РЕКОМЕНДАЦІЇ ЩОДО ПОРЯДКУ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У БАЗАХ ПЕРСОНАЛЬНИХ ДАНИХ
Розроблено Громадською радою
при Державній службі України
з питань захисту персональних даних
І. Загальні положення
1.1. Рекомендації щодо порядку обробки персональних даних в базах персональних даних (далі – Рекомендації) розроблені на виконання частини 10 статті 6 Закону України «Про захист персональних даних» (далі – Закон) відповідно до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, вчинену 28 січня 1981 року в м. Страсбурзі, та Додаткового протоколу неї, Директиви 95/46/ЕС Європейського Парламенту та Ради Європейського Союзу від 24 жовтня 1995 року, Конституції України, Закону України «Про захист персональних даних», Цивільного кодексу України, Законів України «Про інформацію», «Про захист інформації в автоматизованих системах», інших нормативно-правових актів України.
1.2. Рекомендації визначають загальні правила та умови обробки персональних даних, а саме: збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання і поширення, знеособлення, знищення відомостей про фізичну особу та регламентує механізм виконання дій з обробки персональних даних володільцем або розпорядником бази персональних даних з моменту їх отримання володільцем бази персональних даних до знищення чи передачі до архіву.
1.3. Рекомендації щодо порядку обробки персональних даних в базах персональних даних носять рекомендаційний характер та розроблені з метою забезпечення впровадження володільцями баз персональних даних найбільш оптимальних та ефективних процедур, пов’язаних з обробкою персональних даних в базах персональних даних, належного захисту прав суб’єктів персональних даних при обробці персональних даних.
Рекомендації пропонуються до застосування органам державної влади та місцевого самоврядування, підприємствам, установам, організаціям незалежно від форми власності та підпорядкування, фізичним особам, які обробляють персональні дані в базах персональних даних.
Органи державної влади та органи місцевого самоврядування, підприємства, установи, організації, фізичні особи, які здійснюють обробку персональних даних, можуть затверджувати власні документи, що визначають порядок обробки персональних даних, які не повинні суперечити законодавству України про захист персональних даних.
1.4. Обробка персональних даних здійснюється повністю або частково в електронній формі з використанням засобів інформаційної (автоматизованої) системи та/або в паперовій формі шляхом ведення картотек персональних даних
1.5. У цих Рекомендаціях терміни вживаються в такому значенні:
— інформаційна (автоматизована) система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
— картотека персональних даних – сукупність, набір карток носіїв інформації, об’єднаних, систематизованих і розміщених у певному порядку, складові частини якої можуть бути знайдені за певним критерієм пошуку (за алфавітом, темою, строками тощо);
— відповідальна особа – особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових або професійних обов’язків, цивільно-правового договору або закону покладена організація роботи, пов’язаної з контролем за відповідності процедури обробки персональних даних вимогам Закону та захистом персональних даних при їх обробці.
Інші терміни вживаються у значеннях, визначених Законом та іншими нормативно-правовими актами, які прийняті відповідно до нього.
ІІ. Загальні правила та умови обробки персональних даних
2.1. Персональні дані, незалежно від природи, змісту, способів та форми обробки відомостей, застосування загальних чи особливих вимог обробки, а також незалежно від ступеню зв’язку з фізичною особою, повинні оброблятися відповідно до встановлених законодавством України принципів обробки персональних даних.
2.2. Принципами обробки персональних даних є:
1) принцип законності: персональні дані повинні оброблятись лише на законних підставах;
2) принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями та оброблятися відповідно до них;
3) принцип адекватності і ненадмірності: персональні дані повинні бути адекватними, ненадмірності, відповідати цілям обробки;
4) принцип точності: персональні дані повинні бути точними та актуальними;
5) принцип строковості зберігання: персональні дані не повинні зберігатися довше ніж це передбачено згодою суб’єкта персональних даних чи вимогами законів України;
6) принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних, зокрема права на доступ до даних;
7) принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних;
8) принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб’єктам відносин, пов’язаних із персональними даними, без належного захисту.
