Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Міністерство цифрової трансформації України

Відповідно до статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, підпункту 13 пункту 4, пункту 8 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, постанов Кабінету Міністрів України від 04 грудня 2019 року № 1137 "Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг" та від 03 лютого 2021 року № 72 "Про Національну веб-платформу центрів надання адміністративних послуг", НАКАЗУЮ:

1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Міністерство цифрової трансформації України, що додається.

2. Директорату функціонального розвитку цифровізації (Халєєва А. П.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому законодавством порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Мінцифри, під час їх обробки в інформаційних системах Мінцифри.

2. Порядок розроблено на підставі Закону України "Про захист персональних даних", наказу Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних", Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, постанови Кабінету Міністрів України від 04 грудня 2019 року № 1137 "Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг", постанови Кабінету Міністрів України від 03 лютого 2021 року № 72 "Про Національну веб-платформу центрів надання адміністративних послуг", постанови Кабінету Міністрів України від 23 жовтня 2019 року № 956 "Про реалізацію експериментального проекту щодо застосування електронного посвідчення водія та електронного свідоцтва про реєстрацію транспортного засобу", постанови Кабінету Міністрів України від 18 грудня 2019 року № 1051 "Про реалізацію експериментального проекту щодо застосування електронних студентських (учнівських) квитків", постанови Кабінету Міністрів України від 18 серпня 2021 року № 911 "Про затвердження Порядку формування та перевірки е-паспорта і е-паспорта для виїзду за кордон, їх електронних копій", постанови Кабінету Міністрів України від 11 серпня 2021 року № 864 "Питання організації моніторингу якості надання адміністративних послуг".

3. Під користувачами інформації у цьому Порядку розуміються користувачі Єдиного державного вебпорталу електронних послуг відповідно до підпункту 1 пункту 6 Положення про Єдиний державний вебпортал електронних послуг, затвердженого постановою Кабінету Міністрів України від 04 грудня 2019 року № 1137, користувачі Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія) відповідно до абзаців першого - четвертого пункту 10 Положення про Національну веб-платформу центрів надання адміністративних послуг, затвердженого постановою Кабінету Міністрів України від 03 лютого 2021 року № 72, а також зареєстровані користувачі онлайн-платформи цифрової грамотності "Дія. Цифрова освіта" та онлайн-платформи "Дія. Бізнес".

Інші терміни у цьому Порядку вживаються у значеннях, наведених в Законах України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах" та "Про адміністративні послуги", Порядку проведення моніторингу якості надання адміністративних послуг та оприлюднення інформації про результати моніторингу якості надання адміністративних послуг, затвердженому постановою Кабінету Міністрів України від 11 серпня 2021 року № 864.

4. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.

5. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".

6. Персональні дані в інформаційних системах Мінцифри обробляються автоматизовано в електронному вигляді за допомогою програмних засобів та у паперовому вигляді (зберігання звернень, запитів на доступ до публічної інформації, які надійшли в паперовому вигляді; документів, що містять персональні дані працівників Мінцифри).

7. Володільцем персональних даних є Мінцифри.

Розпорядниками персональних даних можуть бути підприємства, установи та організації, які належать до сфери управління Мінцифри, і яким доручається обробка персональних даних відповідно до законодавства.

8. Цей Порядок є обов'язковим до виконання працівниками Мінцифри та підприємств, установ та організацій, які належать до сфери його управління, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є Мінцифри.

9. Організацію роботи, пов'язаної із обробкою та захистом персональних даних, володільцем яких є Мінцифри, під час їх обробки, забезпечують відповідальні особи з питань захисту персональних даних, призначені керівництвом Мінцифри та керівниками підприємств, установ і організацій, що належать до сфери його управління (далі - відповідальні особи).

10. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб'єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону України "Про захист персональних даних".

1. Обробка персональних даних, володільцем яких є Мінцифри, здійснюється з метою:

забезпечення проходження державної служби та трудових відносин, управління персоналом, військового та податкового обліків;

забезпечення права особи на доступ до електронних послуг та інформації про адміністративні та інші публічні послуги, звернення до органів державної влади та органів місцевого самоврядування, підприємств, установ та організацій, отримання інформації з національних електронних інформаційних ресурсів, яка необхідна для надання послуг;

забезпечення отримання фізичними та юридичними особами інформації, необхідної для звернення до центрів надання адміністративних послуг;

забезпечення здійснення попереднього запису суб'єктів звернення на прийом до працівників центрів надання адміністративних послуг шляхом електронної реєстрації;

організації доступу фізичних і юридичних осіб до навчальних ресурсів з питань, пов'язаних з наданням адміністративних та інших публічних послуг;

забезпечення громадян інформацією про вакантні посади у центрах надання адміністративних послуг;

проведення моніторингу та оцінки якості послуг;

