Про затвердження Порядку обробки і захисту персональних даних у Міністерстві оборони України
Відповідно до Закону України “Про захист персональних даних” та наказу Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 “Про затвердження документів у сфері захисту персональних даних” НАКАЗУЮ:
1. Затвердити Порядок обробки і захисту персональних даних у Міністерстві оборони України, що додається.
2. Цей наказ набирає чинності з дня його офіційного опублікування.
ПОРЯДОК
обробки і захисту персональних даних у Міністерстві оборони України
1. Цей Порядок встановлює загальні вимоги до організаційних та технічних заходів обробки і захисту персональних даних у структурних підрозділах Міністерства оборони України, Генерального штабу Збройних Сил України, органах військового управління, військових частинах, військових навчальних закладах, підприємствах, установах, організаціях Міністерства оборони України та Збройних Сил України (далі - Військові частини).
2. Терміни в цьому Порядку вживаються у значеннях, наведених у Законі України “Про захист персональних даних” (далі - Закон) та наказі Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 “Про затвердження документів у сфері захисту персональних даних”.
3. Володільцем персональних даних є Міністерство оборони України.
4. Розпорядниками персональних даних є Військові частини.
5. Іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних вважається базою персональних даних (далі - БПД).
6. Володілець та розпорядники персональних даних ведуть такі БПД:
осіб, звільнених з військової служби, ветеранів військової служби та війни.
7. В БПД обробляються такі персональні дані: прізвище, ім’я, по батькові; дата і місце народження; паспортні дані (або дані іншого документа, що посвідчує особу), дата видачі та орган, що видав паспорт (або документ, що посвідчує особу); реєстраційний номер облікової картки платника податків; відомості про освіту, про стан здоров’я (в обсязі, необхідному для визначення придатності до військової служби та/або для реалізації трудових відносин), про сімейний стан, про фактичне місце проживання; номери телефонів; відомості, що підтверджують право на пільги та компенсації; фотозображення; відеозображення; відомості про проходження військової (державної) служби, що містяться в особовій справі; відомості про військовий облік, що містяться в особових справах призовників або в облікових картках військовозобов’язаних резервістів; відомості про трудову діяльність, що містяться в трудовій книжці, а також інші персональні дані, які дають змогу ідентифікувати особу та необхідність обробки яких визначена чинним законодавством.
Персональні дані, щодо яких встановлено особливі вимоги обробки, обробляються з урахуванням статті 7 Закону. Персональні дані, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, обробляються згідно зі статтею 9 Закону та повідомляються в порядку, встановленому наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 “Про затвердження документів у сфері захисту персональних даних”.
8. Загальна організація та координація діяльності, пов’язаної із обробкою та захистом персональних даних під час їх обробки, у Міністерстві оборони України покладаються на Управління інформаційних технологій.
9. Загальна організація роботи, пов’язаної із обробкою та захистом персональних даних під час їх обробки, покладається:
у структурних підрозділах Міністерства оборони України та Генерального штабу Збройних Сил України - на керівників (начальників) цих підрозділів;
в органах військового управління, у військових частинах, установах, закладах, на підприємствах - на начальників штабів, а де посада начальника штабу не передбачена, - на командирів (начальників) військових частин, установ, навчальних закладів і підприємств.
10. Безпосередню організацію роботи, пов’язаної з обробкою та захистом персональних даних під час їх обробки, здійснює особа (особи), визначена(ні) командиром (начальником).
11. Командири (начальники) Військових частин забезпечують:
планування та організацію виконання дій щодо забезпечення безпеки персональних даних;
збереженість персональних даних, обмеженість доступу до них;
визначення посадових обов’язків особам, які безпосередньо організовують роботу, пов’язану з обробкою та захистом персональних даних;
організацію та здійснення контролю за виконанням встановлених вимог із забезпечення захисту персональних даних;
планування та організацію проведення занять з вивчення чинного законодавства.
II. Обробка персональних даних
1. Обробка персональних даних в БПД здійснюється відповідно до Закону України “Про захист персональних даних”.
2. Метою обробки персональних даних є забезпечення реалізації:
проходження військової служби та трудових відносин;
відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;
відносин у сфері інформаційних послуг;
відносин у сфері економічних, фінансових послуг;
відносин у сфері телекомунікаційних послуг;
відносин у сфері охорони здоров’я;
інших відносин, що потребують обробки персональних даних (забезпечення бойової підготовки та повсякденної діяльності військ, закріплення озброєння та військової техніки, речове та продовольче забезпечення, забезпечення житлом);
підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої службової інформації з питань персоналу;
вирішення інших питань з використанням інформації з БПД.
3. Суб’єкт персональних даних повідомляється про його права, мету збору даних та про третіх осіб, яким передаються його персональні дані, виключно в письмовій формі згідно з Повідомленням про обробку персональних даних (додаток 1).
4. Володілець/розпорядник персональних даних зобов’язаний слідкувати за актуальністю та достовірністю персональних даних та своєчасно вносити зміни.
У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
5. Володілець/розпорядник персональних даних зобов’язаний вносити зміни до персональних даних на підставі:
вмотивованої письмової вимоги суб’єкта персональних даних;
припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.
6. Видалення персональних даних, що обробляються в інформаційно-телекомунікаційній системі, здійснюється за місцем їх обробки та в спосіб, що виключає подальшу можливість поновлення таких персональних даних.
7. Знищення документів, які містять персональні дані, проводиться шляхом механічної переробки на паперознищувальних машинах, а там, де їх немає, шляхом спалення. Печі для спалювання повинні мати на димарях металеві сітки.
Спалювання або механічна переробка документів проводиться до повного їх знищення.
Знищувати документи будь-яким іншим способом та використовувати їх з іншою метою заборонено.
Персональні дані, що містяться на машинних носіях інформації, знищуються (видаляються) у встановленому нормативно-правовими актами порядку.
8. Доступ до персональних даних осіб, які здійснюють обробку персональних даних, надається наказом командира (начальника) Військових частин, яким визначається підрозділ (посадова особа), що відповідає за організацію обробки персональних даних, та особи, допущені до їх обробки.
9. Доступ до персональних даних мають тільки ті особи, які визначені в наказах командирів (начальників) Військових частин, та (або) особи, доступ яким дозволено їх посадовими обов’язками.
У такому разі з цих осіб береться письмове зобов’язання про нерозголошення персональних даних (додаток 2).
Перелік осіб, з яких було взято письмове зобов’язання про нерозголошення персональних даних, заноситься до Журналу реєстрації зобов’язань про нерозголошення персональних даних у Міністерстві оборони України (додаток 3).
10. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених Законом. Доступ суб’єкта персональних даних до відомостей про себе здійснюється безоплатно.
11. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, а також відповідно до вимог Закону.
Доступ до персональних даних третім особам не надається, якщо особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання Закону або неспроможна їх забезпечити.
Персональні дані можуть використовуватися посадовими особами володільця або розпорядника персональних даних, які за змістом своїх обов’язків мають право їх обробляти, виключно в необхідному обсязі для проведення їх обробки.
12. Під час обробки персональних даних на фізичних осіб, відомості про яких становлять державну таємницю, володілець та розпорядник керуються Законом України “Про державну таємницю” та іншими нормативно-правовими актами у сфері охорони державної таємниці.
13. Документи у формі картотеки, що містять персональні дані та знаходяться на зберіганні у Галузевому державному архіві Міністерства оборони України, обробляються відповідно до Закону України “Про Національний архівний фонд та архівні установи” та інших нормативно-правових актів у сфері роботи архівних установ.
III. Захист персональних даних
1. Обробка та захист персональних даних у формі картотеки здійснюються з урахуванням таких вимог:
документи, що містять персональні дані, формуються у справи (картки) залежно від мети обробки персональних даних;
справи з документами, що містять персональні дані, мають внутрішні описи документів;
справи (картки) повинні зберігатися в приміщеннях (сейфах, металевих шафах), які надійно замикаються й опечатуються;
приміщення обладнуються охоронною та пожежною сигналізаціями;
двері приміщень (сейфів, металевих шаф) повинні мати надійні замки з двома екземплярами ключів.
2. Обробка персональних даних в інформаційно-телекомунікаційних системах здійснюється із забезпеченням захисту персональних даних відповідно до Закону, інших нормативно-правових актів у сфері захисту інформації.
3. Обробка персональних даних в інформаційно-телекомунікаційній системі здійснюється із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому чинним законодавством.
4. Реєстраційні дані повинні захищатися від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, поширення. У інформаційно-телекомунікаційній системі здійснюється обов'язкова реєстрація:
результатів ідентифікації та автентифікації користувачів;
результатів виконання користувачем операцій з обробки інформації;
спроб несанкціонованих дій з інформацією;
фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
результатів перевірки цілісності засобів захисту інформації.
