ПОЛІТИКА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

ПОЛІТИКА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ проекту “Kwitnący Dom” Фонду Inna Przestrzeń
ul. Nowy Świat 23/25 lok. 32, 00-029 Варшава
NIP: 521-33-93-003

ВИЗНАЧЕННЯ
§ 1 Політика захисту персональних даних, далі – Політика, розроблена на основі статті 24(2) Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою та переміщенням персональних даних
Європейського Парламенту та Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних – RODO).
§ 2 Метою Політики є забезпечення безпеки обробки персональних даних шляхом застосування єдиних принципів обробки персональних даних відповідно до RODO та спеціальних положень.
§ 3 Політика встановлює принципи обробки персональних даних:
всіма працівниками та волонтерами, які здійснюють діяльність за контрактом,
у формі паперової документації, а також записів в ІТ-системах та на електронних носіях даних
усіма особами, які обробляють дані від імені та під відповідальність Дому, незалежно від форми їхньої зайнятості чи співпраці,
окремі персональні дані,
в межах масивів даних:
записів про мешканців,
працівників та пов’язаної з ними документації,
донорів, спонсорів і співробітників,
фінансова та бухгалтерська документація,
документація бенефіціарів інших форм допомоги та осіб, які звертаються за такою допомогою.
§ 4 Терміни, використані у змісті цієї Політики, слід розуміти так:
Дім – проект Kwitnący Dom за адресою у Варшаві, вул. Kwitnąca, 14, яким керує Fundacja Inna Przestrzeń ul. Nowy Świat 23/25 lok. 32, 00-029 Warszawa, NIP: 521-33-93-003
персональні дані – інформація про фізичну особу, яка ідентифікована або може бути ідентифікована (фізична особа, яка може бути ідентифікована – це особа, яку можна ідентифікувати, прямо або опосередковано, зокрема, за допомогою ідентифікатора, такого як ім’я, ідентифікаційний номер, дані про місцезнаходження, інтернет-ідентифікатор або один або кілька факторів, що характеризують фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність фізичної особи),
спеціальні категорії даних – дані, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані, біометричні дані з метою однозначної ідентифікації фізичної особи або дані, що стосуються здоров’я, статевого життя чи сексуальної орієнтації цієї особи,
персональні дані про стан здоров’я – всі дані, що стосуються здоров’я суб’єкта даних, які розкривають інформацію про минуле, теперішнє, майбутнє фізичне або психічне здоров’я суб’єкта даних. зібрані під час реєстрації суб’єкта на медичне обслуговування, під час надання йому медичних послуг, включаючи номер, символ або позначення, присвоєні фізичній особі, інформацію, отриману в результаті лабораторних або медичних досліджень частин тіла або біологічних рідин, будь-яку інформацію, наприклад, про хворобу, інвалідність, ризик захворювання, історію хвороби, клінічне лікування або фізіологічний чи біомедичний стан фізичної особи, джерелом якої може бути медичний працівник, лікарня, медичний виріб або діагностичний тест,
суб’єкт даних – фізична особа, якої стосуються дані,
контролер персональних даних – далі ADO – Fundacja Inna Przestrzeń ul. Nowy Świat 23/25 lok. 32, 00-029 Warszawa, NIP: 521-33-93-003, від імені якого діє Уповноважений Анна Клос (Anna Kłos)
система реєстрації персональних даних – структурована сукупність персональних даних, доступних відповідно до певних критеріїв, незалежно від того, чи є ця сукупність централізованою, децентралізованою або розподіленою на функціональній або локальній основі,
обробка даних – операція або сукупність операцій, які виконуються над персональними даними або наборами персональних даних, як автоматизованими, так і неавтоматизованими засобами, такі як збирання, запис, систематизація, упорядкування, зберігання, адаптування або зміна, витяг, консультація, використання, розкриття шляхом передачі, розповсюдження або іншого надання, узгодження або комбінування, обмеження, видалення або знищення,
порушення персональних даних – порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття чи доступу до персональних даних, які передаються, зберігаються чи обробляються іншим чином,
знищення – знищення персональних даних або їх модифікація таким чином, що вони не дають змоги ідентифікувати суб’єкта персональних даних,
комп’ютерна система – сукупність взаємодіючих пристроїв, програм, процедур обробки інформації та програмних засобів, що застосовуються з метою обробки даних,
обробник – працівник Дому та волонтер, який діє на підставі договору, уповноважений АДО на обробку персональних даних,
співробітник – обробник або інша особа, яка діє від імені або за дорученням АДО
або за дорученням АДО,
мешканець – особа, яка претендує на тимчасове право користування послугами з догляду в Будинку, особа, яка користується такими послугами та особа, яка користувалася такими послугами в минулому, а також неповнолітня дитина цієї особи, яка перебуває під її фактичним наглядом під час користування послугами з догляду в Будинку.
стороння особа – будь-яка особа, за винятком особи, призначеної для обробки даних, у приміщенні, призначеному для цієї мети, і на даному етапі обробки,
в тому числі інший персонал Будинку. До сторонніх осіб не відносяться інші працівники Будинку, які здійснюють професійну діяльність у спільному приміщенні, якщо це не вимагається специфікою діяльності.
згода суб’єкта даних – означає добровільне, конкретне, свідоме
добровільне, конкретне, усвідомлене і недвозначне волевиявлення, яким суб’єкт даних у формі заяви або чіткої ствердної дії дає згоду на обробку персональних даних, що його стосуються.

ЗАГАЛЬНІ ПРИНЦИПИ ОБРОБКИ ДАНИХ
§ 5. 1. Персональні дані обробляються на підставі правових норм або законних інтересів, які переслідує АДО, в обсязі, необхідному для належного надання послуг Будинку.
(2) Обробка даних може також відбуватися на підставі згоди суб’єкта даних. Ця згода повинна бути письмовою, із зазначенням дати її надання та цілей, яких вона стосується. Зразок заяви про згоду наведено в Додатку 1.
3 АДО не несе відповідальності за надлишкові дані, надані суб’єктом даних за власною ініціативою. Такі дані, на розсуд АДО, можуть бути повернуті або знищені.
До надання згоди суб’єкт даних повинен бути поінформований про обробку його/її даних.
Письмова згода не вимагається, якщо дії суб’єкта даних, що підтверджують згоду, є чіткими та однозначними. Під однозначною дією слід розуміти, зокрема, вибір суб’єктом даних певних технічних налаштувань в комп’ютерній системі, заповнення від руки полів у формах, надання резидентом персональних даних для надання інформації або допомоги у вирішенні формальних питань.
Згода може бути відкликана в будь-який час. Відкликання згоди не впливає на законність обробки, яка здійснювалася на підставі згоди до її відкликання. Суб’єкт даних повинен бути поінформований про це до надання згоди. Якщо відкликання згоди здійснюється шляхом усної заяви суб’єкта даних, обробник повинен зафіксувати цей факт у відповідній документації із зазначенням дати та вжити відповідних заходів для припинення подальшої обробки.
Суб’єкт даних повинен бути поінформований про наслідки відсутності згоди на обробку, що стосується мешканців, це може перешкоджати наданню їм послуг з догляду.
§ 6 Дані повинні оброблятися справедливо і прозоро для суб’єкта даних
для конкретних, чітко визначених цілей і не підлягають подальшій обробці у спосіб, несумісний з цими цілями, обмежуються лише тим, що необхідно для цілей, для яких вони обробляються, і зберігаються у формі, яка дозволяє ідентифікувати суб’єкта даних не довше, ніж це необхідно для цілей обробки або протягом строку, встановленого законодавством.
§ 7 Персональні дані можуть оброблятися після виконання принаймні однієї з наступних умов.
з умов:
обробка необхідна для виконання юридичного зобов’язання, покладеного на ADO,
обробка необхідна для виконання договору, стороною якого є суб’єкт даних, або для того, щоб вжити заходів на прохання суб’єкта даних до укладення договору,
суб’єкт персональних даних надав згоду на обробку своїх персональних даних з однією або кількома визначеними цілями,
обробка необхідна для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи,
обробка необхідна для реалізації законних інтересів, які переслідує ADO або третя особа.
§ 8 Особливі категорії даних можуть оброблятися, якщо
суб’єкт даних надав свою однозначну згоду на обробку таких даних,
обробка необхідна для виконання зобов’язань та реалізації конкретних прав ADO або суб’єкта даних у сфері трудового права, соціального забезпечення та соціального захисту,
обробка необхідна для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи, а суб’єкт даних фізично або юридично не здатний дати свою згоду,
обробка стосується персональних даних, які суб’єкт даних явно оприлюднив,
необхідна для встановлення, здійснення або захисту претензій,
обробка необхідна для цілей надання медичної допомоги або соціального забезпечення відповідно до закону.
обробка необхідна для статистичних цілей.
§ 9. 1. Дані про стан здоров’я мешканця можуть оброблятися, якщо це необхідно для забезпечення безпечного перебування, індивідуального догляду, надання можливості користуватися послугами охорони здоров’я, забезпечення фінансування виплат з державних і недержавних фондів.
(2) Дані про мешканців, що стосуються порушень закону та пов’язаних з ними заходів, можуть оброблятися тільки з метою забезпечення безпеки мешканців Будинку.
(3) Дані про сім’ю, фінансове та матеріальне становище мешканця можуть оброблятися з метою надання додаткових пільг з недержавних фондів або уможливлення користування державними пільгами.
(4) Персональні дані, в тому числі дані про життя, сім’ю та матеріальне становище особи, яка користується або претендує на інші види допомоги, не пов’язані з проживанням, можуть оброблятися з метою обробки заявок або надання такій особі допомоги. За згодою цієї особи дані можуть також оброблятися з метою надання такої допомоги в майбутньому.
§ 10. 1. дані про працівників в обсязі, визначеному Трудовим кодексом, можуть оброблятися лише з метою ведення трудових справ працівників, у тому числі обліку робочого часу, розрахунків з працівниками, розрахунку платежів, внесків і виплат, забезпечення умов праці та інструментів, професійного розвитку, повідомлень органам, перед якими такий обов’язок випливає із закону.
(2) Дані про сімейний стан працівника можуть оброблятися у випадку, якщо працівник користується певними пільгами, передбаченими Трудовим кодексом, за згодою працівника, вираженою шляхом подання заяви на отримання таких пільг.
(3) Дані про претендентів на роботу в обсязі, визначеному Трудовим кодексом, можуть оброблятися тільки з метою працевлаштування, а потім знищуватися, якщо тільки претендент не погодиться брати участь у майбутніх наборах на роботу.
(4) Дані, що стосуються волонтерів, можуть оброблятися лише з метою виконання волонтерської угоди та захисту законних інтересів АДО.
§ Не підлягають обробці дані, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в асоціаціях та організаціях, генетичні дані, біометричні дані з метою однозначної ідентифікації фізичної особи, статеву приналежність або сексуальну орієнтацію цієї особи.
§ 12. 1. Персональні дані, які обробляються в Домі, можуть бути оприлюднені лише
у випадках, коли такий обов’язок випливає із закону, і в обсязі, визначеному законом.
(2) Персональні дані працівника та волонтера, який діє на підставі договору, можуть бути оприлюднені в обсязі, необхідному для виконання завдань та обов’язків ADO, пов’язаних з управлінням Будинком.
(3) Персональні дані резидента не підлягають оприлюдненню в будь-якому вигляді та обсязі і можуть бути оприлюднені лише на підставі згоди резидента.
(4) Персональні дані іншої особи можуть бути оприлюднені лише за згодою цієї особи, в тому числі вираженою в електронному листуванні.
§ 13. 1 АДО залишає за собою право публікувати рекламну та організаційну інформацію або анонімні дані у своєму профілі в соціальній мережі, яка є загальнодоступною або доступною для певної групи одержувачів.
(2) Використання суб’єктом даних у будь-якому обсязі функціональних можливостей такої служби є добровільним і відбувається на основі правил цієї служби.
(3) АДО не несе відповідальності за персональні дані, добровільно оприлюднені суб’єктом даних у профілі Будинку в онлайн-сервісі спільноти, у формі основного повідомлення, коментаря, посилання або посилання.
§ 14 (1) Персональні дані можуть бути надані іншим публічним суб’єктам лише на підставі Закону та в обсязі, визначеному Законом.
(2) Особливі категорії персональних даних резидентів можуть бути надані
в необхідному обсязі іншим суб’єктам, тільки з метою надання соціальних виплат, соціальної допомоги, охорони здоров’я або інших життєво важливих інтересів резидента, тільки за згодою резидента.
§ 15 До передачі персональних даних резидента не належать
надання допомоги резиденту в складанні офіційних листів, офіційних запитів, заяв або надання їх співробітниками особисто або за допомогою електронних засобів
дії персоналу в інших органах та установах від імені резидента, на прохання або за дорученням резидента;
публікація АДО організаційної інформації на сторінці Будинку в соціальних мережах;
добровільне надання даних суб’єктом даних на профілі Будинку в онлайн-сервісі спільноти.
§ 16. персональні дані мешканця можуть бути передані в необхідному обсязі іншим мешканцям з метою організації розпорядку дня, в тому числі розподілу щоденної діяльності
в Будинку.
§ 17 (1) Обробка даних не включає в себе надання мешканцю доступу до засобів електронного зв’язку, пристроїв і додатків для самостійного написання листів, повідомлень або самостійного пошуку інформації.
(2) При використанні засобів, зазначених у частині (1), резидент несе повну відповідальність за видалення файлів користувача, видалення історії переглядів, вихід з додатків доступу, відмову від використання автозаповнюваних форм.
(3) Не є обробкою даних отримання мешканцем пошти на адресу поштової скриньки Оселі.
(4) Не є обробкою даних надання мешканцю допомоги у використанні засобів, згаданих в абзаці (1).
§ 18. Персональні дані, зокрема про працівників, а також фінансові та бухгалтерські дані, на підставі письмового договору можуть бути передані на обробку обробникам, які надають достатні гарантії реалізації відповідних технічних та організаційних заходів для захисту прав суб’єктів даних та дотримання вимог RODO, зокрема ст. 28(1) RODO.
§ 19. 1 Обробник обробляє персональні дані на підставі письмового дозволу, виданого ADO, лише в межах виконання професійних обов’язків або виконання договору з ADO. Обробник не повинен обробляти дані, що виходять за межі мінімального обсягу, необхідного для виконання покладених на нього завдань.
(2) Обробник не має права передавати свої повноваження іншій особі.
§ 20 (1) Джерелом персональних даних, які обробляє Будинок, є суб’єкт даних або особа, яка представляє його права або діє за його дорученням.
(2) Джерелом персональних даних членів сім’ї є працівник, який користується спеціальними пільгами, передбаченими Трудовим кодексом.
(3) Джерелом персональних даних може бути донор, спонсор або співробітник
щодо даних, розпорядником яких він є.
(4) В окремих, обґрунтованих випадках джерелом даних може бути інша особа, ніж суб’єкт даних.
(5) Персональні дані з інших джерел не збираються та не обробляються в Домі.
§ 21. 1. У Домі дані не обробляються в автоматизованому режимі. До автоматизованої обробки не належать пошукові алгоритми або представлення контенту на профілі Будинку в соціальній мережі в Інтернеті. 2.
(2) Автоматизована обробка даних не є передачею даних безпосередньо з ІТ-системи до державних реєстрів на виконання правового зобов’язання.
§ 22. персональні дані не повинні використовуватися для автоматизованої оцінки певних особистих факторів фізичної особи, зокрема для аналізу або прогнозування аспектів, пов’язаних з діяльністю, економічним становищем, здоров’ям, особистими уподобаннями, інтересами, надійністю, поведінкою, місцезнаходженням або пересуванням цієї особи.
§ 23. персональні дані, що містяться в телефонній та електронній кореспонденції, обробляються лише з метою, що випливає зі змісту цієї кореспонденції.
§ 24. веб-сайт Дому для зручності користувачів може містити посилання, що ведуть на зовнішні веб-сайти, якими не керує Дім. Дім не несе відповідальності за збір та обробку даних цими сайтами.

ПРИНЦИПИ РЕАЛІЗАЦІЇ ПРАВ СУБ’ЄКТА ДАНИХ
§ ADO забезпечує виконання інформаційних зобов’язань суб’єкта даних за допомогою інформаційних положень, опублікованих на веб-сайті, як додаток до анкет, розміщення оголошень у доступних для суб’єкта даних місцях, надання окремих положень суб’єкту даних.
(2) Виконання інформаційного зобов’язання перед суб’єктом даних має відбуватися до прийняття його даних від суб’єкта даних.
(3) Інформацію, зазначену в частині 1, ADO також надає на запит суб’єкта даних.ПРИНЦИПИ РЕАЛІЗАЦІЇ ПРАВ СУБ’ЄКТА ДАНИХ
§ ADO забезпечує виконання інформаційних зобов’язань суб’єкта даних за допомогою інформаційних положень, опублікованих на веб-сайті, як додаток до анкет, розміщення оголошень у доступних для суб’єкта даних місцях, надання окремих положень суб’єкту даних.
(2) Виконання інформаційного зобов’язання перед суб’єктом даних має відбуватися до прийняття його даних від суб’єкта даних.
(3) Інформацію, зазначену в частині 1, ADO також надає на запит суб’єкта даних.

вимогу, зазначену в частині 1, можна не виконувати, якщо інформація вже доступна суб’єкту даних; надання інформації виявляється неможливим або вимагатиме непропорційних зусиль, або збір даних чітко регулюється законом, якому підпорядковується ADO, що передбачає адекватні заходи для захисту законних інтересів суб’єкта даних.
§ 26. 1. Спілкування з суб’єктом даних у зв’язку з реалізацією його прав здійснюється польською мовою; у стислій, прозорій, зрозумілій та легкодоступній формі, чіткою та простою мовою; у формі, в якій було подано запит або вимогу, якщо інша форма не випливає із суті діяльності або змісту запиту суб’єкта.
(2) ADO може спілкуватися з суб’єктом даних іншою мовою, яку суб’єкт даних розуміє, однак для юридичних цілей обов’язковою є версія польською мовою.
§ 27 Комунікація з суб’єктом даних щодо реалізації його прав як суб’єкта даних здійснюється після встановлення його особи. Таке інформування є безкоштовним.
§ Реалізація прав суб’єкта даних, зазначених у статтях 15-22 RODO, є безкоштовною, при цьому перша копія даних видається безкоштовно, за наступні копії стягується плата відповідно до прейскуранта або в розмірі фактичних адміністративних витрат, якщо прейскурант не зазначений. Видача суб’єкту персональних даних копії його/її даних не повинна порушувати права і свободи інших осіб, а також не може бути розголошенням даних осіб, які внесли запис до первинної документації.
У задоволенні запиту може бути відмовлено, якщо він є явно необґрунтованим або надмірним, однак причина відмови повинна бути повідомлена запитувачу.
§ 29 Право суб’єкта даних на забуття не поширюється на дані, якщо їх обробка необхідна для виконання
виконання юридичного зобов’язання, яким підпорядковується ADO, або для встановлення, висунення чи захисту претензій.

ПЕРЕВІРКА ОСОБИ СУБ’ЄКТА ДАНИХ
§ 30. 1. Особа суб’єкта даних перевіряється перед записом його даних на підставі документа, що посвідчує особу, виданого відповідно до закону, який містить щонайменше ім’я та прізвище, фотографію особи, номер PESEL. Документом, що посвідчує особу, є, зокрема: посвідчення особи, водійське посвідчення, паспорт (в тому числі закордонний), студентський квиток, учнівський квиток.
