Подскажите пожалуйста. Существует-ли утвержденное типовое Положение об обработке и защите персональных данных в базах персональных данных. Может кто-то разработал сам и поделится? Буду очень благодарна.

Типовое уже существует. Это скачано с юр.сайта.
Додаток 1
до наказу № 35-П від 06.04.2011 р.
ЗАТВЕРДЖУЮ
Директор ПП «Трям»

Підпис
(Е.К.Лэмене)
«01» квітня 2012 р.

ПОЛОЖЕННЯ
Про захист персональних даних
Приватного підприємства
“ТРЯМ”

1. Загальні положення

1.1. Це Положення регулює відносини, пов'язані із захистом персональних даних під час їх обробки.

2. Законодавство про захист персональних даних

2.1. Законодавство про захист персональних даних складають Конституція України, Закон України "Про захист персональних даних" (далі – Закон), інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.

3. Визначення термінів

3.1. У цьому Положенні нижченаведені терміни вживаються в такому значенні:
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець бази персональних даних – приватне підприємство «ТРЯМ»;
Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу;
обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник бази персональних даних - фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.

4. Суб'єкти відносин, пов'язаних із персональними даними

4.1. Суб'єктами відносин, пов'язаних із персональними даними, є:
суб'єкт персональних даних;
володілець бази персональних даних;
розпорядник бази персональних даних;
третя особа;
уповноважений державний орган з питань захисту персональних даних;
інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

5. Об'єкти захисту

5.1. Об'єктами захисту є персональні дані, які обробляються в базі персональних даних.
5.2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
5.3. Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом.

6. Мета обробки персональних даних

6.1. Метою обробки персональних даних є виконання володільцем бази персональних даних статутних завдань та вимог законодавства України.

7. Загальні вимоги до обробки персональних даних

7.1 Володілець бази персональних даних затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
7.2. Персональні дані мають бути точними, достовірними та оновлюватися.
7.3. Склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки.
7.4. Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону.
7.5. Первинними джерелами відомостей про фізичну особу є:
видані на її ім'я документи;
підписані нею документи;
відомості, які особа надає про себе.
7.6. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
7.7. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
7.8. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
7.9. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.
7.10. Використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособленому вигляді.
7.11. Типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних.

8. Особливі вимоги до обробки персональних даних

8.1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.
8.2. Положення п.6.1 не застосовується, якщо обробка персональних даних:
1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;
2) необхідна для здійснення прав та виконання обов'язків у сфері трудових правовідносин відповідно до закону;
3) необхідна для захисту інтересів суб'єкта персональних
даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;
4) необхідна для обґрунтування, задоволення або захисту правової вимоги;
5) стосується обвинувачень у вчиненні злочинів, вироків суду, боротьби з тероризмом;
6) стосується даних, які були оприлюднені суб'єктом персональних даних.

9. Права суб'єкта персональних даних

9.1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
9.2. Суб'єкт персональних даних має право:
1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
5) пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
8.3. Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.

10. Реєстрація баз персональних даних

10.1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
10.2. Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення.
10.3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.
10.4. Заява повинна містити:
звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
інформацію про володільця бази персональних даних;
інформацію про найменування і місцезнаходження бази персональних даних;
інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 Закону;
інформацію про інших розпорядників бази персональних даних;
підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
10.5. Володільцю бази персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.
10.6. Володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.

11. Використання персональних даних

11.1. Використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.
11.2. Використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних.
11.3. Володільцю бази забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.
11.4. Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
11.5. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.

12. Підстави виникнення права на використання персональних даних

12.1. Підставами виникнення права на використання персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
12.2. Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі.

13. Збирання персональних даних

13.1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.
13.2. Суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі.
13.2. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.
13.3. Зібрані відомості про суб'єкта персональних даних, а також інформація про їх джерела надаються цьому суб'єкту персональних даних за його вимогою, крім випадків, установлених законом.

