ДЕРЖАВНА СЛУЖБА УКРАЇНИ У СПРАВАХ ВЕТЕРАНІВ
ВІЙНИ ТА УЧАСНИКІВ АНТИТЕРОРИСТИЧНОЇ ОПЕРАЦІЇ
НАКАЗ
18.03.2015 N 16
Про затвердження Положення
про обробку та захист персональних даних
учасників антитерористичної операції
Відповідно до Закону України "Про захист персональних даних", Порядку ведення Єдиного реєстру учасників антитерористичної операції, затвердженого наказом Міністерства соціальної політики України від 06 лютого 2015 року N 114, зареєстрованого в Міністерстві юстиції України 24 лютого 2015 р. за N 211/26656, та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 р. N 1/02-14, з метою забезпечення захисту персональних даних, що обробляються Державною службою України у справах ветеранів війни та учасників антитерористичної операції під час ведення Єдиного реєстру учасників антитерористичної операції, від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати даних під час обробки, НАКАЗУЮ:
1. Затвердити Положення про обробку та захист персональних даних учасників антитерористичної операції (далі - Положення), що додається.
2. Керівникам структурних підрозділів привести посадові інструкції працівників, робота яких пов'язана з обробкою персональних даних, у відповідність із законодавством про захист персональних даних та Положенням.
3. Контроль за виконанням наказу залишаю за собою.
Голова Служби А. Дерев'янко
Затверджено
Наказ Державної
служби України у
справах ветеранів війни
та учасників
антитерористичної операції
18.03.2015 N 16
Положення
про обробку та захист персональних даних
учасників антитерористичної операції
I. Загальні положення
1.1. Положення про обробку та захист персональних даних учасників антитерористичної операції (далі - Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних, що обробляються Державною службою України у справах ветеранів війни та учасників антитерористичної операції (далі - Служба), від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати даних під час обробки.
1.2. Положення розроблено з урахуванням вимог Конституції України, законів України "Про захист персональних даних" (далі - Закон), "Про інформацію", Порядку ведення Єдиного реєстру учасників антитерористичної операції, затвердженого наказом Міністерства соціальної політики України від 06 лютого 2015 року N 114, зареєстрованого в Міністерстві юстиції України 24 лютого 2015 р. за N 211/26656 (далі - Порядок), інших актів законодавства, міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України.
1.3. Положення є обов'язковим для виконання працівниками Служби, які мають доступ до персональних даних та обробляють персональні дані.
1.4. У цьому Положенні терміни вживаються у значеннях, наведених у Законі та Типовому порядку обробки персональних даних, затвердженому наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 р. N 1/02-14.
1.5. До персональних даних учасників антитерористичної операції належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
1.6. Персональні дані учасників антитерористичної операції є конфіденційними.
1.7. Персональні дані учасників антитерористичної операції обробляються у базі персональних даних "Єдиний реєстр учасників антитерористичної операції" (далі - Реєстр), держателем якої є Служба.
1.8. Обробка персональних даних учасників антитерористичної операції ведеться у змішаній формі: на паперових носіях (звернення, листи, подання тощо) та за допомогою автоматизованої системи "Єдиний реєстр учасників антитерористичної операції".
1.9. Під обробкою персональних даних учасників антитерористичної операції розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково в автоматизованій системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням та знищенням.
1.10. Реєстр розміщений за адресою м. Київ, провулок Музейний, 12, в приміщенні Служби.
1.11. З урахуванням вимог статті 24 Закону відповідальним за організацію роботи, пов'язаної із захистом персональних даних учасників антитерористичної операції у Службі є відділ персоніфікованих баз учасників антитерористичної операції, програмно-технічного супроводження та моніторингу соціальних програм департаменту соціального та фінансового забезпечення (далі - відповідальний структурний підрозділ).
II. Мета та підстави обробки персональних даних
2.1. Обробка персональних даних учасників антитерористичної операції здійснюється з метою реалізації Службою державної політики у сфері соціального захисту ветеранів війни та учасників антитерористичної операції відповідно до Порядку, пункту 2 постанови Кабінету Міністрів України від 20 серпня 2014 р. N 413 та Положення про Державну службу України у справах ветеранів війни та учасників антитерористичної операції, затвердженого постановою Кабінету Міністрів України від 10 вересня 2014 р. N 416.
2.2. Правовими підставами обробки персональних даних є згода суб'єкта персональних даних на обробку його персональних даних.
2.3. Інформація про мету обробки персональних даних надається суб'єкту персональних даних до моменту отримання згоди на обробку його персональних даних.
2.4. Суб'єкт персональних даних при наданні згоди на обробку його персональних даних повідомляється про включення його персональних даних до Єдиного реєстру учасників антитерористичної операції, а також про свої права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані, в письмовій формі.
III. Категорії суб'єктів персональних даних
3.1. Службою здійснюється обробка персональних даних осіб, які захищали незалежність, суверенітет та територіальну цілісність України і брали безпосередню участь в антитерористичній операції, забезпеченні її проведення, а саме:
військовослужбовців (резервістів, військовозобов'язаних) та працівників Збройних Сил, Національної гвардії, СБУ, Служби зовнішньої розвідки, Держприкордонслужби, Держспецтрансслужби, осіб рядового і начальницького складу, військовослужбовців, працівників МВС, Управління державної охорони, Держспецзв'язку, ДСНС, ДПтС, військових формувань, які захищали незалежність, суверенітет та територіальну цілісність України і брали безпосередню участь в антитерористичній операції, забезпеченні її проведення, перебуваючи безпосередньо в районах проведення антитерористичної операції;
працівників підприємств, установ та організацій, які залучалися і брали безпосередню участь в антитерористичній операції в районах її проведення.
IV. Склад персональних даних
4.1. Відповідно до пункту 6 Порядку до Єдиного реєстру учасників антитерористичної операції вносяться такі відомості про учасників антитерористичної операції:
прізвище, ім'я та по батькові, стать, дата народження, серія та номер паспорта громадянина України, реєстраційний номер облікової картки платника податків (за наявності), категорія учасника антитерористичної операції (особи, визначені у пункті 2 Порядку надання статусу учасника бойових дій особам, які захищали незалежність, суверенітет та територіальну цілісність України і брали безпосередню участь в антитерористичній операції, забезпеченні її проведення, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року N 413), місце проживання (область, район, населений пункт, вулиця, будинок, квартира), контактний телефон, військове (спеціальне) звання, наявність чи відсутність статусу учасника бойових дій, район антитерористичної операції та період перебування в ньому, необхідність у забезпеченні житлом, санаторно-курортним лікуванням, психологічною реабілітацією, технічними та іншими засобами реабілітації.
V. Порядок обробки персональних даних
5.1. Збирання персональних даних.
5.1.1. Обробка персональних даних, зазначених в пункті 4.1. здійснюється Службою в автоматизованій системі "Єдиний реєстр учасників антитерористичної операції".
5.1.2. Персональні дані вносяться до бази персональних даних відповідальним структурним підрозділом на підставі:
інформації в паперовій та електронній формах згідно з додатком, наведеним у Порядку, яка надається Службі комісіями, утвореними в міністерствах, інших центральних органах виконавчої влади чи інших державних органах, у підпорядкуванні яких перебували військові частини (органи, підрозділи), установи та заклади, у складі яких проходили службу чи працювали військовослужбовці (резервісти, військовозобов'язані) та працівники Збройних Сил України, Національної гвардії України, Служби безпеки України, Служби зовнішньої розвідки України, Державної прикордонної служби України, Державної спеціальної служби транспорту, особи рядового і начальницького складу, військовослужбовці, працівники Міністерства внутрішніх справ України, Управління державної охорони України, Державної служби спеціального зв'язку та захисту інформації України, Державної служби України з надзвичайних ситуацій, Державної пенітенціарної служби України, військових формувань, які захищали незалежність, суверенітет та територіальну цілісність України і брали безпосередню участь в антитерористичній операції, забезпеченні її проведення, перебуваючи безпосередньо в районах проведення антитерористичної операції;
первинних документів щодо осіб, зазначених у абзаці третьому пункту 3.1. цього Положення, які можуть надаватися Службі безпосередньо суб'єктами персональних даних або керівниками підприємств, установ та організацій незалежно від форми власності, працівники яких залучались і брали безпосередню участь в антитерористичній операції в районах її проведення.
5.1.3. У разі виявлення факту внесення до бази персональних даних відомостей про учасників антитерористичної операції, які не відповідають дійсності, такі відомості мають бути невідкладно виправлені або знищені.
5.2. Зберігання та знищення персональних даних.
5.2.1. Персональні дані учасників антитерористичної операції зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
5.2.2. Зміни до бази персональних даних вносяться відповідальним структурним підрозділом на підставі вмотивованої письмової вимоги суб'єкта персональних даних.
5.2.3. У випадках, передбачених законодавством, суб'єктами зазначеними в пункті 5.1.2., можуть надаватися відповідальному структурному підрозділу відомості та/або копії документів про зміни в їх персональних даних для внесення відповідних відомостей до бази персональних даних.
5.2.4. Зміни до бази персональних даних можуть вноситися також за зверненнями інших суб'єктів відносин, пов'язаних з персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.
5.2.5. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.
5.2.6. Знеособлення персональних даних здійснюється в установленому порядку і полягає у вилученні відомостей, які дають змогу ідентифікувати особу. Знеособлені персональні дані можуть використовуватися в статистичних цілях.
5.2.7. Відбір документів з персональними даними, терміни зберігання яких закінчилися, для знищення проводиться Експертною комісією, утвореною наказом Державної служби у справах ветеранів війни та учасників антитерористичної операції від 09 грудня 2014 N 21.
5.2.8. Поновлення персональних даних здійснюється відповідальним структурним підрозділом за згодою суб'єкта персональних даних.
5.2.9. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.
5.2.10. Персональні дані підлягають знищенню у разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
набрання законної сили рішенням суду щодо вилучення даних про учасника антитерористичної операції;
в інших випадках, передбачених Законом.
5.2.11. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
5.3. Використання персональних даних працівниками Служби.
5.3.1. Під використанням персональних даних учасників антитерористичної операції згідно зі статтею 10 Закону розуміються будь-які дії Служби щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до Закону.
5.3.2. Доступ до персональних даних учасників антитерористичної операції, внесених до автоматизованої системи, мають Голова Служби, його заступники, керівник відповідального структурного підрозділу, інші працівники Служби, відповідно до своїх посадових обов'язків в обсязі, необхідному для виконання таких обов'язків.
5.3.3. Працівники Служби, які працюють з персональними даними, зазначені у пункті 5.3.2, дають письмове зобов'язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (додаток 1)
5.3.4. Право доступу до персональних даних учасників антитерористичної операції та їх обробки надається особам, зазначеним у пункті 5.3.2, лише після підписання зобов'язання про нерозголошення персональних даних.
5.3.5. Забезпечення отримання зобов'язань покладається на керівника відповідального структурного підрозділу.
5.3.6. Датою надання права доступу до персональних даних учасників антитерористичної операції вважається дата надання зобов'язання відповідним працівником.
5.3.7. Датою позбавлення права доступу до персональних даних учасників антитерористичної операції вважається дата звільнення працівника або дата переведення на посаду, виконання обов'язків за якою не пов'язане з обробкою персональних даних.
5.3.8. Зобов'язання формуються в окрему справу.
5.3.9. Справа "Зобов'язання посадових осіб Служби щодо нерозголошення персональних даних" включається до номенклатури справ відповідального структурного підрозділу.
5.3.10. Відповідальним за забезпечення збереженості справ, зазначених у пункті 5.3.9, є керівник відповідального структурного підрозділу.
5.4. Облік порушень процесу обробки та захисту персональних даних.
5.4.1. Факти порушень процесу обробки та захисту персональних даних фіксуються актами про виявлення порушень, які складаються керівником відповідального структурного підрозділу у двох примірниках.
Акт про виявлення порушень складається керівником відповідального структурного підрозділу в присутності особи, щодо дій або бездіяльності якої складається акт (далі - особа, щодо якої складається акт) та двох працівників Служби.
Акт вважається дійсним, якщо його підписали: особа, щодо якої складається акт, керівник відповідального структурного підрозділу та два працівники Служби.
У разі відмови особи, щодо якої складається акт, від підпису, в акті робиться позначка про цю відмову, а акт вважається дійсним, якщо його підписали керівник відповідального структурного підрозділу та два працівники Служби.
Один примірник акта вручається під підпис про одержання особі, щодо якої складається акт, другий - передається Голові Служби.
У випадку відмови особою, щодо якої складається акт, від прийняття оформленого примірника акта, керівник відповідального структурного підрозділу вказує про це в акті.
5.4.2. За необхідності за фактами порушень режиму захисту персональних даних Головою Служби може призначатися службове розслідування.
5.4.3. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення згідно чинного законодавства.
5.5. У разі пред'явлення суб'єктом вмотивованої вимоги щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту - така вимога підлягає розгляду впродовж 10 днів з моменту отримання.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частина) обробляються незаконно Служба припиняє обробку персональних даних суб'єкта (їх частини) та інформує про це суб'єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частина) є недостовірними, Служба припиняє обробку персональних даних суб'єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб'єкта персональних даних.
У разі якщо вимога не підлягає задоволенню, суб'єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
VI. Обов'язки та права відповідального структурного підрозділу
6.1. Відповідальний структурний підрозділ:
6.1.1. Забезпечує:
організацію обробки персональних даних працівниками Служби відповідно до їх посадових обов'язків в обсязі, необхідному для виконання таких обов'язків;
аналіз процесів обробки персональних даних відповідно до основних завдань та функцій Служби, у т.ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та не надмірність персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;
ознайомлення керівників структурних підрозділів та працівників Служби з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов'язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків;
організацію обробки запитів третіх осіб щодо доступу до персональних даних.
6.1.2. Сприяє доступу суб'єктів персональних даних до власних персональних даних.
6.1.3. За необхідності готує проекти змін та доповнень до цього Положення, подає зазначені проекти на розгляд Голові Служби.
6.1.4. Інформує Голову Служби про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону.
6.1.5. Інформує Голову Служби про порушення встановлених процедур обробки персональних даних.
6.1.6. Фіксує факти порушень процесу обробки та захисту персональних даних у порядку, визначеному розділом V цього Положення.
6.2. Персональну відповідальність за виконання покладених на відповідальний структурний підрозділ основних завдань та здійснення ним своїх функцій, дотримання працівниками виконавської дисципліни несе керівник відповідального структурний підрозділу.
6.3. Керівник відповідального структурний підрозділу має право:
6.3.1. Перевіряти стан дотримання працівниками Служби законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.
6.3.2. Вносити Голові Служби пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов'язків.
6.3.3. Розглядати вимоги суб'єктів персональних даних щодо заперечення проти обробки їх персональних даних.
6.3.4. Користуватися доступом до будь-яких даних, які обробляються у Службі та до всіх приміщень Служби, де здійснюється така обробка.
VII. Обов'язки працівників Служби,
які обробляють персональні дані
Працівники Служби, які обробляють персональні дані:
7.1. Мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.
7.2. Зобов'язані:
7.2.1. Запобігати втраті персональних даних та їх неправомірному використанню;
7.2.2. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків, при цьому таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом;
7.2.3. Терміново повідомляти керівника відповідального структурного підрозділу у разі:
втрати або неумисного знищення носіїв інформації з персональними даними;
втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам;
виявлення спроби несанкціонованого доступу до персональних даних.
VIII. Поширення персональних даних
8.1. Поширення персональних даних осіб, що звертаються, третім особам здійснюється відповідно до вимог Закону.
8.2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
8.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
8.4. Учасник антитерористичної операції має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних "Єдиний реєстр учасників антитерористичної операції", без зазначення мети запиту з урахуванням вимог частини шостої статті 16 Закону.
IX. Захист персональних даних при їх обробці
9.1. Захист персональних даних учасників антитерористичної операції, які обробляються в автоматизованій системі "Єдиний реєстр учасників антитерористичної операції":
9.1.1. Право доступу до автоматизованої системи надається працівникам Служби, в посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов'язання щодо нерозголошення персональних даних.
9.1.2. Працівники Служби допускаються до обробки персональних даних учасників антитерористичної операції в автоматизованій системі лише після їх ідентифікації (логін, пароль).
9.1.3. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.
9.1.4. Автоматизована система в обов'язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи.
9.1.5. При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в автоматизованій системі, його ідентифікаційні дані (логін, пароль) анулюються, доступ до системи блокується.
9.1.6. Інформація про операції, пов'язані з обробкою персональних даних (перегляд, внесення, копіювання, зміна, видалення тощо), а також результати ідентифікації та/або автентифікації працівників Служби в автоматизованій системі фіксується автоматично та зберігається протягом року з моменту здійснення зазначених операцій, якщо інше не передбачено законодавством України.
9.1.7. Відповідальність за організацію процесу обробки персональних даних в автоматизованій системі несе керівник відповідального структурного підрозділу.
Начальник відділу персоніфікованих баз учасників
антитерористичної операції, програмно-технічного
супроводженнята моніторингу соціальних програм
департаменту соціального та фінансового
забезпечення Р. Тадевосян
Додаток 1
до Положення
про обробку та захист
персональних даних
учасників антитерористичної
операції
(пункт 5.3.3.)
Форма
зобов'язання про нерозголошення
персональних даних
| Голові Державної служби України у справах ветеранів війни та учасників антитерористичної операції Дерев'янку А.В. | |
| _______________________________ (посада, П.І.Б.) |
Зобов'язання
про нерозголошення персональних даних
Відповідно до статті 10 Закону України "Про захист персональних даних" зобов'язуюсь не розголошувати у будь-який спосіб персональні дані інших осіб, що стали відомі мені у зв'язку з виконанням посадових обов'язків.
Підтверджую, що зобов'язання буде чинним після припинення мною діяльності, пов'язаної з обробкою персональних даних, крім випадків, установлених законом.
| ________________ 20__ р. (дата) |
_________________ (підпис) |
Начальник відділу персоніфікованих баз учасників
антитерористичної операції, програмно-технічного
супроводження та моніторингу соціальних програм
департаменту соціального та фінансового забезпечення Р. Тадевосян