2.3. Загальними підставами виникнення права на обробку персональних даних є:
2.3.1. згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
2.3.2. здійснення дій, пов’язаних з укладенням, виконанням та/або припиненням правочину стороною (представником сторони), вигодонабувачем або поручителем за яким є суб’єкт персональних даних;
2.3.3. необхідність захисту життєво важливих інтересів суб’єкта персональних даних;
2.3.4. необхідність реалізації законних повноважень або виконання зобов’язання, що виникає в силу закону, володільцем бази персональних даних або особою, якій розкриваються персональні данні;
2.3.5. необхідність захисту законних інтересів володільця бази персональних даних або осіб, яким розкриваються персональні дані, за винятком випадків, коли така обробка буде порушувати життєво важливі інтереси суб’єкта персональних даних;
2.3.6. вільне волевиявлення суб’єкта персональних даних на обробку його даних до набрання чинності Законом України «Про захист персональних даних» (за відсутності заперечення чи будь-якого застереження суб’єкта персональних даних на обробку його даних).
2.4. Підставами виникнення права на обробку персональних даних, щодо яких встановлено особливі вимоги до обробки, визначені частиною другою статті 7 Закону.
2.5. Формами надання згоди суб’єкта персональних даних можуть бути:
а) документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;
б) електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;
в) відмітка на електронній сторінці документу чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які в свою чергу:
– не дозволяють обробку персональних даних до того часу, поки суб’єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;
– забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.
г) інші форми, що не суперечать законодавству України.
2.6. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.
2.7. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних.
2.8. Володільцю бази персональних даних рекомендується забезпечувати збереження документу, що свідчить про згоду суб’єкта персональних даних протягом строку обробки персональних даних.
ІІІ. Рекомендації щодо порядку збору персональних даних
3.1. При зборі персональних даних володілець бази персональних даних повинен отримати згоду в суб’єкта персональних даних на обробку його персональних даних, а також:
3.1.1. проінформувати суб’єкта персональних даних про мету обробки персональних даних;
3.1.2. надати суб’єкту інформацію про місцезнаходження володільця бази персональних даних, його контактні дані;
3.1.3. поінформувати суб’єкта персональних даних про його право відмовитися чи внести застереження щодо обробки персональних даних;
3.1.4. забезпечити суб’єкту персональних даних право на отримання доступу до його даних, а також на виправлення недостовірної інформації, що стосується його персональних даних;
3.1.5. у випадку, якщо мета збору передбачає передачу персональних даних третім особам, проінформувати суб’єкта персональних даних про можливість такої передачі, вказавши цих третіх осіб чи категорії таких осіб.
3.2. Обсяг персональних даних, які включаються володільцем бази персональних даних до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до Закону.
3.3. Умови згоди суб’єкта персональних даних можуть містити як опис персональних даних, обробка яких буде здійснюватися безпосередньо після надання згоди, так і опис персональних даних, збирання яких буде здійснюватися в процесі подальших взаємовідносин із суб’єктом персональних даних.
3.4. Метою обробки персональних даних може бути забезпечення реалізації:
– трудових відносин;
– адміністративно-правових (зокрема відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
– відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;
– відносин у сфері економічних, фінансових послуг та страхування;
– відносин у сфері реклами та збору персональних даних у комерційних цілях;
– відносин у сфері телекомунікаційних послуг;
– відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
– відносин у сфері освіти;
– відносин у сфері охорони здоров’я;
– відносин у сфері безпеки, зокрема питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
– відносин у сфері транспорту;
– відносин у сфері науки, історичних досліджень та статистики;
– інших відносин, що вимагають обробки персональних даних.
3.5. Мета обробки персональних даних повинна відповідати видам (напрямкам) діяльності володільця бази персональних даних, визначених його установчими документами та/або законодавством.
3.6. За умови отримання згоди володілець бази персональних даних може вказувати декілька цілей обробки персональних даних, якщо такі цілі не суперечать одна одній.
3.7. За умови отримання згоди володілець бази персональних даних може застосовувати як конкретизовані формулювання щодо цілей обробки, так і зальні, передбачені п. 3.4 даних Рекомендацій.
3.8. Суб’єкту персональних даних протягом десяти робочих днів із дня включення його персональних даних до бази персональних даних повідомляється про його права, визначені Законом, мету збору даних та про осіб, яким передаються його персональні дані, у письмовій формі.
3.9. У розумінні цих Рекомендацій до письмової форми повідомлення застосовуються правила, які встановлені до письмової форми правочину, встановлені ст. 207 Цивільного кодексу України, тобто володілець бази персональних даних може використовувати засоби телетайпного, електронного чи іншого технічного засобу зв’язку (наприклад, e-mail чи sms-повідомлення).
