Укр. | Рус. | Eng

  

Гаряча лінія: 044-253-75-89, 0800-50-17-20
Захист персональних даних: 253-11-35, 253-53-94

 

Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу

1. Загальні положення

1.1. Цей Порядок встановлює процедуру та затверджує форму повідомлення Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений) про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про зміну відомостей, що підлягають повідомленню, та про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення зазначеної інформації на офіційному веб-сайті Уповноваженого.

1.2. Для цілей цього Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів  – це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна,  поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:

- расове, етнічне та національне походження;

- політичні, релігійні або світоглядні переконання;

- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;

- стан здоров’я;

- статеве життя;

- біометричні дані;

- генетичні дані;

- притягнення до адміністративної чи кримінальної відповідальності;

- застосування щодо особи заходів в рамках досудового розслідування;

- вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;

- вчинення щодо особи тих чи інших видів насильства;

- місцеперебування та/або шляхи пересування особи.

Інші терміни у цьому Порядку вживаються у значенні, наведеному в Законі України «Про захист персональних даних» (далі - Закон).

2. Процедура та форма повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних

2.1. Володілець персональних даних повідомляє Уповноваженого про здійснення ним будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, крім випадків, якщо:

2.1.1. здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;

2.1.2. обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно персональних даних членів цих об’єднань та не передається без їх згоди;

2.1.3. обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.

2.2. З метою повідомлення Уповноваженого володілець персональних даних подає до Секретаріату Уповноваженого заповнений бланк заяви за формою, наведеною у Додатку 1, в межах строків, встановлених Законом. Кожна сторінка заяви має бути пронумерована та скріплена печаткою (у разі наявності) і підписом уповноваженої на те особи.

2.3. Володілець персональних даних повідомляє Уповноваженого листом на адресу Секретаріату Уповноваженого: вул. Інститутська, 21/8; м. Київ, 01008, або іншим доступним заявнику способом (факсом, електронною поштою, через скриньку, спеціально розміщену на 1 поверсі Секретаріату Уповноваженого). В разі направлення заяви електронною поштою заява має бути відсканована.

2.4. Заява повинна містити відомості про:

2.4.1. Володільця персональних даних:

- П.І.Б., реєстраційний номер облікової картки платника податків, паспортні дані, місце проживання для фізичної особи;

- найменування, код ЄДРПОУ, адреса реєстрації та/або місцезнаходження для юридичної особи.

2.4.2. Розпорядника персональних даних:

- П.І.Б., реєстраційний номер облікової картки платника податків, паспортні дані, місце проживання для фізичної особи;

- найменування, код ЄДРПОУ, адреса реєстрації та/або місцезнаходження для юридичної особи.

2.4.3. Обробку персональних даних, вказаних у п. 1.2.:

- персональні дані, що обробляються;

- мету обробки персональних даних (з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця  персональних даних);

- категорію чи категорії суб’єктів, чиї персональні дані обробляються;

- третіх осіб, яким передаються персональні дані суб’єктів;

- транскордонну передачу персональних даних;

- місце (фактична адреса) обробки персональних даних;

- загальний опис технічних та організаційних заходів, що здійснюються володільцем персональних даних, для забезпечення їх захисту.

2.5. Заявники зберігають копію заяви, що була подана до Секретаріату Уповноваженого.

2.6. Уповноважений в порядку черговості надходження заяв, за винятком ситуацій, вказаних у п. 2.9., оприлюднює на офіційному веб-сайті Уповноваженого вказані у п. 2.4. відомості в окремому розділі «Повідомлення про здійснення обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних».

2.7. Заяви, отримані Уповноваженим, зберігаються в архіві / електронному архіві Секретаріату Уповноваженого в порядку і впродовж строків, встановлених законодавством.

2.8. Заява вважається такою, що не була подана, та до розгляду не приймається у разі якщо:

- форма заяви не відповідає тій, що визначена у Додатку 1;

- заява містить неповну та явну недостовірну інформацію ;

- інформація, викладена у заяві, не містить відомостей, які б вказували на те, що володільцем персональних даних здійснюється обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних.

2.9. Відомості про володільця персональних даних, який надіслав заяву, вказану у п. 2.8. Порядку, із зазначенням відповідної підстави, оприлюднюються на офіційному веб-сайті Уповноваженого в окремому розділі «Заяви, не прийняті до розгляду».

