ЗАТВЕРДЖЕНО:

                                                                                                    Наказом голови Лозівського міськрайонного суду Харківської області від 10.11.2014 року 
                                                                                                     № 01-06/151

                                                                                        ПОРЯДОК
             обробки персональних даних у базах даних, володільцем яких є Лозівський міськрайонний суд Харківської області

1. Загальні положення

1.1. Порядок обробки персональних даних у базах даних, володільцем яких є Лозівський міськрайонний суд Харківської області (далі – Порядок) розроблено відповідно до вимог ст. 24 Законів України «Про захист персональних даних» від 01.06.10 № 2297-VI (зі змінами), «Про інформацію», «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 06.07.10 № 2438-VI, Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 (далі – Типовий порядок), Положення про автоматизовану систему документообігу суду, затвердженого рішення Ради суддів України від 26.11.2010 № 30 та погодженого Головою Державної судової адміністрації України 26.11.2010 та з метою створення умов для забезпечення захисту цих даних від незаконної обробки, а також від незаконного доступу до них.

1.2. Порядком обробки персональних даних у базах даних, володільцем яких є Лозівський міськрайонний суд Харківської області (далі – Суд) визначаються вимоги до обробки та захисту персональних даних у базах коп’ютерної програми «Діловодство-3», Єдиної державна комп’ютерна система «Кадри» (ЄДКС «Картка») які є обов’язковими для виконання всіма працівниками суду, що мають доступ до відповідних баз (далі – база даних) та здійснюють їх обробку із застосуванням автоматизованих та неавтоматизованих засобів.
Працівники суду, які мають доступ до персональних даних, ознайомлюються з цим Порядком під підпис.

1.3. Терміни у цьому Порядку вживаються у значеннях, наведених у Законі України «Про захист персональних даних» (далі – Закон) та Типовому порядку.

2. Персональні дані, принципи та цілі їх обробки

2.1. Принципами обробки персональних даних в базах даних Суду є:
- принцип законності: персональні дані повинні оброблятись лише на законних підставах;
- принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями та оброблятися відповідно до них;
- принцип адекватності і ненадлишковості: персональні дані повинні бути адекватними, ненадлишковими, відповідати цілям обробки;
- принцип точності: персональні дані повинні бути точними та актуальними;
- принцип строковості зберігання: персональні дані не повинні зберігатися довше, ніж це необхідно;
- принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних, включаючи право на доступ до даних;
- принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних;
- принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб'єктам відносин, пов'язаних із персональними даними, без належного захисту.

2.2. Персональні дані фізичних осіб обробляються у Базах з метою забезпечення розгляду судових справ, а саме: надання фізичним та юридичним особам інформації про стан розгляду справ, учасниками процесу яких вони є, або у яких беруть участь; централізоване зберігання текстів вироків, рішень, постанов, ухвал та інших процесуальних документів; підготовку статистичних даних; реєстрацію вхідної і вихідної кореспонденції та етапів її руху; видачу копій вироків, рішень, ухвал, постанов суду та виконавчих листів на підставі наявних у системі даних; передачу справ до електронного архіву (Закон України «Про судоустрій і статус суддів», КПК України, ЦПК України, Інструкція з діловодства у місцевих загальних судах, апеляційних судах областей, апеляційних судах міст Києва та Севастополя, Апеляційному суді Автономної Республіки Крим та Вищому спеціалізованому суді України з розгляду цивільних і кримінальних справ, затверджена Наказом Державної судової адміністрації України від 17.12.2013 № 173, Положення про автоматизовану систему документообігу суду, затверджене рішенням Ради суддів України від 26.11.2010 року №30).

2.3. Персональні дані фізичних осіб обробляються у Базі персональних даних системи кадрового діловодства Суду з метою: забезпечення реалізації трудових, адміністративно-правових (управлінських) відносин, відносин у сфері управління людськими ресурсами, відносин, які виникають у зв’язку з поданням звітності у встановлені законодавством установи (КЗпП, Закон України «Про судоустрій і статус суддів», Закон України «Про державну службу», постанови Кабінету Міністрів України від 27.04.1993 № 301 «Про трудові книжки працівників», від 25.05.1998 № 731 «Про затвердження Порядку ведення особових справ державних службовців в органах виконавчої влади», Інструкція про порядок ведення трудових книжок працівників, затверджена Міністерством праці України, Міністерством юстиції України, Міністерством соціального захисту населення України від 29.07.1993 року № 58, Наказ Державного комітету статистики України та Міністерства оборони України «Про Затвердження типової форми первинного обліку № П-2 Особова картка працівника» від 25.12.2009 року № 495/656, Наказ Міністерства статистики України «Про затвердження форми первинного обліку № П-2ДС та інструкції про її заповненню» від 26.12.1995 року № 343, Наказ Головного управління державної служби України від 07.07.2009 року № 183 «Про затвердження Порядку інформування центральними, місцевими органами виконавчої влади, іншими державними органами про зміни облікових даних державних службовців», а також інші нормативно-правові акти, які регулюють порядок подання звітності у встановлені законодавством фонди та установи та ведення кадрового діловодства).

2.4. До персональних даних, які обробляються у базах персональних даних Суду належать:
• об’єктивні та суб’єктивні відомості про фізичну особу;
• відомості, що містяться в первинних та інших джерелах про фізичну особу;
• відомості в алфавітно-цифровому форматі тощо;
• відомості на паперових, електронних, магнітних та оптичних носіях тощо;
• відомості, що стосуються фізичної особи безпосередньо (особова справа працівника, банківський рахунок тощо).
• інші відомості, що стосуються фізичної особи безпосередньо або відповідно до яких фізична особа може бути конкретно ідентифікована.

2.5. До категорії суб’єктів персональних даних відносяться:
правопорушник, потерпілий, законні представники та представники; захисник; свідок, експерт, перекладач та інші особи при розгляді судом справ про притягнення до адміністративної відповідальності;
підозрюваний, обвинувачений (підсудний, засуджений, виправданий) законні представники неповнолітніх, захисник, потерпілий, представник потерпілого, адвокат, цивільний позивач та цивільний відповідач (та їх представники) свідок, перекладач, експерт, спеціаліст при застосуванні щодо особи заходів в рамках досудового розслідування, при розгляді судом справ про притягнення до кримінальної відповідальності.
2.6. Загальними підставами виникнення в працівників Суду права на обробку персональних даних є:
- згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
- надане у порядку, визначеному законодавством України, право на обробку персональних даних відповідно до Закону, і виключно в інтересах національної безпеки, економічного добробуту та прав людини;
- необхідність захисту життєво важливих інтересів суб'єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим.

2.7. Обробка персональних даних здійснюється володільцем персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.
Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.

2.8. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо працівниками Суду продовжується обробка персональних даних суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом України «Про захист персональних даних».

2.9. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

3. Обов'язки та права особи, відповідальної за організацію роботи, пов'язаної із захистом персональних даних

3.1. З урахуванням вимог статті 24 Закону України «Про захист персональних даних» від 01.06.10 № 2297-VI (зі змінами), наказом голови суду призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних (далі — Відповідальна особа).

3.2.Відповідальна особа:
забезпечує організацію обробки персональних даних працівниками Cуду відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;
забезпечує визначення баз персональних даних, що підлягають державній реєстрації;
сприяє доступу суб’єктів персональних даних до власних персональних даних;
вживає заходи, необхідні для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує керівництво суду про порушення встановлених процедур обробки персональних даних.

3.3. Відповідальна особа має право:
перевіряти стан дотримання працівниками Суду законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних;
розглядати вимоги працівників Суду щодо заперечення проти обробки їх персональних даних.

