• Студентські та учнівські квитки державного зразка

    Студентські та учнівські квитки державного зразка

    З 2001 року всі навчальні заклади в Україні зобов'язані видавати студентські та учнівські квитки єдиного державного зразка, виготовлені на основі фотокомпютерной технології, вид і технологія виготовлення затверджені Міністерством освіти і науки України.
  • Документи про освіту

    Документи про освіту

    Харківський регіональний Центр "Студсервіс" з 2003 року надає інформаційні послуги з формування баз даних учнів і випускників навчальних закладів Харківської області всіх видів підпорядкування і власності, а також всіх рівнів акредитації і забезпечує навчальні заклади Харківської області України документами про освіту, студентськими, учнівськими квитками державного зразка згідно законодавства України.
  • Сучасні технології в освіті

    Сучасні технології в освіті

    Харківський регіональний центр "Студсервіс" з 2007 року є ліцензіатом по впровадженню Автоматизованої системи керування вищим навчальним закладом АСК "ВНЗ" і Автоматизованої системи "Школа"
  • 1
  • 2
  • 3
  • 4

Про захист інформації

Обробка персональних даних включає в себе такі дії, як збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання і поширення (розповсюдження, реалізацію, передачу), знеособлення, знищення персональних даних.

Обробка персональних даних може бути здійснена як неавтоматичними засобами з носіїв (у тому числі паперових), що становлять будь-який структурований масив персональних даних, який є доступним за визначеними критеріями, так і з використанням інформаційних (автоматизованих) систем.

До персональних даних можна віднести будь-які відомості, за якими ідентифікується або може бути ідентифікована фізична особа, зокрема: прізвище, ім’я, по батькові, адреса, телефони, паспортні дані, національність, освіта, сімейний стан, релігійні та світоглядні переконання, стан здоров’я, матеріальний стан, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи (за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану із здійсненням функцій держави або органу місцевого самоврядування) тощо. Вказаний перелік не є вичерпним.

Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може оброблятися в тому числі поширюватись тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Саме тому, зважаючи на гарантування Конституцією України права особи на невтручання у її особисте життя, правові відносини  пов’язані із захистом і обробкою персональних даних були врегульовані Законом України «Про захист персональних даних».

Загальні вимоги щодо обробки та захисту персональних даних суб’єктів персональних даних визначені Типовим порядком обробки персональних даних, затвердженим наказом Уповноваженого Верховної Ради України з прав людини №1/02-14 від 08 січня 2014р.

Окремим аспектам обробки та захисту персональних даних (таким як надання згоди на обробку персональних даних, забезпечення реалізації окремих прав суб’єктів персональних даних) приділено додаткову увагу в Роз’ясненнях до Типового порядку обробки персональних даних.

Роз’яснення та рекомендації


ТИПОВИЙ ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

1. Загальні положення

1.1. Цим Порядком обробки персональних даних (далі – Порядок) визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

1.2. Власники, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом України «Про захист персональних даних» (далі – Закон) та цим Порядком.

1.3. Вимоги цього Порядку враховуються під час розробки кодексів поведінки щодо обробки персональних даних професійними та іншими громадськими об’єднаннями чи юридичними особами відповідно до статті 27 Закону.

2. Вимоги до обробки персональних даних

2.1. Власник визначає:

1) мету та підстави обробки персональних даних;

2) категорії суб’єктів персональних даних;

3) склад персональних даних;

4) порядок обробки персональних даних, а саме:

  • – спосіб збору, накопичення персональних даних;
  • – строк та умови зберігання персональних даних;
  • – умови та процедуру зміни, видалення або знищення персональних даних;
  • – умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
  • – порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
  • – заходи забезпечення захисту персональних даних;
  • – процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.

2.2. У випадках, передбачених Законом, власник також визначає обов’язки та права осіб, відповідальних за організацію роботи, пов’язаної із захистом персональних даних під час їх обробки.

2.3. Процедури обробки, строк обробки та склад персональних даних повинні бути пропорційними меті обробки.

2.4. Мета обробки персональних даних повинна бути чіткою і законною.

2.5. Мета оброки персональних даних повинна бути визначена до початку їх збору.

2.6. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних власник персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.

2.7. Обробка персональних даних здійснюється власник персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.

2.8. Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються власником впродовж часу обробки таких даних.

2.9. Власник персональних даних, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані:

  • – в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
  • – в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки персональних даних.

2.10. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

2.11. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

2.12. Суб’єкт персональних даних має право пред’являти вмотивовану  вимогу власнику персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається власником впродовж 10 днів з моменту отримання.

2.13. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно власник припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, власник припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.

2.14. У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.

2.15. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди власник зобов’язан припинити обробку персональних даних.

2.16. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

2.17. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16 – 17 Закону.

2.18. Власник повідомляє суб’єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону.

3. Захист персональних даних

3.1. Власник, розпорядник персональних даних вживають заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.

3.2. Власник, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.

3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

3.4. Організаційні заходи охоплюють:

  • – визначення порядку доступу до персональних даних працівників власника/розпорядника;
  • – визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
  • – розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
  • – регулярне навчання співробітників, які працюють з персональними даними.

3.5. Власник/розпорядник веде облік працівників, які мають доступ до персональних даних суб’єктів. Власник/розпорядник визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.

3.6. Усі інші працівники власника/розпорядника мають право на повну інформацію лише стосовно власних персональних даних.

3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

3.8. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

3.9. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

3.10. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

3.11. Власник/розпорядник веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою власником/розпорядником зберігається інформація про:

  • – дату, час та джерело збирання персональних даних суб’єкта;
  • – зміну персональних даних;
  • – перегляд персональних даних;
  • – будь-яку передачу (копіювання) персональних даних суб’єкта;
  • – дату та час видалення або знищення персональних даних;
  • – працівника, який здійснив одну із указаних операцій;
  • – мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

Власник/розпорядник персональних даних самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних суб’єкта та доступом до них. У випадку обробки персональних даних суб’єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається власником/розпорядником упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.

3.12 Вимоги щодо обліку та збереження інформації про перегляд персональних даних не поширюється на власників/розпорядників, які здійснюють обробку персональних даних в реєстрі, який є відкритим для населення в цілому.

3.13. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.

3.14. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та  роботі технічного, та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

3.15. В органах державної влади, органах місцевого самоврядування, а також у власників чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до Закону, створюється (визначається) структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.

3.16. Інформація про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, повідомляється Уповноваженому Верховної Ради України з прав людини відповідно до Закону.

3.17. Відповідальна особа/структурний підрозділ виконує такі завдання:

  • – інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
  • – взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

3.18. З метою виконання вказаних завдань відповідальна особа/структурний підрозділ:

  • – забезпечує реалізацію прав суб’єктів персональних даних;
  • – користується доступом до будь-яких даних, які обробляються власником/розпорядником та до всіх приміщень власника/розпорядника, де здійснюється така обробка;
  • – у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника власника/розпорядника з метою вжиття необхідних заходів;
  • – аналізує загрози безпеці персональних даних.

3.19. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.

3.20. Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою або структурним підрозділом, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

3.21. Взаємодія з Уповноваженим Верховної Ради України з прав людини здійснюється в порядку, визначеному Законом та Законом України «Про Уповноваженого Верховної Ради України з прав людини».

3.22. Організація роботи, пов’язаної із захистом персональних даних при їх обробці, тих власників/розпорядників, на яких не поширюються вимоги частини другої статті 24 Закону, покладається безпосередньо на тих осіб, які здійснюють обробку персональних даних, або, у разі необхідності, – на окремі структурні підрозділи чи посадових осіб.


Роз’яснення до Типового порядку обробки персональних даних

1. Згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій чи електронній формі.

2. Під інформованою згодою на обробку персональних даних варто розуміти добровільне, компетентне прийняття особою рішення про обробку її персональних даних, яке ґрунтується на одержанні нею повної, об’єктивної і всебічної інформації стосовно майбутньої обробки персональних даних.

