Укр. | Рус. | Eng

  

Гаряча лінія: 044-253-75-89, 0800-50-17-20
Захист персональних даних: 253-11-35, 253-53-94

 

Положення про обробку та захист персональних даних фізичних осіб, що звертаються до Уповноваженого щодо додержання прав і свобод людини і громадянина, відповідно до Закону України «Про звернення громадян»

ЗАТВЕРДЖЕНО

наказом Уповноваженого

Верховної Ради України з прав людини

17.01.2013 рік № 5/02-13

Положення

про обробку та захист персональних даних фізичних осіб громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, що звертаються до Уповноваженого Верховної Ради України з прав людини щодо додержання прав і свобод людини і громадянина, відповідно до Закону України «Про звернення громадян»

(зі змінами внесеними згідно із наказом Уповноваженого

від 10.01.2014  № 2/02-14)

І. Загальні положення 

1.1. Положення про обробку та захист персональних даних фізичних осіб громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, що звертаються до Уповноваженого щодо додержання прав і свобод людини і громадянина (далі – особи, що звертаються), відповідно до Закону України «Про звернення громадян» (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати  даних під час обробки.

1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 (далі — Закон) та Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Міністерстві юстиції України 03.01.2012 за № 1/20314  (далі – Типовий порядок).

1.3. Положення є обов’язковим для виконання працівниками Секретаріату Уповноваженого Верховної Ради України з прав людини (далі – Секретаріат), які мають доступ до персональних даних та обробляють персональні дані.

1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону та Типового порядку.

1.5. До персональних даних осіб, що звертаються, належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.

1.6. Персональні дані осіб, що звертаються, є інформацією з обмеженим доступом.

1.7. Персональні дані осіб, що звертаються, обробляються у базі персональних даних «Звернення» (далі – БПД «Звернення»), володільцем якої є Секретаріат.

1.8. Для БПД «Звернення» розпорядники відсутні. Працівники Секретаріату не є розпорядниками зазначеної бази персональних даних.

1.9. Обробка персональних даних осіб, що звертаються, ведеться у змішаній формі: на паперових носіях (звернення, журнали тощо) та за допомогою автоматизованої системи «Звернення» (далі — Автоматизована система).

1.10. Під обробкою персональних даних осіб, що звертаються, розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково в Автоматизованій системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням та знищенням.

1.11. БПД «Звернення» розміщена за адресою м.Київ, вул. Інститутська 21/8 в приміщенні Серетаріату.

1.12. Для БПД «Звернення» третіми особами у контексті Закону є особи, які мають відношення до вирішення справи, яким персональні дані особи, що звертається, передаються відповідно до законодавства (стаття 10 ЗУ «Про звернення громадян»).

(пункти 1.9., 1.10., 1.11., 1.12. розділу І Положення викладено в редакції відповідно до наказу Уповноваженого

від 10.01.2014 №2/02-14)

ІІ. Мета обробки персональних даних

2.1. Обробка персональних даних загального характеру у БПД «Звернення» проводиться з метою забезпечення реалізації конституційного права громадян на звернення, вирішення питань, порушених в заявах, пропозиціях або скаргах громадян, адміністративно-правових відносин, підготовки статистичної, адміністративної та іншої інформації відповідно до Конституції України, Законів України "Про Уповноваженого Верховної Ради України з прав людини", "Про звернення громадян", "Про доступ до публічної інформації", постанови Кабінету Міністрів України від 14.04.1997 № 348 "Про затвердження інструкції з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форми власності, в засобах масової інформації", Положення про Секретаріат.

ІІІ. Склад персональних даних у БПД «Звернення»

3.1. Відповідно до визначеної мети обробки та відповідних нормативно-правових актів у базі персональних даних «Звернення» обробляються:

а) персональні дані, необхідність обробки яких передбачена законами України:

- прізвище, ім’я, по батькові;

- місце проживання;

б) персональні дані, необхідність обробки яких визначена нормативно-правовими актами:

- місце роботи;

- категорія (соціальний стан);

- контактний телефон,

в) інші дані, які особа добровільно, за власним бажанням, надає про себе.

