ПРАВЛІННЯ ФОНДУ СОЦІАЛЬНОГО СТРАХУВАННЯ З ТИМЧАСОВОЇ ВТРАТИ ПРАЦЕЗДАТНОСТІ
ПОСТАНОВА
Зареєстровано в Міністерстві юстиції України 10 грудня 2013 р. за № 2090/24622
Про затвердження Порядку обробки персональних даних у базах персональних даних Фонду соціального страхування з тимчасової втрати працездатності
Відповідно до частини десятої статті 6 Закону України "Про захист персональних даних"( 2297-17 ) правління Фонду соціального страхування з тимчасової втрати працездатності ПОСТАНОВЛЯЄ:
1. Затвердити Порядок обробки персональних даних у базах персональних даних Фонду соціального страхування з тимчасової втрати працездатності, що додається.
2. Контроль за виконанням цієї постанови покласти на Виконавчу дирекцію Фонду соціального страхування з тимчасової втрати працездатності.
3. Виконавчій дирекції Фонду соціального страхування з тимчасової втрати працездатності забезпечити державну реєстрацію цієї постанови в установленому законодавством порядку.
4. Ця постанова набирає чинності з дня її офіційного опублікування.
Голова правління
Г. В. Осовий
ЗАТВЕРДЖЕНО Постанова правління Фонду соціального страхування з тимчасової втрати працездатності 08.10.2013 № 47
Зареєстровано в Міністерстві юстиції України 10 грудня 2013 р. за № 2090/24622
ПОРЯДОК обробки персональних даних у базах персональних даних Фонду соціального страхування з тимчасової втрати працездатності
I. Загальні положення
1.1. Цей Порядок розроблено відповідно до вимог Закону України "Про захист персональних даних"( 2297-17 ) (далі — Закон), Закону України "Про загальнообов'язкове державне соціальне страхування у зв'язку з тимчасовою втратою працездатності та витратами, зумовленими похованням"( 2240-14 ) та Типового порядку обробки персональних даних у базах персональних даних( z0001-12 ), затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованого в Міністерстві юстиції України 03 січня 2012 року за № 1/20314.
1.2. Цей Порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних страхувальників, застрахованих осіб та працівників Фонду соціального страхування з тимчасової втрати працездатності (далі — Фонд) під час їх обробки в базах персональних даних, володільцями та розпорядниками яких є робочі органи Фонду.
1.3. Обробка персональних даних здійснюється повністю або частково із застосуванням автоматизованих засобів у складі інформаційної (автоматизованої) системи та у формі картотек із застосуванням неавтоматизованих засобів.
1.4. Володільцем персональних даних у базах персональних даних Фонду є Виконавча дирекція Фонду.
1.5. Розпорядником персональних даних у базах персональних даних Фонду є виконавчі дирекції відділень Фонду та їх робочі органи.
1.6. Інші терміни у цьому Порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних" ( 2297-17 ) та Типовому порядку обробки персональних даних у базах персональних даних( z0001-12 ), затвердженому наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованому в Міністерстві юстиції України 03 січня 2012 року за № 1/20314.
1.7. Захист персональних даних покладається на Виконавчу дирекцію Фонду.
Виконавчі дирекції відділень Фонду та їх робочі органи здійснюють обробку персональних даних відповідно до Закону( 2297-17 ) з метою і в обсязі, визначеними Законом України "Про загальнообов'язкове державне соціальне страхування у зв'язку з тимчасовою втратою працездатності та витратами, зумовленими похованням"( 2240-14 ).
На дії Виконавчої дирекції Фонду, виконавчих дирекцій відділень Фонду та їх робочих органів поширюються вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них, визначені законодавством у сфері захисту інформації.
1.8. Виконавча дирекція Фонду зберігає персональні дані у строк не більше ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
1.9. Відповідальним структурним підрозділом Виконавчої дирекції Фонду є управління розвитку інформаційних технологій Виконавчої дирекції Фонду (далі — відповідальний структурний підрозділ).
1.10. Відповідальний структурний підрозділ відповідно до покладених завдань:
забезпечує ознайомлення працівників володільця та розпорядника персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
забезпечує організацію обробки персональних даних працівниками володільця та розпорядника персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
інформує керівника володільця та розпорядника персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує керівника володільця та розпорядника персональних даних про порушення встановлених процедур з обробки персональних даних.
1.11. Виконавча дирекція Фонду за допомогою програмного забезпечення веде журнали:
1.12. Видалення або знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
II. Обробка персональних даних у складі інформаційних (автоматизованих) систем
2.1. Обробка персональних даних осіб, зазначених у пункті 1.2 цього Порядку, здійснюється в складі таких інформаційних (автоматизованих) систем:
Єдина інформаційно-аналітична система Фонду;
Єдиний електронний реєстр страхувальників Фонду.
У інформаційних (автоматизованих) системах обробляються такі категорії персональних даних:
реєстраційний номер облікової картки платника податків або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний орган державної податкової служби і мають відмітку у паспорті);
2.2. Виконавча дирекція Фонду, виконавчі дирекції відділень Фонду та їх робочі органи забезпечують захист персональних даних, які обробляються в інформаційних (автоматизованих) системах Фонду, за допомогою програмних та технічних засобів криптографічного захисту комплексної системи захисту інформації корпоративної комп’ютерної мережі та Єдиної інформаційно-аналітичної системи Фонду.
2.3. Обробка персональних даних в інформаційних (автоматизованих) системах здійснюється у складі інформаційно-телекомунікаційної системи Фонду із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних, які входять до складу комплексної системи захисту інформації корпоративної комп’ютерної мережі та Єдиної інформаційно-аналітичної системи Фонду.
2.4. Виконавча дирекція Фонду визначає режими доступу своїх працівників відповідно до їх професійних, трудових чи службових обов'язків.
Працівники Виконавчої дирекції Фонду, виконавчих дирекцій відділень Фонду та їх робочих органів допускаються до обробки персональних даних лише після їх авторизації, відповідно до їх режиму доступу.
2.5. Доступ осіб, які не пройшли процедури ідентифікації та/або автентифікації, блокується.
2.6. В інформаційних (автоматизованих) системах, зазначених у пункті 2.1 цього розділу, де обробляються персональні дані, здійснюється реєстрація, зокрема:
2.7. Управління розвитку інформаційних технологій Виконавчої дирекції Фонду проводить аналіз реєстраційних даних, визначених у пункті 2.6 цього розділу.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані зберігаються відповідальним структурним підрозділом протягом трьох років.
2.8. Виконавча дирекція Фонду, виконавчі дирекції відділень Фонду та їх робочі органи використовують антивірусне програмне забезпечення для антивірусного захисту в інформаційних (автоматизованих) системах Фонду.
2.9. Виконавча дирекція Фонду, виконавчі дирекції відділень Фонду та їх робочі органи використовують технічні засоби безперебійного живлення елементів інформаційних (автоматизованих) систем Фонду.
III. Обробка персональних даних у формі картотек
3.1. Виконавча дирекція Фонду, виконавчі дирекції відділень Фонду та їх робочі органи здійснюють обробку персональних даних у картотеках у порядку, визначеному розділом I цього Порядку, з урахуванням таких вимог:
документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
справи з документами, що містять персональні дані, мають внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
3.2. Двері в приміщеннях (шафах, сейфах) обладнуються замком або системою контролю доступу.
Начальник управління розвитку інформаційних технологій
Р. П. Яхимович