14. Накопичення та зберігання персональних даних

14.1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
14.2. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

15. Поширення персональних даних

15.1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.
15.2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
15.3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
15.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону.

16. Знищення персональних даних

16.1. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог закону.
16.2. Персональні дані в базах персональних даних підлягають знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
16.3. Персональні дані, зібрані з порушенням вимог Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку.
16.4. Персональні дані, зібрані під час виконання завдань боротьби з тероризмом, знищуються в базах персональних даних відповідно до вимог закону.

17. Порядок доступу до персональних даних

17.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.
17.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.
17.3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю бази персональних даних.
У запиті має бути зазначено:
1) прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
3) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
5) перелік персональних даних, що запитуються;
6) мета запиту.
17.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку володілець бази персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
17.5. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.
17.6. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.

18. Відстрочення або відмова у доступі до персональних даних

18.1. Відстрочення доступу суб'єкта персональних даних до своїх персональних даних не допускається.
18.2. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не
може перевищувати сорока п'яти календарних днів.
Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.
18.3. У повідомленні про відстрочення зазначаються:
1) прізвище, ім'я та по батькові посадової особи;
2) дата відправлення повідомлення;
3) причина відстрочення;
4) строк, протягом якого буде задоволено запит.
18.3. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.
18.4. У повідомленні про відмову зазначаються:
1) прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
2) дата відправлення повідомлення;
3) причина відмови.

19. Оплата доступу до персональних даних

19.1. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
19.2. Доступ інших суб'єктів відносин, пов'язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених Законом. Оплаті підлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.
19.3. Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.
19.4. Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.

20. Зміни і доповнення до персональних даних

20.1. Зміни до персональних даних обов`язково вносяться на підставі вмотивованої письмової вимоги суб'єкта персональних даних.
20.2. Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.
20.3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.

21. Повідомлення про дії з персональними даними

21.1. Про передачу персональних даних третій особі володілець бази персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.
21.2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.
21.3. Про зміну чи знищення персональних даних або обмеження доступу до них володілець бази персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці
дані було передано.




22. Забезпечення захисту персональних даних у базах персональних даних

22.1. Володілець бази персональних даних зобов'язаний забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них.

23. Обмеження дії окремих статей Закону

23.1. Обмеження прав, передбачених статтями 8, 11 і 17 Закону, здійснюється лише в інтересах:
1) національної безпеки, економічного добробуту та прав людини;
2) захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби із злочинністю;
3) забезпечення суб'єктів відносин, пов'язаних із персональними даними, зведеною знеособленою інформацією щодо персональних даних відповідно до законодавства.
23.2. Суб'єкти відносин, пов'язаних із персональними даними, здійснюють свої повноваження в межах, установлених Конституцією та законами України.

24. Фінансування робіт із захисту персональних даних

24.1. Фінансування робіт та заходів володільця бази персональних даних щодо забезпечення захисту персональних даних здійснюється за рахунок коштів суб'єктів відносин, пов'язаних із персональними даними.

25. Застосування положень Закону

25.1. Положення щодо захисту персональних даних, викладені в Законі, можуть доповнюватися чи уточнюватися іншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам Закону.

26. Відповідальність за порушення законодавства про захист персональних даних

26.1. Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.

27. Особливості застосування цього Положення

27.1. Це Положення є відкритою для суб'єктів відносин, пов'язаних із персональними даними, інформацією та безперешкодно надається для ознайомлення на їх запит.
27.2. Всі дії ПП «Трям», її засновників, працівників та посадових осіб мають відповідати цьому Положенню.

это Положение я должно сделать у себя, правильно( типа Приказа)?создать базу и зарегистрировать ее? Это все? или я что-то упустила? До 1 июня нужно же зарегистрировать

buhmedik большое спасибо!!! все очень понятно!!!

посадові інструкції працівників, які мають справу з обробленням персональних даних у кого е? поделитесь плизз