(пункт 3.2. розділу ІІІ Положення виключено на підставі наказу Уповноваженого від 10.01.2014

№2/02-14)

IV. Обов’язки та права особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у Секретаріаті

4.1. З урахуванням вимог статті 24 Закону наказом Уповноваженого призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних у Секретаріаті (далі — Відповідальна особа). Наказ доводиться до відома Відповідальної особи під підпис.

4.2. Відповідальна особа:

4.2.1. Забезпечує:

– організацію обробки персональних даних працівниками Секретаріату відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;

– аналіз процесів обробки персональних даних відповідно до основних завдань та функцій Секретаріату, у т. ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та не надмірність персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;

(частину третю та четверту підпункту 4.2.1. пункту 4.2. розділу ІV Положення виключено на підставі наказу Уповноваженого від 10.01.2014

№2/02-14)

– ознайомлення керівників структурних підрозділів та працівників Секретаріату з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;

– організацію обробки запитів третіх осіб щодо доступу до персональних даних.

4.2.2. Сприяє доступу суб’єктів персональних даних до власних персональних даних.

4.2.3. За необхідності готує проекти змін та доповнень до цього Положення, подає зазначені проекти на розгляд керівнику Секретаріату.

4.2.4. Погоджує проекти положень про структурні підрозділи, працівниками яких обробляються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них, за необхідності ініціює внесення необхідних змін та доповнень до положень про структурні підрозділи та посадових інструкцій;

4.2.5. Інформує керівника Секретаріату про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону.

4.2.6. Інформує керівника Секретаріату про порушення встановлених процедур обробки персональних даних.

4.2.7. Фіксує факти порушень процесу обробки та захисту персональних даних у порядку, визначеному розділом VII цього Положення.

4.3. Відповідальна особа має право:

4.3.1. Перевіряти стан дотримання працівниками Секретаріату законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.

4.3.2. Вносити керівникові Секретаріату пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.

4.3.3. Розглядати вимоги суб’єктів персональних даних щодо заперечення проти обробки їх персональних даних.

4.3.4. Користуватися доступом до будь-яких даних, які обробляються у Секретаріаті та до всіх приміщень Секретаріату, де здійснюється така обробка.   

(Положення доповнено підпунктом 4.3.4. пункту 4.3. розділу ІV відповідно до наказу Уповноваженого

від 10.01.2014 №2/02-14)

V. Права та обов’язки особи, що звертається, як суб’єкта персональних даних

Відповідно до Закону фізична особа, щодо якої здійснюється обробка її персональних даних:

5.1. Є суб’єктом персональних даних.

5.2. Має право:

- знати про мету обробки, місцезнаходження та призначення БПД «Звернення»;

- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у БПД «Звернення»;

- на доступ до своїх персональних даних, що містяться у БПД «Звернення», відповідно до статті 16 Закону;

- отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у БПД «Звернення», а також отримувати зміст його персональних даних, які зберігаються;

- пред’являти Відповідальній особі вмотивовану вимогу із запереченням проти обробки своїх персональних даних;

- пред'являти Відповідальній особі вмотивовану вимогу щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

- звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;

- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

- на інші, передбачені законодавством про захист персональних даних, права.  

VІ. Обов’язки працівників Секретаріату, які обробляють персональні дані 

Працівники Секретаріату, які обробляють персональні дані:

6.1. Мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

6.2. Зобов’язані:

6.2.1. Запобігати втраті персональних даних та їх неправомірному використанню;

6.2.2. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом;

6.2.3. Терміново повідомляти Відповідальну особу у разі:

– втрати або неумисного знищення носіїв інформації з персональними даними;

– втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

– якщо ідентифікаційні дані для входу в Автоматизовану систему стали відомі іншим особам, за винятком системного адміністратора Секретаріату;

– виявлення спроби несанкціонованого доступу до персональних даних.

6.2.4. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом Секретаріату, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.

