МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ
НАКАЗ
27.10.2025 м. Київ № 535
Зареєстровано в Міністерстві юстиції України
23 грудня 2025 р. за № 1929/45335
Про затвердження Порядку обробки та захисту персональних даних у Державній службі фінансового моніторингу України
Відповідно до частини п'ятої статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, з метою забезпечення дотримання вимог до обробки та захисту персональних даних у Державній службі фінансового моніторингу України, підпункту 5 пункту 4 Положення про Міністерство фінансів України, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року № 375,
НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту персональних даних у Державній службі фінансового моніторингу України, що додається.
2. Департаменту забезпечення координаційно-моніторингової роботи Міністерства фінансів України спільно з Юридичним департаментом Державної служби фінансового моніторингу України в установленому порядку забезпечити:
подання цього наказу на державну реєстрацію до Міністерства юстиції України;
оприлюднення цього наказу.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на першого заступника Міністра фінансів України Єрмоличева Р. В. та першого заступника Голови Державної служби фінансового моніторингу України Корольчука Б. Л.
| Міністр | Сергій МАРЧЕНКО |
| ПОГОДЖЕНО: | |
| Голова Державної служби фінансового моніторингу України | Філіп ПРОНІН |
| Уповноважений Верховної Ради України з прав людини | Дмитро ЛУБІНЕЦЬ |
ЗАТВЕРДЖЕНО
Наказ Міністерства фінансів України
27 жовтня 2025 року № 535
Порядок
обробки та захисту персональних даних у Державній службі фінансового моніторингу України
I. Загальні положення
1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, що обробляються в Держфінмоніторингу із застосуванням інформаційних систем і на паперових носіях (крім персональних даних працівників Держфінмоніторингу та тих, що становлять таємницю фінансового моніторингу).
Порядок обробки та захисту персональних даних працівників Держфінмоніторингу затверджується наказом Держфінмоніторингу.
Обробка та захист персональних даних, якими володіє Держфінмоніторинг у зв'язку з виконанням завдань і функцій, передбачених Положенням про Державну службу фінансового моніторингу України, затвердженим постановою Кабінету Міністрів України від 29 липня 2015 року № 537, регулюються Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" та нормативно-правовими актами, прийнятими на виконання зазначеного Закону.
2. Цей Порядок є обов'язковим до виконання державними службовцями та іншими працівниками Держфінмоніторингу, яким надано доступ до інформації, що містить персональні дані, у межах виконання ними своїх повноважень.
3. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
Терміни в цьому Порядку вживаються у значеннях, наданих у Законах України "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах" та "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення".
4. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".
5. Персональні дані обробляє Держфінмоніторинг:
у паперовій формі (документи, що містять персональні дані кандидатів на зайняття вакантних посад, призначення на які здійснює Держфінмоніторинг, звернення, адвокатські запити, запити на публічну інформацію, які надійшли в паперовій формі);
в електронній формі в єдиній інформаційній системі у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - ІСФМ).
6. Володільцем персональних даних є Держфінмоніторинг.
7. Організацію роботи, пов'язаної із захистом персональних даних кожної категорії суб'єктів персональних даних, обробку яких здійснює Держфінмоніторинг у паперовій формі, забезпечує відповідальна особа з питань захисту персональних даних (далі - відповідальна особа), яка визначається наказом Держфінмоніторингу.
Реалізацію заходів із захисту персональних даних (як інформації з обмеженим доступом, що становить конфіденційну, службову чи таємну інформацію (окрім такої, що становить державну таємницю)) в ІСФМ здійснює Служба захисту інформації автоматизованих систем у Державній службі фінансового моніторингу України.
II. Мета та підстави обробки персональних даних
1. Обробку персональних даних Держфінмоніторинг здійснює з метою:
забезпечення проходження державної служби;
забезпечення права особи на звернення до органів державної влади;
формування складу Громадської ради при Держфінмоніторингу.
2. Підставами для обробки персональних даних, володільцем яких є Держфінмоніторинг, є:
згода суб'єкта персональних даних на обробку його персональних даних;
дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;
захист життєво важливих інтересів суб'єкта персональних даних;
необхідність виконання обов'язку володільця персональних даних, який передбачений законом;
необхідність захисту законних інтересів Держфінмоніторингу або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси.
3. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, законів України "Про захист персональних даних", "Про центральні органи виконавчої влади" та інших законів України з метою здійснення повноважень Держфінмоніторингом.
III. Категорії суб'єктів та склад персональних даних
1. Держфінмоніторинг здійснює обробку персональних даних таких категорій суб'єктів:
кандидатів на зайняття вакантних посад, призначення на які здійснює Держфінмоніторинг;
осіб, які звертаються до Держфінмоніторингу в порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації";
делегованих представників інститутів громадянського суспільства, які є кандидатами на обрання до складу Громадської ради при Держфінмоніторингу.
2. Склад персональних даних, які обробляються Держфінмоніторингом, залежить від категорії суб'єкта персональних даних.
3. Держфінмоніторинг обробляє персональні дані:
1) кандидатів на зайняття вакантних посад, призначення на які здійснює Держфінмоніторинг:
прізвище (за наявності), власне ім'я, по батькові (за наявності);
число, місяць і рік народження;
реквізити паспорта громадянина України (назва документа, серія (за наявності), номер, дата видачі та уповноважений суб'єкт, що видав документ);
відомості про задеклароване/зареєстроване місце проживання (перебування) та засоби зв'язку;
реєстраційний номер облікової картки платника податків (за наявності) або відомостей щодо внесення запису про відмову від прийняття реєстраційного номера облікової картки платника податків (якщо особа через свої релігійні переконання відмовилася від прийняття такого реєстраційного номера і повідомила про це контролюючий орган);
відомості про трудову діяльність;
відомості про освіту;
відомості про сімейний стан та склад сім'ї;
відомості про громадянство;
відомості про відсутність судимості;
відомості військово-облікові дані;
відомості про ділові та особисті якості;
біографічні дані; фотографічні зображення; інші персональні дані, необхідність обробки яких визначено законом;
2) осіб, які звертаються до Держфінмоніторингу в порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації":
прізвище (за наявності), власне ім'я, по батькові (за наявності);
відомості про адресу задекларованого/зареєстрованого місця проживання (перебування) та засоби зв'язку;
відомості про наявність пільг, які є підставою для першочергового розгляду звернення;
інші персональні дані, які особа добровільно за власним бажанням надає про себе;
3) делегованих представників інститутів громадянського суспільства, які є кандидатами на обрання до складу Громадської ради при Держфінмоніторингу:
прізвище (за наявності), власне ім'я, по батькові (за наявності);
число, місяць, рік і місце народження;
реквізити паспорта громадянина України (назва документа, серія (за наявності), номер, дата видачі та уповноважений суб'єкт, що видав документ);
відомості про задеклароване/зареєстроване місце проживання (перебування) та засоби зв'язку;
реєстраційний номер облікової картки платника податків (за наявності) або відомостей стосовно внесення запису про відмову від прийняття реєстраційного номера облікової картки платника податків (якщо особа через свої релігійні переконання відмовилася від прийняття такого реєстраційного номера і повідомила про це контролюючий орган);
відомості про громадянство;
відомості про відсутність судимості; військово-облікові дані;
відомості про ділові та особисті якості;
відомості про посаду та місце роботи;
відомості про освіту, наявність наукового ступеня, трудова та/або громадська діяльність;
біографічні дані; фотографічні зображення; інші персональні дані, необхідність обробки яких визначена законом.
IV. Порядок обробки персональних даних
1. Спосіб збирання, накопичення персональних даних
1. Збирання персональних даних кандидатів на зайняття вакантних посад, призначення на які здійснює Держфінмоніторинг, реалізовується шляхом надання ними відповідних документів, визначених законодавством, зокрема про державну службу, працю.
2. Персональні дані осіб, які звертаються до Держфінмоніторингу відповідно до Законів України "Про звернення громадян", "Про безоплатну правничу допомогу", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації", збираються шляхом використання відомостей про таких осіб, зазначених ними в заявах, запитах, зверненнях, адвокатських запитах у паперовій та електронній формах.
3. Збирання персональних даних делегованих представників інститутів громадянського суспільства, які є кандидатами на обрання до складу Громадської ради при Держфінмоніторингу, здійснюється на підставі постанови Кабінету Міністрів України від 03 листопада 2010 року № 996 "Про забезпечення участі громадськості у формуванні та реалізації державної політики" шляхом подання їх відповідними інститутами громадянського суспільства та делегованими представниками в паперовій та електронній формах.
