ЗАТВЕРДЖЕНО
рішення Виконавчого комітету
Чугуївської міської ради
19.11.2014 № 371
ПОРЯДОК
обробки та захисту персональних даних у базах персональних даних, створених у Чугуївській міській раді та її виконавчому комітеті
1. Загальні положення
1.1. Порядком обробки та захисту персональних даних (далі - Порядок) визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.2. Порядком визначається комплекс організаційних заходів для забезпечення захисту персональних даних у базах персональних даних, які створені у Чугуївській міській раді та її виконавчому комітеті та якими вони володіють у випадках та порядку, передбачених Законами України та іншими законодавчими актами, від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати інформації під час обробки.
1.3. Положення розроблено на підставі Закону України «Про захист персональних даних», зі змінами та доповненнями, наказу Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 «Про затвердження документів у сфері захисту персональних даних».
1.4. Порядок є обов’язковим для виконання працівниками Чугуївської міської ради та її виконавчого комітету, які мають доступ до персональних даних та обробляють їх.
1.5. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікується чи може бути ідентифікованою (найпоширеніші - паспортні дані, реєстраційний номер облікової картки платника податків, особисті відомості тощо).
1.6. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або самою особою.
Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України «Про засади запобігання і протидії корупції", не належать до інформації з обмеженим доступом, крім відомостей, визначених ч.2 ст. 12 цього Закону, а саме, відомості щодо реєстраційного номера облікової картки платника податків або серії та номера паспорта громадянина України, а також щодо місця проживання та реєстрації декларанта, місцезнаходження об’єктів, які наводяться в декларації про майно, доходи, витрати і зобов’язання фінансового характеру.
Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, у тому числі інформація, що міститься в копіях відповідних документів, інформація про умови отримання цих коштів чи майна, прізвища, імена, по батькові фізичних осіб, які отримали ці кошти або майно.
Дане положення не стосується випадків, коли наявні підстави для обмеження доступу до такої інформації, передбачені статтею 6 Закону України "Про доступ до публічної інформації", в тому числі коли обробка такої інформації може завдати шкоди інтересам національної безпеки, оборони, розслідуванню чи запобіганню злочину.
Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.
Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
1.7. Володільцем баз персональних даних є Чугуївська міська рада та її виконавчий комітет
Володілець баз персональних даних самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
Розпорядником персональних можуть бути структурні підрозділи виконавчого комітету Чугуївської міської ради, що мають статус юридичних осіб, або підприємства комунальної форми власності, що належить до сфери управління міської ради, яким володільцем та Законом «Про місцеве самоврядування в Україні» надано право обробляти ці дані від імені володільця.
Третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
Для баз персональних даних працівників Чугуївської міської ради та її виконавчого комітету та для бази даних «Бухгалтерський облік» третіми особами у контексті Закону України «Про захист персональних даних», Закону України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 № 000 є:
- державні органи, яким персональні дані працівників передаються відповідно до законодавства (Пенсійний фонд, податкова інспекція, військові комісаріати, центри зайнятості, фінансові інспекції, органи прокуратури, органи юстиції та ін.);
- банківська установа, що надає послуги Чугуївській міській раді та її виконавчому комітету у рамках зарплатного карткового проекту на підставі укладеного договору.
1.8. Перелік створених у Чугуївській міській раді та її виконавчому комітеті баз персональних даних затверджуються розпорядженням міського голови.
1.9. Персональні дані у базах персональних даних, якими володіє Чугуївська міська рада та її виконавчий комітет, обробляються на паперових носіях та частково у відповідних автоматизованих системах.
1.10. Під обробкою персональних даних у базах даних розуміється будь - яка дія або сукупність дій здійснюваних повністю або частково в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням, поширенням та знеособленням відомостей, які обробляються у базах даних.
1.11. Бази персональних даних, якими володіє Чугуївська міська рада та її виконавчий комітет знаходяться (зберігаються) у структурних підрозділах Чугуївської міської ради та її виконавчого комітету, в яких вони створені або накопичені та які мають відповідальних осіб.
1.12. Відповідно до Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 Чугуївська міська рада та її виконавчий комітет визначає:
1. мету та підстави обробки персональних даних;
2. категорії суб’єктів персональних даних;
3. склад персональних даних;
4. порядок обробки персональних даних, а саме:
- спосіб збору, накопичення персональних даних;
- строк та умови зберігання персональних даних;
- умови та процедуру зміни, видалення або знищення персональних даних;
- умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
- порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
- заходи забезпечення захисту персональних даних;
- процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.
1.13. У випадках, передбачених законодавством в цій сфері, володілець також визначає обов’язки та права осіб, відповідальних за організацію роботи, пов’язаної із захистом персональних даних під час їх обробки.
1.14. Процедури обробки, строк обробки та склад персональних даних повинні бути відповідними меті обробки.
1.15. Мета обробки персональних даних повинна бути чіткою і законною, та повинна бути визначена до початку їх збору.
