Внутрішні документи організації

Затверджено
Рішенням Правління громадської організації «Зелений маєток»
від 10 липня 2015року Протокол № 35

Голова _______________ В.Календар

ПОЛОЖЕННЯ
про обробку і захист персональних даних громадської організації «Зелений маєток »


Стаття 1. Загальні вимоги та мета Положення
1.1. Цим Положенням регулюються відносини, пов'язані із захистом персональних даних під час їх обробки в рамках діяльності громадської організації «Зелений маєток».
1.2. Відносини, що не врегульовані даним Положенням, регулюються на підставі норм чинного законодавства України.
Стаття 2. Визначення термінів
2.1. У цьому Положенні нижче наведені терміни вживаються в такому значенні:
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

відповідальна особа – визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до законодавства України;

володілець / розпорядник бази персональних даних –громадська організація «Зелений маєток», якій за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки

обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, видаленням відомостей про фізичну особу;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

Організація –громадська організація «Зелений маєток»;

суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.

Стаття 3. Бази персональних даних, володільцем та розпорядником яких є Організація
3.1. Організація є володільцем наступних баз персональних даних: «Працівники», «Контрагенти», «Члени організації».

3.2. У базі персональних даних «Працівники» обробляються такі категорії персональних даних: прізвище, ім’я, по батькові, паспортні дані, дата народження, реєстраційний номер облікової картки платника податків (ідентифікаційний номер), місце проживання фактичне та за державною реєстрацією, громадянство, освіта, професія, спеціальність, кваліфікація, трудовий стаж, стать, родинний стан, склад сім’ї, відомості про військовий облік; дані, що стосуються здоров’я в межах, визначених чинним в Україні законодавством про працю; дані, що підтверджують право працівника на пільги, встановлені чинним в Україні законодавством про працю та законодавством про захист інвалідів; номери телефонів, електронні адреси, фотографії.

3.3. Категорії персональних даних, що обробляються у базі даних «Контрагенти»: паспортні дані, реєстраційний номер облікової картки платника податків фізичної особи - підприємця (індивідуальний податковий номер); дані щодо місця реєстрації та фактичного місця проживання, прізвище, ім’я, по батькові, дані про державну реєстрацію, дані про відкриті розрахункові рахунки, дані щодо системи оподаткування, номери телефонів, дані щодо місця здійснення діяльності.

3.4. Категорії персональних даних, що обробляються у базі даних «Члени організації»: паспортні дані – прізвище, ім’я, по батькові, паспортні дані, дата народження, серія та номер паспорта, ким та коли виданий, місце проживання; ідентифікаційний номер; контактний телефон, електронна пошта; дані про розмір внеску до Товариства; дані про розмір частки в Статутному капіталі Товариства у відсотках; дані що підтверджує право власності на земельну ділянку та житловий будинок; дані про наявність рухомого майна.

3.5. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя, не здійснюється.

Стаття 4. Мета обробки персональних даних
4.1. Метою обробки відомостей, занесених до бази персональних даних «Працівники», є забезпечення реалізації трудових відносин, адміністративно-правових відносин, податкових відносин, відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами відповідно до Кодексу законів про працю України, Податкового кодексу України, Закону України «Про збір та облік єдиного внеску на загальнообов’язкове державне соціальне страхування», Закону України «Про зайнятість населення», наказу Державного комітету статистики України, Міністерства оборони України «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25 грудня 2009 року № 459/656, Статуту Олрганізації.

4.2. Персональні дані бази «Контрагенти» обробляються з метою забезпечення реалізації господарських, податкових відносин, відносин у сфері бухгалтерського обліку, відносин у сфері статистики відповідно до Податкового кодексу України, Господарського кодексу України, Цивільного кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», Статуту Організації.

4.3. Персональні дані бази «Члени організації» обробляються з метою забезпечення реалізації адміністративно - правових відносин, відносин у сфері громадської діяльності, податкових відносин, відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами відповідно до Податкового кодексу України, Закону України «Про об’єднання громадян», Статуту Організації, внутрішніх документів організації.

