Logo
Версія для друку
Рекомендації щодо ведення документації з захисту персональних даних
Рекомендації щодо ведення документації з захисту персональних даних

Приймаючи людину на роботу, отримуючи данні про громадян, які передають благодійну допомогу чи кошти, керівники громадських організацій мають пам'ятати про вимоги Закону України «Про захист персональних даних». Як правильно здійснювати захист персональних даних, які права мають громадяни щодо захисту інформації про себе, та як вести відповідну документацію, консультують фахівці Павлоградського міського благодійного фонду «ГОРЄНІЄ».

 

Діючим законодавством України передбачено обов’язок підприємств усіх форм власності (це стосується громадських об’єднань у тому числі) здійснювати захист персональних даних фізичних осіб, які обробляються чи використовуються в інший спосіб.

Відповідно до ст. 2 Закону України «Про захист персональних даних» - персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Тобто, якщо ви працевлаштовуєте особу, ви отримуєте її персональні дані – прізвище, ім’я та по-батькові, адресу, паспортні дані, відомості про навчання, військовий обов’язок тощо. Або ведете реєстр отримувачів благодійної допомоги, в якому зазначаєте перелік конкретних осіб, які отримали таку допомогу. Ці відомості дозволяють ідентифікувати особу, та є персональними даними.

Відповідно до норм Закону України «Про захист персональних даних», контроль за додержанням законодавства про захист персональних даних здійснюється Уповноваженим Верховної Ради з прав людини у сфері захисту персональних даних та судами.

Статтею 11 Закону України «Про захист персональних даних» визначено підстави для обробки персональних даних:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;

Враховуючі вищевикладене, для належного отримання, використання та захисту персональних даних, організації необхідно отримати згоду суб’єкта персональних даних на опрацювання таких даних. Після отримання згоди, персональні дані обліковуються у відповідних картотеках та використовуються за призначенням. Суб’єкт персональних даних може відкликати свою згоду на обробку персональних даних. Інші права суб’єкта персональних даних визначені в ст.. 8 Закону України «Про захист персональних даних». До таких прав зокрема належить право суб’єкта знати про місцезнаходження даних, мету їх обробки, право отримувати інформацію про третіх осіб, яким передавались персональні дані, право на доступ до своїх персональних даних, право на внесення застережень щодо обробки персональних даних тощо.

Доступ третіх осіб до персональних даних можливий лише у випадках надання на це згоди суб’єкта персональних даних, або у випадках, передбачених законом.

Персональні дані знищуються у разі:

1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;

2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;

3) видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;

4) набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

Для забезпечення належного обліку та захисту персональних даних треба:

По-перше, підготувати та видати наказ по організації щодо визначення відповідальних осіб за захист персональних даних фізичних осіб;

По-друге, розробити та затвердити Положення, яке регулюватиме діяльність організації із обробки та захисту персональних даних;

По-третє, отримати письмову згоду та осіб, персональні дані яких обробляє організація на обробку таких даних та письмово повідомити таких осіб про їх права, як суб’єктів персональних даних.

По-четверте, в разі обробки персональних даних, які становить особливий ризик для прав і свобод суб’єктів персональних даних в 30 денний термін з початку такої обробки повідомити Уповноваженого Верховної Ради з прав людини в сфері захисту персональних даних за встановленою формою. До відомостей, які становлять особливий ризик для прав і свобод суб’єктів персональних даних зокрема відносяться - відомості про расове, етнічне та національне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості, стан здоров’я, статеве життя, біометричні дані, генетичні дані, місцеперебування та або шляхи пересування особи, факт притягнення до адміністративної чи кримінальної відповідальності, застосування щодо особи заходів в рамках досудового розслідування та заходів, передбачених Законом України «Про оперативно-розшукову діяльність», вчинення щодо особи тих чи інших видів насильства тощо. Наприклад, якщо ви ведете реєстр отримувачів благодійної допомоги, які мають позитивний ВІЛ-статус, вам необхідно повідомити Уповноваженого Верховної Ради з прав людини в сфері захисту персональних даних, направивши повідомлення за встановленою формою, так як отримання та зберігання даних, які містять медичну інформацію, яка становить особливий ризик для прав та свобод суб’єктів персональних даних.

Дотримання норм діючого законодавства убезпечить громадську організацію від неприємностей в майбутньому.

У додатках зразки документів, які необхідні за для виконання положень Закону “Про захист персональних даних”:

  1. згода на збір та обробку персональних даних;
  2. Положення про персональні дані;
  3. зразок наказу про персональні дані;
  4. заява про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних;
  5. заява про зміну відомостей щодо обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних;
  6. заява про припинення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних;
  7. заява про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці;
Template Design © Joomla Templates | GavickPro. All rights reserved.