Про затвердження Типового порядку обробки персональних даних у базах персональних даних
{Із змінами, внесеними згідно з Наказом Міністерства юстиції
№ 1466/5 від 22.07.2013}
Відповідно до частини десятої статті 6 Закону України "Про захист персональних даних" НАКАЗУЮ:
1. Затвердити Типовий порядок обробки персональних даних у базах персональних даних, що додається.
2. Департаменту взаємодії з органами влади (Зеркаль О.В.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03.10.92 № 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади" (із змінами).
3. Контроль за виконанням цього наказу залишаю за собою.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
ТИПОВИЙ ПОРЯДОК
обробки персональних даних у базах персональних даних
{У тексті Типового порядку слова "володілець бази персональних даних" та "розпорядник бази персональних даних" у всіх відмінках і числах замінено відповідно словами "володілець персональних даних" та "розпорядник персональних даних" у відповідних відмінках і числах згідно з Наказом Міністерства юстиції № 1466/5 від 22.07.2013}
1.1. Цей Типовий порядок розроблено на виконання вимог частини десятої статті 6 Закону України "Про захист персональних даних" (далі - Закон).
1.2. Цей Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками персональних даних.
1.3. Обробка персональних даних може здійснюватися повністю або частково із застосуванням автоматизованих засобів у складі інформаційної (автоматизованої) системи та/або у формі картотек із застосуванням неавтоматизованих засобів.
{Пункт 1.3 розділу I в редакції Наказу Міністерства юстиції № 1466/5 від 22.07.2013}
1.4. У цьому Типовому порядку терміни вживаються у такому значенні:
автентифікація - процедура встановлення належності працівникові володільця або розпорядника персональних даних пред'явленого ним ідентифікатора;
авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;
відповідальна особа - особа, на яку володільцем або розпорядником персональних даних відповідно до її службових, трудових, професійних обов'язків покладена організація роботи, пов'язаної із захистом персональних даних при їх обробці;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
структурний підрозділ - структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов'язків на підставі положення про нього здійснює організацію роботи, пов'язаної із захистом персональних даних при їх обробці.
Інші терміни у цьому Типовому порядку вживаються у значеннях, наведених у Законі.
1.5. Захист персональних даних покладається на володільця персональних даних.
Розпорядник персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з володільцем персональних даних договору у письмовій формі з метою і в обсязі, визначеними в договорі.
На дії володільця та/або розпорядника персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
1.6. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
У момент збору персональних даних або у випадках, передбачених законом, протягом десяти робочих днів з дня збору персональних даних суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені Законом України «Про захист персональних даних», мету збору персональних даних та осіб, яким передаються його персональні дані.
{Пункт 1.6 розділу I в редакції Наказу Міністерства юстиції № 1466/5 від 22.07.2013}
1.7. Володілець персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
1.8. Володілець персональних даних визначає:
мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
відповідальну особу або структурний підрозділ;
порядок захисту персональних даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
{Абзац п'ятий пункту 1.8 розділу I в редакції Наказу Міністерства юстиції № 1466/5 від 22.07.2013}
1.9. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
забезпечує ознайомлення працівників володільця та розпорядника персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
забезпечує організацію обробки персональних даних працівниками володільця та розпорядника персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
забезпечує доступ суб'єктів персональних даних до власних персональних даних;
інформує керівника володільця та розпорядника персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує керівника володільця та розпорядника персональних даних про порушення встановлених процедур з обробки персональних даних.
1.10. Володілець персональних даних веде облік:
фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
1.11. Володілець персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов'язків.
1.12. Видалення або знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
{Пункт 1.12 розділу I в редакції Наказу Міністерства юстиції № 1466/5 від 22.07.2013}
II. Обробка персональних даних в складі інформаційної (автоматизованої) системи
2.1. Володілець та/або розпорядник персональних даних забезпечує захист персональних даних, які обробляються в складі інформаційної (автоматизованої) системи.
{Пункт 2.1 розділу II в редакції Наказу Міністерства юстиції № 1466/5 від 22.07.2013}
2.2. Обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
2.3. Працівники володільця персональних даних допускаються до обробки персональних даних лише після їх авторизації.
2.4. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, повинен блокуватись.
2.5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
результатів ідентифікації та/або автентифікації працівників володільця персональних даних;
дій з обробки персональних даних;
факту встановлення ознаки "Підтвердження надання згоди на обробку персональних даних у базі персональних даних" за допомогою управляючих елементів веб-ресурсів володільця або розпорядника персональних даних, інтерфейсів користувача програмного забезпечення;
результатів перевірки цілісності засобів захисту персональних даних.
Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб'єктам відносин, пов'язаним із персональними даними.
2.6. Володілець та/або розпорядник персональних даних забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
{Пункт 2.6 розділу II із змінами, внесеними згідно з Наказом Міністерства юстиції № 1466/5 від 22.07.2013}
2.7. Володілець та/або розпорядник персональних даних забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.
{Пункт 2.7 розділу II із змінами, внесеними згідно з Наказом Міністерства юстиції № 1466/5 від 22.07.2013}
III. Обробка персональних даних у формі картотек
3.1. Володілець та/або розпорядник персональних даних здійснює обробку персональних даних у картотеках у порядку, визначеному Законом та розділом I цього Типового порядку, з урахуванням таких вимог:
документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
{Пункт 3.1 розділу III із змінами, внесеними згідно з Наказом Міністерства юстиції№ 1466/5 від 22.07.2013}
3.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.