5. Створення та забезпечення функціонування комплексних систем захисту інформації в інформаційно-телекомунікаційній системі, призначених для захисту персональних даних під час їх обробки, покладаються на службу захисту інформації в інформаційно-телекомунікаційній системі.
6. Командири (начальники) структурних підрозділів володільця та розпорядників, відповідальних за ведення БПД, вживають необхідних організаційних та технічних заходів з метою забезпечення процедури обробки персональних даних відповідно до чинного законодавства належного рівня захисту персональних даних від несанкціонованого доступу, таких як:
організація належної охорони території Військової частини та здійснення перепускного режиму;
встановлений режим доступу до компонентів фізичного середовища інформаційно-телекомунікаційної системи;
надійне зберігання магнітних, оптичних, паперових та інших носіїв інформації;
використання засобів захисту інформації, які мають позитивний експертний висновок або сертифікат відповідності.
7. Обробка (збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення) та захист персональних даних покладаються на особу (осіб), визначену(них) командиром (начальником).
8. Особа (особи), визначена(ні) командиром (начальником), зобов’язана(ні) організувати роботу щодо:
знання законодавства України у сфері захисту персональних даних;
розроблення процедури доступу до персональних даних співробітників відповідно до їхніх професійних чи службових або трудових обов’язків;
забезпечення виконання особовим складом Військової частини законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Військової частини щодо обробки і захисту персональних даних у БПД;
розроблення порядку (процедури) внутрішнього контролю за дотриманням законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Військової частини щодо обробки і захисту персональних даних у БПД, який, зокрема, повинен містити положення щодо періодичності здійснення такого контролю;
виявлення порушень співробітниками законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Військової частини щодо обробки і захисту персональних даних у БПД, у строк не пізніше одного робочого дня з моменту виявлення таких порушень;
забезпечення зберігання документів щодо повідомлення суб’єкта про його права.
9. Обов’язки особи (осіб) зазначаються в посадовій інструкції.
10. З метою виконання своїх обов’язків особа (особи) має(ють) право:
отримувати від особового складу Військової частини необхідні документи, пов’язані з обробкою персональних даних;
робити копії з отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних обчислювальних мережах і автономних комп’ютерних системах;
брати участь в обговоренні виконуваних нею обов’язків, забезпеченні роботи, пов’язаної із захистом персональних даних під час їх обробки;
вносити пропозиції щодо покращення діяльності Військової частини та вдосконалення методів роботи, подавати зауваження щодо діяльності Військової частини та варіанти усунення виявлених недоліків у процесі обробки персональних даних;
здійснювати взаємодію з особовим складом Військової частини при виконанні своїх обов’язків, пов’язаних із захистом персональних даних під час їх обробки;
одержувати від особового складу Військової частини незалежно від займаних посад пояснення з питань здійснення обробки персональних даних;
підписувати та візувати документи в межах своєї компетенції.
11. Особовий склад Військової частини, який безпосередньо здійснює обробку та/або має доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків, зобов’язаний дотримуватись законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Військової частини щодо обробки і захисту персональних даних у БПД.
12. Особовий склад Військової частини, що має доступ до персональних даних, у тому числі здійснює їх обробку, зобов’язаний не допускати розголошення в будь-який спосіб персональних даних, які йому було довірено або які стали йому відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, установлених Законом.
13. Заходи щодо захисту персональних даних організуються та проводяться згідно з чинним законодавством.
Тимчасово виконуючий |
|
Додаток 1 |
ПОВІДОМЛЕННЯ
про обробку персональних даних
Додаток 2 |
ЗОБОВ’ЯЗАННЯ
про нерозголошення персональних даних
Я, _________________________________________________________________________,
(військове звання, прізвище, ім’я, по батькові)
відповідно до статті 10 Закону України “Про захист персональних даних” зобов’язуюсь не розголошувати в будь-який спосіб персональні дані інших осіб, що стали мені відомі у зв’язку з виконанням посадових обов’язків або іншими шляхами.
Підтверджую, що зобов’язання буде дійсним після припинення мною діяльності, пов’язаної з обробкою персональних даних, крім випадків, встановлених законодавством.
Додаток 3 |
ЖУРНАЛ
реєстрації зобов’язань про нерозголошення персональних даних