Затверджую
В. о. директора КЗ «Світловодська МЦБС»
Олена РИБАЧУК
23 січня 2024 р.
ІНСТРУКЦІЯ
з порядку збирання, зберігання та обробки персональних даних
1. Загальні положення
1.1 Інструкція розроблена відповідно до Закону України «Про захист персональних даних».
1.2 Інструкція визначає порядок накопичення, зберігання, використання, поширення та знищення персональних даних фізичних та юридичних осіб.
1.3 Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
1.4 Відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними і підлягають захисту від незаконної обробки та від незаконного доступу до них.
1.5 Будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу, визначає обробку персональних даних.
1.6 Іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних відноситься до бази персональних даних.
2. Накопичення персональних даних
2.1 Збирання персональних даних здійснюється в обсязі, необхідному для виконання (вирішення) завдання відповідно до функціональних повноважень.
2.2 Джерелом персональних даних є безпосередньо суб'єкт персональних даних, а також загальнодоступні джерела інформації.
2.3 Збирання персональних даних від суб'єктів персональних даних здійснюється за будь-яким чином документованою згодою суб'єкта персональних даних на збір та обробку його персональних даних (письмова згода).
2.4 Відповідальний за базу персональних даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних повинен повідомити суб'єкт персональних даних виключно в письмовій формі про його права, визначені Законом України «Про захист персональних даних», мету збору даних та осіб, яким передаються його персональні дані.
2.5 У разі, якщо персональні дані збираються із загальнодоступних джерел, повідомлення суб’єкта персональних даних не здійснюється.
2.6 Підставами виникнення права на використання персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних (суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних);
2) дозвіл на обробку персональних даних наданий КЗ «Світловодська МЦБС» відповідно до закону виключно для здійснення її повноважень.
3. Обробка персональних даних
3.1 Мета обробки персональних даних сформульована в законах, інших нормативно-правових актах, положеннях, інших документах, які регулюють діяльність структурних підрозділів КЗ «Світловодська МЦБС» та відповідає законодавству про захист персональних даних.
3.2 У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.
3.3 Персональні дані мають бути точними, достовірними, у разі необхідності – оновлюватися.
3.4 Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
3.5 Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя. Обробка зазначених персональних даних дозволяється у випадках, передбачених пунктом 2 статті 7 Закону України «Про захист персональних даних».
4. Доступ до персональних даних
4.1 Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданих КЗ «Світловодська МЦБС» на обробку цих даних, або відповідно до вимог Закону України «Про захист персональних даних».
4.2 Доступ до персональних даних надається особам, які за своїми функціональними обов'язками мають безпосереднє відношення до вирішення питань стосовно мети, щодо якої створені відповідні бази персональних даних.
4.3 Керівники структурних підрозділів управління КЗ «Світловодська МЦБС» забезпечують дотримання порядку доступу до баз персональних даних та їх захист від доступу до них сторонніх осіб, що може призвести до розголошення або втрати інформації; обробку, зберігання, та використання у відповідності до чинного законодавства.
5. Поширення персональних даних
5.1 Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.
5.2 Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених Законом України «Про захист персональних даних» і лише в інтересах національної безпеки, економічного добробуту та прав людини.
5.3 Виконання вимог встановленого режиму захисту персональних даних забезпечує директор КЗ «Світловодська МЦБС» та керівники структурних підрозділів, де зберігаються бази персональних даних.
5.4 Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону України «Про захист персональних даних».
5.5..Про передачу персональних даних третій особі КЗ «Світловодська МЦБС» протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачене Законом України «Про захист персональних даних». Повідомлення суб'єкта персональних даних про передачу персональних даних третій особі не надається у разі виконання КЗ «Світловодська МЦБС» своїх повноважень.
5.6 Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.
5.7 Доступ до персональних даних третій особі надається за запитом.
У запиті зазначаються:
1) прізвище, ім'я та по батькові, місце проживання (місце реєстрації) реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи – заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит;
3) підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника);
4) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
5) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
6) перелік персональних даних, що запитуються;
7) мета запиту.
5.8 Строк вивчення запиту на предмет його задоволення не може перевищувати тридцяти робочих днів з дня його надходження.
5.9 Протягом цього строку КЗ «Світловодська МЦБС», де зберігається база персональних даних, доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
5.10 Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
5.11 Інформація, що містить персональні дані, може бути поширена лише у випадку, коли дані, наведені у ній, попередньо будуть знеособлені.
6. Знищення персональних даних
6.1 Персональні дані в базах персональних даних підлягають знищенню у разі закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних.
6.2 Про зміну чи знищення персональних даних або обмеження доступу до них Світловодська МЦБС, де зберігаються бази персональних даних, протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.