Затверджено Президентом
«Благодійної організації
«Благодійний фонд «Сонячний Всесвіт»
ПОЛІТИКА
ЩОДО ПОРЯДКУ ОБРОБКИ, ЗБЕРІГАННЯ І ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
В БО «БФ «СОНЯЧНИЙ ВСЕСВІТ»
(далі – Політика)
2026 р.
ЗМІСТ
Розділ 1. Загальні вимоги та мета Політики 3
Розділ 2. Визначення термінів 3
Розділ 3. Бази персональних даних, володільцем та розпорядником яких є Фонд 4
Розділ 4. Мета обробки персональних даних 5
Розділ 5. Правові підстави для обробки персональних даних 5
Розділ 6. Порядок отримання згоди на обробку персональних даних 6
Розділ 7. Порядок збирання, зберігання, поширення та знищення, персональних даних 7
Розділ 8. Права суб’єктів персональних даних 9
Розділ 9. Обмежений доступ до персональних даних 10
Розділ 10. Захист персональних даних 11
Розділ 11. Реагування на витік даних 12
Розділ 12. Оцінка впливу на захист даних 13
Розділ 13. Прикінцеві положення 14
ДОДАТКИ 15
Розділ 1. Загальні вимоги та мета Політики
1.1. Політика регулює правові відносини, пов’язані із захистом і обробкою персональних даних в рамках діяльності Благодійної організації «Благодійний фонд «Сонячний Всесвіт» (надалі – Фонд), шляхом визначення переліку загальних принципів, заходів, вимог спрямованих на безпеку персональних даних, з урахуванням норм чинного законодавства України та міжнародних нормативно-правових актів у сфері захисту персональних даних та інформаційної безпеки, а також осіб, на яких вони поширюються.
1.2. Вимоги цього положення поширюються на суб’єктів персональних даних, володільців персональних даних, розпорядників персональних даних, третіх осіб, які вступають або можуть вступати у будь-які відносини з Фондом, та стосуються, зокрема, але не виключено: співробітників Фонду, його представників та представників органів державної влади, місцевого самоврядування, що взаємодіють з Фондом в процесі здійснення її діяльності, а також контрагентів та бенефіціарів Фонду.
1.3. Політика поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на доопрацювання чи обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.4. Збирання та обробка персональних даних у відповідності до цієї Політики повинні відбуватись з дотриманням принципів законності, правомірності та прозорості, а також повинні відповідати наступним засадам:
• забезпечення найкращих інтересів дитини;
• недискримінація;
• принцип «не нашкодь»;
• дотримання національних та міжнародних вимог та стандартів захисту персональних даних і їх конфіденційності та забезпечення дотримання прав суб’єктів даних;
• гарантування збереження конфіденційності інформації щодо персональних даних;
• інформація має передаватися лише за принципом «необхідності знати».
1.5. Політика розроблена з урахуванням Загального регламенту про захист даних (General Data Protection Regulation – GDPR; Regulation (EU) 2016/679) та чинного законодавства України в частині забезпечення захисту персональних даних із врахуванням вимог:
• Конституції України;
• Цивільного кодексу України;
• Закону України «Про захист персональних даних»;
• Закону України «Про інформацію»;
• Закону України «Про охорону дитинства»;
• Закону України «Про благодійну діяльність та благодійні організації»;
• Типового порядку обробки персональних даних, затвердженого Наказом Уповноваженого Верховної Ради України з прав людини 08.01.2014 р. №1/02-14;
• внутрішніх документів Фонду (статут, накази, розпорядження, інструкції, положення, політики тощо).
1.6. Політика публікується на офіційному веб-сайті Фонду (https://sunvsesvit.com) в мережі Інтернет з метою ознайомлення суб’єктів персональних даних, дані яких обробляються Фондом під час здійснення нею своєї статутної діяльності.
Розділ 2. Визначення термінів
2.1. База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
2.2. Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки;
2.3. Суб’єкт персональних даних – фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
2.4. Згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
2.5. Знеособлення персональних даних – вилучення відомостей, що дають змогу прямо чи опосередковано ідентифікувати особу;
2.6. Картотека – будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
2.7. Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
2.8. Одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
2.9. Персональні дані – будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування/проживання, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;
2.10. Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
2.11. Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
2.12. Порушення захисту персональних даних – це порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано;
2.13. Чутливі персональні дані – персональні дані, що становить особливий ризик для прав і свобод суб’єктів персональних даних – а саме відомості про: расове, етнічне та національне походження; політичні, релігійні або світоглядні переконання; членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості; стан здоров’я; статеве життя; біометричні дані; генетичні дані; притягнення до адміністративної чи кримінальної відповідальності; застосування щодо особи заходів в рамках досудового розслідування; вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»; вчинення щодо особи тих чи інших видів насильства; місцеперебування та/або шляхи пересування особи та інші персональні дані, що, за своєю специфікою, є особливо чутливими щодо фундаментальних прав і свобод людини і громадянина, потребують особливого захисту, оскільки контекст їхнього опрацювання може створити істотні ризики для фундаментальних прав і свобод.
Розділ 3. Бази персональних даних, володільцем та розпорядником яких є Фонд
3.1. Фонд у своїй діяльності володіє та розпоряджається наступними базами персональних даних:
– працівників Фонду, які були прийняті на роботу в Фонд;
– бенефіціарів Фонду та всіх інших осіб, які звертаються до Фонду за отриманням благодійної допомоги/соціальних послуг та всіх інших послуг, передбачених статутною діяльністю Фонду;
– контрагентів Фонду (юридичних осіб, фізичних осіб та фізичних осіб-підприємців), що вступають у цивільно-правові та господарські правовідносини із Фондом або волонтерів, які добровільно надають безоплатну допомогу Фонду.
3.2. Бази персональних даних Фонду зберігаються у захищених приміщеннях Фонду на матеріальних носіях та/або в електронному вигляді на хмарному сховищі Фонду, на службовій електронній пошті Фонд та електронній пошті її співробітників.
Розділ 4. Мета обробки персональних даних
4.1. Основною метою обробки персональних даних є забезпечення досягнення всіх цілей щодо правовідносин, які виникли між Фондом та суб’єктом персональних даних, зокрема:
– метою обробки персональних даних працівників Фонду є здійснення прав та виконання обов’язків у сфері трудових, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема: кадровим потенціалом відповідно до Закону України «Про захист персональних даних», інших відносин, що вимагають обробки персональних даних відповідно до: Кодексу законів про працю України, Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», інших нормативно-правових актів, чинних на території України, Статуту Фонду;
– метою обробки персональних даних бенефіціарів та осіб, які звертаються до Фонду є здійснення прав та виконання обов’язків у сфері благодійної діяльності Фонду як благодійної організації та її бенефіціара, а також вирішення питань, пов’язаних із оподаткуванням благодійної допомоги;
– метою обробки персональних даних контрагентів Фонду (юридичних осіб, фізичних осіб/фізичних осіб-підприємців) чи потенційних контрагентів Фонду є оцінка їх спроможностей до вступу в договірні відносини з Фондом, ділової репутації, безпосереднє укладення договору, а також забезпечення реалізації майнових, господарських відносин, податкових відносин, відповідно до Конституції України, Податкового кодексу України, Цивільного кодексу України, Закону України «Про господарські товариства», Закону України «Про товариства з обмеженою та додатковою відповідальністю», Закону України «Про благодійну діяльність», Закону України «Про державну реєстрацію юридичних осіб, фізичних осіб-підприємців та громадських формувань» та інших чинних нормативно- правових актів України, а також виконання зобов’язань за договорами.
Розділ 5. Правові підстави для обробки персональних даних
5.1. Фонд здійснює обробку персональних даних виключно на таких правових підставах:
a) Згода суб’єкта персональних даних на обробку своїх персональних даних для однієї чи декількох конкретних цілей;
b) Необхідність виконання договору, стороною якого є суб’єкт персональних даних, або для здійснення заходів на запит суб’єкта персональних даних до укладення договору;
c) Необхідність виконання юридичного обов’язку, покладеного на Фонд;
d) Необхідність захисту життєво важливих інтересів суб’єкта персональних даних або іншої фізичної особи;
e) Необхідність виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на Фонд;
f) Необхідність забезпечення законних інтересів, які переслідує Фонд або третя сторона, крім випадків, коли такі інтереси переважаються інтересами або основними правами і свободами суб’єкта персональних даних.
5.2. При обробці чутливих персональних даних Фонд додатково забезпечує наявність хоча б однієї з таких умов:
a) Явна згода на обробку таких персональних даних;
b) Необхідність виконання обов’язків у сфері трудового законодавства та соціального захисту відповідно до закону із забезпеченням відповідного захисту;
c) Захист життєво важливих інтересів суб’єкта даних;
d) Обробка здійснюється в рамках законної діяльності некомерційної організації з відповідними гарантіями;
е) Обробка персональних даних стосується даних, які були явно оприлюднені суб’єктом персональних даних;
f) Обробка персональних даних необхідна для обґрунтування, задоволення або захисту правової вимоги.
Розділ 6. Порядок отримання згоди на обробку персональних даних
6.1. Згода суб’єкта на обробку його персональних даних повинна бути:
• добровільною
• інформованою;
• конкретною (щодо мети обробки);
• недвозначною.
6.2. Згода на обробку персональних даних надається у письмовій формі шляхом підписання форми згоди, що міститься в Додатках 1 та 2 до цієї Політики.
6.2.1. У випадках первинного звернення суб’єкта персональних даних через телефон або онлайн-форму допускається отримання попередньої згоди в усній формі або шляхом проставлення відмітки в онлайн-формі відповідно.
6.3. Особливості надання згоди різними віковими категоріями:
6.3.1. Згода на обробку персональних даних неповнолітніх осіб надається виключно їх законним представником за формою, затвердженою у Додатках 1 та 2 до цієї Політики.
У разі відсутності законних представників або неможливості отримання їхнього схвалення з об’єктивних причин, питання надання згоди вирішується в індивідуальному порядку відповідно до норм чинного законодавства України та з урахуванням найкращих інтересів неповнолітньої особи.
6.4. У випадку, якщо досягнення цілей, щодо правовідносин, які виникли або виникнуть у майбутньому між Фондом та суб’єктом персональних даних передбачає фото-, відео- та аудіо- запис, то суб’єкт персональних даних, надає згоду на обробку таких персональних даних.
6.4.1. При проведенні публічних заходів, які організовуються та/або проводяться Фондом відповідно до його статутної діяльності (благодійних заходів, публічних акцій, конференцій, фестивалів, вебінарів, інформаційних сесій, інших заходів інформаційно-просвітницького характеру), збір та обробка персональних даних учасників у формі фото- та відеозйомки здійснюється за умови:
• інформування про те, що участь у заході передбачає згоду на фото/відеозйомку безпосередньо перед початком заходу;
• обмеження обробки даних метою документування заходу та статутної діяльності Фонду.
У виняткових випадках, згода на обробку персональних даних (аудіо-, фото-, відео- фіксація), може бути надана усною заявою або чіткою підтверджуючою дією.
Розділ 7. Порядок збирання, зберігання, поширення та знищення, персональних даних
7.1. Використання персональних даних передбачає будь-які дії Фонду щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до чинного законодавства України.
7.2. Використання персональних даних здійснюється у разі створення Фондом умов для захисту цих даних.
7.3. Використання персональних даних працівниками Фонду та іншими особами (фізичними особами-підприємцями, консультантами, підрядниками тощо), які мають доступ до персональних даних на підставі договорів з Фондом, повинно здійснюватися лише відповідно до їхніх професійних, службових або договірних обов’язків. Такі особи зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням зазначених обов’язків. Таке зобов’язання чинне і після припинення ними діяльності в Фонді, пов’язаної з персональними даними, крім випадків, установлених чинним законодавством України.
7.4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
7.5. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних. Фонд здійснює збір персональних даних наступними способами:
7.5.1. Отримання письмової згоди суб’єкта персональних даних шляхом:
• підписання паперових форм згоди на обробку персональних даних;
• надання копій документів, що містять персональні дані;
• заповнення паперових анкет та опитувальників.
7.5.2. Отримання згоди через онлайн-форми або іншим способом здійснюється з дотриманням наступним умов:
• суб’єкту персональних даних надається інформація про мету та умови обробки його персональних даних;
• згода на обробку персональних даних надається шляхом проставлення відмітки у відповідному полі електронної форми або шляхом здійснення аудіо- чи відео запису;
• відкликання згоди здійснюється шляхом подання письмової заяви до Фонду (Додаток №5).
7.6. Суб’єкт персональних даних повідомляється про свої права, визначені Законом «Про захист персональних даних» та цією Політикою, мету збору даних та осіб, яким передаються його персональні дані, в день підписання згоди на обробку персональних даних або договору, в якому міститься відповідний пункт про згоду на обробку персональних даних, що є днем початку збирання персональних даних про нього та включення таких даних до бази персональних даних Фонду, шляхом ознайомлення з текстом такої згоди або договору. Суб’єкт персональних даних вважається повідомленим у порядку, визначеному цим пунктом, якщо він надав свою згоду на обробку персональних даних шляхом підписання відповідного документа.
7.7. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
7.8. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
7.9. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
7.10. За запитом органів влади чи місцевого самоврядування, або інших юридичних чи фізичних осіб, коли це виправдано інтересами захисту дітей та за умови попереднього погодження суб’єктом персональних даних можливості такої передачі у згоді суб’єкта персональних даних, Фонд може надавати захищені зведені знеособлені дані. Такий запит повинен містити:
• правові підстави для отримання інформації
• мету використання даних
• обсяг необхідної інформації
• строк, протягом якого планується використання даних
Метою такої передачі є обмін інформацією, пов’язаною з гуманітарним реагуванням, яка необхідна задіяним до знеособленого обміну особам для виконання своєї ролі, посилення гарантій захисту інтересів дітей, за умови, що обмін цією інформацією відповідає наступному:
Знеособлені та зведені дані надаватимуться суворо на основі принципу «необхідно знати», забезпечення найкращих інтересів дитини та принципу «не зашкодь».
При обміні знеособленими та зведеними даними з місцевими органами влади з метою координації, за потреби можуть бути надані такі дані:
• загальна кількість дітей, які отримують послуги з питань захисту дітей, з розподілом за статтю, віком, правовим статусом або категорією (наприклад, громадяни, шукачі притулку, біженці, внутрішньо переміщені особи);
• види допомоги/послуг, що надаються;
• періоди надання послуг;
• інша узагальнена (категоризована) інформація про благодійні послуги без зазначення персональних даних осіб, зокрема:
– Загальна кількість відкритих справ, розподілених за статтю, віком, правовим статусом або категорією щодо отримання послуг;
– Загальна кількість закритих справ з розбивкою за статтю, віком, правовим статусом або категорією;
– Загальна кількість дітей, розлучених із сім’єю, з поділом на стать, вік, правовий статус або категорію;
– Тип послуг, що надаються (розподілено за статтю, віком, правовим статусом або категорією);
– Тип необхідних послуг (з розбивкою за статтю, віком, правовим статусом або категорією);
– Кількість звернень за категоріями, наприклад, охорона здоров’я, освіта, психосоціальна підтримка, грошова допомога тощо (розподілено за статтю, віком, правовим статусом або категорією).
Збирання та поширення таких анонімних та зведених даних не вважається поширенням персональних даних про особу. Такі дані можуть надаватися донорським організаціям, запитувачам, незалежно від організаційно-правової форми та підпорядкування, в будь-яких не заборонених чинним в Україні законодавством цілях.
7.11. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
7.12. Суб’єкт персональних даних має право на виправлення його неточних персональних даних, яке повинен здійснити Фонд без необґрунтованої затримки. Суб’єкт персональних даних має право заповнити незаповнені персональні дані, в тому числі, надавши додаткову заяву.
7.13. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог ч. 2 ст. 15 Закону «Про захист персональних даних».
7.14. Суб’єкт персональних даних має право на видалення або знищення своїх персональних даних, яке повинен здійснити Фонд без безпідставної затримки, також Фонд повинен видалити або знищити персональні дані без необґрунтованої затримки у разі виникнення однієї з наведених нижче підстав:
– немає більше потреби в персональних даних для цілей, для яких їх збирали чи іншим чином опрацьовували;
– суб’єкт даних відкликає згоду, на якій ґрунтується обробка даних;
– персональні дані опрацювали незаконно.
7.15. При обробці персональних даних через онлайн-форми Фонд забезпечує:
• шифрування даних при їх переданні;
• безпечне зберігання даних на захищених серверах;
• регулярне оновлення систем безпеки;
• доступ до даних виключно авторизованим співробітникам.
7.16. Передача персональних даних державним органам та органам місцевого самоврядування:
7.16.1. Фонд здійснює передачу персональних даних державним органам та органам місцевого самоврядування у випадках та порядку, передбачених законодавством України.
7.16.2. Передача персональних даних здійснюється:
• на підставі запиту, оформленого відповідно до вимог закону;
• в межах повноважень відповідного органу;
• в обсязі, необхідному для виконання органом своїх повноважень.
7.16.3. Фонд забезпечує:
• облік випадків передачі персональних даних;
• безпечний спосіб передачі даних;
• збереження конфіденційності при передачі.
7.16.4. В журналі обліку передачі персональних даних фіксуються:
1. Дата передачі;
2. Найменування органу-отримувача;
3. Реквізити запиту;
4. Категорії переданих даних.
Розділ 8. Права суб’єктів персональних даних
8.1. Суб’єкт персональних даних має право:1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам на підставі нотаріально посвідченої довіреності, крім випадків, встановлених Законом України “Про захист персональних даних”;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
3) на доступ до своїх персональних даних та/або копію таких даних, що містяться у відповідній базі персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом “Про захист персональних даних”, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
5) пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних;
6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
10) звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради з прав людини або до суду;
11) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
12) відкликати згоду на обробку персональних даних та вимагати видалення своїх персональних даних та припинення їхнього опрацювання, якщо персональні дані більше не є потрібними щодо цілей, для яких їх збирають;
13) знати механізм автоматичної обробки персональних даних;
14) на захист від автоматичного рішення, яке має для нього правові наслідки.
Розділ 9. Обмежений доступ до персональних даних
9.1. Усі персональні дані, володільцем яких є Фонд, за режимом доступу є інформацією з обмеженим доступом.
9.2. Доступ до персональних даних, визначених п. 4.1 цієї Політики, мають уповноважені працівники Фонду в межах виконання своїх трудових обов’язків.
Для розробки та здійснення заходів із забезпечення безпеки персональних даних при їх обробці в інформаційній системі Фонду директором Фонду може бути призначений структурний підрозділ чи посадова особа, що відповідальна за забезпечення безпеки персональних даних.
9.3. Доступ до персональних даних будь-якій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону «Про захист персональних даних» (вказане зобов’язання надається особою в момент підписання форми зобов’язання про нерозголошення конфіденційної інформації Благодійної організації «Благодійний фонд «Сонячний Всесвіт») або якщо така особа не має технічних або організаційних можливостей забезпечити належний захист персональних даних відповідно до вимог законодавства.
9.4. Доступ фізичної особи до персональних даних про себе, що обробляються Фондом, надається у порядку, передбаченому Законом «Про захист персональних даних», на підставі письмового запиту такої фізичної особи – суб’єкта персональних даних. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.
9.5. Забороняється обробка чутливих персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються, статевого життя, біометричних або генетичних даних, за винятком, якщо обробка персональних даних:
1) здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних;
2) необхідна для здійснення прав та виконання обов’язків володільця у сфері трудових правовідносин відповідно до законодавства із забезпеченням відповідного захисту;
3) необхідна для захисту життєво важливих інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних;
4) необхідна для обґрунтування, задоволення або захисту правової вимоги;
5) необхідна в цілях забезпечення ведення військового обліку призовників, військовозобов’язаних та резервістів (в обсягах даних, зазначених у статті 7 Закону України “Про Єдиний державний реєстр призовників, військовозобов’язаних та резервістів”);
6) стосується даних, які були явно оприлюднені суб’єктом персональних даних.
Розділ 10. Захист персональних даних
10.1. Фонд вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки та зберігання.
10.2. Фонд самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
10.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрат або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
10.4. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.
10.5. Відповідальна особа організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону. Відповідальна особа визначається наказом директора Фонду. Обов’язки відповідальної особи щодо організації роботи, пов’язаної із захистом персональних даних при їх обробці зазначаються у посадовій інструкції.
10.6. Відповідальна особа зобов’язана:
• знати діюче законодавство України та вимоги міжнародних нормативно-правових актів, застосовних до України в сфері захисту персональних даних;
• розробити процедури доступу до персональних даних працівників відповідно до їхніх трудових обов’язків;
• забезпечити виконання співробітниками Фонду вимог чинного законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Фонду щодо обробки і захисту персональних даних у базах персональних даних;
• повідомляти керівництво Фонду та/або відповідну команду з захисту та реагування на випадки неналежної поведінки про факти порушень співробітниками вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Фонду щодо обробки і захисту персональних даних у базах персональних даних, у термін не пізніше одного робочого дня з моменту виявлення таких порушень;
• забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку своїх персональних даних та повідомлення вказаного суб’єкта про його права.
10.7. З метою виконання своїх обов’язків відповідальна особа має право:
• отримувати від працівників Фонду необхідні документи, у тому числі накази й інші розпорядчі документи, видані директором Фонду, пов’язані із обробкою персональних даних;
• робити копії з отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних електронних мережах і автономних комп’ютерних системах;
• доступу до приміщень та документів Фонду, дозвіл на доступ до яких їй надано керівництвом Фонду для виконання покладених функцій щодо захисту персональних даних;
• брати участь в обговоренні виконуваних ним обов’язків організації роботи, пов’язаної із захистом персональних даних при їх обробці;
• взаємодію з іншими працівниками Фонду при виконанні своїх обов’язків з організації роботи, пов’язаної із захистом персональних даних при їх обробці;
• одержувати від працівників Фонду, незалежно від займаних ними посад, пояснення з питань здійснення обробки персональних даних;
• підписувати та візувати документи в межах своєї компетенції.
10.8. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх посадових обов’язків зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Фонду, щодо обробки і захисту персональних даних у базах персональних даних.
10.9. Працівники, які мають доступ до персональних даних, у тому числі здійснюють їх обробку, зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням трудових обов’язків. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з обробкою персональних даних в Фонду, крім випадків, установлених Законом «Про захист персональних даних».
10.10. Особи, які мають доступ до персональних даних, у тому числі, здійснюють їх обробку, у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно чинного законодавства України.
10.11. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних та/або чинним в Україні законодавством.
10.12. Внутрішній моніторинг дотримання вимог захисту персональних даних:
10.12.1. В Фонду проводиться регулярний внутрішній моніторинг дотримання вимог цієї Політики та законодавства у сфері захисту персональних даних.
10.12.2. Моніторинг здійснюється відповідальною особою щоквартально та включає:
– перевірку актуальності наданих працівниками згод та зобов’язань;
– контроль дотримання процедур обробки персональних даних;
– аналіз журналів доступу до баз даних;
– оцінку ефективності технічних заходів захисту;
– перевірку наявності та актуальності документації.
10.12.3. Звіт надається директору Фонду для прийняття необхідних управлінських рішень.
10.12.4. Контроль за виконанням рекомендацій здійснює відповідальна особа.
10.13. Усі працівники Фонду, які мають доступ до персональних даних суб’єктів, зобов’язані ознайомитися з цією Політикою. Факт ознайомлення підтверджується шляхом підписання працівником окремого листа ознайомлення. Працівники, які не ознайомилися з Політикою, не допускаються до обробки персональних даних суб’єктів.
Розділ 11. Реагування на витік даних
11.1. Витоком даних є порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються і обробляються іншим способом.
11.2. Форми витоку даних:
• “Порушення конфіденційності” – відбувається несанкціоноване або випадкове розголошення або доступ до персональних даних;
• “Порушення цілісності” – відбувається несанкціонована або випадкова зміна персональних даних;
• “Порушення доступності” – відбувається випадкова або несанкціонована втрата доступу або знищення персональних даних;
або поєднання різних форм витоку.
11.3. Процес реагування на витоки даних включає певні етапи:
11.3.1. Підготовка. Дозволяє Фонду вчасно відреагувати на непередбачувані ситуації та вжити всіх необхідних дій.
Підготовка включає:
• розпізнання витоку даних;
• підготування плану реагування на усунення будь-яких порушень щодо витоку персональних даних;
• призначення керівником відповідальних осіб за управління порушеннями;
• розуміння співробітниками Фонду як та кому потрібно передати інформацію про витік даних;
• розуміння порядку оцінки ймовірного ризику для людей внаслідок порушення;
• уточнення інформації щодо відповідального наглядового органу, строків для повідомлення про витік даних та виду інформації, яку треба зазначити у повідомленні;
• розуміння процесу інформування постраждалих осіб.
11.3.2. Основний етап.
Під основним етапом розуміються дії, які необхідно вжити Відповідальній особі за захист персональних даних у Фонду після того, як стався витік даних:
• Інформація про всі події, пов’язані з безпекою, повинна бути спрямована на Відповідальну особу за захист персональних даних в Фонду або осіб, котрі призначені керівником Фонду відповідальними за усунення загрози від витоку даних.
• Повідомити контролюючий орган (за наявності такого) та суб’єктів даних, в яких порушили право, якщо таке мало місце.
• Вжити заходів щодо припинення порушення та відновлення прав суб’єктів даних.
• Задокументувати дії.
11.4. Якщо порушення захисту персональних даних ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб щодо захисту їх персональних даних, Фонд повідомляє таких суб’єктів даних про порушення захисту персональних даних без необґрунтованої затримки.
11.4.1. Повідомлення суб’єкта даних є необов’язковим у разі виконання однієї з наведених нижче вимог:
• володілець вжив необхідних технічних та організаційних заходів захисту, і такі заходи було застосовано до персональних даних, на які вплинуло порушення захисту персональних даних, зокрема ті, що унеможливлюють розуміння персональних даних будь-якою особою, яка не має дозволу на доступ до них, наприклад, шифрування;
• володілець вжив подальших заходів, що гарантують, що високий ризик для прав і свобод суб’єктів даних ймовірно більше не матеріалізується;
• воно передбачатиме докладання надмірних зусиль.
11.4.2. Якщо витоку чи інших порушень щодо персональних даних суб’єкта даних не було виявлено або їх ризик було вчасно усунуто, повідомлення суб’єкта даних про інцидент не є обов’язковим.
11.5. Фонд фіксує будь-які порушення захисту персональних даних, збираючи факти, що стосуються порушення захисту персональних даних, його наслідків та вжитих заходів щодо виправлення ситуації.
11.5.1. Реагування на будь-які порушення захисту персональних даних здійснюється відповідною командою з захисту та реагування на випадки неналежної поведінки у порядку, передбаченому відповідними внутрішніми політиками та положеннями Фонду.
Розділ 12. Оцінка впливу на захист даних
12.1. Оцінка впливу на захист даних здійснюється у випадках, коли обробка даних може призвести до високого ризику для прав і свобод фізичних осіб або якщо виникає підозра, що обробка персональних даних може призвести до виникнення значних ризиків щодо прав та життєво-важливих інтересів суб’єктів даних, чиї персональні дані обробляються, а також, але не виключно, у наступних випадках:
12.1.1. У разі систематичного та масштабного оцінювання персональних аспектів, що стосуються фізичних осіб, яке ґрунтується на автоматизованому опрацюванні, в тому числі, профайлінгу, та на якому ґрунтуються рішення, що мають юридичні наслідки щодо фізичної особи чи подібним чином істотно впливають на фізичну особу.
12.1.2. У разі опрацювання спеціальних категорій даних у великих масштабах та персональних даних про судимості і кримінальні правопорушення.
12.1.3. У разі систематичного моніторингу зони, що знаходиться у відкритому доступі, у великих масштабах.
Розділ 13. Прикінцеві положення
13.1. Це Положення набирає чинності з дати його затвердження наказом Президента Фонду.
13.2. Зміни та доповнення до цієї Політики вносяться шляхом затвердження нової редакції Політики або внесення змін до окремих пунктів Політики наказом Президента Фонду.
13.3. У разі невідповідності будь-якої частини цієї Політики законодавству України, в тому числі у зв’язку з прийняттям нових нормативно-правових актів або внесенням змін до існуючих, ця Політика діятиме лише в тій частині, що не суперечитиме законодавству України.
13.4. Визнання недійсними окремих пунктів цієї Політики не тягне за собою недійсність інших його пунктів. Контроль за виконанням вимог цієї Політики покладається на відповідальну особу, призначену наказом Директора Фонду.
13.5. Положення підлягає перегляду у разі:
• змін у законодавстві України щодо захисту персональних даних;
• змін у структурі Фонду, що впливають на процеси обробки персональних даних;
• виявлення недоліків під час практичного застосування Положення;
• запровадження нових систем та процесів обробки персональних даних в Фонду.
13.6. З моменту затвердження цієї Політики втрачають чинність попередні внутрішні документи Фонду, що регулюють питання обробки та захисту персональних даних.
13.7. Питання, не врегульовані цим Положенням, регулюються чинним законодавством України.
Додаток № 1
БЛАГОДІЙНА ОРГАНІЗАЦІЯ «БЛАГОДІЙНИЙ ФОНД «СОНЯЧНИЙ ВСЕСВІТ»
ДОДАТОК до АКТУ СПИСАННЯ № _______ від “___”_______________202__р.
Я, що підписався нижче, прийняв участь у Акції
________________________________________________________________________,
Що пройшла “____”________________202__р. за адресою:
________________________________________________________________________,
Та НАДАЮ СВОЮ ЗГОДУ НА УЧАСТЬ У ВІДЕО- /ФОТО- ЗЙОМЦІ, а також НАДАЮ НА УЧАСТЬ У ВІДЕО- /ФОТО ЗЙОМЦІ МОЇХ ДІТЕЙ, ЩО БУЛИ ПРИСУТНІ НА ДАНІЙ АКЦІЇ.
Я розумію, що фото- та відео- матеріали можуть бути використані для інформування щодо Акції БО «БФ «Сонячний всесвіт» на веб-сайті та сторінках соціальних мереж.
№ ПІБ ВПО кіл-ть дітей підпис
БО «БФ «Сонячний всесвіт» цінує Вашу підтримку й обіцяє поважати Вашу конфіденційність. Ми не будемо розголошувати чи передавати будь-кому надані Вами персональні дані без Вашої згоди.
Авторські права на будь-який матеріал, щобуде створено в результаті цієї фото-/відеозйомки, належатимуть БО «БФ «Сонячній всесвіт».
Додаток № 2
ЗГОДА на фото- та відео-зйомку
Я,
(прізвище, і’мя, по-батькові)
що підписався нижче, надаю згоду на участь у відео / фотозйомці
для проєкту ____________________________________________,
який реалізує БО «БФ «Сонячний всесвіт»
Я розумію, що відео/фотографії можуть бути використані для
інформування БО «БФ «Сонячний всесвіт» щодо реалізації проєкту
у соціальних мережах та публікаціях та інших комунікаційних матеріалах.
Я, як батько / мати / опікун / особа, яка замінює батьків
(видалити непотрібне)
надаю свою згоду на відео-/фото-зйомку для проєкту моєї дитини/дітей:
(нижче записати і’мя дитини або дітей)
Підпис Дата
БО «БФ «Сонячний всесвіт» цінує Вашу підтримку й обіцяє поважати Вашу
конфіденційність. Ми не будемо розголошувати чи передавати будь-кому
надані Вами персональні дані без Вашої згоди.
Президенту БО «БФ «СОНЯЧНИЙ ВСЕСВІТ»
Богомільській Софії Георгіївні
ЗАЯВА про надання благодійної допомоги
Я (ПІБ)
Ід.код
Адреса проживання:
Адреса реєстрації:
прошу надати мені допомогу у вигляді:
Категорія отримувача (якщо є, наприклад багатодітна мати):
Маю _________________ дітей віком до 18 років.
Підпис Дата
Додаток № 3
ЗАПИТ
на видалення персональних даних
Я, (ПІБ), дата народження
, документ, що посвідчує особу: , виданий
, РНОКПП
, адреса проживання:
, прошу видалити мої персональні дані з баз даних Благодійної організації «Благодійний фонд «Сонячний Всесвіт».
Дата: Підпис:
Додаток № 4
ПОВІДОМЛЕННЯ
про видалення персональних даних
Шановний(-а) ! (ПІБ)
Ви надіслали запит на видалення ваших персональних даних з наших баз даних, який ми отримали
року.
Наша Фонд високо цінує Вашу увагу до конфіденційності та безпеки даних. Ми підтверджуємо отримання вашого запиту та інформуємо вас про наступне:
1. Процес видалення:
Ми зобов’язуємося видалити всю інформацію, що стосується вас, з наших систем протягом 30 (тридцяти) робочих днів з моменту отримання запиту. Це включає, але не обмежується:
• Персональні дані Вас та членів Вашої родини, такі як ім’я, адреса місця проживання, номер телефону, електронна пошта.
• Будь-які документи, що містять ваші персональні дані.
• Записи в електронних та паперових реєстрах.
2. Підтвердження видалення:
Цією відповіддю на Ваш запит ми підтверджуємо той факт, що процес видалення Ваших персональних даних з наших реєстрів та онлайн форм для заповнення завершено.
3. Захист даних: Ми гарантуємо, що ваші дані більше не будуть оброблятися для жодних цілей.
4. Звертаємо Вашу увагу, що деякі дані можуть зберігатися відповідно до вимог законодавства протягом встановлених строків зберігання.
5. Контактна інформація: Якщо у вас виникнуть додаткові питання або потреба в подальшій інформації, будь ласка, звертайтеся до нас за адресою або за телефоном
.
Ще раз дякуємо за ваше звернення.
Ми цінуємо вашу довіру та прагнемо дотримуватися найвищих стандартів захисту даних.
З повагою,
Відповідальна особа: (ПІБ) (підпис) Дата:
Додаток № 5
ЗАЯВА про відкликання згоди на обробку персональних даних
Я, (ПІБ), дата народження
, документ, що посвідчує особу: , виданий , РНОКПП
, адреса проживання:
,
відповідно до ст. 8 Закону України “Про захист персональних даних” відкликаю свою згоду на обробку персональних даних, надану Благодійній організації «Благодійний фонд «Сонячний Всесвіт».
Прошу припинити обробку моїх персональних даних та видалити їх з баз даних Фонду протягом 30 робочих днів з моменту отримання цієї заяви, крім випадків, коли подальша обробка здійснюється на інших правових підставах, визначених законодавством України.
Про результати розгляду цієї заяви прошу повідомити мене електронною поштою:
. Дата: Підпис: