Открытое тестирование
ВИКОНАВЧИЙ ОРГАН КИЇВСЬКОЇ МІСЬКОЇ РАДИ
(КИЇВСЬКА МІСЬКА ДЕРЖАВНА АДМІНІСТРАЦІЯ)
РОЗПОРЯДЖЕННЯ
18.01.2013 N 55
Про затвердження Порядку захисту та обробки персональних
даних у базах персональних даних в структурних підрозділах
виконавчого органу Київської міської ради
(Київської міської державної адміністрації),
районних в місті Києві державних адміністраціях
Відповідно до вимог Закону України "Про захист персональних даних", Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року N 3659/5 та зареєстрованого в Міністерстві юстиції України 3 січня 2012 року за N 1/20314, та з метою забезпечення захисту персональних даних у базах персональних даних в структурних підрозділах виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністраціях в межах функцій органу місцевого самоврядування:
1. Затвердити Порядок захисту та обробки персональних даних у базах персональних даних в структурних підрозділах виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністраціях, що додається.
2. Структурним підрозділам виконавчого органу Київської міської ради (Київської міської державної адміністрації), районним в місті Києві державним адміністраціям забезпечити неухильне додержання вимог Порядку, затвердженого пунктом 1 цього розпорядження.
3. Контроль за виконанням цього розпорядження покласти на заступників голови Київської міської державної адміністрації згідно з розподілом обов'язків.
4. Заступнику голови Київської міської державної адміністрації згідно з розподілом обов'язків прийняти рішення щодо висвітлення в засобах масової інформації змісту цього розпорядження.
Голова О.Попов
Затверджено
Розпорядження
виконавчого органу
Київської міської ради
(Київської міської
державної адміністрації)
18.01.2013 N 55
Порядок
захисту та обробки персональних даних у базах персональних
даних в структурних підрозділах виконавчого органу
Київської міської ради (Київської міської державної адміністрації),
районних в місті Києві державних адміністраціях
I. Загальні положення
1.1. Порядок захисту та обробки персональних даних у базах персональних даних в структурних підрозділах виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністраціях (далі - Порядок) розроблено на виконання вимог Закону України "Про захист персональних даних" (далі - Закон) на основі Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року N 3659/5 та зареєстрованого в Міністерстві юстиції України 3 січня 2012 року за N 1/20314 (далі - Типовий порядок) з урахуванням вимог законів України "Про інформацію", "Про доступ до публічної інформації", "Про захист інформації в інформаційно-телекомунікаційних системах", Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373.
1.2. Цей Порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних в структурних підрозділах виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністраціях.
1.3. У цьому Порядку терміни вживаються у такому значенні:
автентифікація - процедура встановлення належності працівникові володільця або розпорядника бази персональних даних пред'явленого ним ідентифікатора;
авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
відповідальна особа - особа, на яку уповноваженим володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов'язків покладена організація роботи, пов'язаної із захистом персональних даних при їх обробці;
володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник бази персональних даних - фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
уповноважені володільці - структурні підрозділи володільця баз персональних даних, які за напрямами діяльності згідно з розподілом повноважень та покладеними на них завданнями, організовують роботу з відповідними базами персональних даних, забезпечують підтримання їх змісту в актуальному стані.
Інші терміни у цьому Порядку вживаються у значеннях, наведених у Законі.
1.4. Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
1.5. Переліки баз персональних даних, уповноважених володільців та власників інформаційних (автоматизованих), інформаційно-телекомунікаційних систем, в яких обробляються персональні дані цих баз персональних даних, визначаються розпорядженнями районних в місті Києві державних адміністрацій, наказами відповідних керівників структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації).
Розпорядниками відповідних баз персональних даних є структурні підрозділи виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністрацій (далі - структурні підрозділи), яким володільцями (уповноваженими володільцями) баз персональних даних надані повноваження працювати з персональними даними у відповідних базах даних.
1.6. Порядок формування та ведення конкретних баз персональних даних визначається положеннями про відповідні бази персональних даних, які розробляються володільцями (уповноваженими володільцями) цих баз персональних даних та затверджуються в установленому порядку.
1.7. Відповідно до Закону бази персональних даних підлягають державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Положення про Державний реєстр баз персональних даних та порядок його ведення, затверджено постановою Кабінету Міністрів України від 25 травня 2011 року N 616.
1.8. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
1.9. Загальна організація та координація роботи, пов'язаної із захистом персональних даних при їх обробці у базах персональних даних структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністрацій, покладається на управління електронного урядування та захисту інформації апарату виконавчого органу Київської міської ради (Київської міської державної адміністрації).
Безпосередня організація захисту персональних даних у відповідних базах персональних даних покладається на уповноваженого володільця бази персональних даних.
Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до Закону або на підставі повноважень, наданих уповноваженим володільцем бази персональних даних, з метою і в обсязі, визначеними цими повноваженнями.
На дії уповноваженого володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
1.10. Керівники структурних підрозділів, які є уповноваженими володільцями, розпорядниками відповідних баз персональних даних відповідають за забезпечення правильного ведення обліку, зберігання та використання документів, що містять персональні дані, а також за контроль за дотриманням вимог законодавства України з питань захисту персональних даних, зокрема Закону України "Про захист персональних даних", Типового порядку та цього Порядку.
1.11. Працівники уповноважених володільців та розпорядників баз персональних даних допускаються до роботи з персональними даними лише після ознайомлення під підпис з вимогами Закону, Типового порядку та цього Порядку.
