ДЕРЖАВНА СЛУЖБА СТАТИСТИКИ УКРАЇНИ
НАКАЗ
| 20.11.2024 м. Київ № 267 |
Зареєстровано в Міністерстві юстиції України
07 січня 2025 р. за № 32/43438
Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Державна служба статистики України
Відповідно до статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, пункту 9 Положення про Державну службу статистики України, затвердженого постановою Кабінету Міністрів України від 23 вересня 2014 року № 481, з метою забезпечення дотримання вимог до обробки та захисту персональних даних в апараті Державної служби статистики України
НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Державна служба статистики України, що додається.
2. Керівникам самостійних структурних підрозділів апарату Держстату забезпечити виконання вимог Порядку обробки та захисту персональних даних, володільцем яких є Державна служба статистики України, затвердженого пунктом 1 цього наказу.
3. Департаменту інформаційних технологій (Пузанова О. О.) забезпечити подання цього наказу в установленому законодавством порядку на державну реєстрацію до Міністерства юстиції України.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
5. Контроль за виконанням цього наказу залишаю за собою.
ЗАТВЕРДЖЕНО
Наказ Державної служби статистики України
20 листопада 2024 року № 267
Порядок
обробки та захисту персональних даних, володільцем яких є Державна служба статистики України
I. Загальні положення
1. Цей Порядок визначає загальні вимоги до організаційних і технічних заходів обробки й захисту персональних даних, володільцем яких є Державна служба статистики України (Держстат), під час їх обробки в інформаційній системі органів державної статистики, у тому числі в інформаційних (автоматизованих) системах Держстату та на паперових носіях.
2. Цей Порядок розроблений на підставі Закону України "Про захист персональних даних" (далі - Закон), Положення про Державну службу статистики України, затвердженого постановою Кабінету Міністрів України від 23 вересня 2014 року № 481, наказу Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних".
3. Терміни в цьому Порядку вживаються у значенні, наведеному в Законах України "Про захист персональних даних", "Про офіційну статистику", "Про захист інформації в інформаційно-комунікаційних системах", Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373.
4. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
5. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону.
6. Персональні дані в інформаційних (автоматизованих) системах Держстату обробляються автоматизовано в електронній формі за допомогою технічних і програмних засобів та в паперовій формі (зберігання звернень громадян, запитів на інформацію, які надійшли в паперовій формі; документів, що містять персональні дані працівників апарату Держстату, керівників і заступників керівників його територіальних органів, керівників підприємств, установ і організацій, що належать до сфери управління Держстату, або кандидатів на зайняття вакантних посад, призначення на які здійснюються Держстатом; заяв, анкет і копій документів, що їх подають особи, які проходять стажування в апараті Держстату).
7. Володільцем персональних даних є Держстат.
8. Розпорядниками персональних даних є територіальні органи Держстату, підприємства, установи та організації, що належать до сфери управління Держстату і яким доручається обробка персональних даних відповідно до законодавства.
9. Цей Порядок є обов'язковим до виконання працівниками апарату Держстату, які мають доступ до персональних даних і обробляють персональні дані, володільцем яких є Держстат.
10. Організацію роботи, пов'язаної з обробкою та захистом кожної категорії суб'єктів персональних даних, володільцем яких є Держстат, здійснюють відповідні структурні підрозділи апарату Держстату, структурний підрозділ з питань захисту персональних даних, визначений керівництвом Держстату (далі - відповідальний структурний підрозділ).
11. Обробка персональних даних, щодо яких установлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб'єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону.
12. Обробка первинних (персональних) та інших даних, отриманих у процесі проведення Всеукраїнського перепису населення, здійснюється відповідно до Порядку обробки первинних (персональних) та інших даних, отриманих у процесі проведення Всеукраїнського перепису населення, затвердженого наказом Держстату від 09 лютого 2023 року № 40, зареєстрованого в Міністерстві юстиції України 10 травня 2023 року за № 783/39839.
II. Мета та підстави обробки персональних даних
1. Обробка персональних даних, володільцем яких є Держстат, здійснюється з метою:
забезпечення участі у формуванні державної політики у сфері статистики та її реалізації;
збирання, збереження, оброблення, аналізу, захисту та поширення офіційної державної статистичної інформації щодо масових явищ і процесів, які відбуваються в економічній, соціальній, демографічній, екологічній, культурній та інших сферах життя суспільства в Україні та її регіонах;
забезпечення проходження державної служби та трудових відносин, ведення військового обліку;
організації навчання державних службовців з питань, що належать до компетенції Держстату;
забезпечення реалізації вимог законодавства у сфері пенсійного забезпечення, оплати праці та податкового законодавства;
забезпечення конституційного права особи на звернення до органів державної статистики, на доступ до публічної інформації, на доступ до електронних послуг та інформації про публічні послуги, отримання інформації з інформаційно-комунікаційних систем, яка необхідна для надання послуг;
здійснення цілодобової охорони, функціонування контрольно-пропускного режиму й огляду периметру адміністративної будівлі Держстату.