2. Мета та підстави обробки персональних даних
Мета обробки персональних даних у базах даних, якими володіє Чугуївська міська рада та її виконавчий комітет, визначена в переліку баз персональних даних, який затверджується відповідним розпорядженням міського голови. Основними цілями обробки персональних даних у базах даних, створених у Чугуївській міській раді та її виконавчому комітеті є забезпечення реалізації:
- трудових відносин;
- відносин у сфері управління людськими ресурсами;
- адміністративно - правових;
- податкових відносин;
- відносин у сфері бухгалтерського обліку;
- господарських відносин;
- конституційного права громадян на з вернення, доступ до публічної інформації;
- права громадян, які звертаються за отриманням адміністративних послуг;
- права громадян на оренду комунального майна;
- права громадян на землю;
- відносин у сфері виборчого права;
- відносин у сфері видачі документів дозвільного характеру суб’єктам господарювання;
- права громадян на поліпшення житлових умов;
- права громадян на приватизацію займаних житлових приміщень;
- права громадян на свободу організації для здійснення і захисту своїх прав і свобод та задоволення економічних, соціальних, культурних за винятком обмежень, встановлених законом в інтересах національної безпеки та громадського порядку;
- право громадян на розвиток фізичної культури і спорту;
- право громадян обирати та бути обраними до органів самоорганізації населення;
- право громадянина на захист свого життя і здоров’я;
- відносин у сфері соціальної діяльності.
2.1. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.
2.2. Обробка персональних даних здійснюється володільцем персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом України «Про захист персональних даних» зі змінами та доповненнями.
Зокрема, згода на обробку персональних даних отримується володільцем або розпорядником лише у випадках, коли існує потреба для обробки цих даних, а інші передбачені цим пунктом підстави для обробки даних не поширюються на цей випадок
2.3. Підставами для обробки персональних даних є:
- згода суб’єкта персональних даних на обробку його персональних даних;
- дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
- укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
- захист життєво важливих інтересів суб’єкта персональних даних;
- необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
- необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.
2.4. Згода суб’єкта на обробку персональних даних повинна бути добровільною за умови поінформованості особи про сформульовану мету обробки. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.
2.5. Володілець персональних даних, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом України «Про захист персональних даних», мету збору персональних даних та третіх осіб, яким передаються його персональні дані:
- в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
- в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки персональних даних
2.6. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.
2.7. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
2.8. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання.
2.9. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно, володілець припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних
2.10. У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення
2.11. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.
2.12. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
2.13. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16, 17 Закону України «Про захист персональних даних».
2.14. Володілець повідомляє суб’єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону України «Про захист персональних даних».
3. Категорії суб’єктів, персональні дані яких обробляються у базах персональних даних Чугуївської міської ради та її виконавчих органів
У Чугуївській міській раді та її виконавчому комітеті обробляються персональні дані наступних суб’єктів
- Працівники;
- особи, що беруть участь у конкурсі на заміщення вакантної посади;
- фізичні особи, які звертаються до Чугуївської ради та передають свої дані відповідно до закону з метою реалізації своїх прав у галузі житлових, сімейних, земельних прав, прав в галузі освіти, надання безоплатної правової допомоги тощо;
- фізичні особи, з якими Чугуївською міською радою та її виконавчими органами укладаються цивільно-правові угоди.
3.1 Відповідно до визначеної мети обробки, нормативно - правових актів, потреб управлінської діяльності виконавчого комітету у базі персональних даних працівників Чугуївської міської ради та її виконавчого комітету обробляються персональні дані, необхідність обробки яких передбачена Законами України.
Склад персональних даних у базі персональних даних працівників Чугуївської міської ради та її виконавчого комітету
- прізвище, ім’я, по батькові;
- дата і місце народження;
- паспортні дані;
- ідентифікаційний код (номер облікової картки платника податків);
- відомості з військового квитка (приписного свідоцтва) в обсязі, необхідному для ведення військового обліку;
- відомості про трудову діяльність, що містяться у трудовій книжці;
- інші персональні дані, необхідність обробки яких визначено нормативно – правовими актами або пов’язана з кваліфікаційними вимогами до посади та / або специфікою діяльності виконавчого комітету;
- відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади);
- відомості про стан здоров’я (в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);
- біографічні дані;
- відомості про ділові та особисті якості, зокрема, вказані у характеристиках, біографічні дані та інше;
- відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;
- відомості про фактичне місце проживання, номери телефонів;
- відомості, що підтверджують право на пільги та компенсації відповідно до законодавства (встановлення інвалідності, належність до категорії постраждалих від аварії на ЧАЕС, отримання пенсії за віком, статус одинокої матері, опікуна, піклувальника, усиновлення дитини тощо);
- фотозображення.
3.2 У Чугуївській міській раді та її виконавчому комітеті не обробляються відомості про расове або етнічне походження працівників, їх політичне, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.
4. Захист персональних даних
4.1. Володілець, розпорядник персональних даних вживають заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.
4.2. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Відповідно до Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, організаційні заходи охоплюють:
- визначення порядку доступу до персональних даних працівників володільця;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання співробітників, які працюють з персональними даними.
4.3. Володілець веде облік працівників, які мають доступ до персональних даних суб’єктів. Володілець визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
Усі інші працівники володільця мають право на повну інформацію лише стосовно власних персональних даних.
4.4. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
4.5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.
4.6. Володілець веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою володільцем зберігається інформація про:
- дату, час та джерело збирання персональних даних суб’єкта;
- зміну персональних даних;
- перегляд персональних даних;
- будь-яку передачу (копіювання) персональних даних суб’єкта;
- дату та час видалення або знищення персональних даних;
- працівника, який здійснив одну із указаних операцій;
- мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.
Володілець персональних даних самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних суб’єкта та доступом до них. У випадку обробки персональних даних суб’єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається володільцем упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
