Порядок обробки і захисту персональних даних, володільцем яких є Калуський міськрайонний суд Івано-Франківської області

ЗАТВЕРДЖЕНО

Наказ голови Калуського міськрайонного суду Івано-Франківської області

11.08.2020 № 02-06.1/12

 

ПОРЯДОК

обробки і захисту персональних даних, володільцем яких є

Калуський міськрайонний суд Івано-Франківської області

 

1. Загальні положення

1.1. Порядок обробки і захисту персональних даних, володільцем яких є Калуський міськрайонний суд Івано-Франківської області (далі - Порядок) розроблено відповідно до вимог Закону України «Про захист персональних даних» (далі-Закон) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини 08.01.2014 №1/02-14 та з метою створення умов для забезпечення в Калуському міськрайонному суді Івано-Франківської області (далі–суд) захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

1.2. Цим Порядком визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

1.3. У цьому Порядку нижче наведені терміни вживаються в такому значенні:

база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець персональних даних –суд в особі голови суду, який визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди;

знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних – фізична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;

третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

1.4. Порядок є обов’язковим для виконання працівникам суду які мають доступ до персональних даних та обробляють персональні дані.

1.5. В суді обробка персональних даних здійснюється у наступних базах персональних даних:

- кадрового діловодства суду;

- судового діловодства суду.

       1.6. Обробка персональних даних в суді здійснюється відповідно до вимог законодавства України, насамперед Закону України «Про захист персональних даних» (далі – Закон), Закону України «Про інформацію», Закону України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 07.07.2010 №2438-VІ, Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини 08.01.2014 №1/02-14. 

2. Вимоги до обробки персональних даних

2.1. До персональних даних, які обробляються у базах даних суду належать:

-об’єктивні та суб’єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали оцінювання результатів службової діяльності державних службовців, опис особистих якостей фізичної особи, тощо);

- відомості, що містяться в первинних та інших джерелах про фізичну особу;

- відомості в алфавітно-цифровому форматі, тощо;

- відомості на паперових, електронних, магнітних та оптичних носіях, тощо;

- відомості, що стосуються фізичної особи безпосередньо (особова справа працівника, банківський рахунок, тощо);

- інші відомості, що стосуються фізичної особи безпосередньо або відповідно до яких особа може бути конкретно ідентифікована.

2.2. Персональні дані фізичних осіб обробляються у Базі персональних даних системи кадрового діловодства суду з метою забезпечення реалізації трудових, адміністративно-правових (управлінський) відносин, відносин у сфері управління людськими ресурсами, відносин, які виникають у зв’язку з поданням звітності у встановлені законодавством установи, а також здійснення бухгалтерського обліку, зокрема в частині оплати праці та інших, визначених законодавством платежів.

2.3 Персональні дані фізичних осіб обробляються у Базі персональних даних системи судового діловодства суду з метою забезпечення розгляду судових справ, а саме: надання фізичним та юридичним особам інформації про стан розгляду справ, учасникам процесу яких вони є, або у яких беруть участь; централізоване зберігання текстів вироків, рішень, постанов, ухвал та інших процесуальних документів; підготовку статистичних даних; реєстрацію вхідної і вихідної кореспонденції та етапів її руху; видачу вироків, рішень, ухвал, постанов суду та виконавчих листів на підставі наявних у системі даних; передачу справ до електронного архіву.

2.4. Виходячи з мети обробки персональних даних у базах персональних даних суду, склад персональних даних окремих баз є наступним:

- в Базі персональних даних системи кадрового діловодства суду: паспортні дані; ідентифікаційний номер; особисті відомості (вік, стать, сімейний стан, склад сім’ї, тощо); місце проживання фактичне та за державною реєстрацією; освіта, професія, спеціальність, кваліфікація; відомості про військовий облік; дані, що стосуються стану здоров’я в межах, встановлених законодавством про працю; дані, що підтверджують право працівника на пільги, встановлені законодавством про працю; житлові умови; електронні дані (номер телефону, електронної адреси тощо); фотографія; притягнення до кримінальної чи адміністративної відповідальності; відомості, що стосуються оплати праці тощо;

- в Базі персональних даних системи судового діловодства суду: паспортні дані; особисті відомості (вік, стать, родинний стан, склад сім’ї, тощо); місце проживання фактичне та за державною реєстрацією; освіта; рід занять; відомості про військовий облік; відомості, пов’язані з участю у судовому розгляді справ та матеріалів, тощо.

2.5. Обробка персональних даних в суді здійснюється:

- працівниками служби управління персоналом в Базі персональних даних системи кадрового діловодства суду;

 - суддями суду та працівниками апарату суду, які беруть безпосередньо участь у процесах ведення загального діловодства в Базі персональних даних системи судового діловодства суду.

2.6. Обробка персональних даних здійснюється лише за згодою суб’єкта персональних даних (Додаток 1), за винятком тих випадків, коли така згода не вимагається Законом.

Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.

2.7. Володілець персональних даних, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані (Додаток 2):

- в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

- в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

2.8. Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації (Додаток 3) протягом усього періоду обробки персональних даних.

2.9. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.

2.10. Отримані від працівників суду згода на збір та обробку персональних даних (згідно додатку 1) та інформацію (згідно додатку 3) підшиваються в його особову справу.

2.11. Відповідальними за збереження інформації про персональні дані фізичних осіб є:

- служба управління персоналом – за інформацію на паперових носіях (в особових справах працівників, особових картках працівників, наказах про прийняття на роботу, переведення, звільнення з роботи, звітах, тощо), а також за інформацію, розміщену в автоматизованій системі документообігу суду, інформаційно-аналітичній системі «Кадри – WEB;

- судді суду, присяжні та працівники апарату суду, які беруть безпосередню участь у процесах ведення загального діловодства – за інформацію на паперових носіях (в документах, що створюються під час розгляду справ та матеріалів, документах первинного обліку, тощо), а також в електронних базах даних автоматизованих систем документообігу суду.

2.12. У разі зміни змісту чи обсягу персональних даних, відображених у базах персональних даних, суб’єк персональних даних зобов’язаний у найкоротший термін подати у службу управління персоналом письмову заяву з проханням внести відповідні зміни до бази персональних даних та надати оригінали та копії відповідних документів для внесення нових його особистих даних до баз персональних даних.

2.13. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

2.14. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

2.15. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання.

Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно володілець припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.

Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.

У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.

2.16. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.

2.17. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

2.18. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16-17 Закону.

2.19. Володілець повідомляє суб’єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону.

 

3. Захист персональних даних

3.1. Наказом голови суду визначається перелік працівників суду, які мають право здійснювати обробку персональних даних, вносити відповідні зміни та доповнення в них, використовувати їх з метою реалізації діяльності суду.

3.2. Працівники суду допускаються до обробки персональних даних в автоматизованій системі документообігу суду лише після їх ідентифікації (логін, пароль).

3.3. Керівники структурних підрозділів суду та відповідальна особа, що організовує роботу пов’язану із захистом персональних даних забезпечують захист персональних даних на паперових носіях від несанкціонованого доступу.

3.4. Володілець веде облік працівників, які мають доступ до персональних даних суб’єктів (Додаток 4). Володілець визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.

3.5. Усі інші працівники мають право на повну інформацію лише стосовно власних персональних даних.

3.6. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних (Додаток 5), які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

3.7. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

3.8. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

3.9. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

3.10. Володілець/розпорядник веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою володільцем/розпорядником зберігається інформація про:

- дату, час та джерело збирання персональних даних суб’єкта;

- зміну персональних даних;

- дату та час видалення або знищення персональних даних.

Володілець/розпорядник персональних даних самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних суб’єкта та доступом до них. У випадку обробки персональних даних суб’єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію.

3.11. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.

3.12. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

3.13. Наказом голови суду визначається відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

3.14. Інформація про відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, повідомляється Уповноваженому Верховної Ради України з прав людини відповідно до Закону.

3.15. Відповідальна особа виконує такі завдання:

- інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;

- взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

3.16. З метою виконання вказаних завдань відповідальна особа:

- забезпечує реалізацію прав суб’єктів персональних даних;

- користується доступом до будь-яких даних, які обробляються володільцем/розпорядником та до всіх приміщень володільця/розпорядника, де здійснюється така обробка;

- у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника володільця/розпорядника з метою вжиття необхідних заходів;

- аналізує загрози безпеці персональних даних.

3.17. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.

3.18. Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

3.19. Взаємодія з Уповноваженим Верховної Ради України з прав людини здійснюється в порядку, визначеному Законом та Законом України «Про Уповноваженого Верховної Ради України з прав людини».