Таке повідомлення може бути, зокрема, здійснене володільцем бази персональних даних у момент отримання персональних даних від суб’єкта персональних даних. Повідомлення не здійснюється, якщо персональні дані збираються зі загальнодоступних джерел.
ІV. Порядок поширення персональних даних
4.1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу володільцем бази персональних даних розпоряднику бази персональних даних чи третій особі.
4.2. Поширення персональних даних рекомендується здійснювати за правилами, встановленими розділом ІІ цих Рекомендацій з урахуванням особливостей, встановлених цим розділом.
4.3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
4.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.
4.5. Не вимагається отримання згоди в суб’єкта персональних даних для передачі бази персональних даних розпоряднику бази персональних даних чи особі, яка виконує для володільця бази персональних даних технічні роботи, пов’язані з обробкою персональних даних, без доступу до змісту персональних даних. У такому випадку відповідальність за шкоду, завдану неправомірною обробкою цих даних, несе володілець бази персональних даних.
4.6. Передача бази персональних даних здійснюється за договором, укладеним у письмовій формі між володільцем бази персональних даних та особою, якій передаються персональні дані, якщо окремими нормативно-правовими актами не передбачений інший порядок передачі персональних даних.
З метою забезпечення вимог Закону при передачі бази персональних даних до Договору рекомендується включати наступні умови:
– опис персональних даних, що передається (при цьому повинно бути зазначено, чи не містять персональні дані відомостей, передбачених статтею 7 Закону, для яких встановлено особливі вимоги щодо обробки);
– мета, з якою є можлива обробка персональних даних;
– правова підстава знаходження персональних даних у розпорядженні особи, яка передає дані, та гарантія щодо наявності згоди суб’єктів персональних даних на передачу їхніх персональних даних чи інших підстав, встановлених законом;
– зобов’язання особи, яка отримує персональні дані, не здійснювати обробку персональних даних з іншою метою, ніж передбачено умовами договору;
– зобов’язання щодо знищення персональних даних отримувачем даних після виконання договору (якщо умови договору не встановлюють іншого порядку та строку обробки персональних даних).
V. Знищення та зміна персональних даних
5.1. Персональні дані в базах персональних даних підлягають знищенню в разі:
5.1.1. закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
5.1.2. припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
5.1.3. набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
5.1.4. надходження вмотивованої вимоги суб’єкта персональних даних про припинення обробки/знищення його даних у випадках та в порядку, встановлених Законом.
5.2. При знищенні персональних даних володілець бази персональних даних повинен вжити заходів, що виключають можливість подальшого поновлення таких персональних даних у відповідній базі.
5.3. Володілець бази персональних даних зобов’язаний внести зміни до даних на вимогу суб’єкта персональних даних, якщо ці дані є недостовірними або неточними.
VІ. Організація обробки персональних даних володільцями та розпорядниками баз персональних даних
6.1. Володілець або розпорядник бази персональних даних вживає необхідні організаційні та технічні заходи з метою забезпечення процедури обробки персональних даних відповідно до вимог законодавства, належного рівня захисту персональних даних від несанкціонованого та незаконного доступу інших осіб.
6.2. Перелік таких заходів визначається володільцем або розпорядником бази персональних даних самостійно виходячи зі складу персональних даних, що обробляються, способу обробки, ризиків заподіяння шкоди внаслідок неправомірної обробки таких даних.
6.3. З метою приведення своєї діяльності у відповідність до вимог законодавства про захист персональних даних, мінімізації ризиків заподіяння шкоди суб’єктам персональних даних неправомірною обробкою персональних даних володільцям та розпорядникам баз персональних даних рекомендується вживати заходів щодо впровадження системи обробки персональних даних у наступній послідовності:
6.3.1. первинна оцінка стану обробки персональних даних;
6.3.2. планування та впровадження системи обробки персональних даних;
6.3.3. забезпечення поточного функціонування системи обробки персональних даних;
6.3.4. періодична та поточна оцінка ефективності системи обробки персональних даних;
6.3.5. удосконалення системи обробки персональних даних.
6.4. Первинна оцінка стану обробки персональних даних.
6.4.1. Цілями первинної оцінки стану обробки персональних даних є визначення переліку процесів обробки персональних даних, а також визначення статусу суб’єкта обробки персональних даних: володілець або розпорядник бази персональних даних.
6.4.2. Метою первинної оцінки стану обробки персональних даних володільця є оцінка поточних процесів та процедур обробки персональних даних з метою приведення їх у відповідність до вимог законодавства України з питань захисту персональних даних.
6.4.3. Завданнями первинної оцінки стану обробки персональних даних володільця є:
6.4.3.1. встановлення цілей обробки персональних даних у ході поточної діяльності володільця;
6.4.3.2. перевірка відповідності цілей обробки персональних даних у ході поточної діяльності володільця цілям, визначеним законами, іншими нормативно-правовими актами, установчими чи іншими документами, які регулюють діяльність володільця;
6.4.3.3. встановлення підстав для обробки персональних даних володільцем у визначених процесах обробки персональних даних;
6.4.3.4. оцінка сумісності застосовуваних способів обробки персональних даних встановленим цілям їхньої обробки; оцінка адекватності, ненадлишковості, відповідності оброблюваних персональних даних встановленим цілям;
6.4.3.5. у разі необхідності оцінка точності, достовірності та процесів оновлення персональних даних, що обробляються;
6.4.3.6. оцінка термінів зберігання персональних даних, визначення наявності чи відсутності даних, які зберігаються довше ніж це необхідно;
6.4.3.7. оцінка поточних процедур, що забезпечують права фізичної особи, зокрема право на доступ до даних;
6.4.3.8. оцінка стану дотримання вимог щодо захисту даних;
6.4.3.9. перевірка наявності чи відсутності процедур передачі персональних даних за кордон;
6.4.3.10. перевірка наявності обробки персональних даних розпорядниками та наявності законних підстав для передачі персональних даних розпорядникам;
6.4.3.11. перевірка наявності доступу до персональних даних третіх осіб та процедур передачі персональних даних третім особам. Перевірка наявності законних підстав для доступу до персональних даних третіх осіб та для передачі персональних даних третім особам.
6.5. Цілями первинної оцінки стану обробки персональних даних розпорядника є:
6.5.1. встановлення наявності чи відсутності підписаного договору в письмовій формі з володільцем щодо обробки персональних даних;
6.5.2. оцінка відповідності умов обробки персональних даних законодавству України з питань захисту персональних даних;
6.5.3. перевірка виконання умов підписаного договору в письмовій формі з володільцем;
6.5.4. Результати первинної оцінки стану обробки персональних даних дозволяють спланувати заходи щодо створення системи обробки персональних даних.
6.6. Планування та впровадження системи обробки персональних даних володільцем включає в себе:
6.6.1. визначення переліку баз персональних даних, які обробляються володільцем відповідно до Закону з урахуванням:
– цілей обробки персональних даних, сформульованих відповідно до вимог законодавства України;
– бізнес-процесів володільця, структури, місцезнаходження баз персональних даних, структури інформаційної системи тощо;
6.6.2. коректування положень, установчих та інших документів, які регулюють діяльність володільця;
6.6.3. найменування баз персональних даних та затвердження цілей обробки персональних даних у базах персональних даних;
6.6.4. визначення законних підстав для обробки персональних даних у базах персональних даних;
6.6.5. визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці відповідно до Закону;
6.6.6. впровадження процедур доступу до персональних даних працівників відповідно до їхніх професійних чи службових або трудових обов’язків та надання ними зобов’язань (гарантій) не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, окрім випадків, установлених Законом;
6.6.7. впровадження процедур, спрямованих на забезпечення дотримання принципів обробки персональних даних;
6.6.8. надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних з персональними даними, що здійснюється за згодою суб’єкта персональних даних та/чи відповідно до Закону;
6.6.9. забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них, відповідно до Закону;
6.6.10. обґрунтування необхідності передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними, у випадках, встановлених законом або міжнародним договором України; обґрунтування відповідності мети поширення персональних даних меті, з якою вони були зібрані; впровадження відповідного захисту персональних даних.