2. Обробка персональних даних у Держстаті здійснюється на підставах, визначених пунктами 2, 3 і 5 частини першої статті 11 Закону.
3. Підставами для обробки персональних даних, володільцем яких є Держстат, є:
дозвіл на обробку персональних даних, наданий Держстату відповідно до закону виключно для здійснення його повноважень;
необхідність виконання Держстатом обов'язку, який передбачений законом.
Обробка персональних даних фізичних осіб, які надають Держстату послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних.
4. Обробка персональних даних здійснюється відповідно до Конституції України, Законів України "Про захист персональних даних", "Про Кабінет Міністрів України", "Про центральні органи виконавчої влади", "Про офіційну статистику" та інших законів України з метою здійснення повноважень Держстату, а також з урахуванням положень Регламенту (ЄС) 2018/1725 Європейського Парламенту та Ради від 23 жовтня 2018 року про захист фізичних осіб щодо обробки персональних даних інституціями, органами, офісами та агентствами Союзу та про вільне переміщення таких даних та Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних.
III. Категорії суб'єктів та склад персональних даних
1. Держстат здійснює обробку персональних даних таких категорій суб'єктів:
працівників апарату Держстату, керівників і заступників керівників його територіальних органів, керівників підприємств, установ і організацій, що належать до сфери управління Держстату, та кандидатів на зайняття вакантних посад, призначення на які здійснює Держстат;
осіб, які проходять стажування в апараті Держстату;
осіб, які звертаються до Держстату в порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу", "Про доступ до публічної інформації";
осіб, які подають звітність за визначеними формами державних статистичних спостережень (респонденти) відповідно до Закону України "Про офіційну статистику";
осіб, дані щодо яких містяться в реєстрі респондентів статистичних спостережень;
осіб, дані щодо яких зафіксовані системою відеоспостереження Держстату.
2. Склад персональних даних, які обробляє Держстат, залежить від категорії суб'єкта персональних даних.
3. Держстат здійснює обробку таких персональних даних:
1) працівників та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держстатом:
реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер, дата видачі та уповноважений суб'єкт, що видав документ);
адреса задекларованого/зареєстрованого місця проживання (перебування);
реєстраційний номер облікової картки платника податків (за наявності);
унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);
номер телефону та/або адреса електронної пошти;
відомості про трудову діяльність;
відомості про освіту;
відомості про сімейний стан та склад сім'ї;
відомості про громадянство;
відомості про відсутність судимості;
військово-облікові дані;
відомості про стан здоров'я (в обсязі, необхідному для реалізації трудових відносин, і для забезпечення вимог законодавства у сфері охорони праці);
біографічні дані;
відомості про ділові та особисті якості;
відомості про наявність прав на пільги та компенсації;
фотографічні зображення;
інші персональні дані, необхідність обробки яких визначена законодавством;
2) осіб, які проходять стажування в апараті Держстату:
прізвище, власне ім'я, по батькові (за наявності);
реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер, дата видачі та уповноважений суб'єкт, що видав документ);
адреса задекларованого/зареєстрованого місця проживання (перебування);
реєстраційний номер облікової картки платника податків (за наявності);
унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);
номер телефону та/або адреса електронної пошти;
відомості про освіту;
відомості про громадянства;
відомості про ділові та особисті якості;
інші персональні дані, необхідність обробки яких визначена законодавством;
3) осіб, які звертаються в порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правничу допомогу" та "Про доступ до публічної інформації":
прізвище, власне ім'я, по батькові (за наявності);
адреса задекларованого/зареєстрованого місця проживання (перебування);
відомості про наявність пільг, які є підставою для першочергового розгляду звернення;
номер телефону та/або адреса електронної пошти;
інші дані, які стосуються особи та надаються нею для розгляду заяв, запитів, звернень;
4) осіб, які подають звітність за визначеними формами державних статистичних спостережень (респонденти):
прізвище, ім'я, по батькові (за наявності), реєстраційний номер облікової картки платника податків із Державного реєстру фізичних осіб - платників податків (за наявності) або серія (за наявності) та номер паспорта;
номер телефону;
адреса електронної пошти;
адреса задекларованого/зареєстрованого місця проживання (перебування) (поштовий індекс, область/АР Крим, район, населений пункт, вулиця/провулок, площа тощо, № будинку/корпусу, № квартири, територіальна громада);
адреса здійснення діяльності, щодо якої подається форма звітності (поштовий індекс, область/АР Крим, район, населений пункт, вулиця/провулок, площа тощо, № будинку/корпусу, № квартири/офісу, територіальна громада);
5) осіб, дані щодо яких містяться в реєстрі респондентів статистичних спостережень:
прізвище, ім'я, по батькові (за наявності);
реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер);
реєстраційний номер облікової картки платника податків (за наявності);
адреса задекларованого/зареєстрованого місця проживання (перебування);
номер телефону та/або адреса електронної пошти;
відомості про громадянство;
6) осіб, дані щодо яких можуть бути зафіксовані системою відеоспостереження Держстату.
IV. Порядок обробки персональних даних
1. Спосіб збирання, накопичення персональних даних
1. Збирання та накопичення персональних даних працівників апарату Держстату й кандидатів на зайняття вакантних посад, призначення на які здійснює Держстат, проводиться шляхом надання ними відповідних документів, визначених законодавством, зокрема про державну службу, працю.
Накопичення персональних даних таких працівників здійснюється за допомогою програмного комплексу Єдиної інформаційно-аналітичної системи фінансово-господарської діяльності органів державної статистики (ЄІАС ФГД ОДС), комп'ютерної програми M.E.Doc, Інформаційної системи управління людськими ресурсами в державних органах та нарахування заробітної плати (HRMIS), системи електронного документообігу органів державної статистики (СЕД ОДС) і в особових справах працівників, у тому числі на паперових носіях.
2. Збирання та накопичення персональних даних осіб, які проходять стажування в апараті Держстату, проводиться шляхом надання ними відповідних документів, визначених законом.
Накопичення персональних даних зазначеної категорії суб'єктів здійснюється на паперових носіях і за допомогою СЕД ОДС.
3. Персональні дані осіб, які звертаються до Держстату відповідно до Законів України "Про звернення громадян", "Про безоплатну правничу допомогу" та "Про доступ до публічної інформації", збираються шляхом накопичення наданих відомостей про таких осіб, зазначених ними у зверненнях, запитах на інформацію в паперовій та/або електронній формах.
Накопичення персональних даних зазначеної категорії суб'єктів здійснюється за допомогою СЕД ОДС.
4. Персональні дані осіб, які подають звітність за визначеними формами державних статистичних спостережень (респонденти), збираються шляхом їх безпосереднього надання суб'єктом персональних даних під час реєстрації в програмно-апаратному комплексі автоматизованої системи збору даних статистичної звітності "Кабінет респондента" та заповненні звітів за формами державних статистичних спостережень.
Накопичення персональних даних зазначеної категорії суб'єктів не здійснюється.
5. Збирання персональних даних осіб, які містяться в реєстрі респондентів статистичних спостережень, здійснюється шляхом надходження в електронній формі відомостей про проведені реєстраційні дії щодо юридичних осіб (уключаючи їх відокремлені підрозділи), відокремлених підрозділів юридичних осіб, утворених відповідно до законодавства іноземної держави, та фізичних осіб - підприємців з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань.
Обробка, накопичення та зберігання персональних даних зазначеної категорії здійснюється за допомогою відповідної інформаційної (автоматизованої) системи.
6. Дані системи відеоспостереження Держстату збираються та накопичуються на серверному обладнанні Держстату, доступ до яких має працівник самостійного структурного підрозділу апарату Держстату, відповідальний за функціонування системи відеоспостереження Держстату.
2. Строки та умови зберігання персональних даних
1. Персональні дані зберігаються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законом.
2. Персональні дані працівників апарату Держстату, керівників і заступників керівників його територіальних органів, керівників підприємств, установ і організацій, що належать до сфери управління Держстату, та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держстатом, осіб, які проходять стажування в апараті Держстату, зберігаються у строк, визначений законодавством, зокрема про державну службу, працю, організацію діловодства та архівного зберігання документів.
3. Персональні дані осіб, які звертаються до Держстату відповідно до Законів України "Про звернення громадян", "Про безоплатну правничу допомогу" та "Про доступ до публічної інформації", зберігаються протягом 5 років з дати звернення.
4. Персональні дані осіб, які подають звітність за визначеними формами державних статистичних спостережень (респондентів), зберігаються відповідно до статті 31 Закону України "Про офіційну статистику".
5. Персональні дані осіб, які містяться в реєстрі респондентів статистичних спостережень, зберігаються відповідно до Закону України "Про офіційну статистику" як статистичний перелік для забезпечення виробництва офіційної державної статистичної інформації.
