Розпорядження голови обласної ради

Оприлюднено 08-12-2022

У К Р А Ї Н А

РІВНЕНСЬКА  ОБЛАСНА  РАДА

(Восьме скликання)

 

Р О З П О Р Я Д Ж Е Н Н Я

ГОЛОВИ ОБЛАСНОЇ РАДИ

 


від 08 грудня 2022 року                                                                          № 107

 

Про Порядок обробки та захисту персональних

даних у базах персональних даних, володільцем

яких є Рівненська обласна рада

 

 

З метою вдосконалення системи захисту персональних даних, які обробляються в базах персональних даних, володільцем яких є Рівненська обласна рада, відповідно до Закону України «Про захист персональних даних», Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, та керуючись частиною 7 статті 55 Закону України «Про місцеве самоврядування в Україні»:

1. Затвердити Порядок обробки та захисту персональних даних у базах персональних даних, володільцем яких є Рівненська обласна рада, що додається.

2. Затвердити перелік баз персональних даних та відповідальних осіб, які забезпечують захист персональних даних при їх обробці в конкретній базі персональних даних, що додається.

3. Визначити відповідальним за організацію роботи, пов’язаної із захистом персональних даних при їх обробці у виконавчому апараті обласної ради, відділ документообігу та роботи зі зверненнями громадян виконавчого апарату обласної ради

4. Відділу документообігу та роботи зі зверненнями громадян виконавчого апарату обласної ради ознайомити з цим розпорядженням керівників структурних підрозділів виконавчого апарату обласної ради.

5. Визнати такими, що втратили чинність, розпорядження голови Рівненської обласної ради від 30.01.2012 № 25 «Про порядок захисту та обробки персональних даних у базах персональних даних, володільцем яких є Рівненська обласна рада», від 07.08.2012 №201 «Про внесення змін до розпорядження голови обласної ради від 30.01.2012 № 25 «Про порядок захисту та обробки персональних даних у базах персональних даних, володільцем яких є Рівненська обласна рада».

6. Контроль за виконанням розпорядження покласти на керуючого справами виконавчого апарату обласної ради – керівника секретаріату Богдана СОЛОГУБА.

 

 

 

Голова ради                                                                                 Андрій КАРАУШ

 

 

ДОДАТКИ

 

 

                                                                                    ЗАТВЕРДЖЕНО

                                                                                    Розпорядження голови

                                                                                    Рівненської обласної ради

                                                                                    від 08 грудня 2022 року

                                                                                    № 107

 

Порядок

обробки та захисту персональних даних у базах персональних даних, володільцем яких є Рівненська обласна рада

 

Розділ І. Загальні положення

         1. Порядок обробки та захисту персональних даних у базах персональних даних, володільцем яких є Рівненська обласна рада, (далі – Порядок), визначає комплекс організаційних заходів для забезпечення захисту персональних даних від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.

2.  Порядок розроблено на виконання вимог Закону України «Про захист персональних даних» (далі – Закон) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 (далі – Типовий порядок).

3. Усі терміни у цьому Порядку визначаються відповідно до Закону та Типового порядку.

4. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована чи може бути конкретно ідентифікована.

5. Персональні дані належать до конфіденційної інформації.

6. Обробка персональних даних осіб ведеться на паперових носіях (звернення, журнали, реєстраційні картки) та за допомогою автоматизованих систем.

7.  Під обробкою персональних даних осіб розуміється будь-яка дія або сукупність дій, здійснюваних в тому числі повністю або частково в автоматизованій системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням та поширенням (розповсюдженням, реалізацією, передачею), знеособленням та знищенням персональних даних.

8. Збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних здійснюється у порядку, передбаченому чинним законодавством у відповідній сфері.

9. Порядок є обов’язковим для виконання посадовими особами виконавчого апарату обласної ради, які мають доступ до персональних даних та обробляють персональні дані. 

