ПОРЯДОК обробки персональних даних у базах персональних даних м. Київ, 2013 рік

ЗАТВЕРДЖЕНО рішенням Ради адвокатів України від 27 вересня 2013 року No 218

 

ПОРЯДОК
обробки персональних даних у базах персональних даних

м. Київ, 2013 рік

І. Загальні положення

  1. 1  Цей Порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцем та розпорядником персональних даних – Національною асоціацією адвокатів України, Вищою кваліфікаційно-дисциплінарною комісією адвокатури України, Вищою ревізійною комісією адвокатури, радами адвокатів регіонів, кваліфікаційно-дисциплінарними комісіями адвокатури. Терміни у цьому Порядку вживаються у значенні, наведеному в Законі України «Про захист персональних даних» (далі - Закон) і Типовому порядку обробки персональних даних у базах персональних даних, затвердженому наказом Міністерства юстиції України від 30 грудня 2011 року No 3659/5, зареєстрованому в Міністерстві юстиції України 03 січня 2012 року за No 1/20314.
  2. 2  У цьому Порядку терміни вживаються у такому значенні: автентифікація – процедура встановлення належності працівникові чи посадовій особі НААУ, ВКДКА, ВРКА, КДКА, РАР пред’явленого нею ідентифікатора;

авторизація – процедура отримання дозволу на проведення дій з обробки персональних даних у складі інформаційної (автоматизованої) системи; відповідальна особа — особа, на яку НААУ, ВКДКА, ВРКА, КДКА, РАР, відповідно до її службових, трудових, професійних обов’язків покладено організацію роботи, пов’язаної із захистом персональних даних при їх обробці; володілець персональних даних – НААУ, ВКДКА, ВРКА, КДКА, РАР, інші органи адвокатського самоврядування;

знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
ідентифікація — процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;

структурний підрозділ – структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов'язків на підставі положення про нього здійснює організацію роботи, пов'язаної із захистом персональних даних при їх обробці.

Інші терміни у цьому Порядку вживаються у значеннях, наведених у Законі

України "Про захист персональних даних".

  1. 3  Захист персональних даних покладається на володільця персональних даних –

НААУ, ВКДКА, ВРКА, КДКА, РАР, інші органи адвокатського самоврядування.
НААУ здійснює обробку персональних даних відповідно до закону.
На дії НААУ, ВКДКА, ВРКА, КДКА, РАР поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

НААУ, ВКДКА, ВРКА, КДКА, РАР при опублікуванні (висвітлені на офіційних веб-ресурсах) будь-яких рішень щодо фізичних осіб, адвокатів, клієнтів тощо зобов’язані знеособлювати персональні дані з метою уникнення ідентифікації особи (осіб).

  1. 4  НААУ надає суб’єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб’єкта персональних даних.
  2. 5  НААУ зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
  3. 6  НААУ визначає:
    - мету обробки, склад персональних даних у базі персональних даних та її

місцезнаходження;
- порядок внесення, зміни, поновлення, використання, поширення,

знеособлення, знищення персональних даних у базі персональних даних; - відповідальнуособу;

- порядок захисту персональних даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.

1.7 Відповідальна особа відповідно до покладених завдань:

  • -  забезпечує ознайомлення працівників НААУ, ВКДКА, ВРКА, КДКА, РАР

з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків;

  • -  забезпечує організацію обробки персональних даних працівниками НААУ, ВКДКА, ВРКА, КДКА, РАР відповідно до їх професійних, службових чи трудових обов’язків в обсязі, необхідному для виконання таких обов’язків;
  • -  організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних;
  • -  забезпечує доступ суб’єктів персональних даних до власних

персональних даних;

  • -  інформує керівника володільця та розпорядника персональних даних про

заходи, яких необхідно вжити для приведення складу персональних

даних та процедур їх обробки у відповідність до закону;

  • -  інформує Голову НААУ про порушення встановлених процедур з

обробки персональних даних.
У текстах органів адвокатського самоврядування, що відкриті для загального доступу через оприлюднення на офіційному веб-порталі органу адвокатського самоврядування або офіційне опублікування, не можуть бути розголошені відомості, що дають можливість ідентифікувати фізичну особу. Такі відомості замінюються літерними або цифровими позначеннями.
До відомостей, зазначених вище належать:

1) імена (ім’я, по батькові, прізвище) фізичних осіб;

2) місце проживання або перебування фізичних осіб із зазначенням адреси, номери телефонів чи інших засобів зв’язку, адреси електронної пошти, ідентифікаційні номери (коди);

3) інша інформація, що дає можливість ідентифікувати фізичну особу.
З метою ведення Єдиного реєстру адвокатів України дозволяється обробка персональних даних фізичних осіб відповідно до законодавства з питань захисту персональних даних.

  1. 8  НААУ веде облік:
    - фактів надання та позбавлення працівників права доступу до

персональних даних та їх обробки;
- спроб та фактів несанкціонованих та/або незаконних дій з обробки

персональних даних.

  1. 9  НААУ може розмежувати режими доступу працівників до обробки

персональних даних у базі персональних даних відповідно до їх професійних,

трудових чи службових обов’язків.

  1. 10  Видалення або знищення персональних даних здійснюється у спосіб, що

виключає подальшу можливість поновлення таких персональних даних.

ІІ. Обробка персональних даних в складі інформаційної (автоматизованої)

системи та/або у формі картотек із застосуванням неавтоматизованих засобів

  1. 1.  НААУ обробляє персональні дані в складі інформаційної (автоматизованої) системи та/або у формі картотек із застосуванням неавтоматизованих засобів, у якій забезпечується захист персональних даних відповідно до вимог закону. Володілець та/або розпорядник персональних даних забезпечує захист персональних даних, які обробляються в складі інформаційної (автоматизованої системи).
  2. 2.  Обробка персональних даних може здійснюватися повністю або частково із застосуванням автоматизованих засобів у складі інформаційної

(автоматизованої) системи та/або у формі картотек із застосуванням

неавтоматизованих засобів.

  1. 3.  Працівники НААУ допускаються до обробки персональних даних лише після їх

авторизації.

  1. 4.  Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації,

повинен блокуватись.

  1. 5.  В інформаційній (автоматизованій) системі, де обробляються персональні дані,

може здійснюватись реєстрація, зокрема:

  • -  результатів ідентифікації та/або автентифікації працівників НААУ;
  • -  дій з обробки персональних даних;
  • -  факту встановлення ознаки «Підтвердження надання згоди на обробку

персональних даних у базі персональних даних» за допомогою управляючих елементів веб-ресурсів НААУ, інтерфейсів користувача програмного забезпечення;

  • -  результатів перевірки цілісності засобів захисту персональних даних. Відповідальна особа може проводити аналіз реєстраційних даних. Реєстраційні дані захищаються від модифікації та знищення. Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб’єктам відносин, пов’язаним із персональними даними.
  1. 6.  НААУ забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
  2. 7.  НААУ забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.
  3. 8.  Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.
  4. 9.  Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу. У момент збору персональних даних або у випадках, передбачених законом, протягом десяти робочих днів з дня збору персональних даних суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних

персональних даних, права такого суб'єкта, визначені Законом України «Про захист персональних даних», мету збору персональних даних та осіб, яким передаються його персональні дані.

 

Поділіться у соціальних мережах: