VІ. Організація обробки персональних даних володільцями та розпорядниками баз персональних даних

6.1. Володілець або розпорядник бази персональних даних вживає необхідні організаційні та технічні заходи з метою забезпечення процедури обробки персональних даних відповідно до вимог законодавства, належного рівня захисту персональних даних від несанкціонованого та незаконного доступу інших осіб.

6.2. Перелік таких заходів визначається володільцем або розпорядником бази персональних даних самостійно виходячи зі складу персональних даних, що обробляються, способу обробки, ризиків заподіяння шкоди внаслідок неправомірної обробки таких даних.

6.3. З метою приведення своєї діяльності у відповідність до вимог законодавства про захист персональних даних, мінімізації ризиків заподіяння шкоди суб’єктам персональних даних неправомірною обробкою персональних даних володільцям та розпорядникам баз персональних даних рекомендується вживати заходів щодо впровадження системи обробки персональних даних у наступній послідовності:

6.3.1. первинна оцінка стану обробки персональних даних;

6.3.2. планування та впровадження системи обробки персональних даних;

6.3.3. забезпечення поточного функціонування системи обробки персональних даних;

6.3.4. періодична та поточна оцінка ефективності системи обробки персональних даних;

6.3.5. удосконалення системи обробки персональних даних.

 

6.4. Первинна оцінка стану обробки персональних даних.

6.4.1. Цілями первинної оцінки стану обробки персональних даних є визначення переліку процесів обробки персональних даних, а також визначення статусу суб’єкта обробки персональних даних: володілець або розпорядник бази персональних даних.

6.4.2. Метою первинної оцінки стану обробки персональних даних володільця є оцінка поточних процесів та процедур обробки персональних даних з метою приведення їх у відповідність до вимог законодавства України з питань захисту персональних даних.

6.4.3. Завданнями первинної оцінки стану обробки персональних даних володільця є:

6.4.3.1. встановлення цілей обробки персональних даних у ході поточної діяльності володільця;

6.4.3.2. перевірка відповідності цілей обробки персональних даних у ході поточної діяльності володільця цілям, визначеним законами, іншими нормативно-правовими актами, установчими чи іншими документами, які регулюють діяльність володільця;

6.4.3.3. встановлення підстав для обробки персональних даних володільцем у визначених процесах обробки персональних даних;

6.4.3.4. оцінка сумісності застосовуваних способів обробки персональних даних встановленим цілям їхньої обробки; оцінка адекватності, ненадлишковості, відповідності оброблюваних персональних даних встановленим цілям;

6.4.3.5. у разі необхідності оцінка точності, достовірності та процесів оновлення персональних даних, що обробляються;

6.4.3.6. оцінка термінів зберігання персональних даних, визначення наявності чи відсутності даних, які зберігаються довше ніж це необхідно;

6.4.3.7. оцінка поточних процедур, що забезпечують права фізичної особи, зокрема право на доступ до даних;

6.4.3.8. оцінка стану дотримання вимог щодо захисту даних;

6.4.3.9. перевірка наявності чи відсутності процедур передачі персональних даних за кордон;

6.4.3.10. перевірка наявності обробки персональних даних розпорядниками та наявності законних підстав для передачі персональних даних розпорядникам;

6.4.3.11. перевірка наявності доступу до персональних даних третіх осіб та процедур передачі персональних даних третім особам. Перевірка наявності законних підстав для доступу до персональних даних третіх осіб та для передачі персональних даних третім особам.

6.5. Цілями первинної оцінки стану обробки персональних даних розпорядника є:

6.5.1. встановлення наявності чи відсутності підписаного договору в письмовій формі з володільцем щодо обробки персональних даних;

6.5.2. оцінка відповідності умов обробки персональних даних законодавству України з питань захисту персональних даних;

6.5.3. перевірка виконання умов підписаного договору в письмовій формі з володільцем;

6.5.4. Результати первинної оцінки стану обробки персональних даних дозволяють спланувати заходи щодо створення системи обробки персональних даних.

6.6. Планування та впровадження системи обробки персональних даних володільцем включає в себе:

6.6.1. визначення переліку баз персональних даних, які обробляються володільцем відповідно до Закону з урахуванням:

– цілей обробки персональних даних, сформульованих відповідно до вимог законодавства України;

– бізнес-процесів володільця, структури, місцезнаходження баз персональних даних, структури інформаційної системи тощо;

6.6.2. коректування положень, установчих та інших документів, які регулюють діяльність володільця;

6.6.3. найменування баз персональних даних та затвердження цілей обробки персональних даних у базах персональних даних;

6.6.4. визначення законних підстав для обробки персональних даних у базах персональних даних;

6.6.5. визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці відповідно до Закону;

6.6.6. впровадження процедур доступу до персональних даних працівників відповідно до їхніх професійних чи службових або трудових обов’язків та надання ними зобов’язань (гарантій) не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таке зобов’язання чинне після припинення ними діяльності,  пов’язаної з персональними даними, окрім випадків, установлених Законом;

6.6.7. впровадження процедур, спрямованих на забезпечення дотримання принципів обробки персональних даних;

6.6.8. надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних з персональними даними, що здійснюється за згодою суб’єкта персональних даних та/чи відповідно до Закону;

6.6.9. забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них, відповідно до Закону;

6.6.10. обґрунтування необхідності передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними, у випадках, встановлених законом або міжнародним договором України; обґрунтування відповідності мети поширення персональних даних меті, з якою вони були зібрані; впровадження відповідного захисту персональних даних.

6.6.11. оформлення інформаційної картки бази персональних даних, яка містить відомості щодо найменування, місцезнаходження бази персональних даних, володільця, розпорядника, цілей обробки персональних даних, категорій персональних даних, які обробляються, обробки персональних даних, стосовно яких Законом передбачені особливі вимоги, правових підстав обробки персональних даних, передачі персональних даних за кордон, захисту бази даних, проведення періодичних та поточних оцінок стану обробки персональних даних;

6.6.12. оформлення заяви про реєстрацію бази персональних даних. Форма заяви бази персональних даних та інструкція з її заповнення затверджуються Державною службою України з питань захисту персональних даних;

6.6.13. реєстрація баз персональних даних у порядку, визначеному Законом;

6.6.14. навчання, підвищення кваліфікації та вжиття інших заходів, спрямованих на забезпечення компетентності персоналу володільця.

 

6.7. З метою створення дієвої системи обробки персональних даних володільцем бази персональних даних перед початком роботи визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану зі здійсненням контролю за законністю обробки персональних даних та захистом персональних даних при їхній обробці, відповідно до законодавства України, яке регулює його діяльність, та/або його установчих документів. Фізичні особи забезпечують захист персональних даних у базах персональних даних, якими вони володіють особисто, відповідно до законодавства України у сфері захисту персональних даних.

6.8. Володілець бази персональних даних з метою належного функціонування системи обробки персональних даних забезпечує:

6.8.1. загальну відповідальність за дотримання законодавства України у сфері захисту персональних даних;

6.8.2. затвердження необхідних процедур (методичних рекомендацій та правил тощо) стосовно вжиття заходів зі забезпечення поточного функціонування системи обробки персональних даних у базах персональних даних;

6.8.3. забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них;

6.8.4. здійснення періодичної та поточної оцінки ефективності функціонування системи обробки персональних даних у базах персональних даних;

6.8.5. організацію внесення пропозицій керівництву володільця щодо удосконалення системи обробки персональних даних у базах персональних даних;

6.8.6. обов’язкову реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.

6.8.7. розробку, впровадження та забезпечення належного функціонування системи обробки персональних даних;

6.8.8. підтримку вимог бізнесу процедурами захисту персональних даних у базах персональних даних;

6.8.9. реєстрацію інцидентів у системі обробки персональних даних.

6.9. Перевірка відповідності системи обробки персональних даних вимогам законодавства здійснюється у ході:

6.9.1. поточної перевірки ефективності системи обробки персональних даних, що проводиться володільцем самостійно відповідно до затверджених ним процедур;

6.9.2. періодичної перевірки ефективності системи обробки персональних даних, що здійснюється:

у формі внутрішньої оцінки системи обробки персональних даних, що проводиться володільцем самостійно, але не рідше одного разу на рік;

другою стороною (іншим володільцем) при передачі ним персональних даних відповідно до цілей обробки персональних даних у порядку визначеному договором;

третьою стороною (незалежною організацією) на добровільних засадах у порядку визначеному договором між володільцем та юридичною особою, компетентність якої документально засвідчена національним органом з акредитації в ході оцінки відповідності системи якості вимогам законодавства;

6.9.3. контролю за додержанням законодавства про захист персональних даних, що проводиться уповноваженим органом з питань захисту персональних даних відповідно до законодавства.

6.10. У ході перевірки третьою стороною відповідності системи обробки персональних даних вимогам законодавства здійснюється оцінка управлінських рішень володільця у сфері захисту персональних даних, відповідності технологічних рішень, прийнятих володільцем з метою виконання вимог стандартів та законодавства України про захист персональних даних.

6.11. Звіти за результатами перевірок третьою стороною повинні містити інформацію про будь-які порушення управлінських рішень володільця у сфері захисту персональних даних та встановлених процедур, а також порушення технологічних вимог до захисту персональних даних та законодавства України про захист персональних даних та зберігатися для врахування та аналізу.

6.12. Володілець зобов’язаний вживати заходів з удосконалення системи обробки персональних даних у базах персональних даних шляхом застосування превентивних і коригувальних дій. Усі пропоновані зміни та / або поліпшення повинні бути оцінені з метою удосконалення задокументованих управлінських рішень володільця у сфері захисту персональних даних.

6.13. Зміни, що випливають з превентивних та коригувальних дій, повинні бути належним чином документовані й збережені.

6.14. Володілець вживає превентивних дій для захисту забезпечення належного функціонування системи управління персональними даними у базах персональних даних шляхом:

– виявлення невідповідностей та їхніх причин;

– визначення ризиків;

– визначення та виконання необхідних превентивних заходів.

6.15. У разі виявлення потенційних невідповідностей у системі обробки персональних даних повинна бути створена процедура для розгляду кожної невідповідності на основі оцінки ризиків для:

– усунення причин невідповідності;

– зниження рівня невідповідності.

Оцінка ризиків проводиться на регулярній основі для визначення, чи змінилась ситуація та чи виправленні невідповідності.

6.16. Планування, впровадження, забезпечення поточного функціонування, здійснення оцінки та удосконалення системи обробки персональних даних розпорядником здійснюється відповідно до договору з володільцем баз персональних даних.

6.17. На підставі даних Рекомендацій володілець та розпорядник бази персональних даних може розробити власний порядок обробки персональних даних, що затверджується його керівником. Такий порядок не повинен суперечити законодавству України у сфері захисту персональних даних та може містити, зокрема, положення щодо визначення:

місця зберігання та заходів із забезпечення захисту бази персональних даних;

відповідальних осіб та осіб, які допущені до обробки персональних даних  у базах персональних даних;

обліку та режиму доступу відповідальних осіб та осіб, які допущені до обробки персональних даних у базах персональних даних. Володілець або розпорядник бази персональних даних забезпечує ведення журналу обліку доступу до персональних даних у базах;

захисту персональних даних від несанкціонованого доступу до них, зокрема програмних, технічних, програмно-технічних засобів;

порядку внесення, зміни, поновлення, використання, поширення знеособлення, знищення персональних даних у базі персональних даних.