1.12. Уповноважені володільці баз персональних даних можуть розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов'язків.
1.13. До роботи з базами персональних даних допускаються працівники уповноважених володільців та розпорядників, які відповідно до функціональних обов'язків мають безпосереднє відношення до цих баз персональних даних згідно зі списками або згідно з дорученнями керівників структурних підрозділів. Категорії працівників, які допускаються до роботи з базами персональних даних, визначаються керівниками структурних підрозділів, які є уповноваженими володільцями, розпорядниками відповідних баз персональних даних.
1.14. Представники інших організацій допускаються до ознайомлення і роботи з документами, що містять персональні дані, з дозволу керівників структурних підрозділів виконавчого органу Київської міської ради (Київської міської державної адміністрації), які є уповноваженими володільцями, розпорядниками відповідних баз персональних даних, за наявності письмового запиту організацій, в яких вони працюють, із зазначенням мети та характеру завдання, що виконується.
1.15. Уповноважений володілець або розпорядник бази персональних даних надає суб'єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб'єкта персональних даних.
1.16. Уповноважений володілець бази персональних даних зберігає персональні дані у строк не більше ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
1.17. Уповноважений володілець бази персональних даних визначає:
мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.
1.18. З метою забезпечення захисту персональних даних при їх обробці у структурних підрозділах виконавчого органу Київської міської ради (Київської міської державної адміністрації), районних в місті Києві державних адміністрацій, які є уповноваженими володільцями або розпорядниками відповідних баз даних, призначаються відповідальні особи або структурні підрозділи.
Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
забезпечує ознайомлення працівників уповноваженого володільця або розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
забезпечує організацію обробки персональних даних працівниками уповноваженого володільця або розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
забезпечує доступ суб'єктів персональних даних до власних персональних даних;
інформує керівника уповноваженого володільця або розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує керівника уповноваженого володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.
1.19. Уповноважений володілець, розпорядник бази персональних даних веде облік:
фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
1.20. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
Персональні дані в базах персональних даних підлягають знищенню у разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
Персональні дані, зібрані з порушенням вимог Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку.
II. Обробка персональних даних в
інформаційній (автоматизованій) системі
2.1. Уповноважені володільці та розпорядники бази персональних даних обробляють персональні дані в інформаційних (автоматизованих) системах, в яких забезпечується захист персональних даних відповідно до вимог Закону, створені комплексні системи захисту інформації, що пройшли у встановленому порядку державну експертизу та мають виданий у встановленому порядку Державною службою спеціального зв'язку та захисту інформації України атестат відповідності.
2.2. Відповідно до статті 5 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" захист інформації в інформаційних (автоматизованих), інформаційно-телекомунікаційних системах забезпечує власник цих систем.
2.3. Працівники уповноваженого володільця та розпорядника бази персональних даних допускаються до обробки персональних даних лише після їх авторизації.
2.4. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, блокується.
2.5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
результатів ідентифікації та/або автентифікації працівників уповноваженого володільця, розпорядника бази персональних даних;
дій з обробки персональних даних;
факту встановлення ознаки "Підтвердження надання згоди на обробку персональних даних у базі персональних даних" за допомогою управляючих елементів веб-ресурсів уповноваженого володільця або розпорядника бази персональних даних, інтерфейсів користувача програмного забезпечення;
результатів перевірки цілісності засобів захисту персональних даних.
Відповідальна особа може проводити аналіз реєстраційних даних.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб'єктам відносин, пов'язаним із персональними даними.
2.6. Антивірусний захист в інформаційних (автоматизованих) системах, де обробляються персональні дані, забезпечує володілець бази персональних даних.
2.7. Використання технічних засобів безперебійного живлення елементів інформаційних (автоматизованих) систем, де обробляються персональні дані, забезпечує володілець бази персональних даних.
III. Обробка персональних даних у формі картотек
3.1. Уповноважені володільці та розпорядники бази персональних даних здійснюють обробку персональних даних у картотеках у порядку, визначеному Законом, Типовим порядком та розділом I цього Порядку, з урахуванням таких вимог:
документи, що містять персональні дані, формуються в окремі справи залежно від мети обробки персональних даних;
справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
справи з документами, що містять персональні дані, видаються виконавцям з дозволу керівника структурного підрозділу, в якому було сформовано справу, та приймаються від них під підпис у картці - заміннику. У картці зазначаються найменування структурного підрозділу, індекс справи, заголовок справи, дата її видачі, особа, якій справу видано, дата її повернення, підписи осіб, які видали та прийняли справу;
видача документів, що містять персональні дані, виконавцям фіксується шляхом проставлення відповідної відмітки в реєстраційній формі із зазначенням інформації про виконавців, яким передано оригінал документа та його копії;
картотеки, справи з документами, що містять персональні дані, повинні зберігатися у службових приміщеннях (шафах, сейфах), які надійно замикаються та опечатуються. Двері у приміщеннях повинні бути обладнані замком та/або контролем доступу;
перевірка наявності документів, що містять персональні дані, здійснюється щорічно комісіями, що призначаються наказами керівників структурних підрозділів, які є володільцями (уповноваженими володільцями), розпорядниками відповідних баз персональних даних. Результати перевірки оформляються актами.
3.2. При обробці персональних даних, що містяться у зверненнях громадян, запитах на інформацію, обов'язково враховуються вимоги нормативно-правових актів, якими регламентується порядок здійснення діловодства за зверненнями громадян, запитами на інформацію.
Заступник голови - керівник апарату О.Пузанов