Розділ ІІ. Бази персональних даних, володільцем яких

є Рівненська обласна рада

1. Рівненська обласна рада (далі – Володілець) є володільцем баз персональних даних:

1) база персональних даних «Депутати Рівненської обласної ради». У базі містяться персональні дані: прізвище, власне ім'я, по батькові; стать, дата народження; громадянство, партійність; освіта; місце роботи, посада; місце проживання; засоби телефонного зв’язку, електронна адреса; назва місцевої організації політичної партії, за виборчим списком якої обрано депутата; назва постійної комісії, до якої входить депутат;

2) база персональних даних «Працівники виконавчого апарату Рівненської обласної ради». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, паспортні дані; особисті відомості (громадянство, дата і місце народження, вік, стать, родинний стан, склад сім’ї, ідентифікаційний номер платника податку); місце проживання фактичне та за державною реєстрацією; освіта, у тому числі науковий ступінь, вчене звання, професійне навчання (підготовка, перепідготовка та підвищення кваліфікації); професія, спеціальність, кваліфікація; відомості про військовий облік; дані, що стосуються здоров’я в межах, визначених законодавством про працю; дані, що підтверджують право працівника на пільги, встановлені законодавством про працю та іншими нормативно-правовими актами; номери телефонів; запис зображення (фото); біографічні довідки, автобіографії, характеристики, матеріали атестацій, щорічних оцінок та кадрового резерву; відомості щодо прийняття Присяги посадової особи місцевого самоврядування, підписання Попередження про встановлені законами України обмеження; інші кадрові документи, в тому числі щодо прийняття на службу в органи місцевого самоврядування та її проходження відповідно до чинного законодавства України керівництва обласної ради та працівників виконавчого апарату обласної ради, які сформовані в особовій справі;

3) база персональних даних «Звернення громадян, які надійшли до обласної ради». У базі містяться дані відповідно до вимог статті 5 Закону України «Про звернення громадян», постанови Кабінету Міністрів України від 14.04.1997 № 348 «Про затвердження Інструкції з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації» та постанови Кабінету Міністрів України від 24.09.2008 № 858 «Про затвердження Класифікатора звернень громадян»: прізвище, власне ім’я, по батькові, поштова адреса та/або електронна пошта, стать, категорія та соціальний стан заявника, паспортні дані, ідентифікаційний номер облікової картки платника податків, номер контактного телефону;

4) база персональних даних «Особи, представлені до нагородження». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, місце роботи, посада;

5) база персональних даних «Запитувачів публічної інформації», які звертаються до Рівненської обласної ради відповідно до Закону України «Про доступ до публічної інформації». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, поштова адреса та/або адреса електронної пошти.

6) база персональних даних фізичних осіб або уповноважених представників юридичних осіб — учасників договірних відносин. У базі містяться персональні дані: прізвище, власне ім’я, по батькові, посада, поштова адреса та/або адреса електронної пошти, паспортні дані, ідентифікаційний номер облікової картки платника податків, реквізити банківських рахунків;

7) база персональних даних «Особи, які претендують на зайняття посад керівників комунальних установ, підприємств, організацій, що є об’єктами спільної власності територіальних громад сіл, селищ, міст Рівненської області». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, поштова адреса та/або адреса електронної пошти, паспортні дані, ідентифікаційний номер облікової картки платника податків, освіта, автобіографія;

8) база персональних даних «Керівники комунальних установ, підприємств, організацій, що є об’єктами спільної власності територіальних громад сіл, селищ, міст Рівненської області». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, поштова адреса, паспортні дані, ідентифікаційний номер облікової картки платника податків, освіта;

9) база персональних даних «Викривачі корупції». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, адреса, номер телефону;

10) база персональних даних «Суб’єкти декларування». У базі містяться персональні дані: прізвище, власне ім’я, по батькові, номер телефону.

2. Обробка персональних даних здійснюється для конкретних і законних цілей. Метою оброблення бази персональних даних є здійснення прав та виконання обов'язків у сфері, визначеній законодавством України.

3. Згода на обробку персональних даних надається фізичними особами.

