ПОЛОЖЕННЯ

ПРО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

12 South Bridge, Suite 1, Edinburgh, Scotland, EH1 1DD, United Kingdom

ЗМІСТ

1Общее ПОЛОЖЕННЯ 4

2 СУБ'ЄКТИ І ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 6

3 ОРГАНІЗАЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 7

3.1 Призначення відповідальних осіб 7

3.2 Допуск працівників до обробки персональних даних 7

3.3 Отримання персональних даних 7

3.4 Систематизація, накопичення, уточнення і використання персональних даних 8

3.5 Передача персональних даних 8

3.6 Зберігання персональних даних 8

3.7 Повідомлення про обробку персональних даних 8

4 ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, здійснюється без використання ЗАСОБІВ АВТОМАТИЗАЦІЇ 10

5 ОРГАНІЗАЦІЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ 12

6 ПОРЯДОК ОБРОБКИ ЗВЕРНЕНЬ І ЗАПИТІВ З ПИТАНЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 13

7 Заключні положення 14

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

Положення про обробку персональних даних в ROKSORE CORPORATION LP, SL16159. (далі - Положення) розроблено відповідно до Закону України «Про захист персональних даних» № 2297-VI.

Це Положення визначає порядок обробки персональних даних і встановлює загальні вимоги до забезпечення безпеки персональних даних, які обробляються в ROKSORE CORPORATION LP, SL16159. (далі - Оператор) як з використанням засобів автоматизації, так і без використання таких засобів.

У Положенні терміни вживаються в такому значенні:

Дія Положення поширюється на всі структурні підрозділи Оператора.

Це Положення повинно бути доведено до кожного працівника Оператора, що здійснює обробку персональних даних, під розпис.

2 СУБ'ЄКТИ І ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Цілі обробки персональних даних, підстави для їх обробки, можливі дії (операції), що здійснюються з персональними даними, терміни обробки і склад оброблюваних персональних категорій суб'єктів персональних даних, які обробляються у Оператора, вказані в Переліку оброблюваних персональних даних.

3 ОРГАНІЗАЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

3.1 Призначення відповідальних осіб

Для організації обробки персональних даних у Оператора призначається відповідальна особа.

Для визначення рівня захищеності інформаційних систем персональних даних, перевірки готовності засобів захисту інформації до використання, а також знищення персональних даних наказом керівника Оператора призначається Комісія по приведенню у відповідність до вимог законодавства України в області персональних даних (далі - Комісія).

У своїй роботі Комісія керується Положенням про комісію щодо приведення у відповідність до вимог законодавства України в області персональних даних, затвердженого наказом керівника Оператора.

3.2 Допуск працівників до обробки персональних даних

Допуск працівників Оператора до обробки персональних даних здійснюється на підставі наказу про призначення на посаду відповідно до Переліку посад і третіх осіб, що мають доступ до персональних даних.

Працівники Оператора отримують доступ до обробки персональних даних для виконання ними службових (трудових) обов'язків, після виконання наступних заходів:

Працівники Оператора, що мають допуск до персональних даних, мають право отримувати тільки ті персональні дані, які необхідні їм для виконання службових (трудових) обов'язків.

3.3 Отримання персональних даних

Персональні дані суб'єкта виходять від нього самого або від нього законного представника. У разі, якщо персональні дані отримані не від суб'єкта персональних даних, Оператор до початку обробки таких персональних даних зобов'язаний повідомити суб'єкта про отримання його персональних даних.

3.4 Систематизація, накопичення, уточнення і використання персональних даних

Систематизація, накопичення, уточнення і використання персональних даних здійснюється шляхом оформлення і ведення документів обліку і баз даних суб'єктів персональних даних.

Працівники Оператора, що мають доступ до персональних даних, повинні забезпечити їх обробку, яка виключає несанкціонований доступ до них третіх осіб.

3.5 Передача персональних даних

Передача персональних даних суб'єктів третім особам може здійснюватися тільки при наявності письмової згоди суб'єкта, якщо інше не передбачено законодавством.

При передачі персональних даних суб'єктів третім особам, з третьою особою має бути підписана Угода про дотримання безпеки персональних даних, переданих на обробку, форма якого затверджена наказом керівника Оператора.

Передача персональних даних суб'єктів між підрозділами Оператора повинна здійснюватися тільки між працівниками, допущеними до обробки персональних даних.

3.6 Зберігання персональних даних

Зберігання персональних даних суб'єктів здійснюється на паперових та машинних носіях інформації в спеціально виділених сховищах підрозділів Оператора, а також в інформаційних системах Оператора, що забезпечують збереження персональних даних та їх захист від несанкціонованого доступу.

Знищення персональних даних в інформаційних системах, на машинних і паперових носіях інформації має здійснюватися протягом тридцяти днів з дати досягнення мети обробки (граничного терміну зберігання) персональних даних. При неможливості знищення персональних даних протягом тридцяти днів з дати досягнення мети обробки персональних даних, забезпечується їх блокування і знищення в термін, що не перевищує шести місяців.

Порядок і правила обліку, зберігання і знищення персональних даних описані в Регламенті з обліку, зберігання та знищення носіїв персональних даних.

