Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Міністерство з питань реінтеграції тимчасово окупованих територій України

Відповідно до статті 6 Закону України «Про захист персональних даних», пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, НАКАЗУЮ:

1.

Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Міністерство з питань реінтеграції тимчасово окупованих територій України, що додається.

2.

Відділу цифрового розвитку, цифрових трансформацій і цифровізації (Гелеску К.І.) спільно з Директоратом нормативно-правового забезпечення (Павличенко О.В.) забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на державного секретаря Міністерства з питань реінтеграції тимчасово окупованих територій України Домбровського К.Г.

---

ПОРЯДОК

обробки та захисту персональних даних, володільцем яких є Міністерство з питань реінтеграції тимчасово окупованих територій України

I.

Загальні положення

1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Мінреінтеграції, під час їх обробки в інформаційних системах Мінреінтеграції та на паперових носіях.

2. Цей Порядок є обов’язковим до виконання працівниками Мінреінтеграції та територіальних органів, підприємств, установ і організацій, що належать до сфери його управління, яким надано доступ до інформації, що містить персональні дані, у межах виконання ними своїх повноважень.

3. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.

Терміни у цьому Порядку вживаються у значенні, наведеному в Законах України «Про захист персональних даних» та «Про захист інформації в інформаційно-комунікаційних системах».

4. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України «Про захист персональних даних» (далі - Закон).

5. Персональні дані в інформаційних системах Мінреінтеграції обробляються автоматизовано в електронній формі за допомогою програмних засобів та у паперовій формі (зберігання звернень, запитів на доступ до публічної інформації, які надійшли в паперовій формі; документів, що містять персональні дані працівників Мінреінтеграції).

6. У цьому Порядку під інформаційними системами Мінреінтеграції слід розуміти усі інформаційно-комунікаційні системи міністерства, включаючи системи електронного документообігу, системи електронної взаємодії електронних ресурсів, електронні комунікаційні системи, інтегровані інформаційні системи, публічні електронні реєстри та бази даних, володільцем яких є Мінреінтеграції.

7.

Володільцем персональних даних є Мінреінтеграції.

Розпорядниками персональних даних можуть бути територіальні органи, підприємства, установи та організації, що належать до сфери управління Мінреінтеграції, і яким доручається обробка персональних даних відповідно до законодавства.

8. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону.

II. Мета та підстави обробки персональних даних

1. Обробка персональних даних, володільцем яких є Мінреінтеграції, здійснюється з метою:

забезпечення проходження державної служби та трудових відносин, управління персоналом, військового та податкового обліків;

забезпечення права особи на доступ до публічної інформації, звернення до органів державної влади та органів місцевого самоврядування, підприємств, установ та організацій, отримання інформації з інформаційно-комунікаційних систем, яка необхідна для надання послуг;

ведення діловодства у сфері управління персоналом, діяльності з внутрішнього аудиту, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку та/або підготовки відповідно до вимог законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції Мінреінтеграції;

накопичення, обліку, узагальнення, зберігання та захисту даних в інформаційних системах Мінреінтеграції;

проведення моніторингів з питань, що належать до компетенції Мінреінтеграції.

2. Обробка персональних даних здійснюється на підставах визначених пунктами 1, 2, 5 частини першої статті 11 Закону.

Обробка персональних даних фізичних осіб, які надають Мінреінтеграції послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб’єкт персональних даних.

3. До осіб, які мають доступ до персональних даних, володільцем яких є Мінреінтеграції, належать:

працівники Мінреінтеграції;

працівники територіальних органів, підприємств, установ та організацій, що належать до сфери управління Мінреінтеграції;

працівники інших органів державної влади та органів місцевого самоврядування, які є авторизованими користувачами інформаційних систем Мінреінтеграції.

III. Категорії суб’єктів та склад персональних даних

1. Мінреінтеграції здійснює обробку та захист персональних даних таких категорій суб’єктів:

працівників Мінреінтеграції;

кандидатів на зайняття посад державної служби у Мінреінтеграції;

осіб, які проходять стажування у Мінреінтеграції;

осіб, які звертаються до Мінреінтеграції в порядку, визначеному Законами України «Про звернення громадян», «Про доступ до публічної інформації», «Про публічні закупівлі», «Про соціальний і правовий захист осіб, стосовно яких встановлено факт позбавлення особистої свободи внаслідок збройної агресії проти України, та членів їхніх сімей»;

користувачів інформації в інформаційних системах, держателем яких є Мінреінтеграції;

інші персональні дані, які підлягають внесенню до інформаційних систем Мінреінтеграції.

2. Склад персональних даних, які обробляються Мінреінтеграції та територіальними органами, підприємствами, установами і організаціями, що належать до сфери його управління, залежить від категорії суб’єкта персональних даних.

3. Мінреінтеграції здійснює обробку таких персональних даних працівників міністерства, кандидатів на зайняття посад державної служби та осіб, які проходять стажування у Мінреінтеграції:

прізвище, власне ім’я, по батькові (за наявності);

реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер, дата видачі та уповноважений суб’єкт, що видав документ);

реєстраційний номер облікової картки платника податків (за наявності);

відомості про освіту, наявність спеціальних знань або підготовки;

відомості про трудову діяльність;

військово-облікові дані;

відомості про стан здоров’я (в обсязі, необхідному для реалізації трудових відносин, і для забезпечення вимог законодавства у сфері охорони праці);

біографічні дані;

відомості про ділові та особисті якості;

відомості про сімейний стан та склад сім’ї;

відомості про адресу задекларованого/зареєстрованого місця проживання;

відомості про засоби зв’язку;

відомості про наявність прав на пільги та компенсації;

фотографічні зображення;

інші персональні дані, необхідність обробки яких визначена законодавством.

4. Мінреінтеграції здійснює обробку персональних даних осіб, які звертаються в порядку, визначеному Законами України «Про звернення громадян», «Про доступ до публічної інформації», «Про соціальний і правовий захист осіб, стосовно яких встановлено факт позбавлення особистої свободи внаслідок збройної агресії проти України, та членів їхніх сімей»:

прізвище, власне ім’я, по батькові (за наявності);

відомості про адресу задекларованого/зареєстрованого місця проживання (перебування);

відомості про засоби зв’язку;

наявність пільг, які є підставою для першочергового розгляду звернення;

інші дані, які особа надає про себе.

5. Мінреінтеграції та територіальні органи, підприємства, установи і організації, що належать до сфери його управління, здійснюють обробку таких персональних даних користувачів інформації в інформаційних системах:

прізвище, власне ім’я, по батькові (за наявності);

дата народження;

реєстраційний номер облікової картки платника податків (за наявності);

номери контактних телефонів (за наявності);

адреса електронної пошти;

інші персональні дані, передбачені законодавством, які особа надає Мінреінтеграції та територіальним органам, підприємствам, установам і організаціям, що належать до сфери його управління.

6. Мінреінтеграції та територіальні органи, підприємства, установи і організації, що належать до сфери його управління, здійснюють обробку персональних даних, які підлягають внесенню до інформаційних систем Мінреінтеграції:

прізвище, власне ім’я, по батькові (за наявності);

дата народження;

стать;

громадянство;

реєстраційний номер облікової картки платника податків (за наявності);

фото;

контактні дані (за наявності);

інші персональні дані, передбачені законодавством, які особа надає Мінреінтеграції та територіальним органам, підприємствам, установам і організаціям, що належать до сфери його управління.