 

 

Розділ ІІІ. Мета та підстави обробки персональних даних

 

1. Обробка персональних даних у базах даних здійснюється з метою:

  • забезпечення правової, організаційної, інформаційної реалізації діяльності обласної ради як представницького органу місцевого самоврядування обласного рівня;
  • упорядкування діяльності щодо реалізації прав громадян на заохочення відзнаками Верховної Ради України та обласної ради;
  • реалізації права громадян України на службу в органах місцевого самоврядування та виконання повноважень обласної ради у сфері реалізації трудових правовідносин, управління людськими ресурсами, зокрема кадровим потенціалом, а також підготовки статистичної та іншої інформації;
  • забезпечення реалізації конституційного права громадян на звернення, вирішення питань, порушених у заявах, пропозиціях або скаргах, адміністративно-правових відносин, підготовки статистичної та іншої інформації;
  • реалізації відносин у сфері отримання публічної інформації, наданої володільцю бази персональних даних для здійснення його повноважень відповідно до Конституції України, Закону України «Про доступ до публічної інформації» та інших нормативно-правових актів, які регулюють правові відносини у сфері реалізації прав громадян на отримання публічної інформації.

     2. Підстави для обробки персональних даних у базах даних визначаються відповідно до частини першої статті 11 Закону.

 

Розділ ІV. Права та обовязки  суб’єктів персональних даних

1. Відповідно до Закону, фізична особа, щодо якої здійснюється обробка її персональних даних, є суб'єктом персональних даних.

2. Суб'єкт персональних даних має право:

- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановленим цим законом;

- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

- на доступ до своїх персональних даних;

- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, повідомлення про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

- пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;

- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

- відкликати згоду на обробку персональних даних;

- знати механізм автоматичної обробки персональних даних;

- на захист від автоматизованого рішення, яке має для нього правові наслідки.

 

 

Розділ V. Обов'язки посадових осіб виконавчого апарату обласної ради, які обробляють персональні дані

1. Посадові особи виконавчого апарату обласної ради, які обробляють персональні дані, мають бути обізнані з вимогами Закону України «Про захист персональних даних» та інших нормативно-правових актів у сфері захисту персональних даних.

2. Посадові особи виконавчого апарату обласної ради, які обробляють персональні дані, зобов’язані:

  • дотримуватись вимог Закону та інших нормативно-правових актів у сфері захисту персональних даних;
  • запобігати втраті персональних даних або їх неправомірному використанню;
  • у разі необхідності діяти відповідно до інструкцій щодо комплексної системи захисту інформації в автоматизованих системах обласної ради;
  • запобігати втрати або неумисного знищення носіїв інформації, що містять персональні дані;
  • запобігати втрати ключів від приміщень, сейфів, шаф, де зберігаються документи, які містять персональні дані;
  • терміново повідомляти про виявлені факти несанкціонованого доступу до персональних даних керівника структурного підрозділу  у термін не більше одного робочого дня з моменту виявлення такого факту;

- при звільненні або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.

3. Працівники виконавчого апарату обласної ради, які мають доступ до баз персональних даних відповідно до своїх посадових обов’язків, надають письмове зобов’язання про нерозголошення персональних даних, які їм були довірені, або стали відомі у зв’язку з виконанням службових обов’язків за формою згідно з додатком 1 до цього Порядку.

 

Розділ VІ. Порядок обробки: спосіб збору, накопичення, використання персональних даних

           1. Збирання та накопичення персональних даних є складовою процесу обробки персональних даних у базах персональних даних, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

           2. З урахуванням вимог частини другої статті 12 Закону в момент збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору та осіб, яким передаються його персональні дані згідно з додатком 2 до Порядку.

3. Згода суб’єкта на обробку його персональних даних повинна бути добровільною, інформованою та у письмовій формі згідно з додатком 3 до Порядку.

У разі виявлення факту внесення до баз персональних даних відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно виправлені або знищені.

          4. Використання персональних даних у базах персональних даних — це будь-які дії посадових осіб виконавчого апарату обласної ради, а саме: збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, що здійснюються за згодою суб’єкта персональних даних відповідно до Закону.

