РІШЕННЯ
Від 26.12.2011. № 367
м. Долина
Про затвердження Порядку обробки
персональних даних
у базах персональних даних
На виконання Закону України “Про захист персональних даних” та відповідно до Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року №390/2011, керуючись Законом України «Про місцеве самоврядування в Україні», виконавчий комітет міської ради
В И Р І Ш И В:
Затвердити Порядок обробки персональних даних у базах персональних даних (додається).
Міський голова Володимир Гаразд
Додаток до рішення
виконкому від 26.12.2011. № 367
Порядок обробки персональних даних
у базах персональних даних
І. Загальні положення
1.1. Порядок обробки персональних даних в базах персональних даних (далі – Порядок) розроблено на виконання частини 10 статті 6 Закону України «Про захист персональних даних» (далі – Закон) та відповідно до підпункту 5 пункту 4 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року №390/2011.
1.2 Цей Порядок визначає загальні вимоги до обробки персональних даних у базах персональних даних.
1.3. Терміни, що вживаються у Порядку, відповідають їх визначенню відповідно до Закону.
Система управління персональними даними – це сукупність взаємопов’язаних та взаємодіючих елементів організаційної структури, механізмів відповідальності, повноважень та процедур організації обробки персональних даних, а також процесів і ресурсів, які забезпечують її відповідність встановленим законодавством вимогам щодо захисту персональних даних.
II. Персональні дані, принципи та цілі їх обробки
2.1. До персональних даних належать:
2.1.1. за природою відомостей:
об’єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);
суб’єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);
2.1.2. за джерелами відомостей:
відомості, що містяться в первинних та інших джерелах про фізичну особу;
2.1.3. за способами обробки відомостей:
відомості в алфавітно-цифровому форматі;
відомості в графічному форматі;
відомості в фото- та кіно-, аудіо- та відеоформаті тощо;
2.1.4. за формою обробки відомостей:
відомості на паперових носіях;
відомості на електронних носіях;
відомості на магнітних носіях;
відомості на оптичних носіях тощо;
2.1.5. за вимогами до обробки відомостей:
відомості, щодо яких застосовуються загальні вимоги обробки відповідно до Закону;
відомості, щодо яких згідно із статтею 7 Закону застосовуються особливі вимоги обробки (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також відомості, що стосуються здоров’я чи статевого життя тощо);
2.1.6. за зв’язком з фізичною особою:
відомості, що стосуються фізичної особи безпосередньо (особова справа працівника, запис у базі даних медичного закладу, банківський рахунок фізичної особи тощо);
відомості, що стосуються фізичної особи опосередковано (реєстраційний запис про право власності на об’єкт нерухомого майна, записи відеоспостереження у громадських місцях, записи про технічне обслуговування автомобіля тощо).
2.1.7. Відомості про фізичну особу є персональними даними у разі якщо фізичну особу, якої вони стосуються, можна ідентифікувати безпосередньо або опосередковано.
2.1.8. Персональні дані, незалежно від природи, змісту, способів та форми обробки відомостей, застосування загальних чи особливих вимог обробки, а також незалежно від ступеню зв’язку з фізичною особою, повинні оброблятися відповідно до встановлених законодавством України принципів обробки персональних даних.
2.2. Принципами обробки персональних даних є:
1) принцип законності: персональні дані повинні оброблятись лише на законних підставах;
2) принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями та оброблятися відповідно до них;
3) принцип адекватності і ненадлишковості: персональні дані повинні бути адекватними, ненадлишковими, відповідати цілям обробки;
4) принцип точності: персональні дані повинні бути точними та актуальними;
5) принцип строковості зберігання: персональні дані не повинні зберігатися довше, ніж це необхідно;
6) принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних, включаючи право на доступ до даних;
7) принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних;
8) принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб’єктам відносин, пов’язаних із персональними даними, без належного захисту.