IV. Порядок обробки персональних даних

1. Спосіб збору, накопичення персональних даних

1. Збирання персональних даних працівників Мінреінтеграції, кандидатів на зайняття посад державної служби у Мінреінтеграції та осіб, які проходять стажування у Мінреінтеграції здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема про державну службу, працю та є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

Накопичення персональних даних працівників здійснюється за допомогою інформаційної системи управління людськими ресурсами в органах державної влади (Human Resources Management Information System (HRMIS)) та системи M. E. Doc, Master: Комплексний облік для бюджетних установ.

Структурний підрозділ з кадрової роботи Мінреінтеграції під час збору персональних даних працівників Мінреінтеграції, кандидатів на зайняття посад державної служби у Мінреінтеграції та осіб, які проходять стажування у Мінреінтеграції письмово повідомляє їх шляхом надсилання або надання повідомлення про обробку персональних даних за формою наведеною у додатку 1 до цього Порядку, та зберігає відповідне повідомлення протягом усього періоду обробки його персональних даних.

2. Персональні дані осіб, які звертаються до Мінреінтеграції в порядку, визначеному Законами України «Про звернення громадян», «Про доступ до публічної інформації», збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях та запитах на інформацію.

Накопичення персональних даних вказаної категорії суб’єктів здійснюється за допомогою системи електронного документообігу «АСКОД».

3. Збирання персональних даних користувачів інформаційно-комунікаційних систем Мінреінтеграції здійснюється шляхом надання особою своїх персональних даних при авторизації на вебпорталі.

Персональні дані користувачів інформаційно-комунікаційних систем Мінреінтеграції зберігаються автоматизовано на серверах Мінреінтеграції (02000, м. Київ, бул. Чоколівський, буд. 13).

4. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та про осіб, яким передаються його персональні дані, а також про джерела збирання, місцезнаходження своїх персональних даних, місцезнаходження володільця чи розпорядника персональних даних, в письмовій (електронній або паперовій) формі в повідомленні про обробку персональних даних.

5. Збирання персональних даних осіб, відомості про яких підлягають внесенню до інформаційних систем Мінреінтеграції здійснюється шляхом отримання інформації в паперовій та/або електронній формах від таких осіб, або вповноважених органів державної влади та органів місцевого самоврядування.

6. В адміністративній будівлі, де розташоване Мінреінтеграції, ведеться відеофіксація та/або відеоспостереження з метою запобігання неконтрольованому переміщенню матеріальних цінностей та попередження завданню шкоди здоров’ю працівників та відвідувачів Мінреінтеграції.

7. Матеріали відеофіксації та/або відеоспостереження обробляються з дотриманням вимог законодавства та зберігаються на серверному обладнанні Мінреінтеграції у строк, що не перевищує 21 календарний день.

8. Матеріали записів відеоконференцій зберігаються на серверному обладнанні Мінреінтеграції у строк, який необхідний для їх опрацювання, але не більше 3 календарних днів.

Допуск та поширення матеріалів записів відеоконференцій здійснюється відповідальними особами, за рішенням державного секретаря Мінреінтеграції або заступників Міністра після відповідного звернення.

2. Строки та умови зберігання персональних даних

1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

2. Персональні дані працівників Мінреінтеграції та кандидатів на зайняття посад державної служби Мінреінтеграції та осіб, які проходять стажування у Мінреінтеграції зберігаються у строк, визначений законодавством, зокрема про працю та державну службу.

3. Персональні дані осіб, які звертаються до Мінреінтеграції в порядку, визначеному Законами України «Про звернення громадян», «Про доступ до публічної інформації», зберігаються протягом 5 років з дати звернення.

4. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

3. Внесення змін, видалення або знищення персональних даних

1. Працівники структурних підрозділів Мінреінтеграції та територіальних органів, підприємств, установ і організацій, що належать до сфери його управління, які мають доступ і здійснюють обробку персональних даних, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.

2. Зміни до персональних даних, що зберігаються в Мінреінтеграції, вносяться на підставі:

мотивованої письмової вимоги суб’єкта персональних даних;

припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

рішення суду.