3. Для того, щоб зробити свідомий вибір – давати чи не давати згоду на обробку персональних даних – особа до надання згоди повинна мати відповіді на такі питання:

  • - хто оброблятиме її персональні дані? (назва володільця персональних даних, його адреса, контактні телефони, тощо)
  • - з якою метою оброблятимуться персональні дані? (Мета має бути сформульована чітко та зрозуміло)
  • - які персональні дані будуть оброблятися? (Конкретний вичерпний перелік персональних даних особи, який планується обробляти)
  • - які дії з персональними даними передбачатиме їх обробка? (збір, зберігання, передача, оприлюднення, знеособлення тощо)
  • - Хто є розпорядником персональних даних? Які права і повноваження розпорядника щодо обробки персональних даних?
  • - Кому можуть бути передані персональні дані? З якою метою? На яких підставах?
  • - Скільки часу персональні дані будуть зберігатися у володільця?
  • - На яких умовах особа може відкликати згоду на обробку персональних даних та які наслідки такої дії?
  • - Інші права, визначені статтею 8 Закону «Про захист персональних даних».

4. Зазначена інформація повинна надаватися володільцем в повному обсязі, в простій та зрозумілій формі до надання суб’єктом персональних даних згоди на обробку своїх персональних даних.

5. Згода на обробку персональних даних має бути свідомим рішенням особи, яке вона приймає добровільно, без примусу і погроз.

6. Особа, яка є суб'єктом персональних даних, лише сама може змінити свої персональні дані. Зокрема, лише сама особа може ініціювати процес зміни імені, прізвища, адреси проживання тощо. Жоден володілець чи розпорядник персональних даних не може впливати на персональні дані особи чи змінювати їх на власний розсуд.

7. Особа, яка надала згоду на обробку своїх персональних даних, може здійснювати контроль за процесом їх обробки.

8. З цією метою особа може з розумною періодичністю звертатися до володільця, який здійснює таку обробку, та отримувати вказану в п. 3 інформацію.

9. Всі персональні дані про особу, які обробляються володільцем, повинні відповідати дійсності. В разі виявлення будь-яких неточностей особа, чиї персональні дані обробляються, має право звернутися з вимогою внести відповідні зміни до її персональних даних або звернутися зі скаргою до Уповноваженого чи до суду.

10. Крім цього, особа може в будь-який момент відкликати згоду на обробку своїх персональних даних. В такому випадку володілець повинен припинити обробку, тобто знищити або видалити персональні дані особи, яка відкликала свою згоду.

Форма надання суб’єктом згоди на оброку персональних даних

11. Законом України «Про захист персональних даних» не визначено форму надання згоди на обробку персональних даних. Це може бути окремий документ, який підписує суб’єкт персональних даних, чи відповідне позначення в електронному вигляді, одна з умов договору, або це може бути будь-яка інша форма, яка дасть змогу зробити висновок про її надання (написання заяви, заповнення анкети тощо). В будь-якому випадку володілець, отримуючи таку згоду, повинен мати можливість в подальшому надати (на вимогу особи/суду/Уповноваженого) переконливі докази того, що особа дійсно добровільно її надала, а також що перед цим їй було надано вказану вище інформацію.

12. Приклад згоди на обробку персональних даних (даний приклад не є обов’язковим, а лише зразком, одним з можливих варіантів того, який вигляд може носити письмова згода):

Згода на обробку персональних даних

Я _____(П.І.Б)__________________________________________________ ,

що мешкає за адресою ___________________________________________

документ, що посвідчує особу______________________________________ ,

даю згоду на обробку персональних даних ___(назва власника персональних даних)______________________ на таких умовах:

1. Персональні дані оброблятимуться з метою ___________________________

______________________________________________________________ .

2. Власником оброблятимуться такі персональні дані:

______________________

_______________________

_______________________

3. Розпорядником персональних даних є _______(назва та адреса розпорядника персональних даних)___________________ .

4. Власник/розпорядник здійснюватиме з персональними даними такі дії:

__________________________________________________________

5. Персональні дані передаватимуться ____(назва та адреса третьої особи) з метою ____________________________________________________ .

Згода дається на термін, необхідний для досягнення мети зазначеної в п.1 і може бути відкликана за заявою, направленою власнику персональних даних.

(підпис)_______________ (дата)________________

14. Неприпустимим є отримання згоди особи на обробку непропорційно великої кількості її персональних даних. Тому, навіть якщо особа надала згоду на обробку персональних даних, частина з яких по своїй суті не потрібна для досягнення поставленої мети обробки, така обробка розглядатиметься як непропорційна та становитиме порушення законодавства про захист персональних даних.

15. Також не можна обумовлювати реалізацію законодавчо встановлених прав наданням особою згоди на обробку її персональних даних.

 

© 2016 Регіональний центр "Студсервіс"