Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Міністерство освіти і науки України

13. Збирання та накопичення персональних даних учасників конкурсного відбору до Національного агентства із забезпечення якості вищої освіти здійснюється у паперовій формі.

14. Збирання та накопичення персональних даних учасників конкурсного відбору до Науково-методичної ради та науково-методичних комісій МОН здійснюється у паперовій формі.

15. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України "Про захист персональних даних", мету збору персональних даних та про осіб, яким передаються його персональні дані, а також про джерела збирання, місцезнаходження своїх персональних даних, місцезнаходження володільця чи розпорядника персональних даних, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних.

16. Збирання та накопичення персональних даних здобувачів освіти та впорядкування цих персональних даних здійснюється відповідно до їх мети та обробки. Персональні дані надаються суб’єктами персональних даних добровільно та накопичуються у відповідних базах даних для систематизації відомостей про здобувачів загальної середньої, професійної (професійно-технічної), фахової передвищої, вищої освіти.

1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

2. Персональні дані працівників зберігаються у строк, визначений законодавством, зокрема про державну службу, працю.

3. Персональні дані осіб, які звертаються до МОН в порядку, визначеному законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу", зберігаються протягом п’яти років з дати звернення.

4. Персональні дані працівників сфер освіти і науки, які представлені в установленому порядку до відзначення державними нагородами України та відомчими заохочувальними відзнаками МОН зберігаються у строк, визначений законодавством.

5. Персональні дані учасників проєктів та заходів, залучення яких здійснюється за рахунок бюджетних коштів відповідних рівнів бюджету, зберігаються з відповідним пакетом документів (наказ, положення, кошторис) проєкту щодо проведення заходу / реалізації проєкту безстроково/ доки не мине потреба.

6. Персональні дані працівників підприємств, установ та організацій, що належать до сфери управління МОН, згідно з законодавством зберігаються протягом п’яти років.

7. Персональні дані фізичних осіб (здобувачів наукових ступенів та вчених звань, членів спеціалізованих вчених рад, наукових консультантів (наукових керівників), опонентів (офіційних опонентів) постійно зберігаються в електронних базах даних у зв’язку з необхідністю підтвердження видачі відповідних документів з дотриманням вимог Закону щодо поширення персональних даних та їх захисту.

8. Персональні дані: кандидатів на заміщення членів Наукового комітету Національної ради України з питань розвитку науки і технологій та Наукової ради Національного фонду досліджень України; кандидатів на посади голови та виконавчого директора Національного фонду досліджень України; керівників наукових установ та закладів вищої освіти, їх заступників та осіб, які уповноважені на заповнення звітних форм; заявників на участь у конкурсному відборі наукових, науково-технічних робіт та проєктів, які фінансуються за рахунок зовнішнього інструменту допомоги Європейського Союзу (представників закладів вищої освіти, наукових установ та підприємств), експертів (представників закладів вищої освіти та наукових установ); кандидатів на здобуття державних стипендій видатним діячам науки та державних іменних стипендій найкращим молодим вченим для увічнення подій Революції Гідності та вшанування подвигу Героїв України - Героїв Небесної Сотні; заявників (фізичні особи) на отримання державного свідоцтва на право проведення наукової та науково-технічної експертизи; заявників (представників закладів вищої освіти, наукових установ та підприємств, що належать до сфери управління МОН), кандидатів на отримання стипендії Кабінету Міністрів України, іменних стипендій Верховної Ради України та премії Верховної Ради України; керівників учасника конкурсного відбору науково-технічних (експериментальних) розробок за державним замовленням, наукових керiвників науково-технiчної (експериментальної) розробки та її авторів, які підписують конкурсну заявку; керівників наукових установ та закладів вищої освіти, їх заступників, головних бухгалтерів, керівників планових підрозділів виконавців договорів, які уповноважені на підписання договорів, додаткових угод до договорів та звітних документів за відповідний етап виконання робіт за договором; керівників (їх заступників) відповідного органу виконавчої влади, Національної академії наук України або національної галузевої академії наук, уповноважених на підписання заявок для участі конкурсному відборі робіт на здобуття Премії Кабінету Міністрів України за розроблення і впровадження інноваційних технологій, керівників підприємств, установ, організацій за місцем роботи або навчання представників авторського колективу робіт, керівників кадрової служби за місцем роботи або навчання представників авторського колективу робіт, інших осіб, які уповноважені на підписання документів для участі у конкурсному відборі, представників авторського колективу зберігаються у строк, визначений законодавством у паперовій формі (у робочому кабінеті або у формі архіву у визначеному приміщенні) та в електронній формі на персональному комп’ютері особи, яка здійснює збір та обробку персональних даних, які подаються з конкретного питання, у структурному підрозділі, або на гугл-диску.

9. Персональні дані окремо визначених представників закладів освіти, державних установ та організацій, що належать до сфери управління МОН, зберігаються у спеціально відведених та облаштованих місцях з обмеженим доступом до них протягом трьох років відповідно до Закону України "Про Національний архівний фонд та архівні установи" та наказу Міністерства юстиції України від 12 квітня 2012 року № 578/5 "Про затвердження Переліку типових документів, що створюються під час діяльності державних органів та органів місцевого самоврядування, інших установ, підприємств та організацій, із зазначенням строків зберігання документів", зареєстрованого у Міністерстві юстиції України 17 квітня 2012 року за № 571/20884.

10. Персональні дані фізичних осіб та фізичних осіб - підприємців, які співпрацюють з МОН, зберігаються у системі бухгалтерського обліку IS-pro, системі подання звітності MEDOC, архіві - паперовий примірник: звіти - до ліквідації організації, особові рахунки - 75 років, платіжні документи - 3 роки за умови завершення перевірок.

11. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

1. Працівники структурних підрозділів МОН, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.

2. Зміни до персональних даних вносяться на підставі:

1) вмотивованої письмової вимоги суб’єкта персональних даних;

2) припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

3) рішення суду.

3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Персональні дані підлягають видаленню або знищенню у разі:

1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;

2) припинення правовідносин між суб’єктом персональних даних та МОН, якщо інше не передбачено законом;

3) видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

4) набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

6. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку.

7. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.

8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними МОН припиняє обробку персональних даних суб’єкта та інформує про це суб’єкта персональних даних.

1. Працівники, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники, які обробляють персональні дані, зобов’язані:

1) запобігати втраті персональних даних та їх неправомірному використанню;

2) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").

Керівники структурних підрозділів МОН, у межах своїх повноважень, забезпечують контроль за виконанням встановлених законодавством вимог із забезпечення захисту персональних даних.

Загальна організація та координація діяльності, пов’язаної з обробкою та захистом персональних даних у МОН, покладається на відповідальну особу, визначену наказом МОН.

3. Відповідальна особа веде облік працівників, які мають доступ до персональних даних, обробку яких здійснює МОН. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних чи службових або трудових обов’язків. Такі працівники надають письмове Зобов’язання про нерозголошення персональних даних, за формою згідно з додатком 1.

4. Відомості про працівників МОН, які надали письмове зобов’язання про нерозголошення відомостей, що належать до персональних даних, заносяться до Журналу реєстрації зобов’язань про нерозголошення персональних даних, за формою згідно з додатком 2, в електронній формі (за наявності технічної можливості).

5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних або передбачає доступ до іншого переліку персональних даних.

7. Суб’єкт персональних даних має право на одержання від МОН будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.

8. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

1. Доступ до персональних даних третіх осіб здійснюється відповідно до вимог законодавства.

Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.

Повідомлення, зазначені вище, не здійснюються у разі:

1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;

4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12 Закону України "Про захист персональних даних".

2. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється відповідальними особами лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.

Суб’єкт персональних даних завчасно інформується про передачу його персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними.

1. Обробка та захист персональних даних в інформаційних системах МОН здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.

2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.

Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації.

3. В інформаційно-комунікаційних системах забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної системи.

4. Облік операцій, пов’язаних із обробкою персональних даних суб’єкта та доступом до них, здійснюється МОН відповідно до законодавства.

5. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою.

Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється МОН відповідно до законодавства.

7. Відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці:

1) інформує та консультує володільця персональних даних з питань додержання законодавства про захист персональних даних;

2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних;

3) здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі проводить систематичні навчання.