VІІ. Порядок та документаційне забезпечення обробки персональних даних у Секретаріаті

7.1. Збирання персональних даних.

7.1.1. Обробка (у т. ч. збирання) персональних даних, зазначених у пункті 3.1, здійснюється на підставі положень Законів України "Про Уповноваженого Верховної Ради України з прав людини", "Про звернення громадян", "Про доступ до публічної інформації", постанови Кабінету Міністрів України від 14.04.1997 № 348 "Про затвердження інструкції з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форми власності, в засобах масової інформації", Положення про Секретаріат та цього Положення.

(підпункт 7.1.1. пункту 7.1. розділу VІІ Положення викладено в редакції відповідно до наказу Уповноваженого

від 10.01.2014 №2/02-14)

7.1.2. Працівники Секретаріату, реєструють звернення згідно з порядком заповнення реєстраційно-контрольної картки (РКК), журналу обліку особистого прийому громадян (Інструкція з ведення діловодства за зверненнями громадян України, іноземців, осіб без громадянства чи їх представників, народних депутатів України, підприємств, установ, організацій з відомостями про порушеннями прав і свобод людини і громадянина у Секретаріаті Уповноваженого Верховної Ради України з прав людини).

7.1.3. У разі виявлення факту внесення до БПД «Звернення» відомостей про особу, що звертається, які не відповідають дійсності, такі відомості мають
бути невідкладно виправлені або знищені.

(підпункт 7.1.4. пункту 7.1. розділу VІІ Положення виключено на підставі наказу Уповноваженого від 10.01.2014

№2/02-14)

7.2. Зберігання та знищення персональних даних.

7.2.1. Персональні дані осіб, що звертаються, зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.

7.2.2. Відбір документів з персональними даними, терміни зберігання яких закінчилися, для знищення проводиться Експертною комісією Секретаріату з питань організації та проведення попередньої експертизи цінності документів, що утворюються в процесі діяльності Уповноваженого Верховної Ради України з прав людини та Секретаріату (далі – Експертна комісія Секретаріату), склад якої визначається наказом Уповноваженого.

7.2.3. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.

7.2.4. Персональні дані підлягають знищенню у разі:

- закінчення строку зберігання даних, визначеного законом;

- набрання законної сили рішенням суду щодо вилучення з БПД «Звернення»  даних про особу, що звертається.

7.2.5. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

7.3. Використання персональних даних працівниками Секретаріату.

7.3.1. Під використанням персональних даних осіб, що звертаються, згідно зі статтею 10 Закону розуміються будь-які дії Секретаріату щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.

7.3.2. Доступ до персональних даних осіб, що звертаються, внесених до Автоматизованої системи та картотек персональних даних, мають Уповноважений, його представники, керівник Секретаріату, Відповідальна особа, адміністратор системи, інші працівники Секретаріату, відповідно до своїх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.

7.3.3. Працівники Секретаріату, які працюють з персональними даними, зазначені у пункті 7.3.2, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов’язків, за формою, наведеною у Додатку 2.

7.3.4. Право доступу до персональних даних осіб, що звертаються, та їх обробки надається особам, зазначеним у пункті 7.3.2 лише після підписання зобов’язання про нерозголошення персональних даних.

7.3.6. Забезпечення отримання зобов’язань покладається на працівників кадрової служби, у посадових інструкціях яких передбачено відповідну функцію.

7.3.7. Датою надання права доступу до персональних даних осіб, що звертаються, вважається дата надання зобов’язання відповідним працівником.

7.3.8. Датою позбавлення права доступу до персональних даних осіб, що звертаються, вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язане з обробкою персональних даних.

7.3.9. Зобов’язання формуються в окрему справу.

7.3.10. Справа «Зобов’язання посадових осіб Секретаріату щодо нерозголошення персональних даних» включається до номенклатури справ кадрової служби.

7.3.11. Відповідальним за забезпечення збереженості справ, зазначених у пункті 7.3.10, є керівник Відділу кадрової роботи та державної служби. 

7.4. Облік порушень процесу обробки та захисту персональних даних. 

