НАЦІОНАЛЬНЕ АНТИКОРУПЦІЙНЕ БЮРО УКРАЇНИ
НАКАЗ
| 09.07.2025 № 104 |
Про затвердження Порядку обробки та захисту персональних даних у Національному антикорупційному бюро України
Відповідно до статті 6 Закону України "Про захист персональних даних", Закону України "Про захист інформації в інформаційно-комунікаційних системах", Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 , керуючись пунктом 5 частини першої статті 8 Закону України "Про Національне антикорупційне бюро України", НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту персональних даних у Національному антикорупційному бюро України (далі - Порядок), що додається.
2. Відділу юридичного забезпечення та представництва в судах (Гайданка А. І.) надіслати цей наказ у встановленому порядку до Міністерства юстиції України для включення до Єдиного державного реєстру нормативно-правових актів України.
3. Відділу документообігу (Асанова Л. М) ознайомити з цим наказом Першого заступника Директора, заступників Директора Національного бюро, керівників самостійних структурних підрозділів та головного спеціаліста з питань мобілізаційної роботи.
4. Керівникам самостійних структурних підрозділів ознайомити з вимогами Порядку підпорядкованих працівників.
5. Цей наказ набирає чинності з дня його офіційного опублікування.
6. Контроль за виконанням цього наказу залишаю за собою.
| Тимчасовий виконувач повноважень Директора | Денис ГЮЛЬМАГОМЕДОВ |
ЗАТВЕРДЖЕНО
Наказ Національного
антикорупційного бюро України
09 липня 2025 року № 104
ПОРЯДОК
обробки та захисту персональних даних у Національному антикорупційному бюро України
I. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних у Національному антикорупційному бюро України (далі - Національне бюро).
2. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних" та інших законодавчих і нормативно-правових актах у сфері обробки та захисту персональних даних.
3. Володільцем персональних даних є Національне бюро.
4. Персональні дані обробляються в паперовій та/або електронній формі із застосуванням інформаційно-комунікаційних систем:
систем електронного документообігу та електронної пошти;
систем управління персоналом, бухгалтерського обліку та звітності;
інших інформаційно-комунікаційних систем.
5. Персональні дані є інформацією з обмеженим доступом, крім випадків, визначених статтею 5 Закону України "Про захист персональних даних" (далі - Закон).
6. Цей Порядок є обов’язковим до виконання працівниками Національного бюро, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є Національне бюро.
7. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону.
II. ВИМОГИ ДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
1. Мета та підстави обробки, склад і категорії суб’єктів персональних даних
1.1. Персональні дані обробляються в Національному бюро на підставах, визначених статтею 11 Закону.
1.2. Національне бюро здійснює обробку персональних даних:
осіб, щодо яких проводяться досудові розслідування;
свідків, заявників, потерпілих та інших учасників кримінального провадження;
працівників та кандидатів на зайняття посад у Національному бюро;
осіб, дані про яких містяться у відкритих джерелах та державних реєстрах;
осіб, які звертаються в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації" та "Про безоплатну правничу допомогу";
відвідувачів Національного бюро;
інших персональних даних, необхідних для виконання органом державної влади своїх повноважень, передбачених законом.
1.3. Мета обробки та склад персональних даних за категоріями суб’єктів персональних даних визначені в додатку 1 до цього Порядку.
2. Спосіб збирання та накопичення персональних даних
2.1. Збирання персональних даних працівників Національного бюро та кандидатів на зайняття вакантних посад у Національному бюро здійснюється шляхом отримання документів і відомостей про посадових осіб та кандидатів на зайняття посад в обсязі, необхідному для здійснення прав та виконання обов’язків у сфері трудових правовідносин.
Персональні дані працівників Національного бюро накопичуються та зберігаються в електронній формі на серверах систем управління персоналом, електронного документообігу, електронної пошти і бухгалтерського обліку та фінансової звітності, в паперовій формі - у справах Національного бюро відповідно до номенклатури справ Національного бюро.
2.2. Персональні дані осіб, які звертаються до Національного бюро відповідно до Законів України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації" та "Про безоплатну правничу допомогу" та іншого законодавства, збираються шляхом використання відомостей про таких осіб, зазначених ними у заявах, повідомленнях, запитах на інформацію, зверненнях, адвокатських запитах та інформації в паперовій та/або електронній формах, що надходять від фізичних осіб, представників підприємств, установ та організацій.
Накопичення персональних даних зазначеної категорії суб’єктів здійснюється за допомогою систем електронного документообігу та електронної пошти і зберігаються на серверах систем.