2.3. Загальними підставами виникнення права на обробку персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
2) надане володільцю бази персональних даних у порядку, визначеному законодавством України, право на обробку персональних даних відповідно до Закону, і виключно в інтересах національної безпеки, економічного добробуту та прав людини;
3) необхідність захисту життєво важливих інтересів суб’єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим.
2.4. Формами надання згоди суб’єкта персональних даних є:
а) документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;
б) електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;
в) відмітка на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
– не дозволяють обробку персональних даних до того часу, поки суб’єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;
– забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.
2.5. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.
2.6. Підставами виникнення права на обробку персональних даних щодо яких встановлено особливі вимоги до обробки, визначені частиною другою статті 7 Закону.
2.7. Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.
2.8. Типовими цілями обробки персональних даних є забезпечення реалізації:
– трудових відносин;
– адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
– відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
– відносин у сфері економічних, фінансових послуг та страхування;
– відносин у сфері реклами та збору персональних даних у комерційних цілях;
– відносин у сфері телекомунікаційних послуг;
– відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
– відносин у сфері освіти;
– відносин у сфері охорони здоров’я;
– відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
– відносин у сфері транспорту;
– відносин у сфері науки, історичних досліджень та статистики;
– інших відносин, що вимагають обробки персональних даних.
III. Організація обробки персональних даних володільцями баз персональних даних та розпорядниками баз персональних даних
3.1. Організація обробки персональних даних включає такі етапи:
1) первинна оцінка стану обробки персональних даних;
2) планування та впровадження системи управління персональними даними;
3) забезпечення поточного функціонування системи управління персональними даними;
4) періодична та поточна оцінка ефективності системи управління персональними даними;
5) удосконалення системи управління персональними даними.
3.2. Первинна оцінка стану обробки персональних даних проводиться всіма фізичними та юридичними особами, які володіють або розпоряджаються персональними даними.
3.2.1. Цілями первинної оцінки стану обробки персональних даних є визначення переліку процесів обробки персональних даних, а також визначення статусу суб’єкта обробки персональних даних: володілець або розпорядник бази персональних даних.
3.2.2.Метою первинної оцінки стану обробки персональних даних володільця є оцінка поточних процесів та процедур обробки персональних даних з метою приведення їх у відповідність до вимог законодавства України з питань захисту персональних даних.
3.2.3. Завданнями первинної оцінки стану обробки персональних даних володільця є:
1) встановлення цілей обробки персональних даних у ході поточної діяльності володільця;
2) перевірка відповідності цілей обробки персональних даних у ході поточної діяльності володільця цілям, визначених законами, іншими нормативно-правовими актами, установчими чи іншими документами, які регулюють діяльність володільця;
3) встановлення підстав для обробки персональних даних володільцем у визначених процесах обробки персональних даних відповідно до пунктів 2.3 та 2.4 Порядку;
4) оцінка сумісності застосовуваних способів обробки персональних даних встановленим цілям їх обробки;
5) оцінка адекватності, ненадлишковості, відповідності оброблюваних персональних даних встановленим цілям;
6) оцінка точності, достовірності та процесів оновлення, у разі необхідності, персональних даних, що обробляються;
7) оцінка термінів зберігання персональних даних, визначення наявності чи відсутності даних, які зберігаються довше, ніж це необхідно;
8) оцінка поточних процедур, що забезпечують права фізичної особи, включаючи право на доступ до даних;
9) оцінка стану дотримання вимог щодо захисту даних;
10) перевірка наявності чи відсутності процедур передачі персональних даних закордон;
11) перевірка наявності обробки персональних даних розпорядниками та наявності законних підстав для передачі персональних даних розпорядникам;
12) перевірка наявності доступу до персональних даних третіх осіб та процедур передачі персональних даних третім особам. Перевірка наявності законних підстав для доступу до персональних даних третіх осіб та для передачі персональних даних третім особам.
3.2.4. Цілями первинної оцінки стану обробки персональних даних розпорядника є:
1) встановлення наявності чи відсутності підписаного договору у письмовій формі з володільцем щодо обробки персональних даних;
2) оцінка відповідності умов обробки персональних даних законодавству України з питань захисту персональних даних;
3) перевірка виконання умов підписаного договору у письмовій формі з володільцем відповідно до завдань, визначених володільцем згідно пункту 3.2.3 Положення.
3.2.5. Результати первинної оцінки стану обробки персональних даних дозволяють спланувати заходи щодо створення системи управління персональними даними.
3.3. Планування та впровадження системи управління персональними даними володільцем включає в себе:
1) визначення переліку баз персональних даних, які обробляються володільцем відповідно до Закону з урахуванням:
цілей обробки персональних даних, сформульованих відповідно до вимог законодавства України;
2) коректування положень, установчих та інших документів, які регулюють діяльність володільця;
3) найменування баз персональних даних та затвердження цілей обробки персональних даних у базах персональних даних;
4) визначення законних підстав для обробки персональних даних у базах персональних даних відповідно до пунктів 2.3 та 2.4 Порядку;
5) визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці відповідно до Закону;
6) впровадження процедур доступу до персональних даних працівників відповідно до їхніх професійних чи службових або трудових обов’язків та надання ними зобов’язань (гарантій) не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом;
7) впровадження процедур, спрямованих на забезпечення дотримання принципів обробки персональних даних, що визначені пунктом 2.2 Порядку;
8) надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюється за згодою суб’єкта персональних даних та/чи відповідно до Закону;
9) забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них, відповідно до Закону;
10) обґрунтування необхідності передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними, у випадках, встановлених законом або міжнародним договором України; обґрунтування відповідності мети поширення персональних даних меті, з якою вони були зібрані; впровадження відповідного захисту персональних даних.
11) оформлення інформаційної картки бази персональних даних (Додаток 1 до Положення), яка містить відомості щодо найменування, місцезнаходження бази персональних даних, володільця, розпорядника, цілей обробки персональних даних, категорій персональних даних, які обробляються, обробки персональних даних, стосовно яких Законом передбачені особливі вимоги, правових підстав обробки персональних даних, передачі персональних даних за кордон, захисту бази даних, проведення періодичних та поточних оцінок стану обробки персональних даних;
12) оформлення заяви про реєстрацію бази персональних даних. Форма заяви бази персональних даних та інструкція з її заповнення затверджуються Державною службою України з питань захисту персональних даних;
13) реєстрація баз персональних даних, у порядку, визначеному Законом;
14) навчання, підвищення кваліфікації та вжиття інших заходів, спрямованих на забезпечення компетентності персоналу володільця.
3.4. Забезпечення поточного функціонування системи управління персональними даними є обов’язковим при організації обробки персональних даних володільцем у базах персональних даних.
3.5. З метою створення дієвої системи управління персональними даними володільцем визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до законодавства України, яке регулює його діяльність, та/або його установчих документів.
Фізичні особи забезпечують захист персональних даних у базах персональних даних, якими вони володіють, особисто, відповідно до законодавства України у сфері захисту персональних даних.
3.6. Володілець з метою належного функціонування системи управління персональними даними забезпечує:
1) загальну відповідальність за дотримання законодавства України у сфері захисту персональних даних;
2) затвердження необхідних процедур (методичних рекомендацій та правил тощо) стосовно вжиття заходів із забезпечення поточного функціонування системи управління персональними даними у базах персональних даних;
3) забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них;
4) здійснення періодичної та поточної оцінки ефективності функціонування системи управління персональними даними у базах персональних даних;
5) організацію внесення пропозицій керівництву володільця щодо удосконалення системи управління персональними даними у базах персональних даних;
6) обов’язкову реєстрацію баз персональних даних в Державному реєстрі баз персональних даних.
7) розробку, впровадження та забезпечення належного функціонування системи управління персональними даними;
8) підтримку вимог бізнесу процедурами захисту персональних даних у базах персональних даних;
9) реєстрацію інцидентів в системі управління персональними даними.
3.7. Перевірка відповідності системи управління персональними даними вимогам законодавства здійснюється у ході:
1) поточної перевірки ефективності системи управління персональними даними, що проводиться володільцем самостійно відповідно до затверджених ним процедур;
2) періодичної перевірки ефективності системи управління персональними даними, що здійснюється:
у формі внутрішньої оцінки системи управління персональними даними, що проводиться володільцем самостійно, але не рідше одного разу на рік;
другою стороною (іншим володільцем) при передачі ним персональних даних відповідно до цілей обробки персональних даних у порядку визначеному договором;
третьою стороною (незалежною організацією) на добровільних засадах у порядку визначеному договором між володільцем та юридичною особою, компетентність якої документально засвідчена національним органом з акредитації у ході оцінки відповідності системи якості вимогам законодавства;
3) контролю за додержанням законодавства про захист персональних даних, що проводиться уповноваженим органом з питань захисту персональних даних відповідно до законодавства.
3.8. У ході перевірки третьою стороною відповідності системи управління персональними даними вимогам законодавства здійснюється оцінка управлінських рішень володільця у сфері захисту персональних даних, відповідності технологічних рішень, прийнятих володільцем з метою виконання вимог стандартів та законодавства України про захист персональних даних.
3.9. Звіти за результатами перевірок третьою стороною повинні містити інформацію про будь-які порушення управлінських рішень володільця у сфері захисту персональних даних та встановлених процедур, а також порушення технологічних вимог до захисту персональних даних та законодавства України про захист персональних даних та зберігатися для врахування та аналізу.
3.10. Володілець зобов’язаний вживати заходів з удосконалення системи управління персональними даними у базах персональних даних шляхом застосування превентивних і коригувальних дій.
Усі пропоновані зміни та/або поліпшення повинні бути оцінені з метою удосконалення задокументованих управлінських рішень володільця у сфері захисту персональних даних.
3.11. Зміни, що випливають з превентивних та коригувальних дій повинні бути належним чином документовані і збережені.
3.12. Володілець вживає превентивних дій для захисту забезпечення належного функціонування системи управління персональними даними у базах персональних даних шляхом:
– виявлення невідповідностей та їхніх причин;
– визначення ризиків;
– визначення та виконання необхідних превентивних заходів.
3.13. У разі виявлення потенційних невідповідностей у системі управління персональними даними повинна бути створена процедура для розгляду кожної невідповідності і на основі оцінки ризиків для:
– усунення причин невідповідності;
– зниження рівня невідповідності.
Оцінка ризиків проводиться на регулярній основі для визначення чи змінилася ситуація і чи виправлені невідповідності.
3.14. Планування, впровадження, забезпечення поточного функціонування оцінки та удосконалення системи управління персональними даними розпорядником здійснюється відповідно до договору з володільцем баз персональних даних з урахуванням цього Порядку.
