МІНІСТЕРСТВО ЗАХИСТУ ДОВКІЛЛЯ ТА ПРИРОДНИХ РЕСУРСІВ УКРАЇНИ

НАКАЗ

23.07.2024  № 881

Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Міністерство захисту довкілля та природних ресурсів України

Відповідно до статті 6 Закону України «Про захист персональних даних», пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, пункту 8 Положення про Міністерство захисту довкілля та природних ресурсів України, затвердженого постановою Кабінету Міністрів України від 25 червня 2020 року № 614, з метою забезпечення дотримання вимог до обробки та захисту персональних даних у Міністерстві захисту довкілля та природних ресурсів України, НАКАЗУЮ:

1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Міністерство захисту довкілля та природних ресурсів України, що додається.

2. Управлінню роботи з персоналом (Лілія ТКАЧ) в установленому законодавством порядку забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на державного секретаря Міністерства захисту довкілля та природних ресурсів України.

ПОРЯДОК
обробки та захисту персональних даних, володільцем яких є Міністерство захисту довкілля та природних ресурсів України

I. Загальні положення

1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Міндовкілля під час їх обробки в інформаційно-комунікаційних системах Міндовкілля та на паперових носіях.

2. Терміни у цьому Порядку вживаються у значеннях, наведених в Законах України «Про захист персональних даних» та «Про захист інформації в інформаційно-комунікаційних системах».

3. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.

4. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України «Про захист персональних даних» (далі - Закон).

5. Персональні дані в інформаційно-комунікаційних системах Міндовкілля обробляються автоматизовано в електронній формі за допомогою технічних і програмних засобів та у паперовій формі (зберігання звернень, запитів на інформацію, які надійшли у паперовій формі; документів, що містять персональні дані працівників Міндовкілля або кандидатів на зайняття вакантних посад, призначення на які здійснюється Міндовкілля та заяв і документів на отримання (продовження строку дії) сертифіката екологічного аудитора).

6. Володільцем персональних даних є Міндовкілля.

7. Цей Порядок є обов’язковим до виконання працівниками Міндовкілля, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є Міндовкілля.

8. Організацію роботи, пов’язаної із захистом персональних даних кожної категорії суб’єктів персональних даних забезпечує відповідальна особа з питань захисту персональних даних визначена Міндовкілля.

9. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону.

II. Мета та підстави обробки персональних даних

1. Обробка персональних даних, володільцем яких є Міндовкілля, здійснюється з метою:

забезпечення проходження державної служби та трудових відносин, військового та податкового обліків;

забезпечення права особи на доступ до електронних послуг та інформації про публічні послуги, звернення до органів державної влади та органів місцевого самоврядування, підприємств, установ і організацій, отримання інформації з інформаційних (автоматизованих) систем, яка необхідна для надання послуг;

ведення діловодства у сфері управління персоналом, відносин у сфері бухгалтерського обліку та/або підготовки відповідно до вимог законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції Міндовкілля;

видачі (продовження строку дії) сертифіката екологічного аудитора;

дотримання уповноваженими посадовими особами Міндовкілля законодавства при оформленні ними матеріалів про адміністративні правопорушення.

2. Міндовкілля здійснює обробку персональних даних на підставах, визначених статтею 11 Закону.

3. Підстави для обробки персональних даних, володільцем яких є Міндовкілля:

дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до Закону виключно для здійснення його повноважень;

необхідність виконання обов’язку володільця персональних даних, який передбачений Законом;

згода на передачу персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними, у випадках, коли така передача не передбачена Законом або міжнародними договорами України.

Обробка персональних даних фізичних осіб, які надають Міндовкілля послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.

4. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України «Про захист персональних даних», «Про Кабінет Міністрів України», «Про центральні органи виконавчої влади» та інших законів України з метою здійснення повноважень Міндовкілля.

III. Категорії суб’єктів та склад персональних даних

1. Міндовкілля здійснює обробку персональних даних таких категорій суб’єктів:

працівників Міндовкілля та кандидатів на зайняття вакантних посад, призначення на які здійснюється Міндовкілля;

керівників державних підприємств, установ і організацій, що належать до сфери управління Міндовкілля;

осіб, які звертаються до Міндовкілля в порядку, визначеному Законами України «Про звернення громадян», «Про адвокатуру та адвокатську діяльність», «Про доступ до публічної інформації» та «Про безоплатну правничу допомогу»;

осіб, які звертаються за отриманням адміністративних послуг відповідно до Закону України «Про адміністративні послуги»;

осіб, які звертаються до Міндовкілля в порядку, визначеному Законом України «Про екологічний аудит» та наказом Міністерства охорони навколишнього природного середовища України від 29 січня 2007 року № 27 «Про затвердження Положення про сертифікацію екологічних аудиторів», зареєстрованим в Міністерстві юстиції України 30 березня 2007 року за № 295/13562;

осіб, відомості про яких підлягають внесенню до єдиного державного інформаційного вебпорталу «Єдине вікно для міжнародної торгівлі» відповідно до Законів України «Про тваринний світ», «Про рослинний світ».

осіб, які притягаються до адміністративної відповідальності за адміністративне правопорушення, що стосується правопорушень у галузі господарської діяльності, ліцензії на проведення якої видає Міндовкілля.

2. Склад персональних даних, які обробляються Міндовкілля, залежить від категорії суб’єкта персональних даних.

Міндовкілля здійснює обробку таких персональних даних працівників та кандидатів на зайняття вакантних посад, призначення на які здійснюється Міндовкілля: прізвище, власне ім’я, по батькові (за наявності), реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер, дата видачі та уповноважений суб’єкт, що видав документ); відомості про задеклароване/зареєстроване місце проживання (перебування); реєстраційний номер облікової картки платника податків (за наявності); унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності); відомості про засоби зв’язку; відомості про трудову діяльність; відомості про освіту; відомості про сімейний стан та склад сім’ї; відомості про громадянство; відомості про відсутність судимості; військово-облікові дані; відомості про стан здоров’я; біографічні дані; відомості про ділові та особисті якості; відомості про наявність прав на пільги та компенсації; фотографічні зображення; інші персональні дані, необхідність обробки яких визначена законодавством.

Міндовкілля здійснює обробку таких персональних даних осіб:

які звертаються в порядку, визначеному Законами України «Про звернення громадян», «Про адвокатуру та адвокатську діяльність», «Про доступ до публічної інформації» та «Про безоплатну правничу допомогу»: прізвище, власне ім’я, по батькові (за наявності); місце проживання; наявність пільг, які є підставою для першочергового розгляду звернення; відомості про засоби зв’язку; інші дані, які стосуються особи та надаються нею для задоволення заяв, запитів, звернень, адвокатських запитів;

які звертаються за отриманням адміністративних послуг відповідно до Закону України «Про адміністративні послуги»: прізвище, власне ім’я, по батькові (за наявності), реквізити паспорта громадянина України або іншого документа, що посвідчує особу та підтверджує право місця проживання (перебування) в Україні, відомості про засоби зв’язку, інші відомості, визначені вимогами чинного законодавства;

які звертаються до Міндовкілля в порядку, визначеному Законом України «Про екологічний аудит» та наказом Міністерства охорони навколишнього природного середовища України від 29 січня 2007 року № 27 «Про затвердження Положення про сертифікацію екологічних аудиторів», зареєстрованим в Міністерстві юстиції України 30 березня 2007 року за № 295/13562: підпис, копія диплома про вищу освіту, завірена в установленому порядку; копія документа для підтвердження наукового ступеня (за наявності), завірена в установленому порядку; копія свідоцтва про визнання іноземного документа про освіту, завірена в установленому порядку; витяг із трудової книжки, завірений в установленому порядку; копія свідоцтва про проходження навчання з екологічного аудиту, завірена в установленому порядку; довідка про проходження стажування; особиста картка екологічного аудитора;

відомості про яких підлягають внесенню до єдиного державного інформаційного вебпорталу «Єдине вікно для міжнародної торгівлі» відповідно до Законів України «Про тваринний світ», «Про рослинний світ»: прізвище, власне ім’я, по батькові (за наявності), адреса місця проживання (перебування), інші відомості, визначені вимогами чинного законодавства;

відносно яких складається протокол про адміністративне правопорушення, який містить: прізвище, власне ім’я по батькові (за наявності), дата та місце народження, громадянство, місце проживання (реєстрації), назва та реквізити документа, що посвідчує особу.

IV. Порядок обробки персональних даних

1. Спосіб збирання, накопичення персональних даних

1. Збирання та накопичення персональних даних працівників Міндовкілля та кандидатів на зайняття вакантних посад, призначення на які здійснюється Міндовкілля, проводиться шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу, працю.

Накопичення таких персональних даних працівників здійснюється за допомогою інформаційної системи управління людськими ресурсами в органах державної влади (Human Resources Management Information System (HRMIS)) та в особових справах працівників.

2. Збирання та накопичення персональних даних керівників державних підприємств, установ і організації, що належать до сфери управління Міндовкілля, здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про працю.