7.4.1. Факти порушень процесу обробки та захисту персональних даних фіксуються Актами про виявлення порушень, які складаються Відповідальною особою у двох примірниках за формою, наведеною у Додатку 3.

Акт про виявлення порушень складається Відповідальною особою в присутності особи, щодо дій або бездіяльності якої складається акт (далі – особа, щодо якої складається акт) та двох працівників Секретаріату.

Акт вважається дійсним, якщо його підписали: особа, щодо якої складається акт, Відповідальна особа та два працівники Секретаріату.

У разі відмови особи, щодо якої складається акт, від підпису, в акті робиться позначка про цю відмову, а акт вважається дійсним, якщо його підписали Відповідальна особа і два працівники Секретаріату.

Один примірник акта вручається під підпис про одержання особі, щодо якої складається акт, другий – передається керівнику Секретаріату.

У випадку відмови особою, щодо якої складається акт, від прийняття оформленого примірника акта, Відповідальна особа вказує про це в акті.

7.4.2. За необхідності за фактами порушень режиму захисту персональних даних Уповноваженим призначається службове розслідування.

7.4.3. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.

7.5. Розгляд законних вимог суб’єктів персональних даних щодо обробки їх даних.

7.5.1. У разі пред’явлення суб’єктом вмотивованої вимоги щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога підлягає розгляду впродовж 10 днів з моменту отримання.

Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно Секретаріат припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.

Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, Секретаріат припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.

У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.

(Положення доповнено пунктом 7.5. розділу VІІ відповідно до наказу Уповноваженого від 10.01.2014

№2/02-14)

VІІІ. Поширення персональних даних

8.1. Поширення персональних даних осіб, що звертаються, третім особам здійснюється відповідно до вимог закону.

8.2. Поширення персональних даних осіб, що звертаються, третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причині поширення відповідних даних.

8.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.

8.4. Особа, що звертається, має право на одержання будь-яких відомостей про себе, що містяться у БПД «Звернення», без зазначення мети запиту.

ІХ. Захист персональних даних при їх обробці

9.1. Захист персональних даних осіб, що звертаються, які обробляються в Автоматизованій системі.

9.1.1. Право доступу до Автоматизованої системи надається працівникам Секретаріату, в посадових інструкціях яких передбачено функції з обробки даних в Автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.

9.1.2. Працівники Секретаріату допускаються до обробки персональних даних осіб, що звертаються, в Автоматизованій системі лише після їх ідентифікації (логін, пароль).

9.1.3. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.

9.1.4. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує адміністратор системи.

9.1.5. При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в Автоматизованій системі, його ідентифікаційні дані (логін, пароль) анулюються, доступ до системи блокується.

9.1.6. Інформація про операції, пов’язані з обробкою персональних даних (перегляд, внесення, копіювання, зміна, видалення тощо), а також результати ідентифікації та/або автентифікації працівників Секретаріату, в Автоматизованій системі фіксується автоматично та зберігається протягом  року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.

(пункт 9.1. розділу ІХ Положення доповнено новим підпунктом відповідно до наказу Уповноваженого

від 10.01.2014 №2/02-14)

9.1.7. Відповідальність за організацію процесу обробки персональних даних в Автоматизованій системі несе керівник Відділу інформаційних технологій.

(підпункт 9.1.7. пункту 9.1. розділу ІХ Положення викладено в редакції відповідно до наказу Уповноваженого

від 10.01.2014 №2/02-14)

9.2. Захист персональних даних осіб, що звертаються, які обробляються у формі картотек.

9.2.1. До роботи з картотеками персональних даних допускаються лише працівники Секретаріату, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних.

9.2.2. Двері у приміщення, де зберігаються картотеки персональних даних, обладнуються замками та/або контролем доступу.

9.2.3. Картотеки зберігаються у шафах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).

9.2.4. Відповідальність за організацію процесу обробки персональних даних у формі картотек несе начальник Управління документального забезпечення та прийому громадян.

Керівник Секретаріату                (підпис)                        Б.В. Крикливенко