4. Права та обов'язки працівника Суду як суб'єкта персональних даних

4.1. Працівник Суду як фізична особа, щодо якої здійснюється обробка її персональних даних є суб'єктом персональних даних.

4.2.Працівник Суду як суб'єкт персональних даних має право:

знати про місце знаходження та призначення баз персональних даних Суду;
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані;
на доступ до своїх персональних даних, що містяться у базах персональних даних Суду, відповідно до статті 16 «Порядок доступу до персональних даних» Закону України «Про захист персональних даних» від 01.06.10 № 2297-VI (зі змінами);
пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних Судом, якщо ці дані обробляються незаконно чи є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

4.3. Працівник Суду як суб’єкт персональних даних зобов’язаний повідомляти у встановленому порядку про зміну своїх персональних даних, що підлягають обробці у базах персональних даних Суду.

5. Обов’язки працівників Суду, які обробляють персональні дані

5.1. Працівники Суду, які обробляють персональні дані мають бути обізнані з вимогами Закону України «Про захист персональних даних» від 01.06.10 № 2297-VI та інших нормативно-правових актів у сфері захисту персональних даних та зобов’язані:
запобігати втраті персональних даних або їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом;
не залишати документи з персональними даними на робочих столах без нагляду;
терміново повідомляти Відповідальну особу у випадках: 
втрати або неумисного знищення носіїв інформації з персональними даними; втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані; якщо ідентифікаційні дані для входу в базу стали відомі іншим особам, за винятком працівників Суду які здійснюють налаштування та технічний супровід Автоматизованих систем; виявлення спроби несанкціонованого доступу до персональних даних.
при звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом Суду, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов'язків.

5.2. Працівники Суду, які працюють з персональними даними, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових чи службових обов’язків, за формою, наведеною у Додатку 1.
Право на доступ до персональних даних та їх обробку надається працівникам Суду лише після підписання зобов’язання про нерозголошення персональних даних.
Отримання зобов’язання покладається на особу, відповідальну за організацію роботи, пов'язаної із захистом персональних даних.

5.3. Зобов’язання про нерозголошення персональних даних реєструються в Журналі реєстрації зобов’язань про нерозголошення персональних даних за формою наведеною у Додатку 2.
Після реєстрації зобов’язання формуються в окрему справу «Зобов’язання працівників Суду про нерозголошення персональних даних». Ця справа та Журнал реєстрації зобов’язань про нерозголошення персональних даних включаються до номенклатури справ відділу кадрів.

5.4. Працівники суду, які працюють з персональними даними, проходять регулярне навчання з питань захисту персональних даних, яке проводиться не рідше одного разу на рік особою, відповідальною за організацію роботи, пов'язаної із захистом персональних даних.

6. Порядок обробки персональних даних в Суді

6.1. Обробка персональних даних здійснюється:

працівниками Суду, які здійснюють судочинство або беруть безпосередню участь у процесах ведення загального діловодства в Базі персональних даних коп’ютерної програми «Діловодство-3»; 
працівниками відділу кадрової роботи в Базі персональних даних системи кадрового діловодства. 

6.2. Відповідальними за збереження інформації про персональні дані фізичних осіб є:

консультанти суду – за інформацію на паперових носіях (в особових справах працівників, особових картках працівників, наказах про прийняття на роботу та переведення, звітах тощо), а також за інформацію, розміщену в локальній комп’ютерній системі;
працівники Суду, які здійснюють судочинство або беруть безпосередню участь у процесах ведення загального діловодства – за інформацію на паперових носіях (в документах, що створюються під час розгляду справ та матеріалів, документах первинного обліку тощо), а також в електронній базі даних автоматизованої системи електронного документообігу суду (комп´ютерної програми «Діловодство-3»).

6.3. Керівництво Суду, судді здійснюють постійний контроль за дотриманням працівниками підпорядкованих підрозділів принципів обробки персональних даних в базах персональних даних.

6.4. Виходячи з мети обробки персональних даних у базах персональних даних Суду, склад персональних даних окремих баз є наступним:

в Базі персональних даних системи кадрового діловодства Суду: паспортні дані; особисті відомості (вік, стать, сімейний стан, склад сім’ї, тощо); освіта, професія, спеціальність, кваліфікація; відомості про військовий облік; дані, що стосуються здоров’я в межах, встановлених законодавством про працю; дані, що підтверджують право працівника на пільги, встановлені законодавством про працю; житлові умови; електронні дані (номер телефону, тощо); запис зображення (фото), тощо.
в Базі персональних даних системи судового діловодства Суду: паспортні дані; особисті відомості (вік, стать, родинний стан, склад сім’ї, тощо); місце проживання фактичне та за державною реєстрацією; освіта; рід занять; відомості про військовий облік; відомості, пов’язані з участю у судовому розгляді справ та матеріалів тощо.

6.5. Персональні дані можуть використовуватись лише тими працівниками та посадовими особами Суду, які за змістом своїх посадових обов’язків мають їх враховувати при вирішенні відповідних питань, та лише в обсязі, необхідному для виконання зазначених посадових обов’язків.

6.6. Керівництво Суду забезпечує постійний контроль за доступом працівників та посадових осіб до інформації, розміщеної в базах персональних даних Суду, лише в межах, що необхідні для виконання функціональних обов’язків та поставлених завдань.

6.7. Поширення персональних даних з баз персональних даних Суду дозволяється лише за згодою суб’єкта персональних даних (працівника). Без згоди суб’єкта персональних даних (працівника) поширення персональних даних з баз персональних даних дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Поширення персональних даних з баз персональних даних Суду здійснюється з дотриманням порядку, встановленого законодавством України.

7. Зберігання та знищення персональних даних, 
володільцем яких є Суд

7.1. Персональні дані зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.

7.2. Відбір для знищення документів з персональними даними, терміни зберігання яких закінчилися, провадиться експертною комісією Суду.

7.3. Знищення персональних даних проводиться у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

8. Захист персональних даних при їх обробці

8.1. Захист персональних даних спрямований на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

8.2. Право доступу до відповідних Баз надається працівникам Суду, в посадових інструкціях яких передбачено функції з обробки даних в Автоматизованій системі. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.

8.3. Працівники Суду допускаються до обробки персональних даних в Автоматизованій системі лише після їх ідентифікації (логін, пароль).

8.5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

8.6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

8.7. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

8.8. Автоматизована система забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи.

8.9. Двері у приміщення, де зберігаються паперові носії, що містять персональні дані, обладнуються замками.

8.10. У приміщенні відділу кадрів зона для відвідувачів і зона для роботи працівників відділу з документами розмежовується.

9. Облік операцій, пов’язаних з обробкою персональних 
даних суб’єкта та доступом до них

9.1. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) у Суді обробляються у спосіб, що унеможливлює несанкціонований доступ до них сторонніх осіб.
З цією метою Суд веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них, в ході якого зберігається інформація про:
– дату, час та джерело збирання персональних даних суб’єкта;
– зміну персональних даних;
– перегляд персональних даних;
– будь-яку передачу (копіювання) персональних даних суб’єкта;
– дату та час видалення або знищення персональних даних;
– працівника, який здійснив одну із указаних операцій;
– мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

9.2. У випадках, коли обробка персональних даних здійснюється за допомогою Автоматизованої системи, вказана інформація фіксується в автоматичному режимі.

10. Облік порушень вимог щодо захисту персональних даних

10.1. Факти порушень визначених вимог щодо захисту персональних даних фіксуються актами, які складають керівники структурних підрозділів, в яких здійснюється обробка персональних даних або Відповідальна особа.

10.2. За необхідності за фактами порушень вимог щодо захисту персональних даних призначається службова перевірка.

10.3. За результатами службової перевірки на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.

Консультант Лозівського
міськрайонного суду
Харківської області                             Ю.С. Комісаренко