Додаток 1
Реєстраційний номер заяви у ДРБПД* _____________________
Реєстраційний номер
бази персональних даних у ДРБПД* _____________________
* дані зазначаються у разі, якщо база персональних даних вже зареєстрована в ДРБПД
Інформаційна картка бази персональних даних
1. Відомості про БПД
Найменування бази персональних даних
__________________________________________________________________________________________________________________________________________________________
Місцезнаходження бази персональних даних
Розташована в одному місці
Існує декілька місць розташування (вказати скільки саме цифрою та прописом)*______
Країна Індекс Область Район
Місто Вулиця Будинок
*для зазначення інших місць розташування заповнюється додаток 1
2. Відомості про володільця БПД
Найменування володільця
__________________________________________________________________________________________________________________________________________________________
Код ЄДРПОУ
Адреса:
Країна Індекс Область Район
Місто Вулиця Будинок
3. Відомості про розпорядників БПД
Розпорядники відсутні (при обранні цього значення інші дані розділу не заповняються)
Існує один розпорядник
Існує декілька розпорядників (вказати скільки цифрою і прописом)*_________________
*для зазначення інших розпорядників заповнюється додаток 2
Тип суб’єкта Статус особи
Юридична особа Резидент Громадянин України Особа без
Фізична особа Нерезидент Іноземець громадянства
Організаційно-правова форма
Орган державної влади Державне підприємство/Комунальне підприємство
Орган місцевого самоврядування Підприємство/Організація
Найменування /ПІБ
__________________________________________________________________________________________________________________________________________________________
Код ЄДРПОУ/РНОКПП
Серія та номер паспорта
Орган, що видав паспорт та дата його видачі
__________________________________________________________________________________________________________________________________________________________
Місце знаходження/місце проживання
Країна Індекс Область Район
Місто Вулиця Будинок корпус квартира
Дані про відповідальну особу
ПІБ | |
Посада | |
Контактний телефон | |
Інша інформація |
4. Відомості про мету обробки персональних даних
Обробка даних проводиться з метою забезпечення реалізації:
трудових відносин;
адміністративно-правових;
податкових відносин та відносин у сфері бухгалтерського обліку та аудиту;
відносин у сфері управління людськими ресурсами;
відносин у сфері економічних, фінансових послуг;
відносин у сфері реклами;
відносин у сфері телекомунікаційних послуг;
відносин у сфері громадської, політичної та релігійної діяльності;
відносин у сфері культури, дозвілля, спортивної та соціальної діяльності;
відносин у сфері освіти;
відносин у сфері охорони здоров’я;
відносин у сфері безпеки;
відносин у сфері транспорту;
відносин у сфері науки, історичних досліджень та статистики;
інших відносин, що вимагають обробки персональних даних (зазначити, яких саме):___
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
5. Правові підстави обробки персональних даних:
Необхідно зазначити (із написанням документарного підтвердження виникнення такої правової підстави/назви нормативно-правового акту):
Згода суб’єкта персональних даних на обробку його персональних даних людини | |
На підставі однозначної згоди суб’єкта персональних даних на обробку даних щодо яких законом встановлені особливі вимоги обробки | |
Відповідно до правовідносин, які виникли до набрання чинності Закону України «Про захист персональних даних», на основі вільного волевиявлення фізичної особи | |
З метою захисту життєво важливих інтересів суб’єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим | |
Відповідно до Закону України «Про захист персональних даних», і виключно в інтересах національної безпеки, економічного добробуту та прав людини |
6. Форма надання згоди на обробку персональних даних суб’єктами персональних даних
документ на електронний документ з реквізитами відмітка на електронній сторінці
паперовому носії документ на будь-якому іншому носії документу чи електронному файлі
7. Спосіб ведення бази персональних даних
в електронній формі у формі картотек змішаний інший*
*Опис способу ведення БПД якщо обраний «інший»
______________________________________________________________________________________________________________________________________________________________
8. Джерела отримання персональних даних
із загальнодоступних джерел
від суб’єкта персональних даних
з іншої бази персональних даних відповідно до закону
9. Період зберігання даних у базі персональних даних
до 3 років
до 10 років
до 70 років
більше 70 років
довічне зберігання
інший період часу (зазначити, скільки саме):_______________________________________
Правові підстави для зберігання даних у базі персональних даних зазначений період часу:
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
10. Суб’єкти, стосовно яких здійснюється обробка персональних даних
громадяни батьки
паспортні дані суб’єкти відносин у сфері страхування
посадові особи суб’єкти фінансових відносин
платники податків та зборів суб’єкти відносин у сфері реклами (рекламодавці клієнти рекламовиробники, розповсюджувачі, споживачі)
покупці члени політичних партій/громадських/релігійних
споживачі організацій
абоненти вихованці закладів освіти
пацієнти інші суб’єкти персональних даних (зазначити які саме)
пасажири
11. Персональні дані, що обробляються
ідентифікаційні дані (ім.»я, адреса, телефон тощо) життєві інтереси та захоплення
паспорті наді споживчі звички
особисті відомості (вік, стать, сімейний стан тощо) фінансова інформація
склад сім»ї електронні ідентифікаційні дані (трафік, ІР-адреса)
освіта електронні дані про локалізацію (GSM GPS)
професія запис зображень (фото, відео)
біометричні дані (зріст, вага, особливі прикмети) звукозапис
психологічні дані (особистість, характер тощо) інші персональні дані (зазначити)
житлові умови
спосіб життя
______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
12. Персональні дані, що обробляються з особливими вимогами до їх обробки
расова приналежність
політичні погляди
релігійні переконання
світоглядні переконання
членство в політичних партіях та професійних спілках
стан статевого життя
стан здоров’я
13.Відомості про поширення персональних даних
Чи здійснюється передача даних третім особам в межах України?
Не здійснюється Здійснюється
(при обробці цього значення інші поля розділу 8 не заповнюються)
Перелік організацій, в які передаються дані бази персональних даних в межах України (ст.14 ЗУ «Про захист персональних даних»):
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
14. Відомості щодо транскордонної передачі даних
Чи здійснюється транскордонна передача баз персональних даних іноземним суб’єктам відносин?
Не здійснюється ( при обранні цього значення інші розділи 9 не заповнюються)
Здійснюється одному іноземному суб’єкту
Здійснюється кільком іноземним суб’єктам (вказати скільки саме цифрою та прописом)
Назва держави в яку передаються персональні дані
__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Правові підстави та цілі передачі даних за кордон
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Назва та фактична адреса суб’єкта відносин, якому здійснюється передача персональних даних
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Опис здійснених заходів належного захисту персональних при їх передачі за кордон
______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
__________________________________________________________________________________________
Опис заходів, які, відповідно до договору з володільцем бази даних, вжито іноземних суб’єктом відносин щодо гарантій захисту
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
15. Інформація, що міститься у базі персональних даних за порядком доступу є:
відкритою службова
таємна
конфіденційна
16. Кількість користувачів, які одночасно користуються базою персональних даних
до 10 до 100 до 1 000 до 10 000 більше 10 000
17. Загальна кількість суб’єктів, щодо яких містяться дані в базі персональних даних
До 100 до 10 000 до 1 000 000
Більше 10 000 000
До 1 000 до 100 000 до 10 000 000
18. Наявність підключення системи ведення бази персональних даних до мережі зв’язку загального користування (Internet)
підключена не підключена
19. Чи впроваджена в організації система управління персональними даними?
впроваджена не впроваджена
20 Заходи щодо захисту персональних даних від незаконної обробки та незаконного доступу до них вжиті відповідно до:
нормативних документів системи технічного захисту інформації
державних стандартів України
стандартів Національного банку України
міжнародних та європейських стандартів
інші документи, заходи (вказати, які саме)
Основні заходи безпеки
Тип загроз персональним даним | Реалізовані заходи безпеки |
Ознака наявності |
Неавторизований доступ до персональних даних | управління доступом |
|
Незаконне ознайомлення | конфіденційність |
|
Модифікація або знищення персональних даних | цілісність |
|
Відмова у послугах чи у використанні даних відповідно до визначених цілей |
доступність |
|
Доступ до даних від імені підставної персони(спуфінг)/відмова від авторства доступу до персональних даних |
неспростовність |
|
Фальшива автентифікація | автентифікація |
|
Неавторизоване управління базою персональних даних |
управління безпекою |
|
Особа відповідальна за захист персональних даних в інформаційних системах або картотеках
ПІБ | |
Посада | |
Контактний телефон | |
Інша інформація |
21. Відомості стосовно проведення періодичних та поточних оцінок стану обробки персональних даних та систем захисту
Дата проведення оцінки | Мета оцінки (що саме оцінюється) |
Результати оцінки, висновки |
Посада, П.І.Б. особи відповідальної за БПД____________________________________________
__________________________________________________________________________________
Підпис________________________
Додаток 1
№ з/п______
Місцезнаходження бази персональних даних
Країна Індекс Область Район
Місто Вулиця Будинок
Контактний телефон/факс