НАЦІОНАЛЬНА КОМІСІЯ, ЩО ЗДІЙСНЮЄ ДЕРЖАВНЕ РЕГУЛЮВАННЯ У СФЕРАХ ЕЛЕКТРОННИХ КОМУНІКАЦІЙ, РАДІОЧАСТОТНОГО СПЕКТРА ТА НАДАННЯ ПОСЛУГ ПОШТОВОГО ЗВ’ЯЗКУ
ПОСТАНОВА
21.12.2022 № 261
Зареєстровано в Міністерстві
юстиції України
23 січня 2023 р.
за № 143/39199
Про затвердження Порядку обробки персональних даних у Національній комісії, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку
Відповідно до статті 6, частини другої статті 24 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 та пункту 3.15 розділу 3 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, Національна комісія, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку ПОСТАНОВЛЯЄ:
1. Затвердити Порядок обробки персональних даних у Національній комісії, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку, що додається.
2. Департаменту забезпечення діяльності в установленому законодавством порядку подати цю постанову на державну реєстрацію до Міністерства юстиції України.
3. Ця постанова набирає чинності з дня її офіційного опублікування.
| Голова | О. Животовський |
| ПОГОДЖЕНО: Уповноважений Верховної Ради України з прав людини | Д. Лубінець |
ЗАТВЕРДЖЕНО
Постанова Національної комісії,
що здійснює державне
регулювання у сферах
електронних комунікацій,
радіочастотного спектра
та надання послуг
поштового зв’язку
21 грудня 2022 року № 261
Зареєстровано в Міністерстві
юстиції України
23 січня 2023 р.
за № 143/39199
ПОРЯДОК
обробки персональних даних у Національній комісії, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку
I. Загальні положення
1. Цей Порядок визначає загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Національна комісія, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку, що обробляються повністю чи частково із застосуванням автоматизованих засобів (в інформаційно-комунікаційних системах, автоматизованих системах класу "1") НКЕК, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів (на паперових носіях).
2. Порядок розроблено на підставі Закону України "Про захист персональних даних", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373.
3. Терміни у цьому Порядку вживаються у значеннях, наведених в Законах України "Про захист персональних даних" та "Про захист інформації в інформаційно-комунікаційних системах".
4. До персональних даних належать відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікується або може бути конкретно ідентифікована.
5. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".
6. Персональні дані в НКЕК обробляються:
автоматизовано в електронному вигляді за допомогою програмних засобів (зберігання звернень громадян, надісланих електронною поштою, через систему електронної взаємодії органів виконавчої влади, з державної установи "Урядовий контактний центр", прийняті на гарячу телефонну лінію НКЕК для звернень громадян; заробітна плата працівників НКЕК);
автоматизовано в електронному вигляді за допомогою програмних засобів та у паперовому вигляді (зберігання документів, що містять персональні дані працівників НКЕК або кандидатів на зайняття вакантних посад; копії позовних заяв, актів, апеляційних скарг, довідок, доповідних записок тощо, що подаються НКЕК до органів судової влади, копій рішень, вироків, окремих ухвал, постанов суду; зберігання звернень громадян, надісланих поштою, поданих особисто, викладених усно на особистому прийомі);
у паперовому вигляді (зберігання справ про адміністративні правопорушення; заявок на реєстрацію кваліфікованих електронних підписів).
7. Володільцем персональних даних є НКЕК.
8. Організацію роботи, пов’язаної із захистом персональних даних кожної категорії суб’єктів персональних даних, обробку яких здійснює НКЕК, забезпечує відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці (далі - відповідальна особа), яка визначається наказом керівника апарату НКЕК.
9. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону України "Про захист персональних даних".
II. Мета та підстави обробки персональних даних
1. Обробка персональних даних, володільцем яких є НКЕК, здійснюється виключно:
1) для працівників та кандидатів на зайняття вакантних посад НКЕК та керівника державного підприємства "Український державний центр радіочастот" (далі - УДЦР) - з метою реалізації прав та виконання обов’язків НКЕК у сфері трудових правовідносин відповідно до закону;
2) для інших категорій суб’єктів персональних даних з метою виконання обов’язку НКЕК як володільця персональних даних, який передбачений Законами України "Про Національну комісію, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку", "Про електронні комунікації", "Про поштовий зв’язок" та "Про державний ринковий нагляд і контроль нехарчової продукції", а саме:
захист прав споживачів, прав та інтересів кінцевих користувачів послуг, споживачів (користувачів) продукції;
представництво інтересів НКЕК в судах України, інших юрисдикційних органах, забезпечення самопредставництва НКЕК в судах України;
притягнення до адміністративної відповідальності за порушення законодавства у сфері радіочастотного спектра, надання послуг поштового зв’язку та державного ринкового нагляду.
2. Підставами для обробки персональних даних, зазначених в пункті 1 цього розділу, є:
дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
необхідність виконання обов’язку володільця персональних даних, який передбачений законом.
3. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України "Про захист персональних даних", "Про Національну комісію, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку", "Про електронні комунікації", "Про поштовий зв’язок" та інших законів України з метою здійснення повноважень НКЕК.
III. Категорії суб’єктів та склад персональних даних
1. НКЕК здійснює обробку персональних даних таких категорій суб’єктів:
працівників та кандидатів на зайняття вакантних посад НКЕК та керівника УДЦР;
осіб, які звертаються до НКЕК в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу";
осіб, відомості про яких підлягають обробці під час виконання НКЕК своїх повноважень щодо притягнення до адміністративної відповідальності;
осіб, відомості про яких підлягають обробці під час представництва інтересів НКЕК в судах України, інших юрисдикційних органах, забезпечення самопредставництва НКЕК в судах України.
2. Склад персональних даних, які обробляються НКЕК:
1) для працівників та кандидатів на зайняття вакантних посад:
паспортні дані;
реєстраційний номер облікової картки платника податків (за наявності);
відомості про освіту, науковий ступінь, вчене звання;
відомості про стаж роботи, стаж державної служби, досвід роботи;
відомості про військовий облік;
відомості про стан здоров’я (в обсязі, необхідному для реалізації трудових відносин, і для забезпечення вимог законодавства у сферах охорони праці та охорони державної таємниці);
біографічні дані;
відомості про ділові та особисті якості;
відомості про сімейний стан та наявність працюючих в НКЕК близьких осіб;
відомості про задеклароване/зареєстроване місце проживання (перебування);
відомості про засоби зв’язку;
відомості про належність до категорії громадян, які мають додаткові гарантії;
фотографічні зображення;
інші дані, які особа добровільно, за власним бажанням, надає про себе;
2) для осіб, які звертаються в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу":
прізвище, власне ім’я, по батькові (за наявності);
місце проживання;
категорія громадян, соціальний стан;
відомості про засоби зв’язку;
інші дані, які особа добровільно, за власним бажанням, надає про себе;
3) для осіб, відомості про яких підлягають обробці під час виконання НКЕК своїх повноважень щодо притягнення до адміністративної відповідальності:
прізвище, власне ім’я, по батькові (за наявності);
дата, місце народження;
задеклароване/зареєстроване місце проживання (перебування), номер телефону;
місце роботи, посада, дата призначення на посаду;
документ, що посвідчує особу, підтверджує громадянство України чи її спеціальний статус (вид, серія (за наявності), номер, ким і коли виданий);
довідка кадрової служби, витяг з особової справи;
4) для осіб, відомості про яких підлягають обробці під час представництва інтересів НКЕК в судах України, інших юрисдикційних органах, забезпечення самопредставництва НКЕК в судах України:
прізвище, власне ім’я, по батькові (за наявності);
контактні дані.
IV. Порядок обробки персональних даних
1. Спосіб збору, накопичення персональних даних
1. Збирання персональних даних працівників та кандидатів на зайняття вакантних посад НКЕК та керівника УДЦР здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, Законом України "Про державну службу" та Кодексом законів про працю України.
Накопичення таких персональних даних здійснюється згідно з вимогами законодавства, зокрема, про державну службу, працю, про охорону державної таємниці.
Накопичення персональних даних працівників НКЕК здійснюється за допомогою:
автоматизованих систем: система електронного документообігу, інформаційно-аналітична система "Кадри-Web", автоматизовані системи "Українська бухгалтерська система УБС" та програмне забезпечення "Соната";
паперових носіїв інформації: довіреності на право представництва інтересів НКЕК та журнал реєстрації довіреностей, заявки на реєстрацію кваліфікованих електронних підписів, журнали: обліку консультацій, наданих Сектором з питань запобігання та виявлення корупції; реєстрації повідомлень про встановлені факти неподання чи несвоєчасного подання декларацій осіб уповноважених на виконання функцій держави або місцевого самоврядування, направлених до Національного агентства з питань запобігання корупції; обліку повідомлень про корупцію; обліку працівників, притягнутих до відповідальності за вчинення корупційних правопорушень або правопорушень, пов’язаних з корупцією; особові справи та трудові книжки працівників;
матеріальних носіїв інформації (паперові носії та окремі файли на флеш-носіях та автоматизованих системах класу "1", атестованих встановленим порядком) щодо допуску та доступу до державної таємниці.
2. Персональні дані осіб, які звертаються до НКЕК в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу" збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях.
Накопичення персональних даних вказаної категорії суб’єктів здійснюється за допомогою системи електронного документообігу НКЕК та у паперовій формі.
3. Персональні дані осіб, відомості про яких підлягають обробці під час виконання НКЕК своїх повноважень щодо притягнення до адміністративної відповідальності, накопичуються на підставі статей 243, 255 Кодексу України про адміністративні правопорушення, шляхом використання інформації в паперовій та/або електронній формах, яка надається суб’єктом персональних даних під час складення протоколу про адміністративне правопорушення та винесення постанови по справі про адміністративне правопорушення.
Накопичення персональних даних вказаної категорії суб’єктів здійснюється у паперовій формі.
