РОЗПОРЯДЖЕННЯ № 432 від 05 серпня 2014 року

Відповідно до статті 6 Закону України “Про місцеві державні адміністрації”, Закону України “Про захист персональних даних”, наказу Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 “Про затвердження документів у сфері захисту персональних даних” та з метою забезпечення виконання цього закону:

1. Визначити керівника апарату облдержадміністрації (Бойка В.О.) відповідальною особою, який організовує роботу, пов’язану із захистом персональних даних при їх обробці в апараті облдержадміністрації (далі – Відповідальна особа).

2. Затвердити Порядок обробки персональних даних в апараті облдержадміністрації, що додається.

3. Відповідальній особі (Бойко В.О.) забезпечити:

3.1. Подання Уповноваженому Верховної Ради України з прав людини інформацію про Відповідальну особу, який організовує роботу, пов’язану із захистом персональних даних при їх обробці в апараті облдержадміністрації.

3.2. Обробку персональних даних в апараті облдержадміністрації, відповідно до вимог Порядку обробки персональних даних в апараті облдержадміністрації.

4. Головам райдержадміністрацій, керівникам структурних підрозділів облдержадміністрації організувати належне виконання Закону України “Про захист персональних даних”.

5. Визнати такими, що втратили чинність, розпорядження голови облдержадміністрації: від 25 жовтня 2011 року № 590 “Про захист персональних даних” та від 09 лютого 2012 року № 57 “Про затвердження порядку обробки персональних даних у базах персональних даних”.

6. Контроль за виконанням цього розпорядження залишаю за собою.