3.7 Повідомлення про обробку персональних даних

Оператор повідомляє Уповноважений орган із захисту прав суб'єктів персональних даних про обробку персональних даних.

У разі зміни відомостей, зазначених у повідомленні, а також у разі припинення обробки персональних даних Оператор також повідомляє про це Уповноважений орган.

4 ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, здійснюється без використання ЗАСОБІВ АВТОМАТИЗАЦІЇ

Персональні дані при їх обробці без використання засобів автоматизації відокремлюються від іншої інформації шляхом фіксації їх на окремих матеріальних носіях персональних даних, в спеціальних розділах або на полях форм (бланків).

При фіксації персональних даних на матеріальних носіях не допускається запис на одному матеріальному носії персональних даних, мету обробки яких свідомо несумісні. При обробці різних категорій персональних даних без використання засобів автоматизації для кожної категорії персональних даних повинен використовуватися окремий матеріальний носій.

При використанні типових форм документів, характер інформації в яких передбачає або допускає включення в них персональних даних, необхідно додержуватися таких умов:

При несумісності цілей обробки персональних даних, зафіксованих на одному матеріальному носії, якщо матеріальний носій не дозволяє здійснювати обробку персональних даних окремо від інших зафіксованих на тому ж носії персональних даних, повинні бути вжиті заходи щодо забезпечення роздільної обробки персональних даних.

Необхідно забезпечувати роздільне зберігання персональних даних (матеріальних носіїв), обробка яких здійснюється в різних цілях.

Знищення або знеособлення частини персональних даних, якщо це допускається матеріальним носієм, може проводитися способом, що виключає подальшу обробку цих персональних даних зі збереженням можливості обробки інших даних, зафіксованих на матеріальному носії.

Уточнення персональних даних при їх обробці без використання засобів автоматизації проводиться шляхом відновлення або зміни даних на матеріальному носії, а якщо ці закони не дозволяють технічними особливостями матеріального носія, - шляхом фіксації на тому ж матеріальному носії відомостей про внесені в них зміни або шляхом виготовлення нового матеріального носія з уточненими персональними даними.

Особи, які здійснюють обробку персональних даних без використання засобів автоматизації, повинні бути проінформовані:

5 ОРГАНІЗАЦІЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Персональні дані обробляються у Оператора як з використанням засобів автоматизації, так і без використання таких засобів.

Порядок обробки та захисту персональних даних в інформаційних системах Оператора визначається Положенням про забезпечення безпеки персональних даних.

Захист персональних даних від неправомірного їх використання або втрати забезпечується Оператором за рахунок власних коштів.

Працівники Оператора, які в рамках виконання посадових обов'язків мають доступ до персональних даних, зобов'язані дотримуватися режиму конфіденційності персональних даних на всіх етапах їх обробки.

За відсутності працівника на його робочому місці не повинно бути документів і машинних носіїв інформації, що містять персональні дані.

Доступ працівників Оператора та інших осіб в приміщення, в яких здійснюється обробка і зберігання персональних даних, обмежується організаційними заходами і застосуванням системи контролю та управління доступом.

З огляду на масовість і єдині місця обробки і зберігання, гриф «конфіденційно» на документах, що містять персональні дані, не ставиться.

Організацію обробки персональних даних суб'єктів, контроль дотримання заходів їх захисту в структурних підрозділах Оператора, співробітники яких мають доступ до персональних даних, здійснюють їх безпосередні керівники.

Заходи щодо захисту персональних даних здійснюються відповідно до Плану заходів

6 ПОРЯДОК ОБРОБКИ ЗВЕРНЕНЬ І ЗАПИТІВ З ПИТАНЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Порядок обробки запитів суб'єктів персональних даних описаний в Регламенті по реагуванню на запити суб'єктів персональних даних.

Порядок обробки запитів уповноважених органів в області персональних даних описаний в Регламенті по взаємодії з органами державної влади в області персональних даних.

7 Заключні положення

Інші права та обов'язки працівників, до функцій яких входить обробка персональних даних, визначаються Інструкцією користувача інформаційних систем персональних даних.

Особи, винні в порушенні норм, що регулюють обробку і захист персональних даних, несуть матеріальну, дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність у порядку, встановленому законами.

Розголошення персональних даних, їх публічне розкриття, втрата документів і інших носіїв, що містять персональні дані, а також інші порушення обов'язків по їх захисту та оброблення, встановлених цим Положенням, іншими локальними нормативними актами (наказами, розпорядженнями) Оператора, тягне за собою накладення на працівника, який має доступ до персональних даних, дисциплінарного стягнення - зауваження, догани, звільнення.

Працівник, який має доступ до персональних даних і що зробив вказаний дисциплінарний проступок, несе повну матеріальну відповідальність у разі заподіяння його діями шкоди роботодавцю

Працівники Оператора, що мають доступ до персональних даних, винні в їх незаконне розголошення або використання без згоди суб'єктів персональних даних з корисливої ​​або іншої особистої зацікавленості і завдали великих збитків, несуть кримінальну відповідальність.