Стаття 5. Права суб'єктів персональних даних
5.1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

5.2. Суб'єкт персональних даних має право:
5.2.1. знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених чинним законодавством України;

5.2.2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;

5.2.3. на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

5.2.4. отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

5.2.5. пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

5.2.6. пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

5.2.7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

5.2.8. звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

5.2.9. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Стаття 6. Підстави та порядок обробки персональних даних
6.1. Обробка персональних даних здійснюється на підставі письмової згоди суб’єкта персональних даних або відповідно до правовідносин, що склалися до набрання чинності Законом України «Про захист персональних даних», на основі вільного волевиявлення суб’єкта персональних даних.

6.2. Згода суб'єкта персональних даних має бути документованим добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

6.3. Згода суб’єкта персональних даних може бути надана шляхом подання відповідної письмової заяви, підписання згоди-повідомлення або іншим документованим способом. Згода суб’єкта персональних даних - члена Організації, має бути надана шляхом заповнення суб’єктом персональних даних письмової заяви про прийняття до Організації.

6.4. Заява про прийняття до Організації члена Організації заповнюється у двох примірниках, один з яких після підписання суб’єктом персональних даних залишається у нього, а інших зберігається у рганізації протягом всього часу обробки персональних даних.

6.5. Суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені Законом "Про захист персональних даних" та цим Положенням, мету збору даних та осіб, яким передаються його персональні дані, в письмовій формі. До письмової форми прирівнюються направлення листа в електронній формі.

6.6. Використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.

6.7. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог закону, у випадках, передбачених ч. 2 ст. 15 Закону України "Про захист персональних даних".

Стаття 7. Захист персональних даних
7.1. Відповідальна особа організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону. Відповідальна особа визначається рішенням правління Організації.

7.2. Відповідальна особа зобов’язана:
- знати законодавство України в сфері захисту персональних даних;
- розробити процедури доступу до персональних даних співробітників відповідно до їхніх професійних чи службових або трудових обов'язків;
- забезпечити виконання співробітниками Організації вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних;
- повідомляти правління організації про факти порушень вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних у термін не пізніше одного робочого дня з моменту виявлення таких порушень;
- забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку своїх персональних даних та повідомлення вказаного суб’єкта про його права.

7.3. З метою виконання своїх обов’язків відповідальна особа має право:
- робити копії з отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних обчислювальних мережах і автономних комп'ютерних системах;
доступу до всіх приміщень, документів Організації;
- брати участь в обговоренні виконуваних ним обов’язків організації роботи, пов'язаної із захистом персональних даних при їх обробці;
- здійснювати взаємодію з іншими співробітниками Організації при виконанні своїх обов’язків з організації роботи, пов'язаної із захистом персональних даних при їх обробці.

7.4. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних.

7.5. Працівники, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових обов’язків. Таке зобов'язання є дійсним і після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

7.6. Особи, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно законодавства України.

Стаття 8. Обмежений доступ до персональних даних
8.1. Усі персональні дані, володільцем яких є Організаціяа, є інформацією з обмеженим доступом.

8.2. Доступ до персональних даних особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог законодавства України про захист персональних даних або неспроможна забезпечити їх захист.

8.3. Доступ фізичної особи, чиї персональні дані обробляються Організацією, надається у порядку, передбаченому Законом "Про захист персональних даних", на підставі письмового запиту фізичної особи - суб'єкта персональних даних. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

Стаття 9. Реєстрація баз персональних даних

9.1. Державна реєстрація баз персональних даних здійснюється відповідно до ст. 9 Закону України «Про захист персональних даних».

Стаття 10. Порядок затвердження, внесення змін та доповнень до Положення

10.1. Положення затверджується Правлінням Організації.

10.2. За рішенням Правління Організації до цього Положення можуть бути внесені зміни та доповнення.