3. Персональні дані осіб, які звертаються до Міндовкілля відповідно до Законів України «Про звернення громадян», «Про адвокатуру та адвокатську діяльність», «Про доступ до публічної інформації» та «Про безоплатну правничу допомогу», збираються шляхом використання відомостей про таких осіб, зазначених ними у заявах, запитах на інформацію, зверненнях, адвокатських запитах та інформації в паперовій та/або електронній формах, що надходять від підприємств, установ і організацій, у відповідь на подані відповідно до чинного законодавства запити.

Накопичення персональних даних зазначеної категорії суб’єктів здійснюється за допомогою системи електронного документообігу та зберігаються в захищеному хмарному середовищі.

4. Збирання персональних даних осіб, відомості про яких підлягають внесенню під час ведення відповідних державних реєстрів, електронних інформаційних ресурсів, баз даних або інформаційних (автоматизованих) систем, здійснюється шляхом отримання інформації в паперовій та/або електронній формах від суб’єктів, визначених відповідно до вимог чинного законодавства.

5. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, джерела збирання, місцезнаходження своїх персональних даних, мету їх збору, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних (додаток 1).

2. Строки та умови зберігання персональних даних

1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

2. Персональні дані працівників Міндовкілля та кандидатів на зайняття вакантних посад, призначення на які здійснюється Міндовкілля, зберігаються у строк, визначений законодавством, зокрема, про державну службу, працю.

3. Персональні дані осіб, які звертаються до Міндовкілля в порядку, визначеному Законами України «Про звернення громадян», «Про адвокатуру та адвокатську діяльність», «Про доступ до публічної інформації» та «Про безоплатну правничу допомогу», зберігаються протягом 5 років з дати звернення.

4. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

3. Внесення змін, видалення або знищення персональних даних

1. Працівники структурних підрозділів Міндовкілля, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.

2. Зміни до персональних даних вносяться на підставі:

вмотивованої письмової вимоги суб’єкта персональних даних;

припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

рішення суду, що набрало законної сили;

звернення інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних.

3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання персональних даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або Законом;

припинення правовідносин між суб’єктом персональних даних та Міндовкілля, якщо інше не передбачено Законом;

видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

6. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.

7. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.

8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними, Міндовкілля припиняє обробку персональних даних суб’єкта та інформують про це суб’єкта персональних даних.

4. Доступ до персональних даних

1. Працівники, які мають доступ до персональних даних, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники, які мають доступ до персональних даних, зобов’язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом).

3. Працівники, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних (додаток 2), яке зберігається в особовій справі.

Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних, службових або трудових обов’язків.

4. Відомості про працівників Міндовкілля, які надали письмове зобов’язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов’язань про нерозголошення персональних даних (додаток 3).

5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

7. Суб’єкт персональних даних має право на одержання від Міндовкілля будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених Законом.

5. Умови передачі персональних даних третім особам

1. Передача персональних даних третім особам здійснюється відповідно до вимог законодавства.

2. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених Законом або міжнародними договорами України.

3. Суб’єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, якщо цього вимагають умови його згоди або інше не передбачено Законом або міжнародним договором України.

Повідомлення, зазначені в абзаці першому цього пункту, не здійснюється у разі:

передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених Законом;

здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;

здійснення обробки персональних даних відповідно до вимог частини другої статті 12 Закону.

V. Заходи забезпечення захисту персональних даних

1. Обробка персональних даних в структурних підрозділах Міндовкілля здійснюється відповідно до законодавства у сфері захисту персональних даних.

2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.

Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації у відповідних системах.

3. Обробка персональних даних в інформаційно-комунікаційних системах Міндовкілля здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.

З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо унеможливлення несанкціонованого доступу до персональних даних та технічного й програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій затверджується План дій Міндовкілля.

4. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

5. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою з питань захисту персональних даних при їх обробці в апараті Міндовкілля.

Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Міндовкілля відповідно до законодавства.

6. Відповідальна особа з питань захисту персональних даних при їх обробці в апараті Мін­довкілля:

інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;

взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату;

здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.

7. У разі обробки персональних даних в системах інших суб’єктів (банки, органи, що здійснюють казначейське обслуговування бюджетних коштів, Пенсійний фонд України, ДПС, НАДС (HRMIS), інші), організація захисту персональних даних покладається на власників і розпорядників систем.

ПОВІДОМЛЕННЯ

ЗОБОВ’ЯЗАННЯ
про нерозголошення персональних даних

ЖУРНАЛ
реєстрації зобов’язань про нерозголошення персональних даних