I. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1 Положення про обробку та захист персональних даних у “Звіти” (далі – Положення) визначає мету, умови та порядок обробки персональних даних, склад персональних даних, заходи, спрямовані на захист персональних даних у некомерційному партнерстві.
1.2 Це Положення визначає політику “Звіти” як оператора, що здійснює обробку персональних даних, щодо обробки та захисту персональних даних.
1.3 Обробка персональних даних у “Звіти” здійснюється з дотриманням таких принципів:
1.3.1 Обробка персональних даних здійснюється на законній та справедливій основі;
1.3.2 Обробка персональних даних обмежується досягненням конкретних, заздалегідь визначених і законних цілей. Не допускається обробка персональних даних, несумісна з цілями збору персональних даних;
1.3.3 Не допускається об’єднання баз даних, що містять персональні дані, обробка яких здійснюється в цілях, несумісних між собою;
1.3.4 Обробці підлягають тільки персональні дані, які відповідають цілям їх обробки;
1.3.5 Зміст і обсяг персональних даних, що обробляються, повинні відповідати заявленим цілям обробки. Оброблювані персональні дані не повинні бути надлишковими по відношенню до заявлених цілей їх обробки;
1.3.6 Під час обробки персональних даних мають бути забезпечені точність персональних даних, їх достатність, а в необхідних випадках і актуальність щодо цілей обробки персональних даних. “Звіти” повинен вживати необхідних заходів або забезпечувати їх вжиття щодо видалення або уточнення неповних чи неточних даних.
1.3.7 Зберігання персональних даних має здійснюватися у формі, що дає змогу визначити суб’єкта персональних даних, не довше, ніж цього вимагають цілі оброблення персональних даних, якщо строк зберігання персональних даних не встановлений законом, договором, стороною якого, вигодонабувачем або поручителем за яким є суб’єкт персональних даних. Оброблювані персональні дані підлягають знищенню або знеособленню після досягнення цілей обробки або в разі втрати необхідності в досягненні цих цілей, якщо інше не передбачено законом.
1.4 Основні поняття, що використовуються в цьому Положенні:
1.4.1 Суб’єкт персональних даних – фізична особа, яка перебуває з “Звіті” у трудових відносинах, фізична особа, яка є членом “Звіті”, представником члена “Звіті” – юридичної особи, стороною за цивільно-правовим договором, укладеним із “Звіті”, стажистом (практикантом), інша фізична особа, обробку персональних даних якої здійснює “Звіті” відповідно до цього Положення та законодавства України;
1.4.2 Персональні дані – будь-яка інформація, що відноситься до прямо або побічно визначеної або визначуваної фізичної особи (суб’єкта персональних даних);
1.4.3 Оператор – державний орган, муніципальний орган, “Звіти” або інша юридична, фізична особа, яка самостійно або спільно з іншими особами організовує та (або) здійснює оброблення персональних даних, а також визначає мету оброблення персональних даних, склад персональних даних, що підлягають обробленню, дії (операції), що здійснюються з персональними даними;
1.4.4 Обробка персональних даних – будь-яка дія (операція) або сукупність дій (операцій), що вчиняються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включно зі збиранням, записуванням, систематизацією, накопиченням, зберіганням, уточненням (оновленням, зміною), витяганням, використанням, передачею (розповсюдженням, наданням, доступом), знеособленням, блокуванням, видаленням, знищенням персональних даних;
1.4.5 Автоматизована обробка персональних даних – обробка персональних даних за допомогою засобів обчислювальної техніки;
1.4.6 Поширення персональних даних – дії, спрямовані на розкриття персональних даних невизначеному колу осіб;
1.4.7 Надання персональних даних – дії, спрямовані на розкриття персональних даних певній особі або певному колу осіб;
1.4.8 Блокування персональних даних – тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних);
1.4.9 Знищення персональних даних – дії, внаслідок яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних та (або) внаслідок яких знищуються матеріальні носії персональних даних;
1.4.10 Знеособлення персональних даних – дії, внаслідок яких стає неможливим без використання додаткової інформації визначити належність персональних даних конкретному суб’єкту персональних даних;
1.4.11. Інформаційна система персональних даних – сукупність персональних даних, що містяться в базах даних, та інформаційних технологій і технічних засобів, що забезпечують їх обробку;
1.4.12. Транскордонне передання персональних даних – передання персональних даних на територію іноземної держави органу влади іноземної держави, іноземній фізичній особі або іноземній юридичній особі.
II. ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ, СКЛАД ПЕРСОНАЛЬНИХ
2.1 Цілі обробки персональних даних:
проведення наукових досліджень, включно з науковим вивченням та обговоренням зовнішньополітичних і міжнародних проблем;
підготовка експертних висновків із зовнішньополітичних питань, надання консультаційних, інформаційних та експертних послуг членам “Звіту”;
організація взаємодії між українськими та іноземними, міжнародними організаціями з питань міжнародного характеру;
організація наукових конференцій, симпозіумів, семінарів та інших заходів, зокрема міжнародних, та участь у них;
здійснення інформаційного співробітництва з міжнародними, зарубіжними організаціями, іноземними вченими та фахівцями;
публікація на Інтернет-порталі “Звіти” інформації та аналітичних матеріалів з міжнародної проблематики;
видання в установленому порядку монографій, збірників статей, інших наукових та інформаційних матеріалів, а також здійснення видавничо-поліграфічної діяльності, випуск, розповсюдження та реалізація друкованої й аудіовізуальної продукції та інших матеріалів, пов’язаних з діяльністю “Звіту”;
організація та проведення конкурсів;
організації та проведення стажування (практики) у “Звіті”;
регулювання трудових відносин, забезпечення кадрової роботи у “Звіті”, у тому числі, надання працівникам “Звіті” додаткових гарантій і компенсацій, у тому числі, добровільного медичного страхування, медичного обслуговування та інших видів соціального забезпечення;
підготовка, укладення, виконання та припинення цивільно-правових договорів;
протидія корупції та відмиванню доходів, одержаних злочинним шляхом;
виконання судових актів, інших актів, вимог, приписів, запитів державних органів або посадових осіб, що підлягають виконанню відповідно до законодавства України;
здійснення інших прав та виконання інших обов’язків, передбачених статутом “Звіти”, локальними нормативними актами “Звіти”, нормативно-правовими актами України.
2.2 З метою, зазначеною в пункті 2.1 цього Положення, обробляються такі категорії персональних даних суб’єктів персональних даних:
2.2.1. прізвище, ім’я, по батькові;
2.2.2. число, місяць, рік народження;
2.2.3. місце народження;
2.2.4. інформація про громадянство;
2.2.5. вид, серія, номер документа, що посвідчує особу, найменування органу, який його видав, дата видачі;
2.2.6. адреса місця проживання (адреса реєстрації, фактичного проживання);
2.2.7. номер контактного телефону або відомості про інші способи зв’язку;
2.2.8. реквізити страхового свідоцтва державного пенсійного страхування;
2.2.9. ідентифікаційний номер платника податків;
2.2.10. сімейний стан;
2.2.11. відомості про трудову діяльність;
2.2.12. відомості про військовий облік та реквізити документів військового обліку;
2.2.13. відомості про освіту, зокрема про післявузівську професійну освіту, відомості про професійну перепідготовку та (або) підвищення кваліфікації;
2.2.14. відомості про науковий ступінь;
2.2.15. інформація про володіння іноземними мовами;
2.2.16. інформація про щорічні оплачувані відпустки, навчальні відпустки та відпустки без збереження заробітної плати утримання, направлення у відрядження;
2.2.17. відомості про доходи;
2.2.18. банківські реквізити;
2.2.19. фотографія;
2.2.20. спеціальні категорії персональних даних: політичні погляди, філософські переконання.
2.2.21. інші персональні дані, необхідні для досягнення цілей, передбачених пунктом 2.1 цього Положення.
2.3 Конкретний склад персональних даних визначається відповідно до нормативно-правових актів України, локальних нормативних актів “Звіті”, характеру суспільних відносин, у які вступають суб’єкт персональних даних і “Звіти”, з урахуванням цілей обробки персональних даних, зазначених у пункті 2.1 цього Положення.
