Про затвердження Порядку обробки та захисту персональних даних Державним агентством України з питань кіно

Відповідно до Закону України "Про захист персональних даних" та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14,

1. Затвердити Порядок обробки та захисту персональних даних Державним агентством України з питань кіно, що додається.

2. Затвердити План дій працівників Держкіно на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій, що додається.

3. Начальнику юридичного відділу (Шевчук Ю.І.) забезпечити ознайомлення працівників Держкіно з цим Порядком, Планом та Порядком повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації, затвердженим наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Цей Порядок встановлює загальні вимоги до організаційних та технічних заходів обробки і захисту персональних даних у структурних підрозділах (далі - структурний підрозділ) Державного агентства України з питань кіно (далі - Держкіно) для обробки та забезпечення захисту від випадкової втрати або знищення, незаконної обробки у т. ч. незаконного знищення чи доступу до персональних даних працівників Держкіно та під час виконання ними завдань покладених на Держкіно.

2. Порядок є обов'язковим для виконання працівниками Держкіно (далі- працівники), які мають доступ до персональних даних та/або обробляють персональні дані та ознайомлюються з цим Порядком під підпис.

3. Терміни в цьому Порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних" (далі - Закон), наказі Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних" (далі - Наказ Уповноваженого).

4. Склад персональних даних визначається відповідно до вимог чинного законодавства, що регулює діяльність Держкіно щодо правового, організаційного, матеріально-технічного та іншого забезпечення його діяльності, підготовки аналітичних, інформаційних та інших матеріалів, а також у сфері трудових відносин, управління кадрами, військового обліку, звернень громадян, запитів на інформацію тощо.

5. Персональні дані працівників, членів Громадської ради при Держкіно, експертів, а також персональні дані інших фізичних осіб, які стали відомі Держкіно під час реалізації ним державної політики у сфері кінематографії є об'єктами захисту персональних даних.

6. Персональні дані, щодо яких встановлено особливі вимоги обробки, обробляються з урахуванням статті 7 Закону. Персональні дані, які становлять особливий ризик для прав і свобод суб'єктів персональних даних, обробляються згідно із статтею 9 Закону та повідомляються в порядку, встановленому Уповноваженим.

7. Володільцем та розпорядником персональних даних є Держкіно.

8. Третіми особами у контексті Закону є:

державні органи, яким персональні дані передаються відповідно до чинного законодавства (органи пенсійного фонду, податкові інспекції, військові комісаріати, центри зайнятості, лікувально-профілактичні установи, що забезпечують проведення обов'язкових медичних оглядів та ін.)

будь-які особи, за винятком працівників, Держкіно як володільця персональних даних та Уповноваженого Верховної Ради з прав людини, яким Держкіно може здійснювати передачу персональних даних.

9. Загальна відповідальність за організацію роботи, пов'язаної із обробкою та захистом персональних даних під час їх обробки, покладається на керівників структурних підрозділів Держкіно.

10. Безпосередня відповідальність за організацію роботи, пов'язаної із обробкою та захистом персональних даних під час їх обробки, покладається на особу (осіб), визначену керівником структурного підрозділу Держкіно (далі - відповідальна особа).

11. Керівники структурних підрозділів Держкіно, працівники яких працюють з базами персональних даних, забезпечують:

планування та організацію виконання дій щодо забезпечення безпеки персональних даних;

збереженість персональних даних, обмеженість доступу до них;

визначення посадових обов'язків осіб, які відповідальні за організацію обробки персональних даних;

організацію та здійснення контролю за виконанням встановлених вимог із забезпечення захисту персональних даних;

регулярне навчання працівників, які працюють з персональними даними;

організацію обробки персональних даних працівниками відповідно до їх професійних, службових чи трудових обов'язків у обсязі, необхідному для виконання таких обов'язків;

роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;

доступ суб'єктів персональних даних до власних персональних даних;

інформування керівника апарату про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність із Законом, про порушення встановлених процедур з обробки персональних даних;

облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, а також спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних;

визначення порядку ведення обліку операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них;

розроблення плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій.

Мета та підстави обробки персональних даних

12. Обробка персональних даних проводиться з метою забезпечення реалізації трудових, адміністративно-правових відносин та відносин у сфері управління людськими ресурсами в Держкіно, військового обліку, конституційного права громадян на звернення, вирішення питань, порушених в заявах, пропозиціях або скаргах громадян, підготовки статистичної, адміністративної та іншої інформації відповідно до вимог чинного законодавства.