3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;

припинення правовідносин між суб’єктом персональних даних та Мінреінтеграції, якщо інше не передбачено законом;

видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

6. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.

Видалення або знищення персональних даних проводиться комісією, склад якої затверджується наказом Мінреінтеграції.

Комісія за результатами роботи складає Акт про знищення (видалення) персональних даних за формою, наведеною у додатку 2 до цього Порядку.

7. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.

8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними Мінреінтеграції або територіальні органи, підприємства, установи і організації, що належать до сфери його управління, припиняють обробку персональних даних суб’єкта та інформують про це суб’єкта персональних даних.

4. Доступ до персональних даних

1. Працівники Мінреінтеграції, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники Мінреінтеграції, які обробляють персональні дані, зобов’язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законодавством).

3. Працівники, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних, за формою наведеною у додатку 3 до цього Порядку, керівнику самостійного структурного підрозділу або керівнику територіального органу, підприємства, установи та організації, що належать до сфери управління Мінреінтеграції та зберігається у відповідному структурному підрозділі.

Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних, службових або трудових обов’язків.

4. Відомості про працівників Мінреінтеграції, які надали письмове зобов’язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов’язань про нерозголошення персональних даних, форму якого наведено у додатку 4 до цього Порядку, який ведеться в електронній формі керівником самостійного структурного підрозділу або керівником територіального органу, підприємства, установи та організації, що належать до сфери управління Мінреінтеграції.

5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

7. Суб’єкт персональних даних має право на одержання від Мінреінтеграції та територіальних органів, підприємств, установ та організацій, що належать до сфери його управління, будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.

5. Умови передачі персональних даних третім особам

1. Доступ третіх осіб до персональних даних здійснюється відповідно до вимог законодавства.

2. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.

Суб’єкт персональних даних інформується протягом десяти робочих днів з дня передачі його персональних даних про їх передачу іноземним суб’єктам відносин, пов’язаних із персональними даними.

V. Заходи забезпечення захисту персональних даних

1. Безпосередня організація роботи, пов’язаної з обробкою та захистом персональних даних у структурних підрозділах Мінреінтеграції, покладається на їх керівників.

2. Про здійснення будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, Мінреінтеграції повідомляє Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини в порядку, визначеному законодавством.

3. Обробка персональних даних в Мінреінтеграції здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.

Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації в інформаційно-комунікаційних системах Мінреінтеграції або після підписання письмового зобов’язання про нерозголошення персональних даних.

4. В інформаційних системах забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної системи.

5. Під час обробки персональних даних забезпечується їх захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

6. З метою унеможливлення несанкціонованого втручання в роботу інформаційних систем відповідальна особа визначає для авторизованих та неавторизованих користувачів моделі захисту від загроз витоку інформації та застосовує засоби забезпечення цілісності бази даних інформаційних систем, запобігання спробам несанкціонованих дій щодо інформаційних систем, а також вчиняє інші необхідні дії.

7. Облік операцій, пов’язаних із обробкою персональних даних та доступом до них, здійснюється Мінреінтеграції відповідно до законодавства.

8. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою з питань захисту персональних даних.

---

ПОВІДОМЛЕННЯ

про обробку персональних даних

АКТ

про знищення (видалення) персональних даних

ЗОБОВ’ЯЗАННЯ

про нерозголошення персональних даних

---

Додаток 4 до Порядку обробки та захисту персональних даних, володільцем яких є Міністерство з питань реінтеграції тимчасово окупованих територій України (пункт 4 глави 4 розділу IV)

ЖУРНАЛ

реєстрації зобов’язань про нерозголошення персональних даних

№ з/п	Посада, структурний підрозділ	Прізвище, власне ім’я	Дата надання зобов’язання про нерозголошення персональних даних	Дата позбавлення права доступу до персональних даних	Причина позбавлення права доступу до персональних даних (звільнення, переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних)
1	2	3	4	5	6