МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ
НАКАЗ
03.02.2025 м. Київ № 61
Зареєстровано в Міністерстві юстиції України
18 лютого 2025 р. за № 256/43662
Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Державна аудиторська служба України або її міжрегіональні територіальні органи
Відповідно до частини десятої статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14,
НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Державна аудиторська служба України або її міжрегіональні територіальні органи, що додається.
2. Департаменту забезпечення координаційно-моніторингової роботи Міністерства фінансів України в установленому порядку забезпечити:
подання цього наказу на державну реєстрацію до Міністерства юстиції України;
оприлюднення цього наказу.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на Голову Державної аудиторської служби України Басалаєву А. В.
ЗАТВЕРДЖЕНО
Наказ Міністерства фінансів України
03 лютого 2025 року № 61
Порядок
обробки та захисту персональних даних, володільцем яких є Державна аудиторська служба України або її міжрегіональні територіальні органи
I. Загальні положення
1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Держаудитслужба або її міжрегіональні територіальні органи (далі - органи державного фінансового контролю), під час їх обробки в інформаційних системах органу державного фінансового контролю та на паперових носіях.
2. Терміни у цьому Порядку вживаються у значеннях, поданих у Законах України "Про захист персональних даних" та "Про захист інформації в інформаційно-комунікаційних системах".
3. Персональні дані в інформаційних системах органу державного фінансового контролю обробляються автоматизовано в електронній формі за допомогою програмних засобів та в паперовій формі (зберігання звернень, запитів на доступ до публічної інформації, які надійшли в паперовій формі; документів, що містять персональні дані працівників органу державного фінансового контролю, кандидатів на зайняття вакантних посад, призначення на які здійснює орган державного фінансового контролю; договорів, укладених органом державного фінансового контролю з фізичними особами; складених посадовими особами органу державного фінансового контролю протоколів про адміністративні правопорушення та постанов у справах про адміністративні правопорушення, копій судових рішень у справах).
4. Обробка персональних даних, щодо яких встановлено особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб'єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону України "Про захист персональних даних".
II. Мета та підстави обробки персональних даних
1. Обробка персональних даних, володільцем яких є орган державного фінансового контролю, здійснюється з метою:
забезпечення проходження державної служби та трудових відносин, військового та податкового обліків;
реалізації основних завдань і функцій органу державного фінансового контролю;
ведення діловодства у сфері управління персоналом, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку та/або підготовки відповідно до вимог законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції органу державного фінансового контролю.
2. Орган державного фінансового контролю здійснює обробку персональних даних на підставах, визначених частиною першою статті 11 Закону України "Про захист персональних даних".
III. Категорії суб'єктів персональних даних та склад персональних даних
1. Орган державного фінансового контролю здійснює обробку персональних даних таких категорій суб'єктів:
працівників органу державного фінансового контролю та кандидатів на зайняття вакантних посад, призначення на які здійснює орган державного фінансового контролю;
осіб, які звертаються до органу державного фінансового контролю у порядку, визначеному Законами України "Про звернення громадян", "Про захист персональних даних", "Про безоплатну правничу допомогу" та "Про доступ до публічної інформації";
осіб, стосовно яких посадові особи органу державного фінансового контролю складають протоколи про адміністративні правопорушення;
осіб, стосовно яких орган державного фінансового контролю розглядає справи про адміністративні правопорушення;
фізичних осіб, які надають органу державного фінансового контролю послуги за цивільно-правовими договорами.
Держаудитслужба також здійснює обробку персональних даних керівників і заступників керівників міжрегіональних територіальних органів Держаудитслужби та керівників підприємств, установ, організацій, що належать до сфери її управління.
Обробка персональних даних фізичних осіб, які надають органу державного фінансового контролю послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину, на вимогу суб'єкта персональних даних.
2. Склад персональних даних, які обробляє орган державного фінансового контролю, залежить від категорії суб'єкта персональних даних.
3. Орган державного фінансового контролю опрацьовує такі персональні дані працівників та кандидатів на зайняття вакантних посад, призначення на які здійснює орган державного фінансового контролю:
прізвище, власне ім'я, по батькові (за наявності);
реквізити паспортного документа особи (серія (за наявності), номер, дата видачі паспорта громадянина України, назва уповноваженого суб'єкта, що видав документ, строк дії (за наявності));
реєстраційний номер облікової картки платника податків (за наявності);
військово-облікові дані;
біографічні дані;
відомості про освіту, наявність спеціальних знань або підготовки;
відомості про трудову діяльність;
відомості про ділові та особисті якості;
відомості про сімейний стан та склад сім'ї;
відомості про задеклароване/зареєстроване місце проживання (перебування) та про фактичне місце проживання;
відомості про стан здоров'я;
відомості про номер телефону та/або адресу електронної пошти;
відомості про наявність прав на пільги та компенсації;
фотографічні зображення;
інші персональні дані, потребу обробки яких визначено законодавством.
