Положення про захист персональних даних

У своїй основі таке Положення базується на вимогах Закону України “Про захист персональних даних”, який встановлює основні принципи та вимоги до обробки даних. Крім цього, можливе використання рекомендацій, наданих уповноваженим з питань захисту персональних даних.

Сторонами у цьому документі є підприємство або організація, яке є власником бази даних, та особи, чиї дані збираються та обробляються. Основною стороною, відповідальною за виконання вимог Положення, є підприємство.

Щодо оформлення, Положення про захист персональних даних слід розробляти в письмовій формі, з обов’язковим зазначенням дати його прийняття, періоду дії та підпису керівника підприємства. Також важливо вказати, хто відповідає за зберігання та захист інформації в межах організації.

Створення Положення про захист персональних даних – це комплексний процес, який вимагає залучення юридичних фахівців, а також фахівців у сфері інформаційних технологій, якщо розглядається електронний захист даних. На підприємстві повинен бути призначений відповідальний за захист персональних даних, який був би відповідальний за виконання вимог Положення та моніторинг дотримання правил зберігання та обробки даних.

Приклади

Шаблон Положення про захист персональних даних

Положення про захист персональних даних

[Найменування підприємства]

[Дата]

[Місто]

Це Положення про захист персональних даних (далі – Положення) розроблено з метою забезпечення захисту персональних даних [найменування підприємства] (далі – Підприємство).

1. Загальні положення

1.1. У цьому Положенні під персональними даними розуміються будь-які відомості про фізичну особу, яка ідентифікована або може бути ідентифікована (далі – суб’єкт персональних даних).

1.2. Положення поширюється на всі персональні дані, які обробляє Підприємство, незалежно від їхнього способу фіксації та форми існування.

1.3. Положення є обов’язковим для виконання всіма працівниками Підприємства.

2. Принципи захисту персональних даних

2.1. Підприємство у своїй діяльності керується такими принципами захисту персональних даних:

• законності, справедливості та прозорості;
• мінімізації;
• правдивості та повноти;
• актуальності;
• цільового використання;
• зберігання;
• недопущення поширення;
• недопущення необґрунтованої відмови у доступі;
• забезпечення права на доступ;
• права на виправлення, блокування, знищення;
• права на об’єднання даних;
• права на захист від автоматизованого прийняття рішень;
• права на оскарження рішень.

3. Права суб’єктів персональних даних

3.1. Суб’єкти персональних даних мають такі права:

• право на доступ до своїх персональних даних;
• право на виправлення своїх персональних даних;
• право на блокування своїх персональних даних;
• право на знищення своїх персональних даних;
• право на об’єднання своїх персональних даних;
• право на захист від автоматизованого прийняття рішень;
• право на оскарження рішень.

4. Обробка персональних даних

4.1. Підприємство обробляє персональні дані лише на підставі законних підстав.

4.2. Підприємство обробляє персональні дані лише у визначених цілях.

4.3. Підприємство не обробляє персональні дані у спосіб, несумісний з визначеними цілями.

4.4. Підприємство зберігає персональні дані лише протягом визначеного строку.

4.5. Підприємство не поширює персональні дані без згоди суб’єкта персональних даних, за винятком випадків, передбачених законом.

5. Відповідальність за порушення Положення

5.1. Працівники Підприємства, які порушують вимоги Положення, несуть відповідальність відповідно до чинного законодавства України.

5.2. До працівників Підприємства, які порушили вимоги Положення, можуть бути застосовані такі заходи дисциплінарної відповідальності, як:

• догана;
• звільнення з роботи.

6. Прикінцеві положення

6.1. Положення набирає чинності з дня його затвердження.

6.2. Положення може бути змінено або доповнено за рішенням керівника Підприємства.

Примітка:

У цьому шаблоні Положення про захист персональних даних визначено такі основні розділи:

• Загальні положення – визначає предмет, мету та сферу застосування Положення.
• Принципи захисту персональних даних – визначає принципи, якими керується Підприємство у своїй діяльності з захисту персональних даних.
• Права суб’єктів персональних даних – визначає права суб’єктів персональних даних.
• Обробка персональних даних – визначає умови та порядок обробки персональних даних Підприємством.
• Відповідальність за порушення Положення – визначає відповідальність за порушення вимог Положення.
• Прикінцеві положення – визначає дату набрання чинності Положення та порядок його зміни або доповнення.