6. Дані системи відеоспостереження Держстату зберігаються на серверному обладнанні Держстату у строк, що не перевищує 10 календарних днів.
7. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
3. Унесення змін, видалення або знищення персональних даних
1. Працівники самостійних структурних підрозділів апарату Держстату, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до закону.
2. Зміни до персональних даних уносяться на підставі:
вмотивованої письмової вимоги суб'єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили;
звернення інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних.
3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
5. Персональні дані підлягають видаленню або знищенню в разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних і Держстатом, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
6. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню в установленому законом порядку.
7. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу Держстату та розпорядникам щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта обробляються незаконно або є недостовірними, Держстат припиняє обробку персональних даних суб'єкта та інформує про це суб'єкта персональних даних.
9. Дані системи відеоспостереження Держстату знищуються в автоматичному режимі у спосіб, що виключає подальшу можливість їх відновлення.
4. Доступ до персональних даних
1. Працівники, які мають доступ до персональних даних, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.
2. Працівники, які мають доступ до персональних даних, зобов'язані:
запобігати втраті персональних даних та їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом).
3. Працівники, які мають доступ до персональних даних, надають письмове зобов'язання про нерозголошення персональних даних (додаток 1), яке відбирає відповідальний структурний підрозділ та передає його самостійному структурному підрозділу апарату Держстату з питань управління персоналом для зберігання в особових справах таких працівників.
Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб'єктів, які необхідні у зв'язку з виконанням ними своїх професійних, службових або трудових обов'язків.
4. Відомості про працівників апарату Держстату, які надали письмове зобов'язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов'язань про нерозголошення персональних даних (додаток 2), який ведеться відповідальним структурним підрозділом.
5. Датою надання права доступу до персональних даних уважається дата надання зобов'язання відповідним працівником.
6. Датою позбавлення права доступу до персональних даних уважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.
7. Суб'єкт персональних даних має право на одержання від Держстату відомостей про себе, пов'язаних з персональними даними, відповідно до вимог, визначених Законом.
5. Умови передачі персональних даних третім особам
1. Доступ до персональних даних третіх осіб здійснюється відповідно до вимог закону.
2. Поширення та передача персональних даних осіб, які подають звітність за визначеними формами державних статистичних спостережень (респондентів), регулюється статтями 29, 30 та 31 Закону України "Про офіційну статистику".
3. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється відповідальними особами лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, установлених законом або міжнародними договорами України.
4. Суб'єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних третій особі, якщо цього вимагають умови його згоди або інше не передбачено законом.
5. Повідомлення, зазначені в пункті 4 цієї глави, не здійснюються у разі:
передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
виконання Держстатом своїх повноважень, передбачених законом;
здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
здійснення обробки персональних даних відповідно до вимог частини другої статті 12 Закону.
V. Заходи забезпечення захисту персональних даних
1. Обробка персональних даних у самостійних структурних підрозділах апарату Держстату здійснюється відповідно до законодавства у сфері захисту персональних даних.
2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Працівники, які відповідно до посадових обов'язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації у відповідних системах. Обробка та захист персональних даних в інформаційних (автоматизованих) системах Держстату здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.
3. З метою забезпечення безпеки обробки персональних даних уживаються спеціальні технічні заходи захисту, у тому числі щодо унеможливлення несанкціонованого доступу до персональних даних і технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій затверджується відповідний план дій Держстату.
4. Під час обробки персональних даних має забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
5. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальним структурним підрозділом.
Таку документальну фіксацію, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій Держстат здійснює відповідно до закону.
6. Відповідальний структурний підрозділ:
інформує та консультує працівників відповідних структурних підрозділів апарату Держстату, розпорядників персональних даних із питань додержання законодавства про захист персональних даних;
організовує та вживає заходів щодо захисту персональних даних;
взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних;
уживає заходів, спрямованих на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.
7. З метою забезпечення безпеки обробки персональних даних упроваджуються спеціальні технічні заходи захисту, зокрема й щодо виключення можливості несанкціонованого доступу до персональних даних в інформаційних (автоматизованих) системах Держстату, у яких здійснюється їх обробка, із застосуванням комплексної системи захисту інформації.
| Директор департаменту інформаційних технологій апарату Держстату | Олена ПУЗАНОВА |
Додаток 1
до Порядку обробки та захисту персональних даних, володільцем яких є Державна служба статистики
(пункт 3 глави 4 розділу IV)
Зобов'язання
про нерозголошення персональних даних
____________
Додаток 2
до Порядку обробки та захисту персональних даних, володільцем яких є Державна служба статистики
(пункт 4 глави 4 розділу IV)
Журнал
реєстрації зобов'язань про нерозголошення персональних даних
____________