Голова обласної державної
адміністрації
1.1. Порядок обробки персональних даних в апараті облдержадміністрації (далі – Порядок) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати даних під час обробки.
1.2. Порядок розроблено на підставі Закону України «Про захист персональних даних» (далі — Закон) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 (далі – Типовий порядок).
1.3. Порядок є обов’язковим для виконання працівниками апарату облдержадміністрації, які мають доступ до персональних даних та обробляють персональні дані.
1.4. Усі терміни у цьому Порядку визначаються відповідно до Закону та Типового порядку.
1.5. До персональних даних осіб, що звертаються, належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
1.6. Персональні дані осіб є інформацією з обмеженим доступом.
1.7. Обробка персональних даних ведеться у змішаній формі: на паперових носіях (звернення, журнали тощо) та/або за допомогою системи електронного документообігу на базі СКБД Lotus Notes (далі — Автоматизована система).
1.8. Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково в Автоматизованій системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням та знищенням.
2.1. Обробка персональних даних в апараті облдержадміністрації проводиться з метою забезпечення реалізації трудових, адміністративно-правових відносин та відносин у сфері управління людськими ресурсами в обласній державній адміністрації, конституційного права громадян на звернення, вирішення питань, порушених в заявах, пропозиціях або скаргах громадян, підготовки статистичної, адміністративної та іншої інформації відповідно до вимог чинного законодавства.
Склад персональних даних визначається відповідно до вимог чинного законодавства, що регулює діяльність апарату облдержадміністрації щодо правового, організаційного, матеріально-технічного та іншого забезпечення діяльності облдержадміністрації, підготовки аналітичних, інформаційних та інших матеріалів, систематичної перевірки виконання актів законодавства та розпоряджень облдержадміністрації, подання методичної та іншої практичної допомоги райдержадміністраціям та органам місцевого самоврядування, а також у сфері трудових відносин, управління кадрами, звернення громадян тощо, та інші дані, які особи добровільно, за власним бажанням, надають про себе.
4.1. З урахуванням вимог статті 24 Закону України, розпорядженням голови облдержадміністрації визначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних в апараті облдержадміністрації (далі — Відповідальна особа).
4.2. Відповідальна особа:
4.2.1. Забезпечує:
організацію обробки персональних даних в апараті облдержадміністрації відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;
аналіз процесів обробки персональних даних відповідно до основних завдань та функцій в апараті облдержадміністрації, у т. ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та не надмірність персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;
ознайомлення керівників структурних підрозділів та працівників апарату облдержадміністрації з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;
організацію обробки запитів третіх осіб щодо доступу до персональних даних.
4.2.2. Сприяє доступу суб’єктів персональних даних до власних персональних даних.
4.2.3. За необхідності готує проекти змін та доповнень до цього Порядку, подає зазначені проекти на розгляд голові облдержадміністрації.
4.2.4. Погоджує проекти положень про структурні підрозділи, працівниками яких обробляються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них, за необхідності ініціює внесення необхідних змін та доповнень до положень про структурні підрозділи та посадових інструкцій;
4.2.5. Інформує голову облдержадміністрації про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону.
4.2.6. Інформує голову облдержадміністрації про порушення встановлених процедур обробки персональних даних.
4.2.7. Фіксує факти порушень процесу обробки та захисту персональних даних у порядку, визначеному розділом VI цього Порядку.
4.3. Відповідальна особа має право:
4.3.1. Перевіряти стан дотримання працівниками апарату облдержадміністрації законодавства у сфері захисту персональних даних та виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.
4.3.2. Вносити голові облдержадміністрації пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.
4.3.3. Розглядати вимоги суб’єктів персональних даних щодо заперечення проти обробки їх персональних даних.
4.3.4. Користуватися, в межах чинного законодавства, доступом до даних, які обробляються в апараті облдержадміністрації та до приміщень, де здійснюється така обробка.
Працівники апарату облдержадміністрації, які обробляють персональні дані:
5.1. Мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.
5.2. Зобов’язані:
5.2.1. Запобігати втраті персональних даних та їх неправомірному використанню;
5.2.2. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом;
5.2.3. Терміново повідомляти Відповідальну особу у разі:
втрати або неумисного знищення носіїв інформації з персональними даними;
втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
якщо ідентифікаційні дані для входу в Автоматизовану систему стали відомі іншим особам, за винятком працівників відділу інформаційно-комп’ютерного забезпечення апарату облдержадміністрації;
виявлення спроби несанкціонованого доступу до персональних даних.
5.2.4. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом апарату облдержадміністрації, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
6.1. Збирання персональних даних.
6.1.1. Обробка (у т. ч. збирання) персональних даних, зазначених у пункті 3.1, здійснюється на підставі чинного законодавства.
6.1.2. У разі виявлення факту внесення відомостей які не відповідають дійсності, такі відомості мають бути невідкладно виправлені або знищені.
6.2. Зберігання та знищення персональних даних.
6.2.1. Персональні дані зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.
6.2.2. Відбір документів з персональними даними, терміни зберігання яких закінчилися, для знищення проводиться Експертною комісією апарату облдержадміністрації (далі – Експертна комісія).
6.2.3. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.
6.2.4. Персональні дані підлягають знищенню у разі:
закінчення строку зберігання даних, визначеного законом;
набрання законної сили рішенням суду щодо вилучення даних про особу.
6.2.5. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
6.3. Використання персональних даних працівниками апарату облдержадміністрації.
6.3.1. Під використанням персональних даних згідно зі статтею 10 Закону розуміються будь-які дії облдержадміністрації щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.
6.3.2. Доступ до персональних даних осіб, внесених до Автоматизованої системи та картотек персональних даних, мають голова облдержадміністрації, його заступники, Відповідальна особа, адміністратор системи, інші працівники апарату облдержадміністрації, відповідно до своїх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.
6.3.3. В посадових інструкціях працівників апарату облдержадміністрації, які працюють з персональними даними мають бути зазначені зобов’язання про дотримання ними чинного законодавства щодо захисту персональних даних.
6.3.4. Датою надання права доступу до персональних даних, вважається дата вступу на посаду голови облдержадміністрації, дата призначення його заступників та дата ознайомлення з посадовою інструкцією відповідним працівником.
6.3.5. Датою позбавлення права доступу до персональних даних осіб, вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язане з обробкою персональних даних.
6.4. Облік порушень процесу обробки та захисту персональних даних.
6.4.1. Факти порушень процесу обробки та захисту персональних даних фіксуються Актами про виявлення порушень, які складаються Відповідальною особою у двох примірниках.
У разі відмови особи, щодо якої складається акт, від підпису, в акті робиться позначка про цю відмову, а акт вважається дійсним, якщо його підписали Відповідальна особа і два працівники апарату облдержадміністрації.
Один примірник акта вручається під підпис про одержання особі, щодо якої складається акт.
У випадку відмови особою, щодо якої складається акт, від прийняття оформленого примірника акта, Відповідальна особа вказує про це в акті.
6.4.2. За необхідності за фактами порушень режиму захисту персональних даних головою облдержадміністрації призначається службове розслідування.
6.4.3. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.
6.5. Розгляд законних вимог суб’єктів персональних даних щодо обробки їх даних.
6.5.1. У разі пред’явлення суб’єктом вмотивованої вимоги щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту, така вимога підлягає розгляду впродовж 10 днів з моменту отримання.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно, апарат облдержадміністрації припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, апарат облдержадміністрації припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.
У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
7.1. Поширення персональних даних осіб, третім особам здійснюється відповідно до вимог Закону.
7.2. Поширення персональних даних осіб, третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причині поширення відповідних даних.
7.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
7.4. Особа, має право на одержання будь-яких відомостей про себе, що містяться у базах персональних даних, без зазначення мети запиту.
8.1. Захист персональних даних осіб, які обробляються в Автоматизованій системі.
8.1.1. Право доступу до Автоматизованої системи надається працівникам апарату облдержадміністрації, які відповідно до пункту 6.3.3. цього Порядку надали письмове зобов’язання щодо нерозголошення персональних даних.
8.1.2. Працівники апарату облдержадміністрації допускаються до обробки персональних даних осіб, в Автоматизованій системі лише після їх ідентифікації (логін, пароль).
8.1.3. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.
8.1.4. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує адміністратор системи.
8.1.5. При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в Автоматизованій системі, його ідентифікаційні дані (логін, пароль) анулюються, доступ до системи блокується.
8.1.6. Інформація про операції, пов’язані з обробкою персональних даних (перегляд, внесення, копіювання, зміна, видалення тощо), а також результати ідентифікації та/або автентифікації працівників апарату облдержадміністрації, в Автоматизованій системі фіксується автоматично та зберігається протягом року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
8.1.7. Відповідальність за організацію процесу обробки персональних даних в Автоматизованій системі несе начальник відділу інформаційно-комп’ютерного забезпечення апарату облдержадміністрації.
9.1. До роботи з картотеками персональних даних допускаються лише працівники апарату облдержадміністрації, які відповідно до пункту 6.3.3. цього Порядку надали письмове зобов’язання щодо нерозголошення персональних даних.
9.2. Двері у приміщення, де зберігаються картотеки персональних даних, обладнуються замками та/або контролем доступу.
9.3. Картотеки зберігаються у шафах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).
9.4. Відповідальність за організацію процесу обробки персональних даних, у формі картотек несуть керівники відповідних структурних підрозділів апарату облдержадміністрації.