4. Накопичення персональних даних цих категорій суб'єктів здійснюється в паперовій формі у відповідних папках згідно з номенклатурою справ Держфінмоніторингу та/або в електронній формі у відповідних інформаційних та інформаційно-комунікаційних системах ІСФМ.
2. Строки та умови зберігання персональних даних
1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законом.
2. Персональні дані кандидатів на зайняття вакантних посад, призначення на які здійснює Держфінмоніторинг, зберігаються у строк, визначений законодавством, зокрема, про державну службу, працю.
3. Персональні дані осіб, які звертаються до Держфінмоніторингу в порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації", зберігаються у відповідних папках згідно з номенклатурою справ Держфінмоніторингу протягом строків, визначених законом.
4. Персональні дані делегованих представників інститутів громадянського суспільства, які є кандидатами на обрання до складу Громадської ради при Держфінмоніторингу, зберігаються протягом 5 років з дати затвердження складу Громадської ради при Держфінмоніторингу.
5. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
3. Внесення змін, видалення або знищення персональних даних
1. Працівники структурних підрозділів Держфінмоніторингу, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до закону.
2. Зміни до персональних даних вносяться на підставі:
вмотивованої письмової вимоги суб'єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили;
звернення інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних.
3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
5. Персональні дані підлягають видаленню або знищенню в разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних та Держфінмоніторингом, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
6. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню в установленому законом порядку.
7. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта обробляються незаконно або є недостовірними, Держфінмоніторинг припиняє обробку персональних даних суб'єкта та інформує про це суб'єкта персональних даних.
4. Доступ до персональних даних
1. Працівники, які мають доступ до персональних даних, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.
2. Працівники, які мають доступ до персональних даних, зобов'язані:
запобігати втраті персональних даних та їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").
3. Працівники користуються доступом лише до тих персональних даних (їх частин) суб'єктів, які необхідні у зв'язку з виконанням ними своїх професійних, службових або трудових обов'язків.
4. Відповідальна особа веде облік працівників, які мають доступ до персональних даних, обробку яких здійснює Держфінмоніторинг.
Такі працівники надають письмове зобов'язання про нерозголошення персональних даних згідно із додатком до цього Порядку, яке зберігається у відповідального працівника.
5. Суб'єкт персональних даних має право на отримання від Держфінмоніторингу будь-яких відомостей про себе без зазначення мети запиту, крім випадків, коли такі відомості становлять державну або іншу захищену законом таємницю.
5. Умови передачі персональних даних третім особам
Передача персональних даних третім особам здійснюється у випадках, передбачених законом.
V. Заходи забезпечення захисту персональних даних
1. Обробка персональних даних у структурних підрозділах Держфінмоніторингу здійснюється відповідно до законодавства у сфері захисту персональних даних та у спосіб, що унеможливлює випадкову втрату, незаконне знищення або доступ до них сторонніх осіб.
2. Обробка персональних даних в інформаційних та інформаційно-комунікаційних системах Держфінмоніторингу здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.
З метою забезпечення безпеки обробки персональних даних в електронній формі Держфінмоніторинг впроваджує комплексну систему захисту інформації (далі - КСЗІ) з підтвердженою відповідністю.
Забезпечення захисту персональних даних від ідентифікованих загроз здійснюється відповідно до експертних висновків та експлуатаційної документації на впроваджену КСЗІ.
3. Під час обробки персональних даних має забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
З метою забезпечення безпеки обробки персональних даних у паперовій формі вживаються заходи захисту щодо унеможливлення несанкціонованого доступу до персональних даних.
4. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою.
5. Відповідальна особа:
інформує та консультує володільця або розпорядника персональних даних з питань дотримання законодавства про захист персональних даних;
взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних;
здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.
| Директор Департаменту забезпечення координаційно-моніторингової роботи | Юрій КОНЮШЕНКО |
Додаток
до Порядку обробки та захисту персональних даних у Державній службі фінансового моніторингу України
(пункт 4 глави 4 розділу IV)
Зобов'язання
про нерозголошення персональних даних
| ____________ (підпис) | ____________ (дата) |
____________