Аналогічний склад персональних даних обробляє Держаудитслужба стосовно керівників та заступників керівників міжрегіональних територіальних органів Держаудитслужби та керівників підприємств, установ, організацій, що належать до сфери її управління.
4. Орган державного фінансового контролю опрацьовує персональні дані, надані особами, що звертаються у порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу" та "Про доступ до публічної інформації":
прізвище, власне ім'я, по батькові (за наявності);
відомості про задеклароване/зареєстроване місце проживання (перебування) та про фактичне місце проживання;
відомості про місце роботи;
відомості про наявність пільг, які є підставою для першочергового розгляду звернення;
відомості про номер телефону та/або адресу електронної пошти;
інші дані, які суб'єкт персональних даних добровільно, за власним бажанням, надає про себе.
5. Орган державного фінансового контролю опрацьовує такі дані осіб, стосовно яких посадові особи органу державного фінансового контролю складають протоколи про адміністративні правопорушення та стосовно яких орган державного фінансового контролю розглядає справи про адміністративні правопорушення:
прізвище, власне ім'я, по батькові (за наявності);
дата народження;
адреса задекларованого/зареєстрованого місця проживання (перебування);
реєстраційний номер облікової картки платника податків або серія та номер паспорта (для фізичних осіб, які в установленому порядку відмовилися від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку в паспорті);
інші персональні дані, необхідність обробки яких визначено законодавством.
6. Збирання персональних даних працівників органу державного фінансового контролю, керівників підприємств, установ, організацій, що належать до сфери управління Держаудитслужби, здійснюється шляхом надання ними відповідних документів, визначених законодавством про державну службу, працю. Такі персональні дані накопичуються в електронній формі за допомогою інформаційної системи управління людськими ресурсами та нарахування заробітної плати Implementation of Human Resources and Payroll Management Information System (HRMIS) та системи IS-pro, системи електронного документообігу "АСКОД", а також у паперовій формі.
7. Збирання персональних даних кандидатів на зайняття вакантних посад, призначення на які здійснює орган державного фінансового контролю, здійснюється шляхом надання ними відповідних документів, визначених законодавством про державну службу, працю. Такі персональні дані накопичуються в паперовій та електронній формах.
Персональні дані керівників підприємств, установ, організацій, що належать до сфери управління Держаудитслужби, працівників та кандидатів на зайняття вакантних посад, призначення на які здійснює орган державного фінансового контролю, зберігаються у строк, визначений законодавством про державну службу, працю.
8. Персональні дані осіб, які звертаються до органу державного фінансового контролю у порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу" та "Про доступ до публічної інформації", збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях та запитах на інформацію.
Накопичення персональних даних зазначених в абзаці першому цього пункту суб'єктів персональних даних здійснюється за допомогою системи електронного документообігу "АСКОД" та в паперовій формі.
Персональні дані суб'єктів персональних даних, зазначені в абзаці першому цього пункту, зберігаються протягом 5 років з дати звернення.
9. Збирання та накопичення персональних даних фізичних осіб - контрагентів органу державного фінансового контролю здійснюється в електронній формі за допомогою системи електронного документообігу "АСКОД" та в паперовій формі.
10. Збирання персональних даних осіб, стосовно яких посадові особи органу державного фінансового контролю складають протоколи про адміністративні правопорушення, осіб, стосовно яких орган державного фінансового контролю розглядає справи про адміністративні правопорушення, здійснюється шляхом надання ними документів, що посвідчують такі персональні дані, або шляхом запиту до володільця персональних даних, або шляхом доступу до бази персональних даних.
Накопичення персональних даних зазначеної в абзаці першому цього пункту категорії суб'єктів персональних даних здійснюється за допомогою системи електронного документообігу "АСКОД" та в паперовій формі.
11. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про суб'єкта персональних даних.
12. Орган державного фінансового контролю розміщує на своєму офіційному вебсайті повідомлення суб'єкта персональних даних про обробку персональних даних за формою згідно з додатком 1.
IV. Внесення змін, видалення або знищення персональних даних
1. Зміни до персональних даних вносяться на підставі:
вмотивованої письмової вимоги суб'єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений) або визначених ним посадових осіб Секретаріату Уповноваженого;
рішення суду, що набрало законної сили;
звернення інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних.
2. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
3. У разі виявлення відомостей про суб'єкта персональних даних, які не відповідають дійсності, такі відомості має бути невідкладно змінено або знищено.
4. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання персональних даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних та органом державного фінансового контролю, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого або визначених ним посадових осіб Секретаріату Уповноваженого;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
5. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку.
6. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних органом державного фінансового контролю, якщо ці дані обробляються незаконно чи є недостовірними.
7. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта обробляються незаконно або є недостовірними, орган державного фінансового контролю припиняє обробку персональних даних суб'єкта та інформує про це суб'єкта персональних даних.
8. Про зміну, видалення чи знищення персональних даних або обмеження доступу до них орган державного фінансового контролю протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
V. Доступ до персональних даних та повідомлення про дії з персональними даними
1. Безпосередня організація роботи, пов'язаної з обробкою та захистом персональних даних у самостійних структурних підрозділах органу державного фінансового контролю, покладається на їхніх керівників.
2. Керівники самостійних структурних підрозділів органу державного фінансового контролю у межах своїх повноважень забезпечують:
контроль за виконанням встановлених законодавством вимог із забезпечення захисту персональних даних;
збереженість персональних даних, обмеженість доступу до них інших осіб;
організацію обробки персональних даних працівниками відповідного самостійного структурного підрозділу відповідно до посадових обов'язків в обсязі, необхідному для виконання таких обов'язків та доручень керівництва органу державного фінансового контролю;
повідомлення Уповноваженого в порядку, визначеному законодавством, про здійснення будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб'єктів персональних даних.
3. Працівники, які обробляють персональні дані, зобов'язані:
запобігати втраті персональних даних та їхньому неправомірному використанню;
не розголошувати персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").
4. Працівники, які мають доступ до персональних даних, дають письмове зобов'язання про нерозголошення персональних даних за формою згідно з додатком 2 до цього Порядку, яке відбирає керівник самостійного структурного підрозділу органу державного фінансового контролю та яке зберігається у цьому структурному підрозділі.
Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб'єктів, які необхідні з огляду на виконання ним посадових або трудових обов'язків.
5. Зобов'язання про нерозголошення персональних даних реєструються в Журналі реєстрації зобов'язань про нерозголошення персональних даних за формою згідно з додатком 3 до цього Порядку, який веде структурний підрозділ органу державного фінансового контролю, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, як форму обліку працівників органу державного фінансового контролю, які мають доступ до персональних даних.
6. Датою надання права доступу до персональних даних вважається дата надання зобов'язання про нерозголошення персональних даних відповідним працівником органу державного фінансового контролю.
7. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника органу державного фінансового контролю, дата переведення працівника цього органу на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.
8. У разі звільнення працівника органу державного фінансового контролю, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботи з персональними даними суб'єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб'єктів персональних даних, передаються іншому працівнику.
9. Суб'єкт персональних даних має право на одержання від органу державного фінансового контролю будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.
10. Доступ до персональних даних третіх осіб здійснюється відповідно до вимог законодавства.
11. Передачу персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюють відповідальні особи лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.
12. Суб'єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних третім особам.
Повідомлення не здійснюються у разі:
передачі персональних даних за запитами під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
виконання органами державної влади та органами місцевого самоврядування повноважень, передбачених законом;
здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.
VI. Заходи забезпечення захисту персональних даних
1. Орган державного фінансового контролю вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їхньої обробки, зокрема за допомогою організаційних та технічних заходів, спрямованих на запобігання їх випадковій втраті або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до персональних даних.
2. Персональні дані обробляються у спосіб, що унеможливлює доступ до них сторонніх осіб.
3. В інформаційних системах забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної системи.
4. Під час обробки персональних даних має забезпечуватися їх захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
5. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації.
6. Таку документальну фіксацію, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснює орган державного фінансового контролю відповідно до законодавства.
7. Структурний підрозділ, що організовує роботу, пов'язану із захистом персональних даних під час їх обробки, здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, зокрема систематичне навчання.
Створення та забезпечення функціонування комплексної системи захисту інформації в інформаційно-комунікаційних системах органу державного фінансового контролю, призначених для захисту персональних даних, покладаються на відповідальну особу або структурний підрозділ органу державного фінансового контролю, що відповідає за інформаційне забезпечення.
| Директор Департаменту забезпечення координаційно-моніторингової роботи | Юрій КОНЮШЕНКО |
Додаток 1
до Порядку обробки та захисту персональних даних, володільцем яких є Державна аудиторська служба України або її міжрегіональні територіальні органи
(пункт 12 розділу III)
ПОВІДОМЛЕННЯ
суб'єкта персональних даних про обробку персональних даних
____________
Додаток 2
до Порядку обробки та захисту персональних даних, володільцем яких є Державна аудиторська служба України або її міжрегіональні територіальні органи
(пункт 4 розділу V)
ЗОБОВ'ЯЗАННЯ
про нерозголошення персональних даних
| ___ ____________ 20__ року (дата) | __________________ (підпис) |
____________
Додаток 3
до Порядку обробки та захисту персональних даних, володільцем яких є Державна аудиторська служба України або її міжрегіональні територіальні органи
(пункт 5 розділу V)
ЖУРНАЛ
реєстрації зобов'язань про нерозголошення персональних даних
____________