(2) В обґрунтованих випадках ADO може встановити особу суб’єкта даних на підставі інших документів, виданих в країні походження суб’єкта даних, або інших національних документів.
(3) Копія документа, на підставі якого було встановлено особу суб’єкта даних, не робиться, однак можуть бути зазначені особливості документа.
(4) Перевірка даних особи, яка перебуває під опікою законного представника або фактичного опікуна, здійснюється шляхом перевірки особи зазначеного представника або опікуна та отримання від нього заяви про особу підопічного.
(5) У випадку, коли перевірка особи здійснюється іншим способом, ніж особисто або за допомогою електронного зв’язку, або в ситуації сумнівів щодо особи, може бути запитана додаткова інформація або суб’єктом даних можуть бути вжиті додаткові заходи для підтвердження особи цієї особи, такі як: порівняння наданих даних з уже наявними даними, запит додаткових персональних даних або використання кваліфікованого електронного підпису або підпису, підтвердженого довіреним профілем ePUAP, банківський переказ, що підтверджує відповідність даних, автентифікація за допомогою ІТ-систем, дистанційне керування документом, що посвідчує особу.
(6) АДО може відмовити у виконанні запитуваної або необхідної дії, якщо особа суб’єкта даних йому не є чітко відомою.

БЕЗПЕКА ДАНИХ
§ 31. 1. Обробка даних здійснюється в окремих приміщеннях,
у присутності осіб, які здійснюють обробку, без присутності сторонніх осіб. 2.
(2) Обробка даних може за згодою суб’єкта даних або за його ініціативою здійснюватися за допомогою засобів електронного зв’язку. У такому випадку обробник зобов’язаний забезпечити безпеку даних у межах своїх повноважень.
§ 32. 1. Приміщення, де обробляються персональні дані, повинні бути захищені таким чином, щоб за допомогою відповідних технічних рішень унеможливити доступ до даних неуповноважених осіб на час відсутності обробника.
(2) Присутність сторонніх осіб у приміщеннях, де обробляються дані, допускається лише з дозволу та в присутності обробника.
§ 33. 1. АДО вживає необхідних технічних та організаційних заходів для мінімізації ризику порушення захисту персональних даних на кожному етапі обробки, зокрема при отриманні від суб’єкта даних його даних та перевірці особи суб’єкта даних.
(2) Обробник даних зобов’язаний, з урахуванням технічних можливостей
приміщення під час обробки даних, повинен вжити необхідних заходів для мінімізації ризику розголошення даних, зокрема спеціальних категорій даних.
§ 34. забороняється, незалежно від тривалості відсутності процесора
в приміщенні:
залишати двері до приміщення незамкненими особою, яка виходила останньою
залишати ключ у замку ззовні, як під час перебування в приміщенні, так і після виходу з приміщення та його замикання.
залишати ключ у замку ззовні, як під час перебування в номері, так і після виходу з номера та закриття замка,
залишати вікна номерів, особливо вікна портьє, відчиненими; при необхідності, крім першого поверху, на час тимчасової відсутності можна залишати вікна прочиненими,
залишати в приміщенні особу без нагляду,
залишати відкритими електронні документи або програми доступу.
§ 35. 1. Персональні дані, що обробляються як у паперовій формі, так і на електронних носіях, повинні зберігатися в шафах, що замикаються.
(2) Документи та електронні носії даних, на яких виконуються поточні операції з обробки, можуть зберігатися поза шафою лише на час такої обробки.
(3) Надлишкові копії, роздруківки, записи, які не є первинним документом, підлягають негайному знищенню шляхом фізичного розчленування носія таким чином, щоб дані не можна було відновити.
(4) Зберігання даних після закінчення періоду їх поточної обробки та знищення вихідних даних після закінчення терміну зберігання здійснюється на підставі інших нормативних актів, прийнятих АДО.

ЗАХОДИ ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ, ЯКІ ОБРОБЛЯЮТЬСЯ В ЕЛЕКТРОННІЙ ФОРМІ
§ 36. (1) Робоча станція, на якій обробляються персональні дані, повинна бути захищена антивірусним програмним забезпеченням та мати оновлену операційну систему.
(2) Одне робоче місце може використовуватися кількома користувачами за умови відокремлення облікових записів користувачів або якщо дії, що виконуються окремими користувачами, можна розрізнити на основі інших даних.
(3) Використання приватного робочого місця або мобільного пристрою дозволяється за умови дотримання положень цієї політики.
§ 37. 1. Право доступу до інформаційної системи на певному рівні надається A|D|O відповідно до обов’язків обробника.
(2) Обробник, який здійснює професійну діяльність з використанням інформаційної системи, повинен дотримуватися загальноприйнятих правил безпеки та інструкцій АДО.
§ Роздруківки, що містять дані з ІТ-системи, повинні бути захищені так само, як і паперова документація.
§ 39. персональні дані, що зберігаються на робочій станції, повинні бути зашифровані принаймні за допомогою загальнодоступного програмного забезпечення.
§ 40. 1. електронне листування всередині організації повинно здійснюватися тільки з використанням встановленої електронної поштової скриньки.
(2) Не допускається зберігання наборів персональних даних в електронній пошті.
(3) При передачі наборів персональних даних або спеціальних категорій даних, дані повинні бути зашифровані, принаймні, за допомогою загальнодоступних засобів, ключ не повинен надсилатися тим же каналом кореспонденції.
(4) У разі багаторазового листування з одним і тим же одержувачем може використовуватися один ключ.
§ 41. персональні дані, які обробляються тільки на робочому місці або мобільному пристрої, в тому числі файли і документи, а також текстові повідомлення, повинні бути видалені відразу після використання, якщо тільки їх подальша обробка не передбачена законом.

ПРИНЦИПИ ПЕРЕДАЧІ ІНФОРМАЦІЇ, ЩО СТОСУЄТЬСЯ РЕЗИДЕНТА В НАДЗВИЧАЙНІЙ СИТУАЦІЇ
§ 42 (1) АДО може без згоди резидента вступити в контакт з третьою стороною з метою передачі або отримання даних, у тому числі даних про стан здоров’я резидента, необхідних для захисту життєво важливих інтересів резидента або іншої особи, зокрема для захисту здоров’я або життя, у випадку, якщо резидент фізично або юридично не здатний своєчасно дати згоду.
(2) Особа третьої особи, наскільки це можливо, повинна бути перевірена і зафіксована,

НАДАННЯ ДОЗВОЛУ НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ
§ 43. 1. Підставою для обробки даних є письмовий дозвіл, виданий ADO, в якому зазначено систему зберігання даних, обсяг обробки та термін дії, який може бути визначений датою або посиланням на інший юридично обов’язковий документ. Зразок дозволу міститься в додатку № 2.
§ Перед видачею дозволу АДО повинен ознайомити обробника з
з принципами обробки даних на робочому місці та приймає від нього заяву
про дотримання конфіденційності персональних даних, отриманих у зв’язку з працевлаштуванням, також і після припинення трудових відносин. АДО може також прийняти таку заяву від інших працівників. Зразок заяви міститься в Додатку 3.
(2) Вимога письмової декларації не поширюється на осіб, на яких законом покладено обов’язок зберігати конфіденційність персональних даних, отриманих у зв’язку з їхньою трудовою діяльністю, за винятком випадків, коли це передбачено законом.
§ 45 Дозвіл втрачає чинність після закінчення строку, на який він був виданий, або після припинення трудового чи іншого договору.

ПОРЯДОК ДІЙ У ВИПАДКУ ПОРУШЕННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
§ 46. 1. Порушення захисту персональних даних – порушення безпеки, що призвело до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу до персональних даних, переданих, збережених або іншим чином оброблених.
