28 травня 2025, 09:14
останні оновлення: 28 травня 2025

ПОРЯДОК обробки та захисту персональних даних, володільцем яких є управління з питань оборонної роботи та взаємодії з правоохоронними органами Волинської обласної державної адміністрації

ЗАТВЕРДЖЕНО

Наказ начальника управління з питань

оборонної роботи та взаємодії з правоохоронними

органами Волинської обласної державної адміністрації

 18 квітня 2025 року №  3

 

ПОРЯДОК
обробки та захисту персональних даних, володільцем яких є управління з питань оборонної роботи та взаємодії з правоохоронними органами Волинської обласної державної адміністрації

  1. Загальні положення
  2. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є управління з питань оборонної роботи та взаємодії з правоохоронними органами Волинської обласної державної адміністрації (далі – управління), під час їх обробки в інформаційно-комунікаційних системах та на паперових носіях.
  3. Цей Порядок є обов’язковим до виконання працівниками управління, які мають доступ до персональних даних та обробляють персональні дані, володільцем якого є управління.
  4. Терміни у цьому Порядку вживаються у значенні, наведеному в Законах України «Про захист персональних даних»та «Про захист інформації в інформаційно-комунікаційних системах».
  5. Персональні дані в інформаційно-комунікаційних системах управління обробляються автоматизовано в електронній формі за допомогою програмних засобів та у паперовій формі (зберігання звернень, запитів на доступ до публічної інформації, які надійшли в паперовій формі, документів, що містять персональні дані працівників управління або кандидатів на зайняття вакантних посад).
  6. Володільцем персональних даних є управління.
  7. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або які становлять особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7та 9Закону України «Про захист персональних даних» (далі - Закон).
  8. Вимоги до обробки персональних даних
  9. Метою обробки персональних даних є:

реалізація основних завдань і функцій управління, що належать до його компетенції;

реалізація кадрової політики в управлінні з питань добору персоналу, документального оформлення прийняття на роботу та звільнення;

підготовка відповідно до законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції управління.

  1. Управління здійснює обробку персональних даних на підставах, визначених пунктами 25частини першої статті 11 Закону.
  2. Управління здійснює обробку персональних даних таких категорій суб’єктів:

кандидатів на зайняття вакантних посад, призначення на які здійснюється управлінням;

осіб, які звертаються до управління у порядку, визначеному Законами України «Про звернення громадян» та «Про доступ до публічної інформації».

  1. Склад персональних даних, які обробляються управлінням залежить від категорії суб’єкта персональних даних.
  2. Управлінням опрацьовуються такі персональні дані працівників управління та кандидатів на зайняття вакантних посад, призначення на які здійснюється управлінням:

- реквізити паспортного документа особи (серія (за наявності), номер, дата видачі паспорта громадянина України, назва уповноваженого суб’єкта, що видав документ, строк дії (за наявності));

- реєстраційний номер облікової картки платника податків (за наявності);

- військово-облікові дані;

- біографічні дані;

- відомості про освіту, наявність спеціальних знань або підготовки;

- відомості про трудову діяльність;

- відомості про ділові та особисті якості;

- відомості про сімейний стан та склад сім’ї;

- відомості про задеклароване/зареєстроване місце проживання (перебування) та про фактичне місце проживання;

- відомості про засоби зв’язку;

- відомості про наявність прав на пільги та компенсації;

- фотографічні зображення;

- інші персональні дані, необхідність обробки яких визначена законодавством.

  1. Управлінням опрацьовуються такі персональні дані, надані особами, що звертаються у порядку, визначеному Законами України «Про звернення громадян» та «Про доступ до публічної інформації»:

- прізвище, ім’я, по батькові (за наявності);

- відомості про задеклароване/зареєстроване місце проживання (перебування) та про фактичне місце проживання;

- відомості про наявність пільг, які є підставою для першочергового розгляду звернення;

- відомості про засоби зв’язку;

- інші дані, які суб’єкт персональних даних добровільно, за власним бажанням, надає про себе.

  1. Збирання персональних даних працівників управління здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу та працю. Такі персональні дані накопичуються в паперовій та електронній формах.
  2. Збирання персональних даних кандидатів на зайняття вакантних посад, призначення на які здійснюється управлінням, здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу та працю. Такі персональні дані накопичуються в паперовій та електронній формах.
  3. Персональні дані осіб, які звертаються до управління у порядку, визначеному Законами України «Про звернення громадян» та «Про доступ до публічної інформації», збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях та запитах на інформацію.

Накопичення персональних даних зазначеної категорії суб’єктів здійснюється за допомогою системи електронного документообігу.

  1. Персональні дані обробляються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
  2. Персональні дані працівників та кандидатів на зайняття вакантних посад, призначення на які здійснюється управлінням, зберігаються у строк, визначений законодавством про державну службу, працю.
  3. Персональні дані осіб, які звертаються до управління у порядку, визначеному Законами України «Про звернення громадян»та «Про доступ до публічної інформації», зберігаються протягом 5 років з дати звернення.
  4. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про суб’єкта персональних даних.

У разі виявлення відомостей про суб’єкта персональних даних, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

  1. Зміни до персональних даних вносяться на підставі:

- вмотивованої письмової вимоги суб’єкта персональних даних;

- припису Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений) або визначених ним посадових осіб секретаріату Уповноваженого;

- рішення суду, що набрало законної сили;

- звернення інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних.

  1. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
  2. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання персональних даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;

- припинення правовідносин між суб’єктом персональних даних та управлінням, якщо інше не передбачено законом;

- видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;

- набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

  1. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.
  2. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
  3. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними управління припиняє обробку персональних даних суб’єкта та інформує про це суб’єкта персональних даних.
  4. Безпосередня організація роботи, пов’язаної з обробкою та захистом персональних даних у секторі організаційної роботи та діловодства управління, покладається на його керівника.
  5. Начальники відділів та завідувач сектору управління, у межах своїх повноважень, забезпечують:

контроль за виконанням встановлених законодавством вимог із забезпечення захисту персональних даних;

збереженість персональних даних, обмеженість доступу до них інших осіб;

організацію обробки персональних даних працівниками сектору організаційної роботи та діловодства управління відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов’язків та доручень керівництва управління.

  1. Персональні дані, щодо яких встановлено особливі вимоги обробки, обробляються з урахуванням статті 7Закону.

Про здійснення будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, управління повідомляє Уповноваженого в порядку, визначеному законодавством.

  1. Особисті немайнові права на персональні дані, які має кожен суб’єкт персональних даних, є невід’ємними і непорушними.
  2. Працівники, які обробляють персональні дані, зобов’язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом).

  1. Управління визначає рівень доступу працівників до персональних даних. Кожен з працівників користується доступом лише до тих персональних даних (їх частини) суб’єкта персональних даних, які необхідні йому у зв’язку з виконанням своїх професійних, службових обов’язків.
  2. Усі інші працівники управління мають право на повну інформацію лише стосовно власних персональних даних.
  3. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних за формою, згідно з додатком 1до цього Порядку.

Зобов’язання про нерозголошення персональних даних реєструються в Журналі реєстрації зобов’язань про нерозголошення персональних даних за формою, згідно з додатком 2 до цього Порядку, що ведеться сектором організаційної роботи та діловодства управління, що відповідає за кадрове забезпечення, як форма обліку працівників, які мають доступ до персональних даних.

  1. Датою надання права доступу до персональних даних вважається дата надання зобов’язання про нерозголошення персональних даних відповідним працівником.
  2. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
  3. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.
  4. Суб’єкт персональних даних має право на одержання від управління будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.
  5. Доступ до персональних даних третіх осіб здійснюється відповідно до вимог законодавства.
  6. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється відповідальними особами лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.
  7. Суб’єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних третім особам.

Повідомлення не здійснюються у разі:

передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.

Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані:

в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Про зміну, видалення чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, а також суб’єктів відносин, пов’язаних із персональними даними, яким ці дані було передано.

  1. Не є конфіденційною інформацією передбачені Закономперсональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

III. Захист персональних даних

  1. Управління вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їхньої обробки, зокрема за допомогою організаційних та технічних заходів, спрямованих на запобігання їх випадковій втраті або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до персональних даних.
  2. Персональні дані обробляються у спосіб, що унеможливлює доступ до них сторонніх осіб.
  3. В інформаційних системах забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної системи.
  4. Облік операцій, пов’язаних із обробкою персональних даних та доступом до них, здійснюється управлінням відповідно до законодавства.
  5. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
  6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації сектором організаційної роботи та діловодства управління,
  7. Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється управлінням відповідно до законодавства.
  8. Сектором організаційної роботи та діловодства управління, що відповідає за кадрове забезпечення здійснюються заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.
  9. Створення та забезпечення функціонування комплексної системи захисту інформації в інформаційно-комунікаційних системах управління, призначених для захисту персональних даних, покладається на відповідальну особу – завідувача сектором організаційної роботи та діловодства управління.

___________________________________________________________________

Попередня Положення про управління