МІНІСТЕРСТВО ЗАХИСТУ ДОВКІЛЛЯ ТА ПРИРОДНИХ РЕСУРСІВ УКРАЇНИ
НАКАЗ
13.01.2025 м. Київ № 46
Зареєстровано в Міністерстві юстиції України
25 лютого 2025 р. за № 298/43704
Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Державне агентство водних ресурсів України
Відповідно до статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, пункту 8 Положення про Міністерство захисту довкілля та природних ресурсів України, затвердженого постановою Кабінету Міністрів України від 25 червня 2020 року № 614, з метою забезпечення дотримання вимог до обробки та захисту персональних даних у Державному агентстві водних ресурсів України,
НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Державне агентство водних ресурсів України, що додається.
2. Управлінню збалансованого природокористування (Ірина ОЛІНКЕВИЧ) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на заступник Міністра з питань цифрового розвитку, цифрових трансформацій і цифровізації Сергія ВЛАСЕНКА.
ЗАТВЕРДЖЕНО
Наказ Міністерства захисту довкілля та природних ресурсів України
13 січня 2025 року № 46
Порядок
обробки та захисту персональних даних, володільцем яких є Державне агентство водних ресурсів України
I. Загальні положення
1. Цей Порядок визначає загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Держводагентство, під час їх обробки в інформаційно-комунікаційних системах Держводагентства та на паперових носіях.
2. Цей Порядок є обов'язковим до виконання працівниками Держводагентства, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є Держводагентство.
3. Терміни у цьому Порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних" (далі - Закон) та Законі України "Про захист інформації в інформаційно-комунікаційних системах".
4. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікована.
5. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону.
6. Персональні дані в інформаційно-комунікаційних системах Держводагентства обробляються автоматизовано в електронній формі за допомогою технічних і програмних засобів та у паперовій формі (зберігання звернень, запитів на інформацію, які надійшли у паперовій формі; документів, що містять персональні дані працівників Держводагентства або кандидатів на зайняття вакантних посад, призначення на які здійснюється Держводагентством).
7. Володільцем персональних даних є Держводагентство.
8. Організацію роботи, пов'язаної із захистом персональних даних кожної категорії суб'єктів персональних даних, забезпечує відповідальна особа з питань захисту персональних даних, визначена Держводагентством.
9. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб'єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону.
II. Мета та підстави обробки персональних даних
1. Обробка персональних даних, володільцем яких є Держводагентство, здійснюється з метою:
забезпечення проходження державної служби та трудових відносин, військового та податкового обліків;
забезпечення права особи на доступ до електронних послуг та інформації про публічні послуги, звернення до органів державної влади та органів місцевого самоврядування, підприємств, установ і організацій, отримання інформації з інформаційних (автоматизованих) систем, яка необхідна для надання послуг;
ведення діловодства у сфері управління персоналом, відносин у сфері бухгалтерського обліку та/або підготовки відповідно до вимог законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції Держводагентства.
2. Держводагентство здійснює обробку персональних даних на підставах, визначених статтею 11 Закону.
3. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, Закону, Законів України "Про Кабінет Міністрів України", "Про центральні органи виконавчої влади" та інших законів України з метою здійснення повноважень Держводагентства.
III. Категорії суб'єктів та склад персональних даних
1. Держводагентство здійснює обробку персональних даних таких категорій суб'єктів:
працівників Держводагентства та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держводагентством;
керівників державних підприємств, установ і організацій, що належать до сфери управління Держводагентства;
осіб, які звертаються за отриманням адміністративних послуг відповідно до Закону України "Про адміністративні послуги";
осіб, які звертаються до Держводагентства в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації" та "Про безоплатну правничу допомогу".
2. Склад персональних даних, які обробляються Держводагентством, залежить від категорії суб'єкта персональних даних.
Держводагентство здійснює обробку таких персональних даних працівників та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держводагентством: прізвище, власне ім'я, по батькові (за наявності), реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер, дата видачі та уповноважений суб'єкт, що видав документ (код)); задеклароване/зареєстроване місце проживання (перебування); реєстраційний номер облікової картки платника податків (за наявності); унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності); номер телефону та/або адреса електронної пошти; відомості про трудову діяльність; відомості про освіту; відомості про сімейний стан та склад сім'ї; відомості про громадянство; відомості про відсутність судимості; військово-облікові дані; відомості про стан здоров'я; біографічні дані; відомості про ділові та особисті якості; відомості про наявність прав на пільги та компенсації; фотографічні зображення; інші персональні дані, необхідність обробки яких визначена законом.
Держводагентство здійснює обробку таких персональних даних осіб:
які звертаються в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації", "Про безоплатну правничу допомогу": прізвище, власне ім'я, по батькові (за наявності); задеклароване/зареєстроване місце проживання (перебування); наявність пільг, які є підставою для першочергового розгляду звернення; номер телефону та/або адреса електронної пошти; інші дані, які стосуються особи та надаються нею для задоволення заяв, запитів, звернень, адвокатських запитів;
які звертаються за отриманням адміністративних послуг відповідно до Закону України "Про адміністративні послуги": прізвище, власне ім'я, по батькові (за наявності), реквізити паспорта громадянина України або іншого документа, що посвідчує особу, підтверджує громадянство України чи її спеціальний статус, номер телефону та/або адреса електронної пошти, інші відомості, передбачені цим Законом.
IV. Порядок обробки персональних даних
1. Спосіб збирання, накопичення персональних даних
1. Збирання та накопичення персональних даних працівників Держводагентства та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держводагентством, проводиться шляхом надання ними відповідних документів, визначених законом.
Накопичення таких персональних даних працівників здійснюється за допомогою інформаційної системи управління людськими ресурсами в органах державної влади (Human Resources Management Information System (HRMIS)) та в особових справах працівників.
2. Збирання та накопичення персональних даних керівників державних підприємств, установ і організацій, що належать до сфери управління Держводагентства, здійснюється шляхом надання ними відповідних документів, визначених законом.
3. Персональні дані осіб, які звертаються до Держводагентства відповідно до Законів України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації", "Про безоплатну правничу допомогу" збираються шляхом використання відомостей про таких осіб, зазначених ними у заявах, запитах на інформацію, зверненнях, адвокатських запитах та інформації в паперовій та/або електронній формах, що надходять від підприємств, установ і організацій.
Накопичення персональних даних зазначеної категорії суб'єктів здійснюється за допомогою системи електронного документообігу та зберігаються в захищеному хмарному середовищі.
4. Збирання персональних даних осіб, відомості про яких підлягають внесенню під час ведення відповідних державних реєстрів, електронних інформаційних ресурсів, баз даних або інформаційних (автоматизованих) систем, здійснюється шляхом отримання інформації в паперовій та/або електронній формах від суб'єктів, визначених законом.
5. Суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету їх збору та осіб, яким передаються його персональні дані, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних, форма якого наведена у додатку 1 до цього Порядку.
2. Строки та умови зберігання персональних даних
1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законом.
2. Персональні дані працівників Держводагентства та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держводагентством, зберігаються у строк, визначений законом.
3. Персональні дані осіб, які звертаються до Держводагентства в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації" та "Про безоплатну правничу допомогу", зберігаються протягом 5 років з дати звернення.
4. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
3. Внесення змін, видалення або знищення персональних даних
1. Працівники структурних підрозділів Держводагентства, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до закону.
2. Зміни до персональних даних вносяться на підставі:
вмотивованої письмової вимоги суб'єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили;
звернення інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних.
3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
5. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання персональних даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних та Держводагентством, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
6. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.
7. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта обробляються незаконно, Держводагентство припиняє обробку персональних даних суб'єкта та інформує про це суб'єкта персональних даних в установленому Законом порядку.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта є недостовірними, Держводагентство припиняє обробку персональних даних суб'єкта та/або змінює їх склад/зміст та інформує про це суб'єкта персональних даних в установленому Законом порядку.
4. Доступ до персональних даних
1. Працівники, які мають доступ до персональних даних, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.
2. Працівники, які мають доступ до персональних даних, зобов'язані:
запобігати втраті або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до персональних даних;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, крім випадків, передбачених законом. Таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
3. Працівники, які мають доступ до персональних даних, надають письмове зобов'язання про нерозголошення персональних даних, форма якого наведена у додатку 2 до цього Порядку, яке зберігається в особовій справі.
Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб'єктів, які необхідні у зв'язку з виконанням ними своїх професійних, службових або трудових обов'язків.
4. Відомості про працівників Держводагентства, які надали письмове зобов'язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов'язань про нерозголошення персональних даних, форма якого наведена у додатку 3 до цього Порядку.
5. Датою надання права доступу до персональних даних вважається дата надання зобов'язання відповідним працівником.
6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.
7. Суб'єкт персональних даних має право на одержання від Держводагентства будь-яких відомостей про себе, за умови надання інформації, визначеної у пункті 1 частини четвертої статті 16 Закону, крім випадків, установлених законом.
5. Умови передачі персональних даних третім особам
1. Передача персональних даних третім особам здійснюється відповідно до вимог закону.
2. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
3. Суб'єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних третій особі, якщо цього вимагають умови його згоди або інше не передбачено законом.
Повідомлення, зазначене в абзаці першому цього пункту, не здійснюється у разі:
передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
повідомлення суб'єкта персональних даних відповідно до вимог частини другої статті 12 Закону.
V. Заходи забезпечення захисту персональних даних
1. Обробка персональних даних в структурних підрозділах Держводагентства здійснюється відповідно до законодавства у сфері захисту персональних даних.
2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Працівники, які відповідно до посадових обов'язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації у відповідних інформаційних (автоматизованих) системах.
3. Обробка персональних даних в інформаційно-комунікаційних системах Держводагентства здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.
З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо унеможливлення несанкціонованого доступу до персональних даних та технічного й програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій затверджується План дій Держводагентства.
4. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
5. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальним структурним підрозділом або відповідальною особою з питань захисту персональних даних при їх обробці в Держводагентстві.
Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Держводагентством відповідно до законодавства.
6. Відповідальна особа з питань захисту персональних даних при їх обробці в Держводагентстві:
інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами Секретаріату Уповноваженого Верховної Ради України з прав людини;
здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.
7. У разі обробки персональних даних в системах інших суб'єктів (банки, органи, що здійснюють казначейське обслуговування бюджетних коштів, ДПС, Пенсійний фонд України, НАДС (HRMIS), інші), організація захисту персональних даних покладається на власників і розпорядників цих систем.
Додаток 1
до Порядку обробки та захисту персональних даних, володільцем яких є Державне агентство водних ресурсів України
(пункт 5 глави 1 розділу IV)
____________________________________________________________________________
(прізвище, власне ім'я, по батькові (за наявності) суб'єкта персональних даних)
Повідомлення про обробку персональних даних
1. Відповідно до вимог статті 12 Закону України "Про захист персональних даних" (далі - Закон) Ви інформуєтесь про те, що володільцем персональних даних є Державне агентство водних ресурсів України.
2. Склад та зміст зібраних персональних даних:
3. Метою збору (у тому числі обробки) персональних даних є: _______________________
4. Передача персональних даних третім особам може здійснюватися лише якщо цього вимагають умови Вашої згоди або інше не передбачено законом.
5. Як суб'єкт персональних даних Ви маєте права, передбачені статтею 8 Закону, а саме:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженими Вами особами, крім випадків, встановлених Законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються Ваші персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом, відповідь про те, чи обробляються Ваші персональні дані, а також отримувати зміст таких персональних даних;
5) пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними:
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять Вашу честь, гідність та ділову репутацію;
8) звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) знати механізм автоматичної обробки персональних даних;
11) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
12) відкликати згоду на обробку персональних даних;
13) на захист від автоматизованого рішення, яке має для Вас правові наслідки.
____________
Додаток 2
до Порядку обробки та захисту персональних даних, володільцем яких є Державне агентство водних ресурсів України
(пункт 3 глави 4 розділу IV)
Зобов'язання
про нерозголошення персональних даних
____________
Додаток 3
до Порядку обробки та захисту персональних даних, володільцем яких є Державне агентство водних ресурсів України
(пункт 4 глави 4 розділу IV)
Журнал
реєстрації зобов'язань про нерозголошення персональних даних
____________