 

Додаток 4

 

ЖУРНАЛ (РЕЄСТР)

обліку працівників, які мають доступ до персональних даних

№ з/п	Прізвище, ім’я, по батькові	Посада	Дата надання права доступу до персональних даних та їх обробки	Дата позбавлення права доступу до персональних даних та їх обробки	Причини позбавлення права доступу до персональних даних та їх обробки (звільнення, переведення на посаду, обов’язки за якою не пов’язані з обробкою персональних даних)
1	2	3	4	5	6

 

Додаток 1

 

 

Згода

на збір та обробку персональних даних

 

            Я,________________________________________________________________,

(народився/лася «___»_________19___ року, паспорт серія _____№____________), шляхом підписання цього тексту, відповідно до Закону України «Про захист персональних даних» від 01 червня 2010 року №2297-VI, надаю згоду Калуському міськрайонному  суду Івано-Франківської області на обробку моїх особистих персональних даних у картотеках та/або за допомогою інформаційно-телекомунікаційної системи бази персональних даних працівників суду Калуського міськрайонного суду Івано-Франківської області, з метою ведення кадрового діловодства, підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітності з питань персоналу, подання її у встановлені законодавством органи, внутрішніх документів суду з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту, а також здійснення бухгалтерського обліку, зокрема в частині оплати праці та інших визначених законодавством платежів.

            Зобов’язуюсь при зміні моїх персональних даних надавати у найкоротший термін службі управління персоналом Калуського міськрайонного суду Івано-Франківської області уточнену інформацію та подавати оригінали відповідних документів для внесення моїх нових особистих даних до бази персональних даних працівників Калуського міськрайонного суду Івано-Франківської області.

.

«___»___________20___року,__________________(_________________________________)

   (дата)                                    підпис                           (Ініціали та прізвище)

 

 

Особу та підпис ______________________________________________________________,

(Прізвище, ім’я та по батькові працівника)

достовірність заповнення інформації, зазначеної у згоді на збір та обробку персональних даних, перевірено.

Відповідальна особа:

_____________________________________________________________________________

(Посада)

___________________________________ (_________________________________________)

                         (Підпис)                                                         (  Ініціали та прізвище)

М. П.

 

 

 

Додаток 2

 

 

(Прізвище, ім’я та по батькові працівника)

Повідомляємо, що надані Вами відомості включені до Бази персональних даних системи кадрового діловодства Калуського міськрайонного суду Івано-Франківської з метою ведення кадрового діловодства, підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітності з питань персоналу, подання її у встановлені законодавством органи, внутрішніх документів суду з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту, а також здійснення бухгалтерського обліку, зокрема в частині оплати праці та інших визначених законодавством платежів.

 

Відповідно до ст.8 Закону України «Про захист персональних даних» Ви маєте право:

 

1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) відкликати згоду на обробку персональних даних;

12) знати механізм автоматичної обробки персональних даних;

13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

 

 

Додаток 3

 

 

Я,_________________________________________________________________________

посвідчую, що отримав(ла) повідомлення про включення інформації про мене до баз персональних даних з метою ведення кадрового діловодства, підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітності з питань персоналу, подання її у встановлені законодавством органи, внутрішніх документів суду з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту, а також здійснення бухгалтерського обліку, зокрема в частині оплати праці та інших визначених законодавством платежів.

«___» _____________ 20___року  __________________ (___________________________)

    (Дата)                                            (Підпис)                     (Ініціали та прізвище)

 

 

 

 

Додаток 5

                           

Калуському міськрайонному суду                        Івано-Франківської області

______________________________

__________________________________________________________________________________________посада, П.І.П. працівника

 

ЗОБОВ’ЯЗАННЯ

про нерозголошення персональних даних

 

            Відповідно до статті 10 Закону України «Про захист персональних даних» від 01.06.2010 №2297-VІ зобов’язуюсь не розголошувати в будь-який спосіб персональні дані, які мені довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених законом.

            Це зобов’язання залишається чинним після припинення мною діяльності, пов’язаної з обробкою персональних даних у Калуському міськрайонному суді Івано-Франківської області, крім випадків, установлених законом.

            Мене поінформовано про відповідальність за порушення законодавства про захист персональних даних.

 

 

«___»___________20___року                                                 ___________________

            (Дата)                                                                                                  (Підпис)