III. УМОВИ ТА ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
3.1 Обробка персональних даних допускається в таких випадках:
3.1.1 Обробка персональних даних здійснюється за згодою суб’єкта персональних даних на обробку його персональних даних;
3.1.2 Обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором України або законом, для здійснення та виконання покладених законодавством України на “Звіти” функцій, повноважень та обов’язків;
3.1.3 Обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства України про виконавче провадження (далі – виконання судового акта);
3.1.4 Обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем чи поручителем за яким є суб’єкт персональних даних, а також для укладення договору за ініціативою суб’єкта персональних даних або договору, за яким суб’єкт персональних даних буде вигодонабувачем чи поручителем;
3.1.5 Обробка персональних даних необхідна для захисту життя, здоров’я або інших життєво важливих інтересів суб’єкта персональних даних, якщо отримання згоди суб’єкта персональних даних неможливе;
3.1.6 Обробка персональних даних необхідна для здійснення прав і законних інтересів “Звіти” або третіх осіб, або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права і свободи суб’єкта персональних даних;
3.1.7 Оброблення персональних даних необхідне для наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права і законні інтереси суб’єкта персональних даних;
3.1.8 Оброблення персональних даних здійснюється в статистичних або інших дослідницьких цілях, за винятком цілей просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв’язку, а також з метою політичної агітації, за умови обов’язкового знеособлення персональних даних;
3.1.9 Здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб’єктом персональних даних або на його прохання (далі – персональні дані, зроблені загальнодоступними суб’єктом персональних даних);
3.1.10. Здійснюється обробка персональних даних, що підлягають опублікуванню або обов’язковому розкриттю відповідно до закону.
3.2 Суб’єкт персональних даних ухвалює рішення про надання його персональних даних і надає згоду на їх обробку вільно, своєю волею та у своєму інтересі.
3.3 Згода на обробку персональних даних може бути надана суб’єктом персональних даних або його представником у будь-якій формі, що дає змогу підтвердити факт її одержання, зокрема, шляхом вчинення конклюдентних дій у процесі реєстрації на Інтернет-порталі “Звіти”, заповнення відповідних форм (заявок) на Інтернет-порталі “Звіти” і надсилання до “Звіті” за допомогою Інтернет-порталу “Звіти”, якщо інше не встановлено законом.
3.4 У випадках, передбачених законом, оброблення персональних даних здійснюється тільки за згодою в письмовій формі суб’єкта персональних даних.3.5 “Звіти” здійснює збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних шляхом:неавтоматизованої обробки персональних даних;автоматизованої обробки персональних даних з передачею отриманої інформації інформаційно-телекомунікаційними мережами або без такої;змішаної обробки персональних даних.
3.6 “Звіти” здійснює транскордонне передання персональних даних тільки на територію іноземних держав, що забезпечують адекватний захист прав суб’єктів персональних даних, за винятком випадків, коли відповідно до закону “Про персональні дані” воно заборонене або обмежене з метою захисту основ конституційного ладу України, моралі, здоров’я, прав та законних інтересів громадян, забезпечення оборони країни і безпеки держави.
3.7 Прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб’єкта персональних даних або іншим чином зачіпають його права і законні інтереси, не здійснюється.
3.8 “Звіти” не розкриває третім особам і не поширює персональні дані без згоди суб’єкта персональних даних, якщо інше не передбачено законом.
3.9 “Звіти” має право доручити обробку персональних даних іншій особі за згодою суб’єкта персональних даних, якщо інше не передбачено законом, на підставі договору, що укладається з цією особою. Особа, яка здійснює обробку персональних даних за дорученням “Звіти”, зобов’язана дотримуватися принципів і правил обробки персональних даних, передбачених законом “Про персональні дані”. Договір має містити перелік дій (операцій) з персональними даними, які будуть вчинятися особою, що здійснює обробку персональних даних, мету обробки, обов’язок такої особи дотримуватися конфіденційності персональних даних та забезпечувати безпеку персональних даних під час їх обробки, вимоги до захисту оброблюваних персональних даних відповідно до закону “Про персональні дані”.