13. Мета обробки персональних даних залежить від напряму роботи структурного підрозділу Держкіно, який виконує дії з обробки персональних даних (робота з кадрами, військовий облік, зверненнями громадян, робота із запитами на публічну інформацію, фінансово-економічна діяльність, інформаційно-телекомунікаційна діяльність та інші види діяльності).

14. Для реалізації поставленої мети Держкіно забезпечує відповідно до вимог законодавства збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання і поширення (розповсюдження, реалізацію, передачу), знеособлення, знищення відомостей, що стосуються працівників Держкіно; військового обліку; підготовки, відповідно до вимог законодавства, статистичної, адміністративної та іншої інформації щодо роботи з кадрами, а також внутрішніх документів Держкіно з питань реалізації визначених законодавством прав та обов'язків під час проходження працівниками державної служби; експертів під час формування Громадських рад та експертних комісій, членів цих Громадських Рад та експертних комісій, а також інших осіб, які стали відомі Держкіно під час реалізації ним державної політики у сфері кінематографії.

15. Категорії персональних даних, що обробляються в Держкіно: паспортні дані, відомості про освіту, професію, спеціальність та кваліфікацію, науковий ступінь, вчене звання, підвищення кваліфікації, стаж державної служби, страховий стаж; нагороди; відомості зазначені у деклараціях осіб, уповноважених на виконання функцій держави або місцевого самоврядування та відомості про майновий стан державного службовця і особи, яка претендує на зайняття посади державного службовця, щодо себе та членів своєї сім'ї; автобіографічні дані, відомості про трудову діяльність, просування по службі, умови оплати праці, дисциплінарну відповідальність, особисті відомості (вік, стать, родинний склад, склад сім'ї, тощо), відомості щодо місця проживання (фактичне та за державною реєстрацією), відомості про перебування на військовому обліку; дані, що стосуються стану здоров'я в межах, визначених законодавством; дані щодо періоду надання відпусток; дані, що підтверджують право працівника на пільги, встановлені законодавством; дані про присвоєння ідентифікаційного номера платника податків, електронні ідентифікаційні дані (біографічні довідки, номери телефонів домашній та мобільний), запис зображення (фото); організаційно розпорядчі документи, бухгалтерські документи, звітні та облікові форми; інформація щодо викривачів, які повідомили про корупцію.

16. Обробка персональних даних в базах персональних даних здійснюється відповідно до статті 11 Закону.

17. Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.

18. Підставами для обробки персональних даних є:

1) згода суб'єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону, виключно для здійснення прав та виконання повноважень;

3) укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;

4) забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) захист життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

6) необхідна в цілях охорони здоров'я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров'я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я чи фізичною особою - підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов'язки щодо забезпечення захисту персональних даних та на яких поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, на яких покладено обов'язки щодо забезпечення захисту персональних даних;

7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;

8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.

19. Обробка персональних даних суб'єкта персональних даних здійснюється за його згодою - документованим добровільним волевиявленням фізичної особи, шляхом надання дозволу працівникам відповідального структурного підрозділу Держкіно на обробку його персональних даних, відповідно до сформульованої мети їх обробки.

20. Суб'єкт персональних даних надає згоду на обробку персональних даних у базі персональних даних за формою, встановленою згідно з додатком 1 до цього Порядку.

21. Належно оформлена згода на обробку персональних даних зберігається протягом усього строку обробки персональних даних.

22. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.

23. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

Спосіб збору, накопичення персональних даних

24. Збирання персональних даних здійснюється структурним підрозділом Держкіно (відповідальною особою) відповідно до чинного законодавства.

25. Суб'єкт персональних даних повідомляється про його права, визначені Законом, мету збору даних та про третіх осіб, яким передаються його персональні дані, виключно в письмовій формі згідно з Правами суб'єкта персональних даних, чиї персональні дані обробляються в Держкіно (додаток 2) та Повідомленням про обробку персональних даних (додаток 3).

26. Згідно з додатком 3 володілець/розпорядник персональних даних зазначає мету, яка конкретизує дії з персональними даними відповідно до напряму роботи структурного підрозділу Держкіно, та у пункті 2 Повідомлення про обробку персональних даних перелічує персональні дані, потрібні для введення в базу персональних даних.