2.3. Збирання та накопичення персональних даних осіб, щодо яких проводяться оперативно-розшукові заходи, працівників Національного бюро та осіб, які беруть участь у кримінальному судочинстві, членів їх сімей та близьких родичів цих осіб, щодо яких проводяться заходи для забезпечення безпеки, здійснюється шляхом надання ними відповідних відомостей під час оперативно-розшукової діяльності, отримання таких даних під час проведення оперативно-розшукових заходів у порядку, визначеному Кримінальним процесуальним кодексом України, Законами України "Про оперативно-розшукову діяльність", "Про державний захист працівників суду і правоохоронних органів" і "Про забезпечення безпеки осіб, які беруть участь у кримінальному судочинстві" та прийнятими на їх виконання нормативно-правовими актами.
Накопичення персональних даних зазначеної категорії суб’єктів здійснюється за допомогою оперативного обліку та в матеріалах оперативно-розшукових справ.
3. Умови та строки зберігання персональних даних
3.1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
3.2. Строки зберігання персональних даних визначені відповідно до законодавства та номенклатури справ і відображені в додатку 1 до цього Порядку.
3.3. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу III цього Порядку.
4. Внесення змін, видалення або знищення персональних даних
4.1. Зміни до персональних даних вносяться на підставі:
вмотивованої письмової вимоги суб’єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили;
звернення інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних.
4.2. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
4.3. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
4.4. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання;
припинення правовідносин між суб’єктом персональних даних та Національним бюро, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
4.5. Персональні дані, зібрані із порушенням вимог Закону, підлягають видаленню або знищенню.
4.6. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
Якщо за результатами розгляду вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними, Національне бюро припиняє обробку та інформує про це суб’єкт персональних даних.
5. Доступ до персональних даних
5.1. Працівники Національного бюро, які мають доступ до персональних даних, несуть персональну відповідальність за виконання вимог Закону та інших нормативно-правових актів у сфері захисту персональних даних.
5.2. Посадові особи Національного бюро, яким надається право доступу до персональних даних, зобов’язані:
запобігати втраті персональних даних та їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом).
5.3. Працівники Національного бюро, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних (додаток 2) до початку обробки персональних даних.
Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних, службових або трудових обов’язків.
5.4. Для забезпечення обліку працівників Національного бюро, які мають доступ до персональних даних суб’єктів, зобов’язання про нерозголошення персональних даних підписується працівниками Національного бюро в паперовій або електронній формі, реєструється в системі електронного документообігу та направляється системою до самостійного структурного підрозділу з питань персоналу для долучення до їх особових справ.
5.5. Датою надання права доступу до персональних даних вважається дата підписання зобов’язання про нерозголошення персональних даних.
5.6. Керівники самостійних структурних підрозділів Національного бюро у межах компетенції визначають рівень доступу працівників Національного бюро до персональних даних суб’єктів.
5.7. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника Національного бюро, дата переведення (переміщення) на іншу посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
5.8. Суб’єкт персональних даних має право на одержання відомостей про себе за запитом, крім випадків, установлених законом.
6. Умови передачі персональних даних третім особам
6.1. Передача персональних даних третім особам здійснюється відповідно до вимог законодавства.
6.2. Доступ третіх осіб до матеріалів кримінального провадження, що містять персональні дані, здійснюється в порядку, визначеному статтями 221, 222 Кримінального процесуального кодексу України.
6.3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених Законом або міжнародними договорами України, згода на обов’язковість яких надана Верховною Радою України.
6.4. Суб’єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних третій особі, якщо цього вимагають умови його згоди або інше не передбачено законом.
Повідомлення, зазначене а абзаці першому цього пункту, не здійснюється у разі:
передачі персональних даних за запитами під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
виконання органом державної влади своїх повноважень, передбачених законом;
здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
здійснення обробки персональних даних відповідно до вимог частини другої статті 12 Закону.
III. Заходи забезпечення захисту персональних даних
1. Обробка персональних даних здійснюється відповідно до законодавства у сфері захисту персональних даних та захисту інформації в інформаційно-комунікаційних системах.
2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Працівники Національного бюро, які відповідно до посадових обов’язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації у відповідних системах.
3. В інформаційних системах забезпечується антивірусний захист та використання програмного засобу збору та аналізу подій інформаційної безпеки.
4. Облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них, здійснюється Національним бюро відповідно до законодавства, внутрішніх політик, положень, інструкцій та інших нормативних документів Національного бюро. Ця інформація зберігається упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
5. Під час обробки персональних даних повинен забезпечуватися їх захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації структурним підрозділом, що організовує роботу, пов’язану із захистом персональних даних під час їх обробки.
Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Національним бюро відповідно до законодавства.
7. Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних під час їх обробки:
визначається окремим наказом Національного бюро;
інформує та консультує з питань додержання законодавства про захист персональних даних;
взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних;
здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.
| Керівник Управління внутрішнього контролю | Роман ОСИПЧУК |
Додаток 1
до Порядку обробки та захисту
персональних даних Національного
антикорупційного бюро України
Мета обробки та склад
персональних даних
( Див. текст )
Додаток 2
до Порядку обробки та захисту
персональних даних Національного
антикорупційного бюро України
Зобов’язання
про нерозголошення персональних даних
( Див. текст )