           5. Доступ до баз персональних даних, в тому числі внесених до автоматизованих систем мають посадові особи виконавчого апарату обласної ради відповідно до своїх посадових обов’язків.

 

Розділ VII. Зберігання та знищення персональних даних у базах персональних даних

  1. Персональні дані у Базах даних зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства, Переліком типових документів, що створюються під час діяльності державних органів та органів місцевого самоврядування, інших установ, підприємств та організацій, із зазначенням строків зберігання документів, затвердженим наказом Міністерства юстиції України від 12.04.2012 № 578/5.
  2. Відбір документів, що містять персональні дані, терміни зберігання яких закінчилися, знищуються відповідно до Типової інструкції з документування управлінської інформації в електронній формі та організації роботи з електронними документами в діловодстві, електронного міжвідомчого обміну, затвердженою постановою Кабінету Міністрів України від 17 січня 2018 року № 55 (зі змінами).
  3. Знищення документів, що містять персональні дані здійснюється у спосіб, що виключає подальшу можливість поновлення персональних даних.
  4. Розгляд законних вимог суб’єктів персональних даних щодо обробки їх даних, у разі пред’явлення суб’єктом вмотивованої вимоги щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту, підлягає розгляду впродовж 10 календарних днів з моменту отримання.

Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно, обласна рада припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.

Якщо вимога не підлягає задоволенню, суб’єкту надається обґрунтована відповідь щодо відсутності підстав для її задоволення.

 

Розділ VIІІ. Поширення персональних даних

          Поширення персональних даних осіб третім особам здійснюється відповідно до вимог Закону.

Поширення персональних даних осіб третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об'єктивній причині поширення відповідних даних.

Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.

Особа, що звертається, має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних, без зазначення мети запиту.

 

 

Розділ IX. Захист персональних даних при їх обробці

1. Захист персональних даних осіб, що звертаються, які обробляються в автоматизованій системі.

Право доступу до автоматизованої системи надається посадовим особам виконавчого апарату обласної ради, в посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов'язання щодо нерозголошення персональних даних.

Автоматизована система в обов'язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує адміністратор системи.

Відповідальність за організацію процесу обробки персональних даних в автоматизованій системі несе керівник відповідного структурного підрозділу виконавчого апарату обласної ради.

2. Захист персональних даних осіб які обробляються у формі картотек (журналів).

До роботи з картотеками, журналами персональних даних допускаються лише посадові особи виконавчого апарату обласної ради, які надали письмове зобов'язання щодо нерозголошення персональних даних.

Двері у приміщення, де зберігаються картотеки (журнали) персональних даних, обладнуються замками та/або контролем доступу.

Картотеки (журнали) зберігаються у шафах, що надійно зачиняються
(з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек (журналів).

Відповідальність за організацію процесу обробки персональних даних у формі картотек (журналів) несе керівник відповідного структурного підрозділу виконавчого апарату обласної ради.

 

Розділ X. Облік операцій, пов’язаних з обробкою

персональних даних

            1. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) у базах персональних даних обробляються у спосіб, що унеможливлює несанкціонований доступ до них сторонніх осіб.

З метою захисту персональних даних суб’єктів в обласній раді здійснюється облік операцій, де зберігається інформація про:

  • дату, час та джерело збирання персональних даних суб’єкта;
  • зміну персональних даних;
  • перегляд персональних даних;
  • будь-яку передачу (копіювання) персональних даних суб’єкта;
  • дату та час видалення або знищення персональних даних;
  • працівника, який здійснив одну із указаних операцій;
  • мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

          2. Облік операцій, пов’язаних з обробкою персональних даних суб’єктів, ведеться у Журналі обліку операцій, пов’язаних з обробкою персональних даних згідно з додатком 4 до цього Порядку.

          Ведення Журналу обліку операцій, пов’язаних з обробкою персональних даних, покладається на посадових осіб виконавчого апарату обласної ради, які організовують роботу, пов’язану із захистом персональних даних при їх обробці у базах персональних даних, володільцем яких є Рівненська обласна рада

Print

Роздрукувати