Витяг з Положення про захист персональних даних
ПрАТ «ФК «СУЧАСНІ КРЕДИТНІ ТЕХНОЛОГІЇ»,
затвердженого наказом Директора від 11.10.2011 р. № 17-о
|
4.1. Обробка (у т. ч. збирання) персональних даних провадиться на підставі письмової згоди суб’єкта персональних даних.
4.2. До безпосереднього отримання згоди суб'єкта персональних даних, відповідальними працівниками Товариства за обробку і захист персональних даних у відповідних базах персональних даних Товариства, проводиться особисте роз’яснення суб'єктам персональних даних підстав для обробки їх персональних даних відповідно до Закону № 2297, та повідомляється мета обробки персональних даних.
4.3. Згода суб'єкта персональних даних має бути документованим, зокрема письмовим, добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
4.4. Згода суб’єкта персональних даних має бути надана шляхом підписання суб’єктом персональних даних «Згоди суб’єкта персональних даних на обробку його персональних даних» (далі – Згода) .... та/або шляхом підписання договору про надання відповідних послуг Товариством (надалі - Договір), що свідчить про те, що суб’єкт персональних даних надає згоду на обробку його персональних даних .....
.....
4.7. Після отримання Згоди персональні дані вносяться до Автоматизованої системи та картотек персональних даних Товариства.
.....
4.9. У разі виявлення факту внесення до баз персональних даних Товариства відомостей про фізичних осіб, які не відповідають дійсності, на підставі отриманого вмотивованого письмового звернення суб’єкта таких персональних даних, ці відомості мають бути невідкладно виправлені або знищені.
4.10. Повідомлення суб’єкта персональних даних про включення його персональних даних до бази персональних даних Товариства, права, визначені Законом № 2297, мету збору даних та осіб, яким передаються його персональні дані здійснюється під час підписання Згоди та/або Договору після надання суб’єктом персональних даних Згоди та/або підписання Договору, але не пізніше ніж протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних Товариства та оформлюється шляхом отримання підпису суб’єкта персональних даних на «Повідомленні про включення персональних даних до Бази персональних даних Товариства, про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, та осіб, яким передаються дані» (далі - Повідомлення) або шляхом підписання Договору .....
.....
4.12. Отримані від суб’єктів персональних даних Згоди, Повідомлення та/або Договори реєструються в «Журналі реєстрації документів з питань обробки персональних даних», формуються в окрему справу «Документи з питань обробки персональних даних». «Журнал реєстрації документів з питань обробки персональних даних» ведеться в електронному вигляді.
4.13. Використання персональних даних працівниками Товариства.
4.13.1. Під використанням персональних даних згідно Закону № 2297 розуміються будь-які дії Товариства щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.
4.13.2. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя (особливі категорії даних) забороняється. Відомості про особисте життя не можуть використовуватися як чинник, що підтверджує чи спростовує його ділові якості.
4.13.3. Доступ до персональних даних, внесених до Автоматизованої системи та картотек персональних даних, мають працівники, а також директор Товариства відповідно до посадових обов’язків, в обсязі, необхідному для виконання таких обов’язків.
4.13.4. Працівники та директор Товариства, які працюють з персональними даними, зазначені у пункті 4.13.3, дають письмове «Зобов’язання про нерозголошення персональних даних» (далі – Зобов’язання), які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов’язків….
.....
4.13.6. Зобов’язання реєструються у «Журналі реєстрації документів з питань обробки персональних даних».
4.13.7. За «Журналом реєстрації документів з питань обробки персональних даних» ведеться облік фактів надання та позбавлення працівників Товариства права доступу до персональних даних та їх обробки.
4.13.8. Датою надання права доступу до персональних даних вважається дата надання Зобов’язання.
4.13.9. Датою позбавлення права доступу до персональних даних, на підставі відповідного наказу директора Товариства, вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.
4.13.10. Після реєстрації Зобов’язання формуються в окрему справу «Документи з питань обробки персональних даних».
4.13.11. Справи «Документи з питань обробки персональних даних» включаються до номенклатури справ Товариства.
4.13.12. Відповідальним за забезпечення збереженості справ та реєстраційних форм, зазначених у пункті 4.13.11, є директор Товариства.
.....
7. Захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків, строк зберігання персональних даних.
7.1. Захист персональних даних при їх обробці.
7.1.1. Захист персональних даних в Автоматизованій системі.
7.1.1.1. Товариство обладнано системними і програмно-технічними засобами та засобами зв'язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню інформації і відповідають вимогам міжнародних та національних стандартів.
7.1.1.2. Функціонування системних, програмно-технічних засобів та засобів зв'язку забезпечує дублювання роботи всіх систем та елементів для забезпечення збереження інформації та забезпечення неможливості її знищення з будь-яких обставин засобами, передбаченими Товариством.
7.1.1.3. Програмний продукт, що використовується Товариством в процесі обробки персональних даних, для досягнення мети їх обробки має вбудовані механізми захисту інформації від несанкціонованого доступу для забезпечення ідентифікації та автентифікації користувачів, цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом, та/або має змогу використовувати зазначені механізми захисту системного програмного забезпечення, а також можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується.
7.1.1.4.Право доступу до Автоматизованої системи надається працівникам Товариства, в посадових інструкціях яких передбачено функції з обробки даних в Автоматизованій системі та які надали письмове Зобов’язання.
7.1.1.5. Працівники Товариства допускаються до обробки персональних даних в Автоматизованій системі лише після їх ідентифікації (логін, пароль).
7.1.1.6. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.
7.1.1.7. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи.
Для профілактики інцидентів, пов’язаних з ненавмисними діями відповідальних осіб, що можуть призвести до розголошення (втрати) персональних даних, володільцю бази персональних даних рекомендовано визначити порядок захисту персональних даних під час їхньої обробки в інформаційних (автоматизованих) системах, що має містити заходи щодо:
- планової та позапланової заміни паролю відповідальної особи;
- періодичності та порядку резервного копіювання даних;
- визначення дій відповідальних осіб при виявленні вірусної небезпеки та періодичність оновлення антивірусних баз.
7.1.1.8. При переведення на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в Автоматизованій системі, його ідентифікаційні дані (логін, пароль) вилучаються з системи.
7.1.2. Захист персональних даних у формі картотек.
7.1.2.1. Відповідальні особи, визначені наказом директора Товариства, та працівники, яким надано право доступу до персональних даних, забезпечують захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.
7.1.2.2. До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції та які надали письмове Зобов’язання.
7.1.2.3. Двері у приміщення, де зберігаються картотеки персональних даних, обладнуються замками.
7.1.2.4. Картотеки зберігаються у шафах або сейфах, обладнаних замками та/або іншими засобами контролю доступу.
7.1.2.5. Документи, що містять персональні дані, формуються у справи залежно від конкретних складових мети обробки персональних даних та функцій і завдань відповідальних структурних підрозділів. Документ, в якому містяться персональні дані, повинен бути складений таким чином, щоб кожен із суб'єктів персональних даних, чиї дані містяться в документі, мав можливість ознайомитися зі своїми персональними даними, не маючи доступу до персональних даних інших осіб.
7.1.2.6. Справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням конкретних складових мети обробки та категорій персональних даних.
7.2. Відповідальна особа організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до чинного законодавства.
Відповідальна особа визначається наказом директора Товариства.
Обов’язки відповідальної особи щодо організації роботи, пов'язаної із захистом персональних даних при їх обробці, зазначаються у посадовій інструкції.
Відповідальна особа відповідно до покладених завдань:
• забезпечує ознайомлення працівників Товариства з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
• забезпечує організацію обробки персональних даних працівниками Товариства відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
• організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
• забезпечує доступ суб'єктів персональних даних до власних персональних даних;
• інформує директора Товариства про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до чинного законодавства;
• одержує від працівників Товариства незалежно від займаних ним посад пояснення з питань здійснення обробки персональних даних;
• інформує директора Товариства про порушення встановлених процедур з обробки персональних даних.
7.3. Відповідальна особа зобов’язана:
• знати законодавство України в сфері захисту персональних даних;
• протягом двох робочих днів, після надання суб’єктом персональних даних Згоди та/або підписання Договору, здійснити включення його персональних даних до відповідних баз персональних даних Товариства;
.....
