Текст
×
Por favor cargue su comprobante
На даному етапі слід подати до УВР України з прав людини заяви:
На даному етапі потрібно внести зміни до посадових інструкцій працівників, виконання професійних обов’язків яких пов’язане з обробкою персональних даних.
Необхідно отримати письмові зобов’язання працівників, пов’язаних з обробкою персональних даних щодо неприпустимості розголошення будь-яким способом персональних даних, які їм були довірені або стали відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків.
В Положенні необхідно навести перелік баз персональних даних (БПД) в установі, а за кожною з них зазначити:
◼️ мету та правові підстави для обробки персональних даних;
◼️ розпорядника (за наявності) та третіх осіб;
◼️ перелік персональних даних, які будуть оброблятися;
◼️ порядок обробки персональних даних: збирання, накопичення, періодичність оновлення, зберігання, використання, розповсюдження, знеособлення та знищення персональних даних;
◼️ перелік посад, виконання професійних обов’язків, з якими пов’язане опрацювання певних БПД, порядок доступу до персональних даних.
Після цього визначити порядок захисту персональних даних.
На даному етапі необхідно затвердити Положення про захист персональних даних установи. На розсуд власника баз персональних даних зазначене Положення може бути розроблене за кожною з існуючих установ баз персональних даних, або ж бути загальним (містити інформацію про всі бази персональних даних закладу, наприклад, “Пацієнти”, “Працівники”).
Таким чином, у Положенні має бути викладено загальний порядок обробки усіх баз персональних даних закладу, з конкретизацією щодо порядку (особливостей) обробки по кожній з баз. Дія такого Положення поширюватиметься на всі бази персональних даних закладу.
Разом з тим Положення може бути розроблене по кожній з баз персональних даних окремо, наприклад:
◼️Положення про порядок обробки та захисту бази персональних даних “Працівники”;
◼️Положення про порядок обробки та захисту бази персональних даних “Пацієнти”;
◼️Положення про порядок обробки та захисту бази персональних даних “Контрагенти”.
У разі розроблення окремих локальних актів для різних баз персональних даних, певні розділи Положення мають бути продубльовані за окремими базами (наприклад, інформація про особу, що відповідальна за організацію роботи).
На початковому етапі створюється видання наказу про приведення процесів та процедур обробки персональних даних в установі у відповідність до вимог законодавства. Для цього у наказі слід створити робочу групу, якій необхідно:
◼️провести аналіз процесів обробки персональних даних в установі відповідно до основних завдань та функцій установи;
◼️визначити мету (або кілька з них), з якою обробляються персональні дані в установі;
◼️проаналізувати склад та зміст оброблюваних персональних даних, первинні джерела відомостей про фізичну особу;
◼️визначити правові підстави для обробки певних БПД;
◼️визначити, чи є персональні дані відповідними та ненадмірними відповідно до певних цілей та правових підстав;
◼️визначити бази персональних даних в установі;
◼️встановити по кожній з них наявність розпорядників баз та перелік третіх осіб (за їх наявності);
◼️визначити перелік посад, пов’язаних з опрацюванням персональних даних, визначити ступінь їх доступу до персональних даних.
Другий крок проведення процесів та процедур обробки персональних даних не менш важливий. Наказами про приведення процесів та процедур обробки персональних даних потрібно:
