Про затвердження Порядку обробки персональних даних у базах персональних даних Фонду соціального страхування України

Відповідно до статті 6 Закону України "Про захист персональних даних" , Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, правління Фонду соціального страхування України

1. Затвердити Порядок обробки персональних даних у базах персональних даних Фонду соціального страхування України, що додається.

2. Визнати такою, що втратила чинність, постанову правління Фонду соціального страхування з тимчасової втрати працездатності від 08.10.2013 № 47 "Про затвердження Порядку обробки персональних даних у базах персональних даних Фонду соціального страхування з тимчасової втрати працездатності", зареєстровану в Міністерстві юстиції України 10 грудня 2013 року за № 2090/24622.

3. Контроль за виконанням цієї постанови покласти на директора виконавчої дирекції Фонду соціального страхування України Михайленко Т.О.

4. Ця постанова набирає чинності з дня її оприлюднення.

1.1. Цим Порядком обробки персональних даних у базах персональних даних Фонду соціального страхування України (далі - Порядок) визначено загальні вимоги до обробки та захисту персональних даних суб'єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи на інших паперових носіях, та призначені до внесення до картотеки із застосуванням неавтоматизованих засобів у базах персональних даних Фонду соціального страхування України (далі - Фонд).

1.2. Порядок розроблено на підставі законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14.

1.3. У цьому Порядку терміни вживаються у значеннях, наведених у законах України "Про захист персональних даних" (далі - Закон), "Про захист інформації в інформаційно-телекомунікаційних системах", "Про загальнообов'язкове державне соціальне страхування" та "Про збір та облік єдиного внеску на загальнообов'язкове державне соціальне страхування".

1.4. Володільцями персональних даних у базах персональних даних Фонду, у межах своїх повноважень, є виконавча дирекція Фонду соціального страхування України (далі - виконавча дирекція Фонду), її робочі органи та їх відділення.

1.5. Цей Порядок є обов'язковим для працівників виконавчої дирекції Фонду, її робочих органів та їх відділень, на яких відповідно до їхніх посадових інструкцій покладено функції здійснення обробки персональних даних та/або яким надано доступ до них.

2.1. Метою обробки персональних даних у базі персональних даних Фонду є:

реалізація основних завдань і функцій Фонду згідно із Законом України "Про загальнообов'язкове державне соціальне страхування";

реалізація кадрової політики з питань добору персоналу, документального оформлення прийняття на роботу та звільнення;

підготовка відповідно до вимог законодавства статистичної, адміністративної та іншої службової інформації з питань персоналу.

2.2. Суб'єктами персональних даних є застрахована особа, члени її сім'ї або інша особа у випадках, передбачених Законом України "Про загальнообов'язкове державне соціальне страхування", особи які притягуються до адміністративної відповідальності за порушення законодавства про загальнообов'язкове державне соціальне страхування (стаття 244-10 Кодексу України про адміністративні правопорушення ), та працівники Фонду.

2.3. Склад персональних даних:

номер посвідчення застрахованої особи в Реєстрі застрахованих осіб Державного реєстру загальнообов'язкового державного соціального страхування;

прізвище, ім'я, по батькові;

стать;

дата народження;

серія та/або номер паспорту (або дані іншого документа, що посвідчує особу), дата видачі та орган, що видав паспорт (або документ, що посвідчує особу);

реєстраційний номер облікової картки платника податків або серія та/або номер паспорту (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний орган державної податкової служби і мають відмітку у паспорті);

страховий стаж;

розмір єдиного внеску за відповідний місяць;

сума сплаченого єдиного внеску за відповідний місяць;

відомості про стан здоров'я (в обсязі, необхідному для визначення права застрахованої особи на отримання матеріального забезпечення, страхових виплат та соціальних послуг відповідно до Закону України "Про загальнообов'язкове державне соціальне страхування" та/або для реалізації трудових відносин);

відомості з Електронного реєстру листків непрацездатності;

відомості з Державного реєстру загальнообов'язкового державного соціального страхування;

відмітка про смерть;

відомості про склад сім'ї померлого потерпілого або інших осіб, що мають право на страхові виплати у разі смерті потерпілого;

дані про реєстрацію місця проживання та/або фактичне місце проживання (область, район, населений пункт, вулиця, будинок, квартира);

номер телефону (за згодою);

електронна адреса для офіційного листування (за згодою).

інша інформація, необхідна для обчислення та призначення матеріального забезпечення, страхових виплат та соціальних послуг за загальнообов'язковим державним соціальним страхуванням.

2.4. Збір та накопичення персональних даних здійснюється в обсязі, необхідному для визначення права застрахованої особи та членів їх сім'ї або інших осіб на отримання матеріального забезпечення, страхових виплат та соціальних послуг відповідно до Закону України "Про загальнообов'язкове державне соціальне страхування", та/або для реалізації трудових відносин працівників Фонду.

2.5. Процедури обробки, строк обробки та склад персональних даних повинні бути пропорційними меті обробки.

2.6. Обробка персональних даних здійснюється володільцем персональних даних на підставі статті 11 Закону.

2.7. Володілець персональних даних, крім випадків, передбачених законодавством України, повідомляє суб'єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані:

в момент збору персональних даних, якщо персональні дані збираються у суб'єкта персональних даних;

в інших випадках - протягом тридцяти робочих днів з дня збору персональних даних.

Володілець зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки персональних даних.

2.8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено Законом України "Про загальнообов'язкове державне соціальне страхування" та іншим законодавством у сфері архівної справи та діловодства.

2.9. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені, видалені або знищені. Персональні дані змінюються, видаляються або знищуються відповідно до статті 15 та 20 Закону.

2.10. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

2.11. Порядок доступу до персональних даних суб'єкта персональних даних та третіх осіб визначається статтями 16, 17 Закону.

2.12. Володілець повідомляє суб'єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону.

3.1. Володілець персональних даних вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.

3.2. Володілець персональних даних самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.

3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадковим втратам або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до персональних даних.

3.4. Організаційні заходи охоплюють:

доступ до персональних даних працівників володільця здійснюється виключно на підставі службових записок керівників структурних підрозділів;

ведення обліку операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них, у порядку, затвердженому виконавчою дирекцією Фонду;

розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;

регулярне навчання співробітників, які працюють з персональними даними.

3.5. Володілець веде облік працівників, які мають доступ до персональних даних суб'єктів. Володілець визначає рівень доступу зазначених працівників до персональних даних суб'єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб'єктів, які необхідні йому у зв'язку з виконанням своїх трудових обов'язків.

3.6. Усі інші працівники володільця мають право на повну інформацію лише стосовно власних персональних даних.

3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов'язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням посадових обов'язків.

3.8. Датою надання права доступу до персональних даних вважається дата надання зобов'язання про нерозголошення персональних даних відповідним працівником.

3.9. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.

3.10. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб'єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб'єктів, передаються іншому працівнику.

3.11. Володілець веде облік операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них. З цією метою володільцем зберігається інформація про:

дату, час та джерело збирання персональних даних суб'єкта;

зміну персональних даних;

перегляд персональних даних;

будь-яку передачу (копіювання) персональних даних суб'єкта;

дату та час видалення або знищення персональних даних;

працівника, який здійснив одну із вказаних операцій;

мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

3.12. Володілець персональних даних самостійно визначає процедуру збереження інформації про операції, пов'язані з обробкою персональних даних суб'єкта та доступом до них. У випадку обробки персональних даних суб'єктів за допомогою інформаційно-аналітичних систем такі системи автоматично фіксують вказану інформацію. Ця інформація про обробку зберігається володільцем упродовж трьох років з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.

3.13. Зберігання персональних даних передбачає дії із забезпечення їх цілісності та відповідного режиму доступу до них.

3.14. Документи, що містять персональні дані в паперовій та електронній формі, зберігаються та знищуються відповідно до вимог Закону України "Про загальнообов'язкове державне соціальне страхування" та іншим законодавством у сфері архівної справи та діловодства.

3.15. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.

3.16. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються, та роботи технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

3.17. У володільця персональних даних, що здійснює обробку персональних даних, яка підлягає повідомленню відповідно до Закону, створюється структурний підрозділ/відповідальна особа яка організовує роботу, пов'язану із захистом персональних даних при їх обробці.

3.18. Інформація про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, повідомляється Уповноваженому Верховної Ради України з прав людини відповідно до Закону.

3.19. Структурний підрозділ захисту інформації/відповідальна особа володільця виконує такі завдання:

інформує та консультує володільця персональних даних з питань додержання законодавства про захист персональних даних;

взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

3.20. З метою виконання вказаних завдань структурний підрозділ захисту інформації:

забезпечує реалізацію прав суб'єктів персональних даних;

користується доступом до будь-яких даних, які обробляються володільцем, та до всіх приміщень володільця, де здійснюється така обробка;

у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника володільця з метою вжиття необхідних заходів;

аналізує загрози безпеці персональних даних.

3.21. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов'язковими для всіх працівників, які здійснюють обробку персональних даних.

3.22. Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою або структурним підрозділом, що організовує роботу, пов'язану із захистом персональних даних при їх обробці.

3.23. Взаємодія з Уповноваженим Верховної Ради України з прав людини здійснюється в порядку, визначеному Законом та Законом України "Про Уповноваженого Верховної Ради України з прав людини".