• забезпечити ознайомлення працівниками Товариства та виконання ними вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Товариства щодо обробки і захисту персональних даних у базах персональних даних;
• повідомляти керівництво Товариства про факти порушень працівниками Товариства вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Товариства щодо обробки і захисту персональних даних у базах персональних даних, у термін не пізніше одного робочого дня з моменту виявлення таких порушень;
• забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних Згоди, Повідомлення та/або Договору вказаного суб’єкта про його права.
7.4. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків, зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Товариства щодо обробки і захисту персональних даних у базах персональних даних.
Персональні дані, що містяться в базах персональних даних Товариства, в межах Товариства передаються від одного структурного підрозділу до іншого лише тими працівниками цих підрозділів, які в установленому порядку мають право доступу до відповідних даних, з відміткою факту передачі на копії відповідного документу, що залишається в особи, яка передала ці дані. Зокрема, на копії документа, що містить інформацію про персональні дані, особа, яка отримала цей документ чи його копію, робить напис такого змісту:
«Отримав (ла) __________________ _________ ____________________________________
                                 
(назва посади та структурного підрозділу) (підпис) (прізвище та ініціали)
«_____» ___________________ 20____ року»
7.5. Працівники, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку, зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне і після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законодавством.
7.6. Особи, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку, у разі порушення ними вимог Закону № 2297 несуть відповідальність згідно законодавства України.
7.7. Працівники Товариства, які обробляють персональні дані зобов’язані:
7.7.1. Запобігати втраті персональних даних або їх неправомірному використанню;
7.7.2. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, встановлених чинним законодавством;
7.7.3. Терміново повідомляти відповідальну особу у разі:
– втрати або неумисного знищення носіїв інформації з персональними даними;
– втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
– якщо ідентифікаційні дані для входу в систему 1С стали відомі іншим особам;
– виявлення спроби несанкціонованого доступу до персональних даних.
7.7.4. При звільненні з роботи або переведенні на іншу посаду своєчасно передати іншому працівнику, визначеному директором Товариства, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
7.8. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, з якою такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного законодавством України.
7.9. Відповідальна особа, періодично, але не рідше одного разу на рік, вживає необхідних організаційних та технічних заходів з метою забезпечення дотримання процедури обробки персональних даних відповідно до вимог законодавства, належного рівня захисту персональних даних від несанкціонованого та незаконного доступу інших осіб. Зокрема такими заходами мають бути:
— оцінка поточних процесів та процедур обробки персональних даних;
— оцінка відповідності застосовуваних способів обробки персональних даних встановленій меті їх обробки;
— оцінка адекватності, не надлишковості, відповідності оброблюваних персональних даних встановленій меті їх обробки;
— оцінка точності, достовірності та процесів оновлення, у разі необхідності, персональних даних, що обробляються;
— оцінка термінів зберігання персональних даних, визначення наявності чи відсутності даних, які зберігаються довше, ніж це необхідно;
— забезпечення захисту персональних даних у відповідних базах персональних даних Товариства від незаконної їх обробки, а також від незаконного доступу до них;
— перевірка наявності законних підстав для доступу до персональних даних третіх осіб та для передачі персональних даних третім особам.
За результатами вжитих заходів відповідальна особа відповідно до наданих повноважень та компетенції вчиняє адекватні дії, спрямовані на забезпечення дотримання вимог законодавства України з питань захисту персональних даних та цього Порядку при обробці персональних даних, належного рівня захисту персональних даних від несанкціонованого та незаконного доступу інших осіб, та у разі потреби щороку до 1 червня вносять директору Товариства пропозиції щодо поліпшення стану роботи з обробки та захисту персональних даних.
7.10. Зберігання та знищення персональних даних.
7.10.1. Персональні дані зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.
7.10.2. Відбір документів з персональними даними, терміни зберігання яких закінчилися, для знищення провадиться експертною комісією, склад якої визначається наказом директора Товариства.
7.10.3. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
7.11. Облік порушень режиму захисту персональних даних.
7.11.1. Факти порушень режиму захисту персональних даних фіксуються актами, які складає відповідальна особа.
7.11.2. За необхідності за фактами порушень режиму захисту персональних даних директором Товариства призначається службове розслідування.
7.11.3. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.».
.....
|
|