(2) До інцидентів, зазначених у пункті (1), зокрема, відносяться
позначки на дверях, вікнах і шафах, що вказують на порушення фізичної безпеки
фізична присутність у приміщенні, без присутності уповноваженої особи, осіб, які поводяться підозріло
залишення без нагляду обробника відчиненими дверей до приміщень, шаф, де зберігаються персональні дані,
знищення носіїв даних у спосіб, що унеможливлює їх відновлення,
використання персональних даних в особистих цілях,
встановлювати монітори, які дозволяють стороннім особам бачити персональні дані,
виносити персональні дані в паперовій або електронній формі за межі місця їх обробки без згоди АДО.
надання доступу до персональних даних неуповноваженим особам,
намагатися змінювати або видаляти дані без відповідного дозволу,
безпідставне копіювання даних, у тому числі в електронній формі,
незаконне вилучення носіїв даних,
втрату контролю над копією персональних даних,
поява комп’ютерного вірусу або ненормальна робота комп’ютерів,
інша поведінка або події, які можуть призвести до порушення захисту даних.
§ 47.1 Обробник, який виявив або підозрює порушення персональних даних, повинен
негайно повідомити про це ADO.
вжити необхідних заходів для припинення наслідків порушення захисту та забезпечення доказів, що дозволяють визначити причини та наслідки порушення.
(2) Обробник також повинен повідомляти DPO про ситуації, які можуть призвести до порушення захисту даних.
§ 48. Після отримання інформації, зазначеної в абзаці 1 § 46, ADO вживає наступних заходів:
ознайомлюється з ситуацією та обирає подальший курс дій, беручи до уваги загрозу правильності та безперервності роботи
отримує детальний звіт про порушення безпеки даних від нотифікатора, а також від будь-якої іншої особи, яка може володіти інформацією стосовно порушення, що сталося
у разі необхідності залучає зовнішніх спеціалістів,
документує інцидент, пов’язаний з порушенням безпеки даних,
повідомляє компетентні органи, якщо це передбачено законодавством,
вживати або організовувати коригувальні та пом’якшувальні заходи.
§ 49. 1. У випадку порушення персональних даних, АДО повинен без невиправданої затримки – по можливості, не пізніше 72 годин після виявлення порушення – повідомити про це Орган захисту персональних даних, за винятком випадків, коли порушення малоймовірно призведе до ризику порушення прав і свобод фізичних осіб. Повідомлення, подане до наглядового органу після закінчення 72 годин, повинно супроводжуватися поясненням причин затримки.
(2) Якщо порушення персональних даних може призвести до високого ризику порушення прав і свобод фізичних осіб, ADO зобов’язаний повідомити суб’єкта даних про таке порушення без невиправданої затримки.
(3) Повідомлення, зазначене в частині 1, не вимагається, якщо ADO вжив відповідних технічних та організаційних заходів захисту і ці заходи були застосовані до персональних даних, яких торкнулося порушення, або застосував заходи, що усувають ймовірність високого ризику порушення прав і свобод суб’єкта даних.

ВІДПОВІДАЛЬНІСТЬ ОБРОБНИКА
§ 50 Обробник несе відповідальність за
ознайомлення та постійне дотримання законодавства про захист даних, у тому числі керівних принципів та інструкцій ADO
обмеження обсягу обробки даних до мінімуму, необхідного для досягнення цілей обробки на займаному робочому місці
забезпечення, в межах організаційних та технічних можливостей робочого місця, захисту від будь-якого порушення безпеки оброблюваних даних,
коректність оброблюваних даних,
зберігати конфіденційність персональних даних як під час трудових відносин або співпраці, так і після закінчення цього періоду.
§ 51. 1. Допущення незаконного знищення, втрати, зміни, розголошення або несанкціонованого доступу до оброблених персональних даних у будь-якій формі, навіть випадкового, є серйозним порушенням обов’язків працівника.
(2) Невиконання дій, зазначених у § 46. 1, може розглядатися як серйозне порушення обов’язків працівника.