4. Персональні дані осіб, відомості про яких підлягають обробці під час представництва інтересів НКЕК в судах України, інших юрисдикційних органах, забезпечення самопредставництва НКЕК в судах України, накопичуються на підставі пункту 19 частини четвертої статті 4 Закону України "Про Національну комісію, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку", статті 55 Кодексу адміністративного судочинства України, статті 56 Господарського процесуального кодексу України, статті 58 Цивільного процесуального кодексу України шляхом використання інформації в паперовій та/або електронній формах, яка надається суб’єктом персональних даних під час судового провадження.
Накопичення персональних даних вказаної категорії суб’єктів здійснюється в електронній формі за допомогою системи електронного документообігу та у паперовій формі.
5. Персональні дані, які обробляються за допомогою автоматизованих систем, зберігаються на серверах НКЕК.
6. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України "Про захист персональних даних", мету збору персональних даних та про осіб, яким передаються його персональні дані, а також про джерела збирання, місцезнаходження своїх персональних даних, місцезнаходження володільця персональних даних:
працівників та кандидатів на зайняття вакантних посад НКЕК та керівника УДЦР - у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних;
осіб, які звертаються до НКЕК в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу" - відповідно до цих Законів;
осіб, відомості про яких підлягають обробці під час виконання НКЕК своїх повноважень щодо притягнення до адміністративної відповідальності - у письмовій формі під час складання протоколу про адміністративне правопорушення шляхом надання другого примірника протоколу про адміністративне правопорушення та отримання його власноручного підпису в обох примірниках протоколу про адміністративне правопорушення;
осіб, відомості про яких підлягають обробці під час представництва інтересів НКЕК в судах України, інших юрисдикційних органах, забезпечення самопредставництва НКЕК в судах України - відповідно до законодавства.
2. Строки та умови зберігання персональних даних
1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством:
працівників та кандидатів на зайняття вакантних посад - у строк, визначений законодавством, зокрема, про державну службу, про працю та у сфері охорони державної таємниці;
осіб, які звертаються до НКЕК в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу" - протягом п’яти років з дати звернення;
осіб, відомості про яких підлягають обробці під час виконання НКЕК своїх повноважень щодо притягнення до адміністративної відповідальності та під час представництва інтересів НКЕК в судах України, інших юрисдикційних органах, забезпечення самопредставництва НКЕК в судах України - протягом трьох років.
2. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
3. Внесення змін, видалення або знищення персональних даних
1. Працівники НКЕК, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.
2. Зміни до персональних даних вносяться на підставі:
вмотивованої письмової вимоги суб’єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили.
3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
5. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб’єктом персональних даних та НКЕК, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
4. Доступ до персональних даних
1. Працівники, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.
2. Працівники, які обробляють персональні дані, зобов’язані:
запобігати втраті персональних даних та їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").
3. Працівники, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних.
4. Датою надання права доступу до персональних даних вважається дата надання зобов’язання про нерозголошення персональних даних відповідним працівником.
5. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
6. Суб’єкт персональних даних має право на одержання від НКЕК будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.
7. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16, 17 Закону України "Про захист персональних даних".
8. Третіми особами, у контексті Закону України "Про захист персональних даних", є будь-які особи, за винятком:
суб’єктів персональних даних;
НКЕК як володільця та розпорядника персональних даних;
Уповноваженого Верховної Ради України з прав людини, якому володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
V. Заходи забезпечення захисту персональних даних
1. Обробка персональних даних в структурних підрозділах НКЕК здійснюється відповідно до законодавства у сфері захисту персональних даних.
2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних автоматизовано в електронному вигляді за допомогою програмних засобів, допускаються до обробки лише після їх авторизації.
3. Обробка персональних даних в автоматизованих системах НКЕК здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.
З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються, в роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
4. Облік операцій, пов’язаних із обробкою персональних даних суб’єкта та доступом до них, здійснюється НКЕК:
в автоматизованих системах - шляхом автоматичної фіксації засобами відповідної системи;
на паперових носіях - шляхом ведення журналу в паперовій формі.
5. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою.
Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється НКЕК відповідно до законодавства.
7. Відповідальна особа:
інформує та консультує посадових осіб НКЕК з питань додержання законодавства про захист персональних даних;
взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
8. З метою виконання вказаних завдань відповідальна особа:
забезпечує реалізацію прав суб’єктів персональних даних;
користується доступом до будь-яких даних, які обробляються володільцем/розпорядником та до всіх приміщень володільця/розпорядника, де здійснюється така обробка;
у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника володільця/розпорядника з метою вжиття необхідних заходів;
аналізує загрози безпеці персональних даних.
9. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
10. Взаємодія з Уповноваженим Верховної Ради України з прав людини здійснюється в порядку, визначеному Законом України "Про захист персональних даних" та Законом України "Про Уповноваженого Верховної Ради України з прав людини".
| Директор Департаменту забезпечення діяльності | О. Овчаренко |