МІНІСТЕРСТВО СОЦІАЛЬНОЇ ПОЛІТИКИ УКРАЇНИ

НАКАЗ
01.07.2016 N 717

Зареєстровано
в Міністерстві юстиції України
19 липня 2016 р. за N 982/29112

Про затвердження Порядку обробки персональних даних у
базі персональних даних і в Єдиній інформаційно-аналітичній
системі "Діти"

Відповідно до статті 6 Закону України "Про захист персональних даних", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року N 1/02-14 та пункту 8 Положення про Міністерство соціальної політики України, затвердженого постановою Кабінету Міністрів України від 17 червня 2015 року N 423, НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у базі персональних даних і в Єдиній інформаційно-аналітичній системі "Діти", що додається.

2. Департаменту захисту прав дітей та усиновлення (Колбаса Р.С.) забезпечити подання в установленому порядку цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Міністра з питань європейської інтеграції Устименка С.О.

Міністр А. Рева

Затверджено
Наказ Міністерства соціальної політики України
01.07.2016 N 717

Зареєстровано
в Міністерстві юстиції України
19 липня 2016 р. за N 982/29112

Порядок
обробки персональних даних у базі персональних даних
і в Єдиній інформаційно-аналітичній системі "Діти"

І. Загальні положення

1. Цей Порядок визначає загальні вимоги до обробки та захисту персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, кандидатів в усиновлювачі та усиновлювачів (далі - база даних), що обробляються без застосування автоматизованих засобів і містяться в документах на паперових носіях, і персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі та усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів, що обробляються в Єдиній інформаційно-аналітичній системі "Діти" (далі - ЄІАС "Діти") за допомогою автоматизованих засобів Департаментом захисту прав дітей та усиновлення (далі - Департамент) Міністерства соціальної політики України (далі - Міністерство).

2. Порядок розроблено на підставі Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року N 1/02-14.

3. Терміни в цьому Порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних" (далі - Закон), Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" та постановах Кабінету Міністрів України від 08 жовтня 2008 року N 905 "Про затвердження Порядку провадження діяльності з усиновлення та здійснення нагляду за дотриманням прав усиновлених дітей", від 24 вересня 2008 року N 866 "Питання діяльності органів опіки та піклування, пов'язаної із захистом прав дитини".

4. Володільцем та розпорядником персональних даних, що обробляються у Департаменті, є Міністерство.

5. Цей Порядок є обов’язковим для працівників Департаменту, на яких відповідно до їхніх посадових інструкцій покладено функції обробки персональних даних та/або яким надано доступ до бази даних.

6. Обробка персональних даних у базі даних на паперових носіях та в ЄІАС "Діти" здійснюється відповідно до Закону.

7. Місцезнаходження бази персональних даних на паперових носіях та в ЄІАС "Діти": м. Київ, вул. Еспланадна, 8/10.

8. Організацію роботи, пов’язаної із захистом персональних даних у Департаменті, забезпечує сектор роботи з базою даних (далі - відповідальний структурний підрозділ).

ІІ. Мета і підстави обробки персональних даних

1. Метою обробки персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі, усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів у Департаменті є формування та забезпечення реалізації державної політики у сфері захисту прав дітей та усиновлення, моніторингу стану дотримання вимог законодавства щодо соціального захисту дітей відповідно до Положення про Міністерство соціальної політики України, затвердженого постановою Кабінету Міністрів України від 17 червня 2015 року N 423.

2. Обробка персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі та усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів забезпечується Міністерством відповідно до пункту 2 частини першої статті 11 Закону на підставі дозволу на обробку персональних даних, наданого володільцю персональних даних виключно для здійснення його повноважень.

3. Порядок доступу третіх осіб до персональних даних визначається відповідно до вимог Закону.

ІІІ. Обов’язки та права структурного підрозділу
Департаменту, відповідального за організацію
роботи із захисту персональних даних

1. Відповідальний структурний підрозділ:

1) забезпечує:

ознайомлення керівників структурних підрозділів і працівників Департаменту, які у зв’язку з виконанням своїх посадових обов’язків мають доступ до персональних даних, з вимогами законодавства про захист персональних даних, зокрема, щодо обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали їм відомі у зв’язку з виконанням службових обов’язків;

аналіз процесів обробки персональних даних відповідно до завдань і функцій Департаменту;

доступ суб’єктів персональних даних до власних персональних даних, що обробляються в Департаменті;

ведення обліку фактів надання та позбавлення працівників Департаменту права обробки та/або доступу до персональних даних в ЄІАС "Діти";

реєстрацію зобов’язань про нерозголошення персональних даних;

розмежування режимів доступу працівників Департаменту до обробки персональних даних відповідно до їхніх службових обов’язків;

2) фіксує факти порушень режиму захисту персональних даних у Департаменті;

3) за необхідності готує проекти змін до цього Порядку;

4) інформує керівництво Департаменту про заходи, яких необхідно вжити для приведення складу персональних даних і процедур їх обробки у відповідність до Закону.

2. Відповідальним за виконання покладених на відповідальний структурний підрозділ основних завдань і виконання ним своїх функцій, дотримання працівниками виконавської дисципліни є керівник цього підрозділу.

3. Керівник відповідального структурного підрозділу має право:

1) перевіряти стан дотримання працівниками Департаменту законодавства у сфері захисту персональних даних і виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушення порядку обробки та захисту персональних даних;

2) вносити керівництву Департаменту пропозиції про розмежування режиму доступу працівників до персональних даних відповідно до їхніх посадових обов’язків;

3) розглядати вимоги суб’єктів персональних даних щодо заперечення проти обробки їхніх персональних даних;

4) користуватися доступом до будь-яких даних, що обробляються у Департаменті, та до всіх приміщень Департаменту, де здійснюється така обробка.

ІV. Обов’язки працівників Департаменту,
які обробляють персональні дані

1. Працівники Департаменту, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники Департаменту, які обробляють персональні дані, зобов’язані:

1) запобігати втраті персональних даних та їх неправомірному використанню;

2) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом);

3) терміново повідомляти керівника відповідального структурного підрозділу в разі:

втрати або неумисного знищення носіїв інформації з персональними даними;

втрати ними ключів від приміщень, сейфів, шаф, у яких зберігаються персональні дані;

якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам;

виявлення спроби несанкціонованого доступу до персональних даних.

V. Права та обов’язки суб’єктів персональних даних

1. Відповідно до Закону фізичні особи - діти-сироти, діти, позбавлені батьківського піклування, діти, які перебувають у складних життєвих обставинах, кандидати в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі та усиновлювачів, опікуни, піклувальники, прийомні батьки, батьки-вихователі, стосовно яких здійснюється обробка їхніх персональних даних у Департаменті, є суб’єктами персональних даних.

2. Суб’єкт персональних даних, виключно на підставі запиту щодо доступу до персональних даних (далі - запит), відповідно до Закону має право:

знати мету обробки персональних даних у Департаменті та їхнє місцезнаходження;

на доступ до своїх персональних даних, що обробляються Департаментом;

отримувати не пізніш як за 30 календарних днів з дня надходження запиту відповідь про те, чи обробляються його персональні дані в Департаменті, а також отримувати зміст таких персональних даних;

на інші права, передбачені Законом.

Департамент має право відмовити у задоволенні запиту, не пізніше десяти робочих днів з дня його надходження, у разі його подання з порушенням вимог Закону,

3. Громадяни України, які проживають за межами України, та іноземці, які бажають усиновити дитину, що проживає в Україні, як суб’єкти персональних даних, які перебувають на обліку та стосовно яких здійснюється обробка персональних даних у Департаменті, в разі зміни персональних даних зобов’язані повідомляти Міністерство протягом місяця з дня виникнення таких змін шляхом подання відповідної заяви та копій документів, що підтверджують ці зміни.

VІ. Поширення персональних даних

1. Доступ до персональних даних суб’єктам відносин, пов’язаних із персональними даними, надається відповідно до вимог Закону.

2. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту й прав людини.

3. Доступ до персональних даних третій особі не надається, якщо вона відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.

VІІ. Захист персональних даних при їх обробці

1. Персональні дані, що містяться у ЄІАС "Діти", належать до конфіденційної інформації, що потребує захисту. Доступ до конфіденційної інформації щодо дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі та усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів мають користувачі, які отримали право доступу, відповідно до заявки на реєстрацію користувача ЄІАС "Діти" та надання прав доступу до її інформаційних ресурсів.

2. Працівники Департаменту, які мають доступ до бази персональних даних, надають письмове зобов’язання про нерозголошення персональних даних (далі - зобов’язання), які їм були довірені або які стали їм відомі у зв’язку з виконанням професійних чи службових обов’язків, що складається за формою згідно з додатком 1 до цього Порядку.

3. Зобов’язання зберігається в особовій справі працівника та реєструється відповідальним структурним підрозділом в журналі реєстрації зобов’язань про нерозголошення персональних даних за формою згідно з додатком 2 до цього Порядку.

4. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

5. Датою позбавлення права доступу до персональних даних вважається дата звільнення або переведення працівника на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

6. У разі звільнення працівника, який має доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботи з персональними даними суб’єктів, Департаментом вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

7. Облік операцій, пов’язаних з обробкою персональних даних і доступом до них, ведеться кожним структурним підрозділом Департаменту в журналі обліку операцій, пов’язаних з обробкою персональних даних, за формою згідно з додатком 3 до цього Порядку.

8. Зберігання персональних даних передбачає дії із забезпечення їх цілісності та відповідного режиму доступу до них.

9. Документи, що містять персональні дані в паперовій та електронній формі, зберігаються та знищуються відповідно до вимог нормативно-правових актів у сфері архівної справи та діловодства.

10. Захист персональних даних в ЄІАС "Діти" здійснюється шляхом створення та забезпечення функціонування комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності проводиться за результатами державної експертизи в порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 травня 2007 року N 93, зареєстрованим у Міністерстві юстиції України 16 липня 2007 року за N 820/14087 (із змінами).

Директор Департаменту захисту прав
дітей та усиновлення Р. Колбаса

Додаток 1
до Порядку обробки персональних даних у базі персональних
даних і в Єдиній інформаційно-аналітичній системі "Діти"
(пункт 2 розділу VІI)

Форма зобов’язання
про нерозголошення персональних даних

Заступнику Міністра _______________________________________
(прізвище та ініціали)
_______________________________________
(посада працівника)
_______________________________________
(прізвище та ініціали працівника)

Зобов'язання
про нерозголошення персональних даних

Відповідно до статті 10 Закону України "Про захист персональних даних" зобов’язуюсь не розголошувати у будь-який спосіб персональні дані інших осіб, що стали мені відомі у зв’язку з виконанням посадових обов’язків.

Підтверджую, що зобов’язання буде чинним після припинення мною діяльності, пов’язаної з обробкою персональних даних, крім випадків, установлених законом.

___ __________ 20___ року  ____________________
(підпис) 

Додаток 2
до Порядку обробки персональних даних у базі персональних даних
і Єдиній інформаційно-аналітичній системі "Діти"
(пункт 3 розділу VІI)

Журнал
реєстрації зобов’язань про нерозголошення персональних даних

N з/п  Структурний підрозділ, посада  Прізвище, ім’я, по батькові  Дата надання зобов’язання про нерозголошення персональних даних  Дата позбавлення права доступу до персональних даних та їх обробки  Причина позбавлення права доступу до персональних даних та їх обробки (звільнення, переведення на посаду, обов’язки за якою не пов’язані з обробкою персональних даних) 
           

Додаток 3
до Порядку обробки персональних даних у базі персональних
даних і в Єдиній інформаційно-аналітичній системі "Діти"
(пункт 7 розділу VІI)

Журнал
обліку операцій, пов’язаних з обробкою персональних даних

________________________________________________________________
(найменування структурного підрозділу)

Департаменту захисту прав дітей та усиновлення
Міністерства соціальної політики України

N з/п  Дата і час запису  Прізвище, ім’я, по батькові виконавця  Операції з персональними даними (зміна, перегляд, передача/копіювання, знищення, видалення)  Конкретизація персональних даних, з якими проводилась робота (джерело)  Мета і підстава зміни, перегляду, передачі/копіювання, знищення, видалення персональних даних  Примітки