Про затвердження Положення про персональні дані Держенергоефективності України

Відповідно до Закону України від 01.06.2010 р. "Про захист персональних даних" та постанови Кабінету Міністрів України від 25.05.2011 р. "Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення"

1. Затвердити Положення про персональні дані Державного агентства з енергоефективності та енергозбереження України, що додається.

2. Відповідальною особою за звітність, обробку та збереження "Бази даних працівників" визначити начальника Відділу кадрів та діловодного забезпечення Шевченко О.О.

3. Відповідальною особою за звітність, обробку та збереження "Бази персональних даних контрагентів та їх представників" визначити начальника Управління бюджетної політики та бухгалтерського обліку Товстенко О.В.

4. Контроль за виконанням цього наказу залишаю за собою.

1.1. Положення розроблено з урахуванням вимог Конституції України, Закону України "Про захист персональних даних", інших законів та підзаконних нормативно-правових актів, міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України в установленому законом порядку на дату затвердження Положення.

1.2. Цим Положенням регулюються відносини, пов'язані із захистом персональних даних під час їх обробки в рамках діяльності Державного агентства з енергоефективності та енергозбереження України (надалі - Держенергоефективності України).

1.3. Положення дає визначення персональних даних; містить процедуру обробки персональних даних.

1.4. Обсяг персональних даних, які можуть бути включені до баз персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до Закону України "Про захист персональних даних" та Положення.

1.5. Персональні дані мають бути точними, достовірними, у разі необхідності - оновлюватися.

1.6. Вимоги цього Положення стосуються всіх структурних підрозділів Держенергоефективності України.

2.1. У цьому Положенні нижченаведені терміни вживаються в такому значенні:

База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

Володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено Законом України "Про захист персональних даних";

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

Згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

Знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу;

Обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

Розпорядник бази персональних даних - фізична чи юридична особа, якій володільцем бази персональних даних або Законом України "Про захист персональних даних" надано право обробляти ці дані;

Суб'єкт персональних даних - фізична особа, стосовно якої відповідно до Закону України "Про захист персональних даних" здійснюється обробка її персональних даних;

Третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до Закону України "Про захист персональних даних".

3.1. Держенергоефективності України є володільцем баз персональних даних співробітників, прийнятих на роботу в Держенергоефективності України. В базах персональних даних співробітників міститься інформація про П.І.Б., дату та місце народження, домашній телефон, місце реєстрації, паспортні дані, освіту, сімейний стан, дітей, громадянство, наявність судимості, дані про досвід роботи, проходження служби та бухгалтерські дані з нарахування заробітної плати.

3.2. База даних працівників Держенергоефективності України зберігається у картотеці та в електронному вигляді в системі "Картка", яка зберігається у приміщенні Держенергоефективності України (01601, м. Київ, пров. Музейний, 12); база персональних даних контрагентів та їх представників Держенергоефективності України зберігається у картотеці та в електронному вигляді в програмі "Парус-заробітна плата" в розділі "Співробітники" яка зберігається у приміщенні Держенергоефективності України (01601, м. Київ, провулок Музейний, 12).

3.3. Обробка персональних даних Держенергоефективності України здійснюється для конкретних і законних цілей. Метою оброблення баз персональних даних співробітників є здійснення прав та виконання обов'язків у сфері трудових правовідносин відповідно до Закону України "Про захист персональних даних".

3.4. Згода на обробку персональних даних співробітників надається у письмовій формі фізичними особами на стадії їх працевлаштування у Держенергоефективності України, а працівників, що були прийняті на роботу до Держенергоефективності України до набрання чинності Закону України "Про захист персональних даних", після вступу Закону України "Про захист персональних даних" в законну силу.

3.5. Держенергоефективності України вносяться зміни до персональних даних на підставі вмотивованої письмової вимоги (повідомлення) суб'єкта персональних даних.

4.1. Усі персональні дані, володільцем яких є Держенергоефективності України, за режимом доступу є інформацією з обмеженим доступом.

4.2. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених Законом України "Про захист персональних даних", і лише в інтересах національної безпеки, економічного добробуту та прав людини.

4.3. Доступ до персональних даних, визначених п. 3.1 цього Положення, мають співробітники Держенергоефективності України в межах виконання своїх трудових обов'язків із сприяння працевлаштуванню.

4.4. Для розробки та здійснення заходів із забезпечення безпеки персональних даних при їх обробці в інформаційній системі Держенергоефективності України Головою Державного агентства з енергоефективності та енергозбереження України призначаються структурні підрозділи, що відповідальні за забезпечення безпеки персональних даних у Агентстві.

4.5. Доступ до персональних даних, визначених п. 3.1 цього Положення, мають співробітники Держенергоефективності України в межах виконання своїх трудових обов'язків із ведення кадрового діловодства та нарахування заробітної плати.

4.6. Доступ до персональних даних будь-якій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону "Про захист персональних даних" або неспроможна їх забезпечити.

4.7. Доступ фізичної особи, чиї персональні дані оброблюються Держенергоефективності України, надаються у порядку, передбаченому Законом "Про захист персональних даних", на підставі письмового запиту фізичної особи - суб'єкта персональних даних. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

5.1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

5.2. Суб'єкт персональних даних має право:

1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених Законом "Про захист персональних даних";

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом "Про захист персональних даних", відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

5) пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених Законом України "Про захист персональних даних";

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

6.1. Використання персональних даних передбачає будь-які дії відповідальних осіб Держенергоефективності України щодо обробки цих даних, дії щодо їх захисту. Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.

6.2. Використання персональних даних володільцем баз здійснюється у разі створення ним умов для захисту цих даних. Володільцю баз забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.

6.3. Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних обов'язків. Таке зобов'язання дійсне і після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних".

6.4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.

6.5. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

6.6. Суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені Законом "Про захист персональних даних" та цим Положенням, мету збору даних та осіб, яким передаються його персональні дані, в письмовій формі. До письмової форми прирівнюються направлення листа в електронній формі.

6.7. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.

6.8. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

6.9. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.

6.10. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених Законом України "Про захист персональних даних", і лише в інтересах національної безпеки, економічного добробуту та прав людини.

6.11. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

6.12. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону України "Про захист персональних даних".

6.13. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог ч. 2 ст. 15 Закону України "Про захист персональних даних".

7.1. Бази персональних даних підлягають реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

7.2. Держенергоефективності України, як володільцю баз персональних даних, видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.

8.1. Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену Законом України "Про захист персональних даних" та чинним законодавством України.