61. Використання персональних даних працівниками структурних підрозділів здійснюється за умови забезпечення захисту цих даних. Працівникам структурних підрозділів забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим: суб'єктам відносин, пов'язаних з такими даними.
62. Використання персональних даних працівниками структурних підрозділів здійснюється лише відповідно до їхніх професійних чи службових або трудових обов'язків.
62.1. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, крім випадків, передбачених законом.
62.2. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
Умови та процедура внесення змін та доповнень до персональних даних
63. Керівники структурних підрозділів зобов'язані слідкувати за актуальністю та достовірністю персональних даних суб'єктів персональних даних, що обробляються працівниками структурних підрозділів.
64. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені з моменту встановлення невідповідності.
65. Працівник структурного підрозділу зобов'язаний вносити зміни та доповнення до персональних даних на підставі:
1) вмотивованої письмової вимоги суб'єкта персональних даних;
2) за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних;
3) згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.
66. Про зміну персональних даних Держкіно протягом десяти днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
Умови та процедура видалення або знищення персональних даних
67. Персональні дані видаляються або знищуються в порядку, встановленому Законом.
68. Персональні дані підлягають видаленню або знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або Законом;
2) припинення правовідносин між суб'єктом персональних даних та Держкіно, якщо інше не передбачено Законом;
3) видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
4) набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
69. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку.
70. Видалення та знищення персональних даних здійснюється в спосіб, що виключає подальшу можливість поновлення таких персональних даних.
71. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу Держкіно щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту.
71.1. Така вимога розглядається Держкіно впродовж десяти днів з моменту отримання.
72. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частина) обробляються незаконно, Держкіно припиняє обробку персональних даних суб'єкта (їх частини) та інформує про це суб'єкта персональних даних.
73. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частини) є недостовірними, Держкіно припиняє обробку персональних даних суб'єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб'єкта персональних даних.
74. У разі якщо вимога не підлягає задоволенню, суб'єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
75. Суб'єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів у разі, якщо єдиною підставою для обробки є згода суб'єкта персональних даних.
75.1. З моменту відкликання згоди Держкіно зобов'язане припинити обробку персональних даних.
76. Про видалення чи знищення персональних даних Держкіно протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
Умови та процедура поширення (розповсюдження, реалізація, передача) персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані
77. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.
78. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
79. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
80. Сторона, якій Держкіно передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону України "Про захист персональних даних".
81. Про передачу персональних даних третій особі Держкіно протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом, крім:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
4) повідомлення Держкіно відповідно до вимог частини другої статті 12 Закону України "Про захист персональних даних".
Міжнародне співробітництво та недодача персональних даних
82. Співробітництво Держкіно з іноземними суб'єктами відносин, пов'язаних із персональними даними здійснюється відповідно до Конституції України, Закону України "Про захист персональних даних", інших нормативно-правових актів та міжнародних договорів України.
82.1. Якщо міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то Держкіно застосовуються правила міжнародного договору України.
83. Передача Держкіно персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними (транскордонна передача), здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
83.1. Перелік держав, які забезпечують належний захист персональних даних, визначає Кабінет Міністрів України.
83.2. Держави - учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.
84. Персональні дані не можуть поширюватися Держкіно з іншою метою, ніж та, з якою вони були зібрані.
84.1. Персональні далі можуть передаватися іноземним суб'єктам відносин, пов'язаних з персональними даними, також у разі:
1) надання суб'єктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою - суб'єктом персональних даних на користь суб'єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб'єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги.
5) надання володільцем персональних даних відповідних трап тій щодо невтручання в особисте і сімейне життя суб'єкта персональних даних.
85. Не вважається транскордонною передачею опублікування, оприлюднення інформації, що містить персональні дані в будь-який спосіб, що надає доступ до неї невизначеному колу осіб (зокрема за допомогою глобальних телекомунікаційних мережам), а не спрямоване конкретному одержувачеві.
Процедура збереження інформації про операції, пов'язані з обробкою персональних даних та доступом до них
86. Працівники структурних підрозділів, які здійснюють обробку персональних, ведуть облік операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них згідно Додатка 6.
86.1. З цією метою Держкіно зберігається інформація про:
1) дату, час та джерело збирання персональних даних суб'єкта;
2) зміну персональних даних;
3) перегляд персональних даних;
4) будь-яку передачу (копіювання) персональних даних суб'єкта;
5) дату та час видалення або знищення персональних даних;
6) працівника, який здійснив одну із указаних операцій;
7) мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.
Заходи забезпечення захисту персональних даних
87. Обробка та захист персональних даних у формі картотеки справ здійснюється з урахуванням таких вимог:
1) документи, що містять персональні дані, формуються у справи (особові справи, картки) залежно від мети обробки персональних даних;
2) справи з документами (особові справи, картки), що містять персональні дані, мають внутрішні описи документів;
3) справи (особові справи, картки) зберігаються в кабінетах приміщення Держкіно у шафах та сейфах, які надійно замикаються (опечатуються у разі необхідності).