IV. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
4.1 Суб’єкт персональних даних має право на отримання інформації, що стосується обробки його персональних даних.
4.2 Суб’єкт персональних даних має право вимагати від “Звіті” уточнення його персональних даних, їх блокування або знищення, у тому числі, у разі, якщо персональні дані є неповними, застарілими, неточними.
4.3 Суб’єкт персональних даних має право вживати передбачених законом заходів щодо захисту своїх прав.
4.4 Право суб’єкта персональних даних на доступ до його персональних даних може бути обмежено відповідно до законів України.
4.5 Згода на обробку персональних даних може бути відкликана суб’єктом персональних даних. У разі відкликання суб’єктом персональних даних згоди на обробку персональних даних “Звіти” має право продовжити обробку персональних даних без згоди суб’єкта персональних даних за наявності підстав, передбачених законом “Про персональні дані”.
V. ЗОБОВ’ЯЗКИ “Звіти” ПРИ ЗБІРІ ПЕРСОНАЛЬНИХ ДАННИХ
5.1 При зборі персональних даних “Звіти” зобов’язаний надати суб’єкту персональних даних на його прохання інформацію, що стосується обробки його персональних даних, або на законних підставах надати відмову.
5.2 На вимогу суб’єкта персональних даних уточнювати оброблювані персональні дані, блокувати або видаляти, якщо персональні дані є, зокрема, неповними, застарілими, неточними, незаконно отриманими.
5.3 Якщо персональні дані отримані не від суб’єкта персональних даних, “Звіти” до початку обробки таких персональних даних зобов’язаний повідомити суб’єкта персональних даних, за винятком випадків, якщо:
5.3.1. Суб’єкт персональних даних повідомлений про здійснення обробки його персональних даних відповідним оператором;
5.3.2. Персональні дані отримані “Звітом” на підставі закону або у зв’язку з виконанням договору, стороною якого або вигодонабувачем чи поручителем за яким є суб’єкт персональних даних;
5.3.3. Персональні дані зроблені загальнодоступними суб’єктом персональних даних або отримані із загальнодоступного джерела;
5.3.4. “Звіти” здійснює обробку персональних даних для статистичних або інших дослідницьких цілей, для провадження наукової, літературної чи іншої творчої діяльності, якщо при цьому не порушуються права та законні інтереси суб’єкта персональних даних;
5.3.5 Надання суб’єкту персональних даних відомостей, що містяться в повідомленні, порушує права і законні інтереси третіх осіб.
5.4 “Звіти” припиняє обробку та знищує персональні дані у випадках, передбачених законодавством України про персональні дані.
5.5. “Звіти” виконує інші обов’язки, передбачені законодавством України про персональні дані.
VI. ЗАХОДИ, СПРЯМОВАНІ НА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
6.1. “Звіти” під час обробки персональних даних вживає необхідних правових, організаційних і технічних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, надання, поширення персональних даних, а також від інших неправомірних дій щодо персональних даних.
6.2 Забезпечення безпеки персональних даних досягається, зокрема:
6.2.1. визначенням загроз безпеці персональних даних під час їх обробки в інформаційних системах персональних даних;
6.2.2. застосуванням організаційних і технічних заходів щодо забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних, необхідних для виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені Урядом України рівні захищеності персональних даних;
6.2.3 Застосуванням засобів захисту інформації, що пройшли в установленому порядку процедуру оцінки відповідності;
6.2.4 Оцінкою ефективності вжитих заходів щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;
6.2.5. обліком машинних носіїв персональних даних;
6.2.6. виявленням фактів несанкціонованого доступу до персональних даних і вжиттям заходів;
6.2.7 Відновленням персональних даних, модифікованих або знищених унаслідок несанкціонованого доступу до них;
6.2.8 Встановленням правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних;
6.2.9. отриманням згод суб’єктів персональних даних на обробку їх персональних даних, за винятком випадків, передбачених законодавством України;
6.2.10. Публікацією або забезпеченням іншим чином необмеженого доступу до цього Положення.
6.2.11. Контролем за заходами, що вживаються щодо забезпечення безпеки персональних даних та рівня захищеності інформаційних систем персональних даних.