Строк та умови зберігання персональних даних

27. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, та не довше строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних. У будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

28. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

Умови та процедура внесення змін до персональних даних

29. Керівники структурних підрозділів Держкіно зобов'язані слідкувати за актуальністю та достовірністю персональних даних.

30. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

31. Володілець персональних даних зобов'язаний вносити зміни до персональних даних на підставі:

вмотивованої письмової вимоги суб'єкта персональних даних;

за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних;

згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.

Умови та процедура видалення або знищення персональних даних

32. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.

33. Персональні дані підлягають видаленню або знищенню у разі:

1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або Законом;

2) припинення правовідносин між суб'єктом персональних даних та Держкіно, якщо інше не передбачено Законом;

3) видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;

4) набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

34. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.

35. Видалення та знищення персональних даних здійснюється в спосіб, що виключає подальшу можливість поновлення таких персональних даних.

36. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання.

37. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частина) обробляються незаконно, Держкіно припиняє обробку персональних даних суб'єкта (їх частини) та інформує про це суб'єкта персональних даних.

38. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частини) є недостовірними, Держкіно припиняє обробку персональних даних суб'єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб'єкта персональних даних.

39. У разі якщо вимога не підлягає задоволенню, суб'єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.

40. Суб'єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів у разі, якщо єдиною підставою для обробки є згода суб'єкта персональних даних. З моменту відкликання згоди Держкіно зобов'язане припинити обробку персональних даних.

Порядок доступу до персональних даних осіб, які здійснюють обробку персональних даних

41. Керівники структурних підрозділів Держкіно ведуть облік працівників, які мають доступ до персональних даних суб'єктів, та визначають рівень доступу зазначених працівників до персональних даних суб'єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб'єктів, які необхідні у зв'язку з виконанням своїх професійних чи службових або трудових обов'язків.

42. У такому разі керівниками структурних підрозділів Держкіно з цих осіб береться письмове зобов'язання про нерозголошення персональних даних в (додаток 4).

43. Перелік осіб, з яких було взято письмове зобов'язання про нерозголошення відомостей, які відносяться до персональних даних, заноситься до Журналу реєстрації зобов'язань про нерозголошення персональних даних у Держкіно (додаток 5).

44. Усі інші працівники Держкіно мають право на повну інформацію лише стосовно власних персональних даних.

45. Датою надання права доступу до персональних даних вважається дата надання зобов'язання відповідним працівником.

46. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на посаді не пов'язаній з обробкою персональних даних.

47. Працівники структурного підрозділу, відповідальні за обробку і захист персональних даних, мають право:

отримувати від працівників Держкіно необхідні документи, пов'язані із обробкою персональних даних;

перевіряти правильність заповнення суб'єктом персональних даних, його згоди на збір та обробку персональних даних;

робити копії з отриманих документів;

брати участь в обговоренні виконуваних ними обов'язків щодо організації роботи, пов'язаної із захистом персональних даних при їх обробці;

здійснювати взаємодію з іншими працівниками структурних підрозділів Держкіно при виконанні своїх обов'язків з організації роботи, пов'язаної із захистом персональних даних при їх обробці.

48. Керівники структурних підрозділів Держкіно ведуть облік операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них згідно Додатку 6. З цією метою зберігається інформація про:

- дату, час та джерело збирання персональних даних суб'єкта;

- зміну персональних даних;

- перегляд персональних даних;

- будь-яку передачу (копіювання) персональних даних суб'єкта;

- дату та час видалення або знищення персональних даних;

- працівника, який здійснив одну із указаних операцій;

- мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

49. Керівник структурного підрозділу Держкіно визначає процедуру збереження інформації про операції, пов'язані з обробкою персональних даних суб'єкта та доступом до них.

Порядок доступу до персональних даних суб'єкта персональних даних

50. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених Законом.

51. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

Умови та процедура передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані

52. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог Закону.

53. Доступ третіх осіб до персональних даних не надається, якщо особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання Закону або неспроможна їх забезпечити.

54. Персональні дані працівників Держкіно, які містяться у базі персональних даних, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

55. Персональні дані можуть використовуватися посадовими особами Держкіно, які за змістом своїх обов'язків мають право їх обробляти, лише в необхідному обсязі.

56. Під час обробки персональних даних на фізичних осіб, відомості про яких становлять державну таємницю, Держкіно слід керуватися Законом України "Про державну таємницю" та іншими нормативно-правовими актами, керівними та нормативними документами в сфері охорони державної таємниці.

57. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, відповідальними особами здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.

58. До конфіденційної інформації про фізичну особу належать, зокрема дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження.

59. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов'язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

60. Не належать до інформації з обмеженим доступом відомості, зазначені у деклараціях осіб, уповноважених на виконання функцій держави або місцевого самоврядування, оформленої за формою і в порядку, що встановлені Законом України "Про запобігання корупції" , крім відомостей, визначених абзацом четвертим частини першої статті 47 цього Закону .

61. Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації" .

62. Не належить до інформації з обмеженим доступом необґрунтоване віднесення інформації до інформації з обмеженим доступом.

Заходи забезпечення захисту персональних даних

63. Обробка персональних даних картотек особових справ працівників Держкіно здійснюється в порядку, визначеному Законом України "Про захист персональних даних" , Типовим порядком обробки персональних даних, затвердженим наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14; Законом України "Про державну службу" , Порядком ведення та зберігання особових справ державних службовців, затвердженим наказом Національного агентства України з питань державної служби від 22.03.2016 № 64.

64. Обробка та захист персональних даних у формі картотеки особових справ здійснюється з урахуванням таких вимог:

документи, що містять персональні дані, формуються в справи (картки) залежно від мети обробки персональних даних;

справи з документами, що містять персональні дані, мають внутрішні описи документів;

справи (картки) повинні зберігатися в приміщеннях (сейфах, металевих шафах), які надійно замикаються та опечатуються.

65. Відповідальними за організацію захисту персональних даних в процесі їх обробки у формі картотек особових справ є відповідний керівник структурного підрозділу апарату та працівники які здійснюють обробку цих даних відповідно до посадових інструкцій.

Обробка персональних даних в інформаційно-телекомунікаційній системі

66. Обробка персональних даних в інформаційно-телекомунікаційній системі здійснюється згідно вимог П равил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29.03.2006 № 373, із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому чинним законодавством.

67. Обробка персональних даних в автоматизованій системі Держкіно здійснюється із забезпеченням захисту персональних даних відповідно до Закону, нормативно-правових актів та інших нормативних документів з питань захисту інформації.

68. Держкіно забезпечується антивірусний захист в інформаційній (автоматизованій) системі та використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.

69. Працівники структурних підрозділів допускаються до обробки персональних даних в інформаційних системах лише після їх авторизації.

70. Усі дії з персональними даними, а також результати процедури ідентифікації в інформаційно-телекомунікаційній системі реєструються в обов'язкову порядку.

71. Реєстраційні дані повинні захищатися від несанкціонованого доступу, неконтрольованого ознайомлення, модифікації, знищення та поширення.

72. Відповідальним за організацію технічного захисту інформації в інформаційно-телекомунікаційній системі є відповідна особа на яку покладено функції з впровадження в Держкіно інформаційних технологій.

73. Керівники структурних підрозділів Держкіно вживають необхідних організаційних та технічних заходів з метою забезпечення процедури обробки персональних даних відповідно до чинного законодавства, належного рівня захисту персональних даних від несанкціонованого доступу.

74. Відповідальність за обробку (збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання і поширення (розповсюдження, реалізацію, передачу), знеособлення, знищення) та захист персональних даних покладається на керівників структурних підрозділів Держкіно.

Процедура збереження інформації про операції, пов'язані з обробкою персональних даних та доступом до них

75. Керівник структурного підрозділу Держкіно зобов'язаний організувати роботу щодо:

розроблення процедури доступу до персональних даних працівників відповідно до їх професійних чи службових або трудових обов'язків;

забезпечення виконання законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність щодо обробки і захисту персональних даних;

розроблення порядку (процедури) внутрішнього контролю за дотриманням законодавства України в сфері захисту персональних даних;

фіксування всіх фактів порушень працівниками законодавства України в сфері захисту персональних даних та документів, що регулюють діяльність апарату щодо обробки і захисту персональних даних у базах персональних даних, у строк не пізніше одного робочого дня з моменту виявлення таких порушень;

забезпечення зберігання документів щодо повідомлення суб'єкта про його права.

76. Працівники структурних підрозділів Держкіно, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв'язку з виконанням своїх службових обов'язків, зобов'язані дотримуватись законодавства України в сфері захисту персональних даних та документів, що регулюють діяльність Держкіно щодо обробки і захисту персональних даних.