6.6.11. оформлення інформаційної картки бази персональних даних, яка містить відомості щодо найменування, місцезнаходження бази персональних даних, володільця, розпорядника, цілей обробки персональних даних, категорій персональних даних, які обробляються, обробки персональних даних, стосовно яких Законом передбачені особливі вимоги, правових підстав обробки персональних даних, передачі персональних даних за кордон, захисту бази даних, проведення періодичних та поточних оцінок стану обробки персональних даних;
6.6.12. оформлення заяви про реєстрацію бази персональних даних. Форма заяви бази персональних даних та інструкція з її заповнення затверджуються Державною службою України з питань захисту персональних даних;
6.6.13. реєстрація баз персональних даних у порядку, визначеному Законом;
6.6.14. навчання, підвищення кваліфікації та вжиття інших заходів, спрямованих на забезпечення компетентності персоналу володільця.
6.7. З метою створення дієвої системи обробки персональних даних володільцем бази персональних даних перед початком роботи визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану зі здійсненням контролю за законністю обробки персональних даних та захистом персональних даних при їхній обробці, відповідно до законодавства України, яке регулює його діяльність, та/або його установчих документів. Фізичні особи забезпечують захист персональних даних у базах персональних даних, якими вони володіють особисто, відповідно до законодавства України у сфері захисту персональних даних.
6.8. Володілець бази персональних даних з метою належного функціонування системи обробки персональних даних забезпечує:
6.8.1. загальну відповідальність за дотримання законодавства України у сфері захисту персональних даних;
6.8.2. затвердження необхідних процедур (методичних рекомендацій та правил тощо) стосовно вжиття заходів зі забезпечення поточного функціонування системи обробки персональних даних у базах персональних даних;
6.8.3. забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них;
6.8.4. здійснення періодичної та поточної оцінки ефективності функціонування системи обробки персональних даних у базах персональних даних;
6.8.5. організацію внесення пропозицій керівництву володільця щодо удосконалення системи обробки персональних даних у базах персональних даних;
6.8.6. обов’язкову реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.
6.8.7. розробку, впровадження та забезпечення належного функціонування системи обробки персональних даних;
6.8.8. підтримку вимог бізнесу процедурами захисту персональних даних у базах персональних даних;
6.8.9. реєстрацію інцидентів у системі обробки персональних даних.
6.9. Перевірка відповідності системи обробки персональних даних вимогам законодавства здійснюється у ході:
6.9.1. поточної перевірки ефективності системи обробки персональних даних, що проводиться володільцем самостійно відповідно до затверджених ним процедур;
6.9.2. періодичної перевірки ефективності системи обробки персональних даних, що здійснюється:
у формі внутрішньої оцінки системи обробки персональних даних, що проводиться володільцем самостійно, але не рідше одного разу на рік;
другою стороною (іншим володільцем) при передачі ним персональних даних відповідно до цілей обробки персональних даних у порядку визначеному договором;
третьою стороною (незалежною організацією) на добровільних засадах у порядку визначеному договором між володільцем та юридичною особою, компетентність якої документально засвідчена національним органом з акредитації в ході оцінки відповідності системи якості вимогам законодавства;
6.9.3. контролю за додержанням законодавства про захист персональних даних, що проводиться уповноваженим органом з питань захисту персональних даних відповідно до законодавства.
6.10. У ході перевірки третьою стороною відповідності системи обробки персональних даних вимогам законодавства здійснюється оцінка управлінських рішень володільця у сфері захисту персональних даних, відповідності технологічних рішень, прийнятих володільцем з метою виконання вимог стандартів та законодавства України про захист персональних даних.
6.11. Звіти за результатами перевірок третьою стороною повинні містити інформацію про будь-які порушення управлінських рішень володільця у сфері захисту персональних даних та встановлених процедур, а також порушення технологічних вимог до захисту персональних даних та законодавства України про захист персональних даних та зберігатися для врахування та аналізу.
6.12. Володілець зобов’язаний вживати заходів з удосконалення системи обробки персональних даних у базах персональних даних шляхом застосування превентивних і коригувальних дій. Усі пропоновані зміни та / або поліпшення повинні бути оцінені з метою удосконалення задокументованих управлінських рішень володільця у сфері захисту персональних даних.
6.13. Зміни, що випливають з превентивних та коригувальних дій, повинні бути належним чином документовані й збережені.
6.14. Володілець вживає превентивних дій для захисту забезпечення належного функціонування системи управління персональними даними у базах персональних даних шляхом:
– виявлення невідповідностей та їхніх причин;
– визначення ризиків;
– визначення та виконання необхідних превентивних заходів.
6.15. У разі виявлення потенційних невідповідностей у системі обробки персональних даних повинна бути створена процедура для розгляду кожної невідповідності на основі оцінки ризиків для:
– усунення причин невідповідності;
– зниження рівня невідповідності.
Оцінка ризиків проводиться на регулярній основі для визначення, чи змінилась ситуація та чи виправленні невідповідності.
6.16. Планування, впровадження, забезпечення поточного функціонування, здійснення оцінки та удосконалення системи обробки персональних даних розпорядником здійснюється відповідно до договору з володільцем баз персональних даних.
6.17. На підставі даних Рекомендацій володілець та розпорядник бази персональних даних може розробити власний порядок обробки персональних даних, що затверджується його керівником. Такий порядок не повинен суперечити законодавству України у сфері захисту персональних даних та може містити, зокрема, положення щодо визначення:
місця зберігання та заходів із забезпечення захисту бази персональних даних;
відповідальних осіб та осіб, які допущені до обробки персональних даних у базах персональних даних;
обліку та режиму доступу відповідальних осіб та осіб, які допущені до обробки персональних даних у базах персональних даних. Володілець або розпорядник бази персональних даних забезпечує ведення журналу обліку доступу до персональних даних у базах;
захисту персональних даних від несанкціонованого доступу до них, зокрема програмних, технічних, програмно-технічних засобів;
порядку внесення, зміни, поновлення, використання, поширення знеособлення, знищення персональних даних у базі персональних даних.
VІІ. Додаткові рекомендації щодо захисту інформації від несанкціонованого доступу при обробці персональних даних у складі інформаційної (автоматизованої) системи
7.1. З метою належного захисту інформації від несанкціонованого доступу володільцям та розпорядникам бази персональних даних при обробці персональних даних рекомендується вживати наступних заходів:
7.1.1. забезпечити обробку персональних даних у такий спосіб, щоб початок обробки персональних даних був можливий лише після вчинення особою, яка допущена до такої обробки, дій, спрямованих на її авторизацію та ідентифікацію в інформаційній (автоматизованій) системі, у рамках якої здійснюється така обробка.
Володілець або розпорядник самостійно визначає спосіб авторизації та ідентифікації цих осіб. При цьому способом авторизації та ідентифікації може бути присвоєння кожній відповідальній особі та особі, яка допущена до обробки персональних даних у базі персональних даних, унікального логіну та паролю. В особливих випадках за рішенням володільця або розпорядника для забезпечення ідентифікації цих осіб додатково до логіну та паролю доступу може використовуватися електронний цифровий підпис.
7.1.2. Володільцю або розпоряднику бази персональних даних рекомендовано забезпечувати антивірусний контроль інформаційної (автоматизованої) системи, у складі якої здійснюється обробка персональних даних.
7.1.3. Для профілактики інцидентів, пов’язаних з ненавмисними діями відповідальних осіб, що можуть призвести до розголошення (втрати) персональних даних, володільцю або розпоряднику бази персональних даних рекомендовано визначити порядок захисту персональних даних під час їхньої обробки в інформаційних (автоматизованих) системах, що має містити заходи щодо:
– планової та позапланової заміни паролю відповідальної особи;
– періодичності та порядку резервного копіювання даних;
– визначення дій відповідальних осіб при виявленні вірусної небезпеки та періодичність оновлення антивірусних баз.
VІІІ. Особливості обробки персональних даних у картотеках персональних даних
8.1. З метою забезпечення прав суб’єктів персональних даних для обробки різних персональних даних (в залежності від мети обробки) рекомендується використовувати окремий матеріальний носій (реєстр, книга, журнал). Рекомендується забезпечувати роздільне зберігання персональних даних (матеріальних носіїв), що містяться в картотеках персональних даних, обробка яких здійснюється з різною метою.
8.2. Документ, в якому містяться персональні дані, повинен бути складений таким чином, щоб кожен із суб’єктів персональних даних, чиї дані містяться в документі, мав можливість ознайомитися зі своїми персональними даними, не маючи доступу до персональних даних інших осіб.
8.3. При зберіганні матеріальних носіїв картотек персональних даних повинні дотримуватися умови, що забезпечують збереження персональних даних і виключають несанкціонований доступ до них. Картотеки доцільно зберігати у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
Джерело: pdp.net.ua