2.10. Заяви, вказані у п. 2.8. Порядку, формуються в окремі справи з грифом «Заяви, не прийняті до розгляду», та зберігаються протягом шести місяців з подальшим знищенням в порядку, визначеному законодавством України.

3. Процедура та форма повідомлення Уповноваженого про зміну відомостей у процесі обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних

3.1. Володілець персональних даних, який повідомив Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, в порядку, визначеному пп. 2.1.-2.5. цього Порядку, повідомляє Уповноваженого про кожну зміну відомостей, вказаних у п. 2.4.

3.2. З цією метою володілець персональних даних подає до Секретаріату Уповноваженого заповнений бланк заяви за формою, наведеною у Додатку 2, в межах строків, встановлених Законом, за правилами, визначеними пунктами 2.2-2.3 цього порядку.

3.3. Уповноважений в порядку черговості надходження заяв, вказаних в п. 3.2. Порядку, оприлюднює на офіційному веб-сайті Уповноваженого інформацію про зміну відомостей, надісланих у заяві, в розділі «Повідомлення про здійснення обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних».

3.4. Заяви, отримані Уповноваженим, зберігаються в архіві Секретаріату Уповноваженого в порядку і впродовж строків, встановлених законодавством.

3.5. Заява вважається такою, що не була подана, та до розгляду не приймається у таких випадках:

- форма заяви не відповідає тій, що визначена у Додатку 2;

- заява містить неповну або явно недостовірну інформацію.

3.6. Заявники зберігають копію заяви, що була подана до Секретаріату Уповноваженого.

3.7. Відомості про володільця, який надіслав заяву, вказану у п. 3.5. Порядку, із зазначенням відповідної підстави, оприлюднюються на офіційному веб-сайті Уповноваженого в окремому розділі «Заяви, не прийняті до розгляду».

3.8. Заяви, вказані у п. 3.5., формуються в окремі справи з грифом «Заяви, не прийняті до розгляду» та зберігаються протягом шести місяців з подальшим знищенням в порядку, визначеному законодавством України.

4. Процедура та форма повідомлення Уповноваженого про припинення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних

4.1. Володілець персональних даних, який повідомив Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних,  в порядку, визначеному пп. 2.1.-2.5. цього Порядку, повідомляє Уповноваженого про припинення такої обробки персональних даних.

4.2. З цією метою володілець персональних даних подає до Секретаріату Уповноваженого протягом 10 днів з моменту припинення обробки заповнений бланк заяви за формою, наведеною у Додатку 3, за правилами, передбаченими в пунктах 2.2.- 2.3. цього Порядку.  

4.3. Уповноважений в порядку черговості надходження заяв, вказаних в п. 4.2. Порядку, оприлюднює на офіційному веб-сайті Уповноваженого інформацію про припинення володільцем персональних даних обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, в окремому розділі «Повідомлення про здійснення обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних».

4.4. Заяви, отримані Уповноваженим, зберігаються в архіві Секретаріату Уповноваженого в порядку і впродовж строків, встановлених законодавством.

5. Повідомлення про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці,та оприлюднення такої інформації

5.1. Органи державної влади, органи місцевого самоврядування, а також володільці чи розпорядники персональних даних, що здійснюють обробку персональних даних, інформація про яку підлягає повідомленню Уповноваженому відповідно до цього Порядку, повідомляють Уповноваженого про створення структурного підрозділу або призначення відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці (далі - структурний підрозділ або відповідальна особа).

5.2. З цією метою суб’єкти, вказані в п. 5.1. Порядку, подають до Секретаріату Уповноваженого заповнений бланк заяви за формою, наведеною у Додатку 4, з усіма підтверджуючими документами, впродовж 30 днів з моменту створення структурного підрозділу або призначення відповідальної особи за правилами, визначеними в пунктах 2.2. – 2.3. цього Порядку.

5.3. Уповноважений в порядку черговості надходження заяв, вказаних в п. 5.2. Порядку, оприлюднює на офіційному веб-сайті Уповноваженого надіслані відомості в окремому розділі «Інформація про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці».

5.4. В разі направлення володільцем повідомлення про припинення ним обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, вказані в п. 5.3. відомості видаляються із офіційного веб-сайту Уповноваженого.  

ДОДАТОК 1. Заява про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.

ДОДАТОК 2. Заява про зміну відомостей щодо обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.

ДОДАТОК 3. Заява про припинення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.

ДОДАТОК 4. Заява про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

Роз’яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних