Наказ : Про затвердження Порядку обробки персональних даних у базі персональних даних - Єдиному реєстрі учасників антитерористичної операції

МІНІСТЕРСТВО СОЦІАЛЬНОЇ ПОЛІТИКИ УКРАЇНИ

НАКАЗ
20.07.2015 N 746

Зареєстровано
в Міністерстві юстиції України
17 вересня 2015 р. за N 1110/27555

Про затвердження Порядку обробки персональних
даних у базі персональних даних - Єдиному реєстрі
учасників антитерористичної операції

Відповідно до статті 6 Закону України "Про захист персональних даних" і Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року N 1/02-14, НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у базі персональних даних - Єдиному реєстрі учасників антитерористичної операції, що додається.

2. Управлінню у справах ветеранів війни та учасників антитерористичної операції (Тарасова О.С.) забезпечити подання в установленому порядку цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу покласти на першого заступника Міністра Шевченка В.В.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

Міністр П. Розенко

Затверджено
Наказ Міністерства
соціальної політики України
20.07.2015 N 746

Зареєстровано
в Міністерстві юстиції України
17 вересня 2015 р. за N 1110/27555

Порядок
обробки персональних даних у базі персональних даних -
Єдиному реєстрі учасників антитерористичної операції

І. Загальні положення

1. Цей Порядок розроблено з метою встановлення загальних вимог до організаційних і технічних заходів захисту персональних даних під час їх обробки в базі персональних даних - Єдиному реєстрі учасників антитерористичної операції (далі - Реєстр) Державної служби України у справах ветеранів війни та учасників антитерористичної операції (далі - Служба).

2. Цей Порядок розроблено на підставі Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року N 1/02-14, та Порядку ведення Єдиного реєстру учасників антитерористичної операції, затвердженого наказом Міністерства соціальної політики України від 06 лютого 2015 року N 114, зареєстрованого у Міністерстві юстиції України 24 лютого 2015 року за N 211/26656 (далі - Порядок ЄРАТО).

3. Терміни в Порядку вживаються у значеннях, наведених у Законах України "Про захист персональних даних" та "Про захист інформації в інформаційно-телекомунікаційних системах".

4. Цей Порядок є обов’язковим для працівників Служби, на яких відповідно до їхніх посадових інструкцій покладено функції здійснення обробки персональних даних Реєстру та/або яким надано доступ до них.

5. Персональні дані учасників антитерористичної операції обробляються у Реєстрі, володільцем якого є Служба.

6. Персональні дані в базі персональних даних Реєстру обробляються за допомогою автоматизованої системи Реєстру (далі - АС Реєстру).

7. Обробка персональних даних у базі персональних даних в АС Реєстру здійснюється відповідно до Закону України "Про захист персональних даних".

8. Місцезнаходження Реєстру: м. Київ, пров. Музейний, 12, у приміщенні Служби.

9. Відповідальним за організацію роботи, пов’язаної із захистом персональних даних учасників антитерористичної операції, у Службі є відділ персоніфікованих баз учасників антитерористичної операції та програмно-технічного супроводження Департаменту соціального захисту та фінансового забезпечення (далі - відповідальний структурний підрозділ).

ІІ. Мета та підстави обробки персональних даних

1. Обробка персональних даних учасників антитерористичної операції у базі персональних даних - Єдиному реєстрі учасників антитерористичної операції здійснюється з метою забезпечення реалізації Службою державної політики у сфері соціального захисту ветеранів війни та учасників антитерористичної операції відповідно до цього Порядку, пункту 2 постанови Кабінету Міністрів України від 20 серпня 2014 року N 413 "Про затвердження Порядку надання статусу учасника бойових дій особам, які захищали незалежність, суверенітет та територіальну цілісність України і брали безпосередню участь в антитерористичній операції, забезпеченні її проведення" та Положення про Державну службу України у справах ветеранів війни та учасників антитерористичної операції, затвердженого постановою Кабінету Міністрів України від 10 вересня 2014 року N 416.

2. Обробка персональних даних у Реєстрі здійснюється відповідно до пункту 2 частини першої статті 11 Закону України "Про захист персональних даних" на підставі дозволу на обробку персональних даних, наданого володільцю персональних даних відповідно до закону виключно для здійснення його повноважень.

3. Порядок доступу до персональних даних третіх осіб визначається відповідно до вимог Закону України "Про захист персональних даних" та Порядку ЄРАТО.

ІІІ. Склад персональних даних

1. Відповідно до пункту 6 Порядку ЄРАТО до Реєстру включаються такі дані про учасників антитерористичної операції:

прізвище, ім’я та по батькові;

стать;

дата народження;

серія та номер паспорта громадянина України;

реєстраційний номер облікової картки платника податків (за наявності);

категорія учасника антитерористичної операції (особи, визначені в пункті 2 Порядку надання статусу учасника бойових дій особам, які захищали незалежність, суверенітет та територіальну цілісність України і брали безпосередню участь в антитерористичній операції, забезпеченні її проведення, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року N 413);

місце проживання (область, район, населений пункт, вулиця, будинок, квартира);

контактний телефон;

військове (спеціальне) звання;

наявність чи відсутність статусу учасника бойових дій;

місце перебування під час участі в антитерористичній операції;

період участі в антитерористичній операції;

необхідність у забезпеченні житлом, санаторно-курортним лікуванням, психологічною реабілітацією, технічними та іншими засобами реабілітації.

2. Дані до Реєстру будуть доповнюватися у разі змін до законодавства.

IV. Обов’язки та права відповідального структурного підрозділу

1. Відповідальний структурний підрозділ:

1) забезпечує:

організацію обробки персональних даних працівниками Служби відповідно до їхніх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;

аналіз процесів обробки персональних даних відповідно до основних завдань та функцій Служби;

ознайомлення керівників структурних підрозділів і працівників Служби з вимогами законодавства про захист персональних даних і змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;

організацію обробки запитів третіх осіб стосовно доступу до персональних даних;

2) сприяє доступу суб’єктів персональних даних до власних персональних даних;

3) за необхідності готує проекти змін до цього Порядку, подає зазначені проекти на розгляд Голові Служби;

4) інформує Голову Служби про заходи, яких необхідно вжити для приведення складу персональних даних і процедур їх обробки у відповідність до Закону України "Про захист персональних даних";

5) інформує Голову Служби про порушення встановлених процедур обробки персональних даних;

6) фіксує факти порушень процесу обробки та захисту персональних даних за принципом, визначеним у розділі VІ цього Порядку.

2. Персонально відповідальним за виконання покладених на відповідальний структурний підрозділ основних завдань і виконання ним своїх функцій, дотримання працівниками виконавської дисципліни є керівник цього підрозділу.

3. Керівник відповідального структурного підрозділу має право:

1) перевіряти стан дотримання працівниками Служби законодавства у сфері захисту персональних даних і виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушення порядку обробки та захисту персональних даних;

2) вносити Голові Служби пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їхніх посадових обов’язків;

3) розглядати вимоги суб’єктів персональних даних щодо заперечення проти обробки їхніх персональних даних;

4) користуватися доступом до будь-яких даних, що обробляються у Службі, та до всіх приміщень Служби, де здійснюється така обробка.

V. Обов’язки працівників Служби, які обробляють персональні дані

1. Працівники Служби, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники Служби, які обробляють персональні дані, зобов’язані:

1) запобігати втраті персональних даних та їх неправомірному використанню;

2) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних";

3) терміново повідомляти керівника відповідального структурного підрозділу у разі:

втрати або неумисного знищення носіїв інформації з персональними даними;

втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам;

виявлення спроби несанкціонованого доступу до персональних даних.

VI. Обробка персональних даних в АС Реєстру

1. АС Реєстру є окремою закритою системою без доступу до Інтернету, що забезпечує функціонування та щоденне оновлення Реєстру.

2. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору та впорядкування відомостей про учасників антитерористичної операції.

Персональні дані збираються та вносяться до бази персональних даних відповідальним структурним підрозділом на підставі:

інформації в паперовій та електронній формах згідно з додатком до Порядку ЄРАТО, яка надається Службі комісіями, утвореними в міністерствах, інших центральних органах виконавчої влади чи інших державних органах, у підпорядкуванні яких перебували військові частини (органи, підрозділи), установи та заклади, у складі яких проходили службу чи працювали військовослужбовці (резервісти, військовозобов’язані) та працівники Збройних Сил України, Національної гвардії України, Служби безпеки України, Служби зовнішньої розвідки України, Державної прикордонної служби України, Державної спеціальної служби транспорту, особи рядового і начальницького складу, військовослужбовці, працівники Міністерства внутрішніх справ України, Управління державної охорони України, Державної служби спеціального зв’язку та захисту інформації України, Державної служби України з надзвичайних ситуацій, Державної пенітенціарної служби України, інших утворених відповідно до законів України військових формувань, які захищали незалежність, суверенітет і територіальну цілісність України та брали безпосередню участь в антитерористичній операції, забезпеченні її проведення, перебуваючи безпосередньо в районах проведення антитерористичної операції у період її проведення;

первинних особистих документів, які можуть надаватися Службі безпосередньо суб’єктами персональних даних або керівниками підприємств, установ та організацій незалежно від форми власності, працівники яких залучались до антитерористичної операції і брали в ній безпосередню участь.

3. Зміни до бази персональних даних вносяться відповідальним структурним підрозділом на підставі вмотивованої письмової вимоги від силових структур, наведених в абзаці третьому пункту 2 цього розділу, при:

зміні персональних даних після внесення відомостей до Реєстру;

виявленні неправильно наданих раніше даних для внесення до Реєстру.

У випадках, передбачених законодавством, суб’єктами, зазначеними в абзаці третьому пункту 2 цього розділу, можуть надаватися відповідальному структурному підрозділу відомості та/або копії документів про зміни в їхніх персональних даних для внесення відповідних відомостей до бази персональних даних.

Персональні дані зберігаються строком не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

У разі виявлення факту внесення до бази персональних даних відомостей про учасників антитерористичної операції, які не відповідають дійсності, такі відомості мають бути невідкладно виправлені або знищені.

Знеособлення персональних даних здійснюється шляхом вилучення відомостей, які дають змогу ідентифікувати особу. Знеособлені персональні дані можуть використовуватися в статистичних цілях.

Документи у паперовій формі, що містять персональні дані та знаходяться на зберіганні в Службі, обробляються відповідно до Закону України "Про Національний архівний фонд та архівні установи", постанови Кабінету Міністрів України від 27 листопада 1998 року N 1893 "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію" та інших нормативно-правових актів у сфері роботи архівних установ.

Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону України "Про захист персональних даних".

Знищуються персональні дані у спосіб, що виключає подальшу можливість їх поновлення.

4. Доступ до персональних даних учасників антитерористичної операції, внесених до АС Реєстру, мають Голова Служби, його заступники, керівник відповідального структурного підрозділу, інші працівники Служби відповідно до своїх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.

Працівники Служби, які працюють з персональними даними, зазначені в абзаці першому цього пункту, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням посадових обов’язків, зазначених у додатку до цього Порядку.

Право доступу до персональних даних учасників антитерористичної операції та їх обробки надається особам, зазначеним в абзаці першому цього пункту, лише після підписання зобов’язання про нерозголошення персональних даних.

Забезпечення отримання зобов’язань покладається на керівника відповідального структурного підрозділу.

Датою надання права доступу до персональних даних учасників антитерористичної операції вважається день прийняття зобов’язання про їх нерозголошення відповідним працівником.

Датою позбавлення права доступу до персональних даних учасників антитерористичної операції вважається день звільнення працівника або дата його переведення на посаду, виконання обов’язків за якою не пов’язане з обробкою персональних даних.

При переведенні на іншу посаду, яка не передбачає права доступу до персональних даних Реєстру та/або здійснення їх обробки, або при звільненні працівника, який мав таке право, його ідентифікаційні дані вилучаються із системи.

Зобов’язання посадових осіб Служби формуються в окрему справу.

Справа "Зобов’язання посадових осіб Служби щодо нерозголошення персональних даних" включається до номенклатури справ відповідального структурного підрозділу.

Відповідальним за забезпечення збереженості справ, зазначених в абзаці дев’ятому цього пункту, є керівник відповідального структурного підрозділу.

5. Персональні дані учасників антитерористичної операції з Реєстру є інформацією з обмеженим доступом.

6. Персональні дані Реєстру відносяться до даних, до яких висуваються підвищені вимоги із забезпечення конфіденційності, цілісності, доступності та спостережності.

7. Факти порушення режиму захисту персональних даних фіксуються актами, які складає працівник відповідального структурного підрозділу.

За необхідності за фактами порушень режиму захисту персональних даних Голова Служби призначає службове розслідування.

За результатами службового розслідування за фактами порушень режиму захисту персональних даних на працівників Служби, винних у порушеннях, накладаються дисциплінарні стягнення.

VII. Поширення персональних даних

1. Доступ до персональних даних суб’єктам відносин, пов’язаних із персональними даними, надається відповідно до вимог Закону України "Про захист персональних даних".

2. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту й прав людини.

3. Доступ до персональних даних третій особі не надається, якщо вона відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України "Про захист персональних даних" або неспроможна їх забезпечити.

4. Учасник антитерористичної операції має право на одержання будь-яких відомостей про себе, що містяться у Реєстрі, без зазначення мети запиту з урахуванням вимог частини шостої статті 16 Закону України "Про захист персональних даних".

VIII. Захист персональних даних при їх обробці

1. Служба відповідальна за організацію роботи, пов’язаної із захистом персональних даних в АС Реєстру.

2. При обробці персональних даних в АС Реєстру забезпечується їх захист відповідно до вимог Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах" та постанови Кабінету Міністрів України від 29 березня 2006 року N 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах".

3. Служба як володілець бази персональних даних Реєстру вживає заходів, у тому числі організаційних і технічних, щодо забезпечення захисту персональних даних в АС Реєстру.

Право доступу до АС Реєстру надається працівникам Служби, у посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.

Працівники Служби допускаються до обробки персональних даних учасників антитерористичної операції в АС Реєстру лише після їх ідентифікації (логін, пароль).

Доступ до персональних даних осіб, які не пройшли процедуру ідентифікації, блокується.

АС Реєстру в обов’язковому порядку забезпечується антивірусним захистом і засобами безперебійного живлення елементів системи.

При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або при звільненні працівника, який мав таке право, його ідентифікаційні дані (логін, пароль) анулюються, а його доступ до системи блокується.

Інформація про операції, пов’язані з обробкою персональних даних (перегляд, внесення, копіювання, зміна, видалення), а також результати ідентифікації та/або автентифікації працівників Служби АС Реєстру фіксуються автоматично та зберігаються протягом року з дати здійснення зазначених операцій, якщо інше не передбачено законодавством України.

Відповідальним за організацію процесу обробки персональних даних в АС Реєстру є керівник відповідального структурного підрозділу.

Начальник відділу соціальної адаптації учасників
антитерористичної операції та військовослужбовців,
звільнених у запас або відставку, Управління у справах
ветеранів та учасників антитерористичної операції О. Тарасова

Додаток
до Порядку обробки персональних даних у
базі персональних даних - Єдиному реєстрі
учасників антитерористичної операції
(пункт 4 розділу VІ)

Зобов’язання
про нерозголошення персональних даних

Зобов’язання про нерозголошення персональних даних для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".