журналу обліку доступу до персональних даних у базах;

захисту персональних даних від несанкціонованого доступу до них, у тому числі програмних, технічних, програмно-технічних засобів;

порядку внесення, зміни, поновлення, використання, поширення знеособлення, знищення персональних даних у базі персональних даних.


VІІ Додаткові Порядок щодо захисту інформації від несанкціонованого доступу при обробці персональних даних у складі інформаційної (автоматизованої) системи


7.1. З метою належного захисту інформації від несанкціонованого доступу володільцям та розпорядникам бази персональних даних при обробці персональних даних рекомендується вживати наступних заходів:

7.1.1. забезпечити обробку персональних даних у такий спосіб, щоб початок обробки персональних даних був можливий лише після вчинення особою, яка допущена до такої обробки дій, спрямованих на її авторизацію та ідентифікацію в інформаційній (автоматизованій) системі, в рамках якої здійснюється така обробка.

Володілець або розпорядник самостійно визначають спосіб авторизації та ідентифікації цих осіб. При цьому способом авторизації та ідентифікації може бути присвоєння кожній відповідальній особі та особі, яка допущена до обробки персональних даних у базі персональних даних, унікального логіну та паролю. В особливих а рішенням володільця або розпорядника для забезпечення ідентифікації цих осіб додатково до логіну та паролю доступу може використовуватися електронний цифровий підпис.

7.1.2. Володільцю або розпоряднику бази персональних даних рекомендовано забезпечувати антивірусний контроль інформаційної (автоматизованої) системи, у складі якої здійснюється обробка персональних даних.

7.1.3. Для профілактики інцидентів, пов’язаних з ненавмисними діями відповідальних осіб, що можуть призвести до розголошення (втрати) персональних даних, володільцю або розпоряднику бази персональних даних рекомендовано визначити порядок захисту персональних даних під час їх обробки в інформаційних (автоматизованих) системах, що має містити заходи щодо:

- планової та позапланової заміни паролю відповідальної особи;

- періодичності та порядку резервного копіювання даних;

- визначення дій відповідальних осіб при виявленні вірусної небезпеки та періодичність оновлення антивірусних баз.


VІІІ Особливості обробки персональних даних у картотеках персональних даних


8.1. З метою забезпечення прав суб’єктів персональних даних для обробки різних персональних даних (в залежності від мети обробки) рекомендується використовувати окремий матеріальний носій (реєстр, книга, журнал). Рекомендується забезпечувати роздільне зберігання персональних даних (матеріальних носіїв), що містяться картотеках персональних даних, обробка яких здійснюється з різною метою.

8.2. Документ, в якому містяться персональні дані, повинен бути складений таким чином, щоб кожен із суб'єктів персональних даних, чиї дані містяться в документі, мав можливість ознайомитися зі своїми персональними даними, не маючи доступу до персональних даних інших осіб.

8.3. При зберіганні матеріальних носіїв картотек персональних даних повинні дотримуватися умови, що забезпечують збереження персональних даних і виключають несанкціонований доступ до них. Картотеки доцільно зберігати у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.