Положення про обробку персональних даних

Положення про порядок обробки персональних даних у базах персональних даних Асоціації неонатологів України затверджено рішенням Комітету з питань членства

Загальні положення

Положення про порядок обробки персональних даних у базах персональних даних Асоціації неонатологів України (далі – Положення) розроблено з метою встановлення загальних вимог до організаційних і технічних заходів захисту персональних даних під час їх обробки в базах персональних громадської організації «Асоціація неонатологів України» (далі – Асоціація).

Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 року №2297-VI (далі – Закон № 2297), "Про захист інформації в інформаційно-телекомунікаційних системах" від 05.07.1994 року №80/94-ВР (далі – Закон № 80/94) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року №1/02-14 (далі – Типовий порядок).

Терміни в Положенні вживаються у значеннях, наведених у Законах №2297 та №80/94.

Це Положення є обов'язковим для працівників/членів Асоціації, на яких покладено функції здійснення обробки персональних даних та/або яким надано доступ до них.

Персональні дані обробляються у базах персональних даних, володільцем яких є Асоціація, – «Члени Асоціації» (у формі картотеки персональних даних) та «Спільнота» (в електронній формі за допомогою автоматизованої інформаційно-аналітичної системи «Електронна асоціація»).

Відповідальним за організацію роботи, пов'язаної із захистом персональних даних у базах персональних даних, в Асоціації є Комітет з питань членства Асоціації (далі – відповідальний структурний підрозділ).

Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, здійснюваних в картотеці персональних даних «Члени Асоціації» та/або в автоматизованій інформаційно-аналітичній системі «Електронна асоціація», які пов’язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням, знеособленням та знищенням персональних даних – відомостей про фізичну особу.

Обробка персональних даних у базі персональних даних «Члени Асоціації» здійснюється щодо наступних категорій суб'єктів персональних даних: фізичних осіб, які виявили намір стати членами Асоціації та членів Асоціації; фізичних осіб, які виступають в якості офіційних представників осіб, які є членами Асоціації.

Обробка персональних даних у базі персональних даних «Спільнота» здійснюється щодо наступних категорій суб'єктів персональних даних: фізичних осіб, які виявили намір стати членами Асоціації та членів Асоціації; фізичних осіб, які бажають отримати інформаційно-консультаційні послуги стосовно діяльності Асоціації або виступають в якості офіційних представників осіб, які є членами Асоціації, осіб, що звертаються до Асоціації безпосередньо або каналами дистанційного обслуговування.

Місце (фактична адреса) обробки персональних даних: м.Київ, вул.П. Майбороды, б. 8.

Мета обробки персональних даних

Обробка персональних даних у базах персональних даних, володільцем яких є Асоціація, здійснюється з наступною метою:

  • реєстрація, накопичення, зберігання і поновлення відомостей про членів, кандидатів в члени Асоціації;
  • отримання інформаційних матеріалів щодо діяльності Асоціації або її партнерів;
  • виконання Статутних завдань Асоціації;
  • забезпечення реалізації цивільно-правових відносин у сфері реклами та маркетингу;
  • взаємодія членів Асоціації, кандидатів в члени Асоціації та третіх осіб з метою налагодження контактів, у тому числі, задля отримання інформаційно-консультаційних послуг або сервісів Асоціації;
  • забезпечення реалізації прав членів Асоціації та отримання ними допомоги для захисту своїх законних прав та інтересів;
  • забезпечення реалізації адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку.

Склад персональних даних

Відповідно до мети обробки до складу персональних даних, що обробляються у базах персональних даних Асоціації, включаються такі дані про фізичних осіб:

  • прізвище, ім’я, по батькові;
  • дата народження;
  • країна, область район та населений пункт проживання;
  • відомості про адресу для листування, номери телефонів,адресу електронної пошти;
  • відомості про освіту, наявність спеціальних знань або підготовки;
  • відомості про наявність кваліфікаційної категорії (розряду, класу тощо);
  • відомості про трудову діяльність;
  • відомості про наукові ступені та звання;
  • відомості про ділові та особисті якості(у т. ч. особистих захоплень, звичок);
  • відомості про членство у професійних співтовариствах;
  • фото- та відеозображення;
  • інші відомості що були самостійно надані суб’єктом персональних даних та обробка яких відповідає чинному законодавству.