Розділ 2. Принципи захисту персональних даних

У цьому розділі можна вказати конкретні заходи, які Підприємство впроваджує для забезпечення дотримання принципів захисту персональних даних. Наприклад, можна вказати такі заходи:

• Підприємство розробило та затвердило внутрішні правила обробки персональних даних, які відповідають вимогам Закону України “Про захист персональних даних”.
• Підприємство створило посаду відповідальної особи з питань захисту персональних даних.
• Підприємство здійснює навчання працівників з питань захисту персональних даних.

Розділ 3. Права суб’єктів персональних даних

У цьому розділі можна вказати конкретні способи реалізації прав суб’єктів персональних даних. Наприклад, можна вказати такі способи:

• Підприємство надає суб’єктам персональних даних доступ до їхніх персональних даних у формі, зрозумілій для суб’єкта персональних даних.
• Підприємство розглядає і задовольняє запити суб’єктів персональних даних про виправлення, блокування, знищення їхніх персональних даних.
• Підприємство забезпечує захист прав суб’єктів персональних даних від автоматизованого прийняття рішень.

Розділ 4. Обробка персональних даних

У цьому розділі можна вказати конкретні види персональних даних, які обробляє Підприємство, та цілі їх обробки. Наприклад, можна вказати такі види персональних даних:

• персональні дані працівників Підприємства, які обробляються з метою виконання трудових відносин;
• персональні дані клієнтів Підприємства, які обробляються з метою виконання договорів;
• персональні дані відвідувачів веб-сайту Підприємства, які обробляються з метою забезпечення функціонування веб-сайту.

Розділ 5. Відповідальність за порушення Положення

У цьому розділі можна вказати конкретні види відповідальності, які можуть бути застосовані до працівників Підприємства, які порушили вимоги Положення. Наприклад, можна вказати такі види відповідальності:

• дисциплінарна відповідальність, зокрема догана або звільнення з роботи;
• цивільно-правова відповідальність, зокрема відшкодування збитків, завданих Підприємству внаслідок порушення вимог Положення;
• кримінальна відповідальність, у разі, якщо порушення вимог Положення призвело до тяжких наслідків.

Прикінцеві положення

У цьому розділі можна вказати дату набрання чинності Положення та порядок його зміни або доповнення.

Загальні рекомендації

• Положення про захист персональних даних слід розробити та затвердити до початку діяльності Підприємства.
• Положення про захист персональних даних слід періодично переглядати та актуалізувати відповідно до змін у діяльності Підприємства.
• Працівники Підприємства повинні бути ознайомлені з Положенням про захист персональних даних під підпис.

Додаткові положення

У Положення про захист персональних даних можна включити додаткові положення, які не суперечать законодавству України. Наприклад, можна включити положення про:

• порядок отримання згоди суб’єкта персональних даних на обробку його персональних даних;
• порядок повідомлення суб’єкта персональних даних про обробку його персональних даних;
• порядок інформування суб’єкта персональних даних про права, передбачені Законом України “Про захист персональних даних”;
• порядок захисту персональних даних від несанкціонованого доступу, знищення, модифікації, блокування, копіювання, поширення, а також від інших неправомірних дій.

При розробці Положення про захист персональних даних слід враховувати специфіку діяльності Підприємства та інтереси Підприємства.

Положення про захист персональних даних
(назва підприємства/організації)

• “Персональні дані” – інформація або сукупність інформації про фізичну особу, яка ідентифікує або може ідентифікувати цю особу.

(Тут можна додати інші поняття, які вважаєте необхідними)

3. Порядок збору та обробки даних
   Персональні дані збираються із згоди осіб, до яких вони належать, на підставі інформаційних джерел, що є законними. Обробка даних відбувається з дотриманням принципів конфіденційності.
4. Зберігання даних
   Персональні дані зберігаються у місцях, що відповідають вимогам захисту інформації. Доступ до них мають лише уповноважені особи.
5. Використання даних
   Використання персональних даних відбувається лише з метою, для якої вони були зібрані.
6. Захист даних
   (назва підприємства/організації) забезпечує захист персональних даних від несанкціонованого доступу, знищення, зміни, блокування, копіювання, поширення, а також від інших неправомірних дій щодо них.
7. Права суб’єкта персональних даних
   Кожна особа має право на доступ до своїх персональних даних, їх виправлення, видалення, а також право вимагати припинення обробки своїх персональних даних.
8. Відповідальність
   За порушення норм та вимог, встановлених цим Положенням, працівники (назва підприємства/організації) несуть дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність відповідно до чинного законодавства України.

Дата затвердження: (дата)
Керівник (назва підприємства/організації): (ПІБ, підпис)