ПОЛОЖЕННЯ ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Положення про обробку та захист персональних даних у базах персональних даних, власником яких є Виконавець

Загальні поняття

Київ, 12 червня 2022 р.

База персональних даних – іменована сукупність упорядкованих персональних даних в електронному форматі та/або у форматі картотек персональних даних;

Відповідальна особа – певна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону;

Власник бази персональних даних – фізична або юридична особа, якій законом або згодою суб’єкта персональних даних надано право на обробку цих даних, та яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад даних та процедуру їх обробки, якщо інше не визначено законом;

Загальнодоступні джерела персональних даних – довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані за згодою суб’єкта персональних даних. Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та інтернет-ресурси, в яких суб’єкт персональних даних залишає свої персональні дані (крім випадку, коли суб’єктом персональних даних прямо зазначено, що персональні дані розміщені з метою їхнього вільного розповсюдження та використання);

Згода суб’єкта персональних даних – будь-яке документоване, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, відповідно до сформульованої мети їх обробки;

Знеособлення персональних даних – вилучення відомостей, що дозволяють ідентифікувати особу;

Обробка персональних даних — будь-яка дія або сукупність дій, вчинених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, пов’язаних із збиранням, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та розповсюдженням (реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

Персональні дані – відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

Загальні поняття (продовження)


Розпорядник бази персональних даних – фізична або юридична особа, яка є власником бази персональних даних або якій законом надано право обробляти ці дані. Не є розпорядником бази персональних даних особа, якій власник та/або розпорядник бази персональних даних доручив здійснити роботи технічного характеру з базою персональних даних, без доступу до змісту персональних даних;

Суб’єкт персональних даних – фізична особа, щодо якої відповідно до закону здійснюється обробка її персональних даних;

Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, власника або розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, яка не є власником або розпорядником бази персональних даних, але яка здійснює передачу персональних даних, відповідно до закону;

Особливі категорії даних – персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров’я або статевого життя.

1. Сфера застосування

1.1. Положення про порядок обробки та захисту персональних даних (далі – Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних фізичних осіб, яким надаються консультаційні послуги психолога (далі – Клієнти) ФОП Станіславської Тетяни Олексіївни (далі – Виконавець) від незаконної обробки, у тому числі – від втрати, незаконного чи випадкового знищення, а також незаконного доступу до них.

1.2. Положення розроблене на підставі Закону України «Про захист персональних даних» від 01.06.2010 №2297-VI та Типового порядку опрацювання персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14.

1.3. Положення є обов’язковим для виконання особами, які мають доступ до персональних даних та обробляють персональні дані.

1.4. Усі терміни цього Положення визначаються відповідно до ЗУ «Про захист персональних даних», при цьому відповідно до термінології зазначеного закону Виконавець вважається власником персональних даних.

1.5. До персональних даних відносяться будь-які відомості або сукупність відомостей про Клієнтів, за якими вони ідентифікуються або можуть бути ідентифіковані.

1.6. Персональні дані Клієнтів у режимі доступу є інформацією з обмеженим доступом. Виконавець прийняв на себе зобов’язання щодо захисту персональних даних Клієнтів.

1.7. Персональні дані Клієнтів обробляються на електронних носіях за допомогою програмних продуктів, таких як Excel, Word та інші.

1.8. Під обробкою персональних даних мається на увазі будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання та розповсюдження (у тому числі – реалізація, передача), знеособлення, знищення персональних даних.

2. Мета, підстави та/або використання обробки персональних даних

2.1. Обробка персональних даних Клієнтів здійснюється з метою забезпечення реалізації договірних відносин під час здійснення Виконавцем консультаційної діяльності.

2.2. Персональні дані обробляються на підставі згоди Клієнтів та на інших законних підставах у суворій відповідності до чинного законодавства України у сфері захисту персональних даних та зберігаються у паперовій та/або електронній формах.

3. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних

3.1. Згода суб’єкту персональних даних має бути добровільним волевиявленням фізичної особи про надання дозволу на обробку її персональних даних, відповідно до сформульованої мети їх обробки. Згода суб’єкта персональних даних може бути надана у таких формах:

документ на паперовому носії з реквізитами, що дозволяє ідентифікувати цей документ та фізичну особу;
електронний документ, який має містити обов’язкові реквізити, що дозволяють ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи про надання дозволу на обробку її персональних даних доцільно (необов’язково) засвідчувати електронним підписом суб’єкта персональних даних;

3.2. Згода суб’єкта персональних даних надається при оформленні цивільно-правових відносин відповідно до чинного законодавства.

3.3. Відповідно до певної мети опрацювання, нормативно-правових актів, потреб консультаційних послуг – Виконавцем обробляються персональні дані Клієнта:

ім’я, по батькові, прізвище;
адреса електронної пошти (e-mail);
мобільний телефон;
інформація про скоєні на сайті дії.
3.4. Для забезпечення дотримання вимог законодавства України щодо захисту та обробки персональних даних, а також умов цього Положення Виконавець може призначити відповідальну особу з числа працівників Виконавця.

3.5. Відповідальна особа виконує свої обов’язки відповідно до цього Положення та норм чинного законодавства України щодо обробки та захисту персональних даних.

4. Місцезнаходження бази персональних даних

Бази персональних даних перебувають за адресою Виконавця.

5. Умови розкриття інформації про персональні дані третім особам

5.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої власнику персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які перебувають у володінні розпорядника публічної інформації, визначається Законом України “Про доступ до публічної інформації”.

5.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або не може їх забезпечити.

5.3. Суб’єкт відносин, пов’язаних із персональними даними, подає запит про доступ (далі – Запит) до персональних даних власнику бази персональних даних.

5.4. У Запиті вказуються:

прізвище, ім’я та по-батькові, місце проживання (місце знаходження) та реквізити документа, що засвідчує фізичну особу, яка подає Запит (для фізичної особи-заявника);
найменування, місцезнаходження юридичної особи, яка подає Запит, посаду, прізвище, ім’я та по- батькові особи, яка засвідчує Запит; підтвердження того, що зміст Запиту відповідає повноваженням юридичної особи (для юридичної особи-заявника);
прізвище, ім’я та по-батькові, а також інші відомості, що дозволяють ідентифікувати фізичну особу, щодо якої робиться Запит;
відомості про базу персональних даних, щодо якого подається Запит, відомості про власника чи розпорядника цієї бази;
перелік персональних даних, що запитуються;
мета Запиту.

5.5. Термін вивчення Запиту щодо його задоволення не може перевищувати десять робочих днів із дня надходження. Протягом цього терміну власник бази персональних даних доводить до відома особи, яка подає Запит, що Запит буде задоволений або що відповідні персональні дані не підлягають наданню, із зазначенням підстави у відповідності до чинного законодавства України. Запит задовольняється протягом десяти календарних днів із дня надходження, якщо інше не передбачено законом.

Умови розкриття інформації про персональні дані третім особам (продовження)

5.6. Усі працівники власника бази персональних даних зобов’язані дотримуватися вимог конфіденційності щодо персональних даних.

5.7. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом десяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у Запиті, не може перевищувати 45 календарних днів.

5.8. Повідомлення про відстрочку доводиться до відома третьої особи, яка подала Запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення.

5.9. У повідомленні про відстрочку зазначаються:
прізвище, ім’я та по-батькові посадової особи;
дата відправлення повідомлення;
причина відстрочки;
термін, протягом якого буде задоволено Запит.

5.10. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

5.11. У повідомленні про відмову вказують такі дані:
прізвище, ім’я, по батькові посадової особи, яка відмовляє у доступі;
дата відправлення повідомлення;
причина відмови.

5.12. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржене в уповноваженому державному органі з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, або до суду.

6. Захист персональних даних

Власники, розпорядники персональних даних та треті особи – зобов’язані забезпечити захист цих даних від випадкової втрати чи знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, відповідно до законодавства України.