Обов’язки та права відповідального структурного підрозділу Асоціації за організацію роботи із захисту персональних даних

Відповідальний структурний підрозділ відповідно до покладених завдань:

  • забезпечує ознайомлення працівників та членів Асоціації, які у зв’язку з виконанням своїх посадових або інших обов’язків/повноважень мають доступ до персональних даних, з вимогами законодавства про захист персональних даних, зокрема щодо обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали їм відомі у зв’язку з виконанням службових або інших обов’язків;
  • забезпечує організацію обробки персональних даних у Асоціації працівниками/членами Асоціації відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов'язків;
  • забезпечує організацію роботи з обробки запитів щодо доступу до персональних даних у базах персональних даних Асоціації суб’єктів відносин, пов’язаних з обробкою персональних даних;
  • забезпечує доступ суб’єктів персональних даних до власних персональних даних, які містяться у базах персональних даних Асоціації;
  • забезпечує ведення обліку фактів надання та позбавлення працівників Асоціації права здійснення обробки та/або доступу до персональних даних, які містяться у базах персональних даних Асоціації;
  • забезпечує здійснення розмежування режимів доступу працівників Асоціації до обробки персональних даних у базах персональних даних Асоціації відповідно до їх службових обов’язків;
  • взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних у базах персональних даних Асоціації;

З метою виконання вказаних завдань відповідальний структурний підрозділ:

  • забезпечує реалізацію прав суб’єктів персональних даних;
  • користується доступом до будь-яких персональних даних, які обробляються в базах персональних даних Асоціації;
  • у разі виявлення порушень законодавства про захист персональних даних та/або цього Положення повідомляє про це керівництво Асоціації з метою вжиття необхідних заходів;

Вимоги відповідального структурного підрозділу до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників Асоціації, які здійснюють обробку персональних даних.

Персонально відповідальним за виконання покладених на відповідальний структурний підрозділ основних завдань і виконання ним своїх функцій (крім зберігання персональних даних) є один з членів відповідального структурного підрозділу, призначений керівником даного підрозділу.

Персонально відповідальним за зберігання персональних даних є керівник відповідального структурного підрозділу.

Керівник відповідального структурного підрозділу має право:

  • перевіряти стан дотримання працівниками Асоціації законодавства у сфері захисту персональних даних і виконання вимог цього Положення;
  • вносити керівництву Асоціації пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їхніх посадових або інших обов'язків;
  • розглядати вимоги суб'єктів персональних даних щодо заперечення проти обробки їхніх персональних даних та/або їх зміни;

Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані керівником відповідального структурного підрозділу.

Порядок обробки персональних даних

Збір та накопичення персональних даних

Обробка (у т. ч. збирання) персональних даних проводиться на підставі згоди-повідомлення суб’єкта персональних даних (далі – суб’єкт ПД) за формою, наведеною у Додатку 1 до цього Положення. Згода-повідомлення суб'єкта ПД - це добровільне волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки; містить повідомлення про права суб’єкта ПД, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані.

Згода-повідомлення може надаватися суб’єктом ПД у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються Асоціацією впродовж часу обробки таких даних.

Згода-повідомлення оформляється в двох екземплярах в письмовій формі або в електронній формі. Перший екземпляр надається суб’єкту ПД. Отримання повідомлення суб’єкт ПД підтверджує відміткою на другому примірнику згоди-повідомлення.

Обробка персональних даних суб’єкта ПД, зібраних до 01.01.2011 року, у разі якщо вона продовжується у тому ж обсязі і з тією ж метою, продовжує проводитися на основі вільного волевиявлення суб’єктів відповідно до правовідносин, що виникли до набрання чинності Законом № 2297. Зміна мети обробки, складу персональних даних та третіх осіб, потребує додаткової згоди суб’єкта ПД на обробку його персональних даних.

Працівники Асоціації або члени відповідального структурного підрозділу в момент збору персональних даних, якщо персональні дані збираються у суб’єкта ПД, повідомляють таких суб’єктів про:

  • джерела збирання персональних даних, склад та зміст зібраних персональних даних;
  • мету обробки персональних даних;
  • умови доступу до їх персональних даних, у тому числі третіх осіб, яким можуть передаватись їх персональні дані;
  • права працівника як суб’єкта персональних даних, у тому числі щодо пред’явлення вмотивованої вимоги із запереченням проти обробки своїх персональних даних або їх зміни чи знищення.