87.1. Двері кабінетів приміщення Держкіно, у яких зберігаються картотеки справ, замикаються під ключ.
87.2. Вхід до приміщення працівниками Держкіно здійснюється з використанням магнітних карток.
88. Організація роботи, пов'язаної із захистом персональних даних від випадкової втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних при їх обробці в Держкіно, покладається на керівників структурних підрозділів.
89. Захист персональних даних від випадкової втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних під час їх обробки працівниками структурних підрозділів безпосередньо покладається на тих працівників, які здійснюють обробку таких персональних даних.
90. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб'єктів, вживаються заходи щодо унеможливлених доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб'єктів передаються іншому працівнику.
91. Відповідальними за організацію захисту персональних даних в процесі їх обробки у формі картотек особових справ є керівники структурних підрозділів, працівники яких здійснюють обробку персональних даних відповідно до посадових інструкцій.
92. В інформаційній (автоматизованій) системі Держкіно забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.
93. Працівники структурних підрозділів допускаються до обробки персональних даних в інформаційних (ароматизованих) системах лише після їх авторизації.
94. Усі дії з персональними даними, а також результати процедури ідентифікації в інформаційно-телекомунікаційній (автоматизованій) системі, реєструються в обов'язкову порядку.
94.1. Реєстраційні дані повинні захищатися працівниками структурних підрозділів від несанкціонованого доступу, неконтрольованого ознайомлення, модифікації, знищення та поширення.
94.2. Комп'ютери працівників структурних підрозділів, в яких містяться персональні дані, захищені паролем. Кожен працівник структурного підрозділу має особистий пароль.
95. Відповідальним за організацію технічного захисту інформації в інформаційно-телекомунікаційній (автоматизованій) системі є відповідна особа, на яку покладено функції з впровадження в Держкіно інформаційних технологій (автоматизованих) систем.
96. Керівники структурних підрозділів Держкіно вживають необхідних організаційних та технічних заходів з метою забезпечення процедури обробки персональних даних відповідно до чинного законодавства, належного рівня захисту персональних даних від несанкціонованого доступу.
97. На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій працівники та керівники структурних підрозділів зобов'язані діяти згідно затвердженого плану дій працівників Держкіно.
98. Відповідальною особою здійснюється документальне фіксування спроб та фактів несанкціонованих та/або незаконних дій (процесів) обробки персональних даних.
| Начальник юридичного відділу | Ю.І. Шевчук |
( Порядок в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
Додаток 1
до Порядку обробки та захисту
персональних даних Держкіно
ЗГОДА
НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ
( Див. текст )( Додаток 1 в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
Додаток 2
до Порядку обробки та захисту
персональних даних Держкіно
ЗОБОВ'ЯЗАННЯ
ПРО НЕРОЗГОЛОШЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ
( Див. текст )( Додаток 2 в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
Додаток 3
до Порядку обробки та захисту
персональних даних Держкіно
ЖУРНАЛ
РЕЄСТРАЦІЇ ЗОБОВ'ЯЗАНЬ ПРО НЕРОЗГОЛОШЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ В ДЕРЖАВНОМУ АГЕНТСТВІ УКРАЇНИ З ПИТАНЬ КІНО
| № | Посада | Прізвище, ім'я, по батькові | Дата надання доступу до персональних даних | Дата надання зобов'язання | Дата та причина позбавлення доступу до персональних даних |
| 1 | 2 | 3 | 4 | 5 | 6 |
( Додаток 3 в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
Додаток 4
до Порядку обробки та захисту
персональних даних Держкіно
ПОВІДОМЛЕННЯ
ПРО ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ
( Див. текст )( Додаток 4 в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
Додаток 5
до Порядку обробки та захисту
персональних даних Держкіно
ПРАВА
СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ, ЧИЇ ПЕРСОНАЛЬНІ ДАНІ ОБРОБЛЯЮТЬСЯ В ДЕРЖАВНОМУ АГЕНТСТВІ УКРАЇНИ З ПИТАНЬ КІНО
1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
2. Суб'єкт персональних даних має право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніше ніж за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися з питань захисту своїх прав щодо персональних даних до Уповноваженого;
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
вносити застереження стосовно обмеження права па обробку своїх персональних даних під час надання згоди;
відкликати згоду на обробку персональних даних;
знати механізм автоматичної обробки персональних даних;
на захист від автоматизованого рішення, яке має для нього правові наслідки.
| ___________________ (дата) | ____________________ (підпис) |
( Додаток 5 в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
Додаток 6
до Порядку обробки та захисту
персональних даних Держкіно
ЖУРНАЛ
ОБЛІКУ ОПЕРАЦІЙ, ПОВ'ЯЗАНИХ З ОБРОБКОЮ ПЕРСОНАЛЬНИХ ДАНИХ СУБ'ЄКТА ТА ДОСТУПОМ ДО НИХ
( Додаток 6 в редакції Наказу Державного агентства України з питань кіно № 117 від 08.05.2020 )
( Текст взято з сайту Держкіно України http://www.dergkino.gov.ua )