7. Права та обов’язки Клієнтів як суб’єктів персональних даних

Клієнти, як суб’єкти персональних даних, мають право:
знати про джерела збору, місцезнаходження своїх персональних даних, мету їх обробки, окрім випадків, встановлених законом;
отримувати інформацію щодо умов надання доступу до персональних даних, включаючи інформацію про третіх осіб, яким передаються їх персональні дані;
на доступ до своїх персональних даних;
отримувати не пізніше, ніж тридцять календарних днів з дня надходження Запиту, окрім випадків, передбачених законом, відповідь про те, чи їх персональні дані обробляються, а також отримувати зміст таких персональних даних;
перед’являти Виконавцю мотивоване заперечення проти опрацювання своїх персональних даних;
перед’являти мотивовану вимогу про зміну або знищення своїх персональних даних Виконавцем, якщо ці дані обробляються незаконно або є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, несвоєчасним наданням, а також на захист від надання відомостей, що є недостовірними або ганьблять честь, гідність та ділову репутацію;
звертатися зі скаргами на обробку своїх персональних даних до суду;
застосовувати засоби правового захисту у разі порушення законодавства щодо захисту персональних даних;
вносити застереження щодо обмеження права на обробку своїх персональних даних при наданні згоди;
відкликати згоду на обробку персональних даних;
знати механізм автоматичного оброблення персональних даних;
на захист від автоматизованого рішення, яке має для нього правові наслідки.

8. Збір персональних даних Клієнтів

8.1. Збір персональних даних Клієнтів є складовою частиною процесу обробки персональних даних, що передбачає дії щодо впорядкування відомостей про фізичну особу.

8.2. Підставами для обробки персональних даних Клієнтів є:
надання послуг Виконавцем;
необхідність захисту законних інтересів Клієнтів, крім випадків коли суб’єкт персональних даних вимагає припинити обробку його персональних даних (п. 6 частини першої ст. 11 ЗУ «Про захист персональних даних»).
8.3. Факт ознайомлення Клієнтів із правами у сфері захисту персональних даних – підтверджується акцептом Договору оферти.

8.4. Після акцепту Клієнтами Договору оферти – їх персональні дані вносяться до Бази даних “Клієнти”.

8.5. У разі виявлення факту обробки відомостей про Клієнтів, які не відповідають дійсності, такі відомості мають бути виправлені або знищені.

9. Зберігання та знищення персональних даних Клієнтів

9.1. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

9.2. Персональні дані Клієнтів обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються та зберігаються в строк не більше, ніж це необхідно відповідно до їх законного призначення та мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.

9.3. Персональні дані Клієнтів видаляються або знищуються у порядку, встановленому відповідно до вимог закону.

9.4. Персональні дані підлягають знищенню у випадках:
закінчення терміну зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між Клієнтом та Виконавцем, якщо інше не передбачено законом;
набрання законної сили рішенням суду про вилучення даних про фізичну особу з бази персональних даних; видання відповідного розпорядження Уповноваженого Верховної Ради з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого.
9.5. Персональні дані, зібрані з порушенням вимог ЗУ “Про захист персональних даних”, підлягають знищенню в установленому законодавством порядку.

9.6. Відбір для знищення документів із персональними даними, терміни зберігання яких закінчилися, проводиться експертною комісією, склад якої визначається Виконавцем.

9.7. Знищення персональних даних проводиться у спосіб, що виключає подальшу можливість відновлення таких персональних даних.

10. Захист персональних даних під час їх обробки у автоматизованій системі

10.1. Право доступу до автоматизованої системи надається співробітникам Виконавця, в посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.

10.2. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи.

10.3. Право доступу до персональних даних Клієнта надається третім особам, з якими Виконавцем укладено договір виконання договірних зобов’язань перед Клієнтом.

11. Заключні положення

11.1. Клієнт може отримати будь-які роз’яснення щодо питань, які цікавлять обробку його персональних даних, звернувшись до Виконавця за електронною поштою namaste4people@gmail.com.

11.2. У цьому документі буде відображено будь-які зміни політики обробки та захисту персональних даних Виконавцем. Політика обробки та захисту персональних даних діє безстроково, до заміни її новою версією, що публікується на Сайті Виконавця за 24 години до набуття чинності.

11.3. Актуальна версія Політики у вільному доступі розміщена на Сайті Виконавця за веб-адресою: https://namaste-people.com/privacy_ua.

ФОП Станіславська Т. О.