Суб’єкт ПД має право:

  • знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
  • на доступ до своїх персональних даних;
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
  • пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
  • пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
  • на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
  • звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
  • застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
  • вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
  • відкликати згоду на обробку персональних даних;
  • знати механізм автоматичної обробки персональних даних;
  • на захист від автоматизованого рішення, яке має для нього правові наслідки.

При вступі до Асоціації особа, яка має намір стати членом Асоціації, надає документи, передбачені Положенням про членство в Асоціації, у т. ч. заяву про прийняття в члени Асоціації та анкету кандидата в члени Асоціації (Додаток 4 до Положення), та надає згоду на обробку своїх персональних даних за встановленою у Додатку 1 до Положення. У разі прийняття рішення Асоціацією про набуття статусу члена Асоціації персональні дані такого суб’єкта вносяться секретарем відповідального структурного підрозділу до бази персональних даних Асоціації «Члени асоціації» та «Спільнота» протягом 10 робочих днів з дати прийняття такого рішення.

В інших випадках персональні дані суб’єкта ПД вносяться секретарем відповідального структурного підрозділу відповідальною особою до бази персональних даних Асоціації «Спільнота» протягом 10 робочих днів з дати отримання згоди суб’єкта ПД на обробку персональних даних.

У разі отримання Асоціацією вимоги суб’єкта ПД із запереченням проти обробки своїх персональних даних така вимога розглядається керівником відповідального структурного підрозділу, який приймає рішення про можливість подальшої обробки персональних даних.

У випадку отримання Асоціацією вимоги суб’єкта ПД із запереченням проти обробки своїх персональних даних з огляду на порушення законодавства при здійсненні такої обробки головою відповідального структурного підрозділу ініціюється засідання Комітету з питань членства Асоціації.

Зміна, видалення або знищення персональних даних

Зміна персональних даних здійснюється на підставі вмотивованої письмової вимоги суб'єкта ПД або за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта ПД чи відповідна зміна здійснюється згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили. Секретар відповідального структурного підрозділу вносить зміни до баз персональних даних на протязі трьох робочих днів з моменту отримання такої вимоги.

Зміна персональних даних, які не відповідають дійсності, проводиться секретарем відповідального структурного підрозділу невідкладно з моменту встановлення невідповідності.

Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.

Персональні дані підлягають видаленню або знищенню у разі:

  • закінчення строку зберігання даних, визначеного згодою суб'єкта ПД на обробку цих даних або законом;
  • припинення правовідносин між суб'єктом ПД та Асоціацією, якщо інше не передбачено законом;
  • видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
  • набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

Відповідальним за зміну, знищення або видалення персональних даних є відповідальний структурний підрозділ.

Порядок доступу до персональних даних осіб, які здійснюють обробку персональних даних, а також суб’єктів ПД

Доступ до баз персональних даних Асоціації мають:

  • президент Асоціації;
  • голова Комітету з питань членства Асоціації та член даного Комітету, відповідальний за виконання покладених на відповідальний структурний підрозділ основних завдань і виконання ним своїх функцій (призначений керівником даного підрозділу;
  • головний бухгалтер Асоціації (в обсязі, необхідному для реалізації податкових відносин, відносин у сфері бухгалтерського обліку);
  • юрисконсульт Асоціації (в обсязі, необхідному для виконання своїх посадових обов’язків);
  • керівники структурних підрозділів Асоціації, інші співробітники та члени Асоціації (в обсязі та для реалізації відносин, що зазначені у відповідному рішенні Комітету з питань членства Асоціації).
  • суб’єкт ПД – до своїх персональних даних (у повному обсязі)

Вищезазначені особи, які обробляють персональні дані, або мають доступ до них (крім суб’єктів ПД) дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням обов’язків, за формою, наведеною у Додатку 2.

Право доступу до персональних даних та їх обробку надається таким особам лише після підписання зобов’язання про нерозголошення персональних даних.

Забезпечення отримання зобов’язань про нерозголошення персональних даних покладається секретаря відповідального структурного підрозділу.

Зобов’язання про нерозголошення персональних даних реєструються секретарем відповідального структурного підрозділу у електронному реєстрі реєстрації зобов’язань про нерозголошення персональних даних в обсязі, зазначеному у Додатку 3.

За електронним реєстром реєстрації зобов’язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки.

Датою надання права доступу до персональних даних вважається дата надання зобов’язання.

Особи, які здійснюють обробку персональних даних, зобов’язані терміново повідомляти відповідальний структурний підрозділ про факт:

  • втрати або неумисного знищення носіїв інформації з персональними даними;
  • втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
  • якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам, за винятком технічних спеціалістів, що мають доступ до цієї інформації для виконання службових обов’язків;
  • виявлення спроби несанкціонованого доступу до персональних даних.

Датою позбавлення права доступу до персональних даних вважається:

  • дата припинення членства в Асоціації згідно Положення про членство в асоціації;
  • дата рішення Комітету про припинення доступу особи до обробки персональних даних;
  • дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.

При позбавленні доступу до персональних даних особа повинна невідкладно передати керівнику структурного підрозділу Асоціації або керівнику відповідального структурного підрозділу документи та інші носії, що містять персональні дані суб’єктів.

Умови розкриття інформації про персональні дані третім особам

Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта ПД, наданої Асоціації на обробку цих даних, або відповідно до вимог закону.

Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.

Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних Асоціації.

У запиті зазначаються:

  • прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
  • найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
  • прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
  • відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
  • перелік персональних даних, що запитуються;
  • мета та/або правові підстави для запиту.

Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку Асоціація доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

Суб'єкт ПД персональних даних має право на одержання від Асоціації будь-яких відомостей про себе, які містяться у базах персональних даних Асоціації, за умови надання наступної інформації - прізвища, ім'я та по батькові, місця проживання (місця перебування) і реквізитів документа, що посвідчує фізичну особу, яка подає запит, крім випадків, установлених законом.

Доступ суб'єкта ПД до даних про себе здійснюється безоплатно.

Відстрочення доступу суб'єкта ПД до своїх персональних даних не допускається.

Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.

Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

У повідомленні про відстрочення зазначаються:

  • прізвище, ім'я та по батькові посадової особи;
  • дата відправлення повідомлення;
  • причина відстрочення;
  • строк, протягом якого буде задоволено запит.

Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

У повідомленні про відмову зазначаються:

  • прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
  • дата відправлення повідомлення;
  • причина відмови.

Заходи забезпечення захисту персональних даних в базах персональних даних Асоціації

Асоціація відповідальна за організацію роботи, пов'язаної із захистом персональних даних в базах персональних даних Асоціації.

При обробці персональних даних в базах персональних даних Асоціації забезпечується їх захист відповідно до вимог Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах".

Асоціація як володілець баз персональних даних вживає заходів, у тому числі організаційних і технічних, щодо забезпечення захисту персональних даних базах персональних даних Асоціації.

Право доступу до баз персональних даних Асоціації надається особам, визначеним у цьому Положенні, лише за умови, якщо вони надали письмове зобов’язання щодо нерозголошення персональних даних.

Картотека бази персональних даних «Члени асоціації» зберігається в шафі, захищеній від несанкціонованого доступу.

Інформаційно-аналітична система «Електронна асоціація», що використовується Асоціацією в процесі обробки персональних даних для досягнення мети їх обробки, має вбудовані механізми захисту інформації від несанкціонованого доступу для забезпечення ідентифікації та автентифікації користувачів, цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом, та/або має змогу використовувати зазначені механізми захисту системного програмного забезпечення.

Визначені в Положенні особи допускаються до обробки персональних даних за допомогою інформаційно-аналітичної системи «Електронна асоціація» лише після їх ідентифікації (логін, пароль). Доступ до персональних даних осіб, які не пройшли процедуру ідентифікації, блокується. При втраті доступу до персональних даних особо, яка мала таке право його ідентифікаційні дані (логін, пароль) анулюються, а його доступ до системи блокується.

Інформація про операції, пов'язані з обробкою персональних даних (перегляд, внесення, копіювання, зміна, видалення), а також результати ідентифікації та/або автентифікації осіб за допомогою інформаційно-аналітичної системи «Електронна асоціація» фіксуються автоматично та зберігаються, якщо інше не передбачено законодавством України.

Додатки