ПОЛІТИКА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ВААДУ УКРАЇНИ

І. МЕТА І ЗАВДАННЯ

1.1.        Ця політика встановлює вимоги та процедури збору, обробки та захисту персональних даних бенефіціарів, що беруть участь у проєктах\програмах, а також збереження інформації, захисту інформації на публічних ресурсах Громадської Організації «Асоціація єврейських організацій та общин України» (Ваад України) (надалі - "Ваад").

1.2.        Метою політики є:

1.2.1     забезпечити відповідності діяльності Вааду законодавству України та вимогам Загального регламенту про захист персональних даних (GDPR) щодо збору, обробки та зберігання персональних даних бенефіціарів та співпрацівників Вааду.

1.2.2. забезпечити механізми та процедури захисту та конфіденційності збору, обробки та зберігання персональних даних та інформації про бенефіціарів та співпрацівників Вааду, а також підвищення рівня свідомості та відповідальності співпрацівників Вааду у сфері інформаційної безпеки.

1.3 Вимоги цього положення стосуються як співробітників Вааду, так і бенефіціарів та стейкхолдерів, а також представників влади або установ, які здійснюють перевірку діяльності Вааду.

 

ІІ. ОСНОВНІ ПОНЯТТЯ

2.1.        Персональні дані - будь-яка інформація, що стосується ідентифікованої фізичної особи ("бенефіціар", “співпрацівник Вааду”).

2.2.        Співробітники Вааду - особи, залучені до реалізації проєктів та програм Вааду, в тому числі працівники, тимчасово залучені особи, виконавці за цивільно-правовими договорами тощо.

2.3.        Бенефіціар - особа, яка безпосередньо отримує допомогу або послуги в межах проєктів\програм Вааду. До осіб, визначених цим терміном, відносяться вразливі та постраждалі групи населення, особливо діти, включаючи біженців, внутрішньо переміщених осіб та інших вразливих осіб, а також члени родин, що втратили своїх близьких в результаті російської агресії проти України.

2.4.        Обробка персональних даних - будь-яка операція або сукупність операцій, здійснених з персональними даними, включаючи збір, запис, організацію, збереження, адаптацію, зміну, витяг, консультування, використання, передачу, поширення, об'єднання, блокування, видалення або знищення, тощо.

2.3.        База персональних даних - організована структура, що містить персональні дані бенефіціарів та забезпечує їх систематизацію та доступ до них.

2.4.        Власник бази персональних даних - Ваад, який володіє та керує базою персональних даних бенефіціарів та співпрацівників Вааду, визначеною у цьому положенні.

2.5.        Суб'єкт персональних даних - фізична особа, якій належать персональні дані, та яка ідентифікована або може бути ідентифікована за допомогою таких даних.

2.6.        Згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети ïx обробки;

2.7.        Знеособлення персональних даних - вилучення відомостей, які дають змогу ідентифікувати особу.

2.8.        Зберігання інформації - забезпечення належного стану інформації та її матеріальних носіїв.

2.9.        Конфіденційність інформації - властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і (або) процесом. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.

 

ІІІ. ВІДПОВІДАЛЬНІ ОСОБИ ТА СФЕРА ЗАСТОСУВАННЯ

3.1 Дана політика поширюється на всіх співпрвцівників Вааду, включаючи осіб з повною трудовою зайнятістю, неповною зайнятістю або тимчасових працівників, волонтерів, всіх підрядників, замовників, партнерських організацій, що співпрацюють з Ваадом в процесі реалізації проєктів чи організаційної діяльності, усiх, хто надає послуги за договором та опосередковано на бенефіціарів та інші сторони, які є учасниками фінансових чи інших відносин із Фондом, кожен з котрих мають право на захист.

3.2.        Керівництво Вааду приймає стратегічне рішення щодо збору, обробки, зберігання та передачі персональних даних, конфіденційності та захисту інформаційної безпеки.

3.3.        Уповноважені на це співпрацівники Вааду відповідають за забезпечення виконання цієї політики щодо безпечного та правильного збирання, зберігання, обробки та передачі персональних даних, конфіденційності та інформаційної безпеки, відповіді на запити, включаючи розробку та впровадження політик та процедур інформаційної безпеки.

3.4.        Уповноважені на це співпрацівники Вааду відповідають за ознайомлення всіх залучених до проєктів осіб з цією політикою, а також вживатимуть заходів з підвищення обізнаності щодо захисту та безпеки в обробці та зберіганні персональних даних, конфіденційності та інфомаційної безпеки.

3.5.        Передача персональних даних іншим сторонам можлива виключно за особистим дозволом осіб, чиї дані можуть бути передані, або за запитом уповноважених на це представників влади у випадках, передбачених діючим законодавством України.

3.6.        Встановлення програмного забезпечення, антивірусних програм, оновлення операційних систем, поточну перевірку захисту збереження інформації та захисту мережевих з’єднань у Вааді виконує виключно системний адміністратор за погодження Керівництва Вааду.

3.7.        Співробітники Вааду при отриманні робочого комп’ютера (ноутбука, планшета тощо) мають звернутись до системного адміністратора для налаштування комп'ютера механізмами авторизації та аутентифікації для доступу до мережі Вааду та встановлення захисту.

3.8.        Керівництво Вааду забезпечує нагляд та робочий контроль обробки персональних даних Вааду, конфіденційності та інформаційної безпеки проєктів та всіх задіяних в них осіб.

 

IV.         КОНФІДЕНЦІЙНІСТЬ, ЗБЕРЕЖЕННЯ ТА ЗАХИСТ ІНФОРМАЦІЇ

4.1.        При публікації будь-якої інформації на публічних ресурсах, необхідно дбати про збереження конфіденційності персональних даних та конфіденційної інформації Вааду. Це стосується сторінок Фонду в соціальних мережах (фейсбук, телеграм-каналів тощо) та корпоративного сайту www.vaadua.org

Доступ до публічних ресурсів, де розміщується інформація Вааду, обмежений і доступний лише відповідальним особам, які мають на це повноваження.

4.2.        Будь-яка інформація, яка стала відома співробітникам Вааду у зв’язку з виконанням обов’язків по реалізації проєктів Вааду, і розголошення якої може нанести шкоду задіяним в проєктах особам чи організаціям, є конфіденційною і не підлягає розголошенню третім особам або опублікуванню без попередньої згоди на це осіб або організацій, яких ця інформація стосується. За розголошення вказаної інформації винна сторона несе відповідальність, передбачену діючим законодавством України.

4.3.        Співробітники Вааду, бенефіціари та інші задіяні особи зобов’язуються дотримуватися конфіденційності переговорів, листування та інших дій, пов’язаних з питаннями реалізації проєктів Вааду, та не розголошувати таку інформацію третім особам без письмової згоди іншої сторони.

 

V.           БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

5.1.        Обробка персональних даних здійснюється для реалізації програм та проектів Вааду, захисту бенефіціарів та співробітників Вааду та інших цілей, визначених законодавством України і вимогами Загального регламенту про захист персональних даних (GDPR).

5.2.        Підставою виникнення права на використання персональних даних є згода суб'єкта персональних даних на обробку його персональних даних, надана письмово чи за допомогою електронних засобів (див. Додаток 1).

5.3.        Ваад володіє та обробляє наступними базами персональних даних:

5.3.1.    База даних бенефіціарів, яка містить основну інформацію про бенефіціарів фонду, включаючи ім'я, прізвище, контактні дані, сімейний стан, інформацію про отримувану підтримку тощо.

5.3.2. База даних допомоги, наданої бенефіціарам в процесі підготовки та реалізації проєктів\програм Вааду, включаючи відомості про стан фізичного та ментального здоров’я бенефіціарів, надані їм психологічні рекомендації, рекомендовані ліки та ін.

5.3.3.    База персональних даних співробітників Вааду, включаючи тимчасово задіяних фахівців та волонтерів для роботи на окремих проєктах. База містить інформацію про прізвище, ім’я, по-батькові, дату народження, домашній та мобільний телефон, електронну адресу, місце реєстрації, паспортні дані, реєстраційний номер облікової картки платника податків, освіту, дані про досвід роботи, та інші дані за потребою.

5.4.        Володіючи базою персональних даних бенефіціарів та співробітників, Ваад зобов'язується використовувати ці дані тільки для визначених цілей, зазначених у статуті або інших правових документах фонду, і згідно з принципами законності, справедливості та прозорості.

5.5.        Ваад не буде передавати персональні дані бенефіціарів та співробітників  третім особам без належних правових підстав, таких як згода бенефіціарів або законні вимоги відповідних органів.

 

VІ. ОБМЕЖЕНИЙ ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ

6.1.        Ваад надає обмежений доступ до персональних даних бенефіціарів та співробітників тільки особам, що безпосередньо задіяні у реалізації проєктів\програм Вааду і тільки в межах їх службових обов’язків в рамках цих проєктів.

6.2.        Ваад забезпечує регулярне навчання та інструктаж співробітників щодо використання та обробки персональних даних відповідно до вимог законодавства та політик Вааду.

6.3         Особи, які мають доступ до персональних даних бенефіціарів та співробітників Вааду, зобов'язуються дотримуватися конфіденційності та виконувати всі необхідні заходи безпеки для захисту цих даних згідно цієї Політики, українського законодавства та Загального регламенту про захист персональних даних (GDPR).

6.4.        Права суб'єктів персональних даних:

6.4.1.    Суб'єкти персональних даних мають право на захист своїх персональних даних та використання їх відповідно до законодавства та цього положення.

6.4.2.    Суб'єкти персональних даних мають наступні права:

а) Право на інформацію: Суб'єкти персональних даних мають право бути інформованими про те, що їхні персональні дані збираються та обробляються в межах проєктів\програм Вааду, в яких вони згодилися брати участь.

б) Право на доступ і виправлення: Суб'єкти персональних даних мають право отримувати усний доступ до своїх персональних даних, які зберігаються в базі персональних даних Вааду, і при потребі вимагати виправлення недостовірних персональних даних, які були їми надані помилково.

в) Право на вилучення: Суб'єкти персональних даних мають право вимагати видалення своїх персональних даних з бази персональних даних Вааду у разі, коли Суб’єкт відмовляється від участі у проєктах Вааду.

г) Право на відкликання згоди: У разі, коли обробка персональних даних здійснюється на підставі згоди суб'єкта даних, Суб'єкт має право в будь-який час відкликати свою згоду. Відкликання згоди не впливає на законність обробки, здійсненої до відкликання згоди, але перериває можливість подальшої участі Суб’єкта у проєктах Вааду.

д) Право на подання скарги: Суб'єкти персональних даних мають право подавати скарги до відповідних контролюючих органів, якщо вони вважають, що їхні права в сфері захисту персональних даних порушені.

є) Інші права: Суб'єкти персональних даних також мають інші права, передбачені законодавством про захист персональних даних.

6.5. Застосування прав суб'єктів персональних даних здійснюється шляхом звернення до Вааду згідно Статті 16 Закону України “Про захист персональних даних”. Ваад зобов'язаний забезпечити можливість здійснення цих прав та відповідно реагувати на запити суб'єктів персональних даних у межах вимог законодавства.

 

VIІ. ПОРЯДОК ОБРОБЛЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ

7.1.        Оброблення персональних даних здійснюється відповідно до вимог законодавства, принципів конфіденційності та безпеки персональних даних, а також вимог Загального регламенту про захист персональних даних (GDPR).

7.2.        Персональні дані збираються та обробляються згідно дозволу встановленої форми (див. Додаток 1).

7.3.        Обробка персональних даних може здійснюватися з використанням автоматизованих засобів, які використовує Ваад, а також без автоматизованих засобів (зберігання письмових дозволів в офісі тощо).

7.4.        Ваад забезпечує виконання належних заходів для захисту персональних даних від несанкціонованого доступу, випадкової втрати або пошкодження, знищення, зміни, поширення або незаконної обробки, постійно оновлюючи безпеку автоматизованих засобів зберігання персональних даних та безпечне і захищене місце в офісі, архіві Вааду для неавтоматизованих засобів зберігання персональних даних.

7.5.        Ваад забезпечує зберігання персональних даних (автоматизованих так і не автоматизованих) протягом періоду, необхідного для досягнення цілей обробки згідно умов договору реалізації проєкту, якщо інше не передбачено законодавством або угодою з суб'єктом персональних даних.

7.6.        Припинення оброблення персональних даних може здійснюватися за ініціативою суб'єкта персональних даних, за письмовим запитом контролюючих органів або у разі виконання законних вимог, визначених законодавством.

7.7.        Передача персональних даних третім особам може здійснюватися лише у випадках, передбачених законодавством, договором реалізації проєкту та відповідно до вимог забезпечення конфіденційності та безпеки персональних даних.

7.8.        У разі порушення безпеки персональних даних, що може призвести до несанкціонованого доступу, втрати, зміни або пошкодження таких даних, Ваад зобов'язаний повідомити відповідний контролюючий орган та суб'єктів персональних даних відповідно до вимог законодавства.

7.9.        Ваад забезпечує належні умови для здійснення прав суб'єктів персональних даних, зокрема прав на доступ до персональних даних, виправлення неправдивих або недостовірних даних, вилучення даних тощо.

7.10. Обробка персональних даних бенефіціарів, яка стосується питань їх психологічного та медичного стану, наданих рекомендацій тощо, виконується у формі максимального знеособлення даних для неможливості ідентифікації бенефіціарів в процесі оформлення, надання і проведення моніторингу якості отриманої допомоги та інших цілей, пов’язаних із отриманою допомогою.

 

Додаток 1

Письмова ЗГОДА на обробку персональних даних може бути інтегрована в інші документи Вааду, де бенефіціар ставить свій підпис, що він поінформований про збір даних. Також ЗГОДОЮ є відповідна позначка про дозвіл на збір та обробку персональних даних, яку ставить Суб’єкт в електронній формі збору даних, яку він\вона самостійно, за власним бажанням надсилає до Вааду як заявку на участь у проєктах\програмах Вааду.


ЗГОДА НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ

Підписуючи цей документ, Я (суб’єкт) надаю свою згоду на:

  • збір, реєстрацію, зберігання, використання та інші форми обробки моїх персональних даних, у тому числі з використанням інформаційних систем,
  • моніторинг, та\або фотофіксацію будь-яких необхідних особистих документів, що надані мною у паперовому або електронному вигляді.

Згода надається у повному обсязі, без додаткового письмового повідомлення, для реалізації моєї участі у проєктах\програмах Вааду та оформлення, надання і проведення моніторингу якості отриманої допомоги та інших цілей, пов’язаних із отриманою допомогою.

Своїм підписом я підтверджую, що мене повідомлено про мої права як суб'єкта персональних даних, які визначені в ст. 8 Закону України «Про захист персональних даних», а також про мету збору цих даних та осіб, яким ці дані передаються.


Затверджено
Йосиф Зісельс
Виконавчий співпрезидент
Ваад України