77. Працівники структурних підрозділів Держкіно, що мають доступ до персональних даних, у тому числі здійснюють їх обробку, зобов'язані не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових, крім випадків, установлених Законом.

78. Заходи щодо захисту персональних даних організовуються та проводяться згідно з чинним законодавством.

79. Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену Законом.

1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

2. Суб'єкт персональних даних має право:

знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

на доступ до своїх персональних даних;

отримувати не пізніше ніж за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися з питань захисту своїх прав щодо персональних даних до Уповноваженого;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

відкликати згоду на обробку персональних даних;

знати механізм автоматичної обробки персональних даних;

на захист від автоматизованого рішення, яке має для нього правові наслідки.

1. При виявленні ознак несанкціонованого доступу до персональних даних, володільцем яких є Держкіно таких як: несанкціоноване отримання логінів і паролів, підбір паролів та ключів, працівник, який виявив дані ознаки, зобов'язаний негайно:

1.1. припинити обробку персональних даних;

1.2. повідомити безпосереднього керівника та відповідальну особу, що організує роботу, пов'язану із захистом персональних даних при їхній обробці у Держкіно (далі - відповідальна особа);

1.3. звернутися до відповідної особи, на яку покладено функції з впровадження в Держкіно інформаційних технологій з метою блокування доступу до облікового запису;

1.4. змінити паролі доступу (за наявності технічної можливості).

2. При виявленні зараження програмного забезпечення та носіїв інформації комп'ютерними вірусами працівник зобов'язаний:

2.1. негайно припинити обробку персональних даних;

2.2. вимкнути комп'ютерну техніку від електроживлення;

2.3. повідомити безпосереднього керівника та відповідальну особу;

2.4. повідомити відповідну особу, на яку покладено функції з впровадження в Держкіно інформаційних технологій.

3. При вчиненні випадкових та/або помилкових дій, що можуть призвести до втрати, зміни, поширення, розголошення персональних даних тощо, необхідно:

3.1. припинити обробку персональних даних;

3.2. про всі події та факти повідомити безпосереднього керівника та відповідальну особу.

4. При відмові та/або збої програмного забезпечення, за допомогою якого здійснюється обробка персональних даних, працівник зобов'язаний:

4.1. припинити обробку персональних даних;

4.2. повідомити безпосереднього керівника та відповідальну особу;

4.3. повідомити відповідну особу, на яку покладено функції з впровадження в Держкіно інформаційних технологій.

5. При виявленні пошкодження, втрати, викрадення документа або іншого носія персональних даних невідкладно повідомити безпосереднього керівника та відповідальну особу.

6. У разі виникнення надзвичайних ситуацій (пожежа, повінь, стихійні лиха тощо):

6.1. вжити невідкладних заходів щодо оповіщення відповідних служб реагування;

6.2. забезпечити збереження носіїв персональних даних осіб від втрати та пошкодження (за наявної можливості та у спосіб, що не загрожує життю та здоров'ю працівників);

6.3. повідомити безпосереднього керівника та відповідальну особу.

7. Про всі випадки несанкціонованого доступу до персональних даних, передбачені пунктами 1-6 даного Плану, та/або інші випадки, що призвели до пошкодження, псування, несанкціонованого доступу, знищення, поширення тощо персональних даних, працівник, який виявив даний факт, та безпосередній керівник невідкладно письмово повідомляють про подію відповідальну особу.

7.1. Повідомлення реєструється відповідно до вимог діловодства у Держкіно.

8. Після отримання повідомлення відповідальна особа складає Акт про факт порушення процесу обробки та захисту персональних даних (далі - Акт).

8.1. Акт підписується відповідальною особою та працівником, яким виявлено (вчинено) дане порушення.

8.2. Відмова від підпису працівника фіксується відповідно до вимог чинного законодавства.

8.3. Організація роботи, пов'язаної із захистом персональних даних при їхній обробці, тих володільців/розпорядників, на яких не поширюються вимоги частини другої статті 24 Закону України "Про захист персональних даних" , покладається безпосередньо на тих осіб, які здійснюють обробку персональних даних.

8.4. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов'язковими для всіх працівників, які здійснюють обробку персональних даних.

9. Підписаний Акт надається Голові Держкіно або, в разі його відсутності, - посадовій особі, на яку покладено виконання його повноважень для прийняття рішення про проведення службового розслідування, повідомлення правоохоронних органів про несанкціонований доступ до персональних даних та вжиття відповідних заходів реагування.