Захист персональних даних


У К Р А Ї Н А
ЛИПОВЕЦЬКА РАЙОННА ДЕРЖАВНА АДМІНІСТРАЦІЯ
ВІННИЦЬКОЇ ОБЛАСТІ

РОЗПОРЯДЖЕННЯ

Від "19" березня 2012 р. № 110

Про затвердження порядку обробки
персональних даних у базах персональних даних

Відповідно до Закону України «Про захист персональних даних», наказу Міністерства юстиції України «Про затвердження Типового порядку обробки персональних даних у базах персональних даних» від 30 грудня 2011 року № 3659/5, зареєстрованого в Міністерстві юстиції України 03 січня 2012 року за № 1/20314 та розпорядження голови райдержадміністрації від 14 листопада 2011 року № 372 «Про захист персональних даних»:

1. Затвердити Порядок обробки інформації у базах персональних даних райдержадміністрації (додається).

2.Відповідальному за організацію роботи з питань захисту персональних даних в райдержадміністрації забезпечити дотримання Порядку обробки інформації у базах персональних даних райдержадміністрації.

3. Керівникам структурних підрозділів райдержадміністрації забезпечити виконання Закону України «Про захист персональних даних» та затвердити відповідні Порядки обробки інформації у базах персональних даних, з урахуванням вимог, визначених наказом Міністерства юстиції України «Про затвердження Типового порядку обробки персональних даних у базах персональних даних» від 30 грудня 2011 року № 3659/5.

4. Контроль за виконанням цього розпорядження покласти на першого заступника голови райдержадміністрації Кропивницького С.С.


Перший заступник голови
райдержадміністрації С. КРОПИВНИЦЬКИЙ

 

ЗАТВЕРДЖЕНО
до розпорядження голови
райдержадміністрації
від «19» березня 2012 року №110


Порядок обробки інформації
у базах персональних даних райдержадміністрації


I. Загальні положення

1.1. Цей порядок розроблено відповідно до Закону України "Про захист персональних даних" та вимог наказу Міністерства юстиції України від 30 грудня 2011 року № 3659/5 "Про затвердження Типового порядку обробки персональних даних у базах персональних даних".

1.2. Цей порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних в райдержадміністрації.

1.3. Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.

1.4. У цьому порядку терміни вживаються у такому значенні:
автентифікація - процедура встановлення належності працівникові райдержадміністрації або розпорядника бази персональних даних пред'явленого ним ідентифікатора;
авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;
відповідальна особа - особа, на яку райдержадміністрацією або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов'язків покладена організація роботи, пов'язаної із захистом персональних даних при їх обробці;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
структурний підрозділ - структурна одиниця, що діє у складі райдержадміністрації або розпорядника персональних даних та відповідно до його прав та обов'язків на підставі положення про нього здійснює організацію роботи, пов'язаної із захистом персональних даних при їх обробці.
Інші терміни у цьому порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних".

1.5. Захист персональних даних покладається на райдержадміністрацію.
Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з райдержадміністрацією договору у письмовій формі з метою і в обсязі, визначеними в договорі.
На дії райдержадміністрації та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

1.6. Райдержадміністрація або розпорядник бази персональних даних надає суб'єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб'єкта персональних даних.

1.7. Райдержадміністрація зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

1.8. Райдержадміністрація визначає:
мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
відповідальну особу або структурний підрозділ;
порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.

1.9. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
забезпечує ознайомлення працівників райдержадміністрації та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
забезпечує організацію обробки персональних даних працівниками райдержадміністрації та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
забезпечує доступ суб'єктів персональних даних до власних персональних даних;
інформує голову райдержадміністрації та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує голову райдержадміністрації та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.

1.10. Райдержадміністрація веде облік:
фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

1.11. Райдержадміністрація може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов'язків.

1.12. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.


II. Обробка персональних даних в складі
інформаційної (автоматизованої) системи

2.1. Райдержадміністрація обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог Закону України "Про захист персональних даних".

2.2. Обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів ереженого захисту від несанкціонованого доступу під час обробки персональних даних.

2.3. Працівники райдержадміністрації допускаються до обробки персональних даних лише після їх авторизації.

2.4. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, повинен блокуватись.

2.5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
результатів ідентифікації та/або автентифікації працівників райдержадміністрації бази персональних даних;
дій з обробки персональних даних;
факту встановлення ознаки "Підтвердження надання згоди на обробку персональних даних у базі персональних даних" за допомогою управляючих елементів веб-ресурсів райдержадміністрації або розпорядника бази персональних даних, інтерфейсів користувача програмного забезпечення;
результатів перевірки цілісності засобів захисту персональних даних.
Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб'єктам відносин, пов'язаним із персональними даними.

2.6. Райдержадміністрація забезпечує антивірусний захист в інформаційній (автоматизованій) системі.

2.7. Райдержадміністрація забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.


III. Обробка персональних даних у формі картотек

3.1. Райдержадміністрація здійснює обробку персональних даних у картотеках у порядку, визначеному Законом України "Про захист персональних даних" та розділом I цього порядку, з урахуванням таких вимог:
документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.

3.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.

____________________