забезпечення постійного підвищення якості надання адміністративних та інших публічних послуг у центрах надання адміністративних послуг шляхом інформаційної та методичної підтримки працівників центрів надання адміністративних послуг, обміну досвідом, поширення найкращих практик та систематичного процесу навчання працівників центрів надання адміністративних послуг і представників суб'єктів надання адміністративних та інших публічних послуг;

підготовки статистичної, адміністративної та іншої інформації;

розвитку цифрових навичок та цифрових прав громадян;

організації навчання державних службовців з питань, що належать до компетенції Мінцифри;

організації навчання щодо удосконалення системи розвитку цифрових навичок громадян, підготовки та перепідготовки фахівців з питань, що належать до компетенції Мінцифри;

проведення з використанням інформаційно-телекомунікаційних систем, держателем яких є Мінцифри, опитування щодо ініціатив і проектів у різних сферах суспільного життя.

2. Обробка персональних даних здійснюється на підставі відповідних положень Конституції України, Законів України "Про захист персональних даних", "Про Кабінет Міністрів України", "Про центральні органи виконавчої влади", "Про адміністративні послуги", "Про електронні довірчі послуги" та інших законів України з метою здійснення повноважень Мінцифри.

Обробка персональних даних фізичних осіб, які надають Мінцифри послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб'єкт персональних даних.

1. Мінцифри здійснює обробку персональних даних таких категорій суб'єктів:

працівників Мінцифри;

осіб, які звертаються до Мінцифри в порядку, визначеному Законами України "Про звернення громадян" та "Про доступ до публічної інформації";

користувачів інформації в інформаційно-телекомунікаційних системах, держателем яких є Мінцифри;

суб'єктів звернення і працівників суб'єктів моніторингу якості надання адміністративних послуг (далі - суб'єкти моніторингу) та органів, які беруть участь у проведенні моніторингу якості надання адміністративних послуг (далі - органи, які беруть участь у проведенні моніторингу), у системі онлайн-моніторингу та оцінки якості послуг Єдиного державного вебпорталу електронних послуг (далі - система моніторингу).

2. Склад персональних даних, які обробляються Мінцифри та підприємствами, установами і організаціями, що належать до сфери його управління, залежить від категорії суб'єкта персональних даних.

3. Мінцифри опрацьовуються такі персональні дані працівників:

паспортні дані;

реєстраційний номер облікової картки платника податків;

відомості про освіту, наявність спеціальних знань або підготовки;

відомості про трудову діяльність;

військово-облікові дані;

відомості про стан здоров'я (в обсязі, необхідному для реалізації трудових відносин, і для забезпечення вимог законодавства у сфері охорони праці);

біографічні дані;

відомості про ділові та особисті якості;

відомості про сімейний стан та склад сім'ї;

відомості про зареєстроване та фактичне місце проживання;

відомості про засоби зв'язку;

відомості про наявність прав на пільги та компенсації;

фотографічні зображення.

4. Мінцифри опрацьовуються персональні дані, надані особами, що звертаються в порядку, визначеному Законами України "Про звернення громадян" та "Про доступ до публічної інформації":

прізвище, ім'я, по батькові (за наявності);

місце проживання;

місце роботи;

наявність пільг, які є підставою для першочергового розгляду звернення;

відомості про засоби зв'язку;

інші дані, які особа добровільно, за власним бажанням, надає про себе.

5. Мінцифри та підприємствами, установами і організаціями, що належать до сфери його управління, опрацьовуються такі персональні дані користувачів інформації в інформаційно-телекомунікаційній системі Єдиного державного вебпорталу електронних послуг:

прізвище, ім'я, по батькові особи (за наявності);

серія (за наявності) та номер, дата та місце видачі паспорта громадянина України, іншого документа, що посвідчує особу та підтверджує громадянство України чи спеціальний статус особи;

дата народження;

реєстраційний номер облікової картки платника податків;

зареєстроване або фактичне місце проживання;

адреса електронної пошти, номер мобільного телефона.

6. Мінцифри та підприємствами, установами і організаціями, що належать до сфери його управління, опрацьовуються такі персональні дані користувачів інформації в інформаційно-телекомунікаційній системі онлайн-платформи цифрової грамотності "Дія. Цифрова освіта":

прізвище, ім'я, по батькові (за наявності);

номери контактних телефонів.

7. Мінцифри та підприємствами, установами і організаціями, що належать до сфери його управління, опрацьовуються такі персональні дані користувачів інформації в інформаційно-телекомунікаційній системі онлайн-платформи "Дія. Бізнес":

прізвище, ім'я, по батькові (за наявності);

адреса електронної пошти.

8. Мінцифри та підприємствами, установами і організаціями, що належать до сфери його управління, опрацьовуються такі персональні дані користувачів інформації в інформаційно-телекомунікаційній системі Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія):

1) дані про фізичних осіб, які використовують Національну веб-платформу центрів надання адміністративних послуг (Платформу Центрів Дія) для задоволення потреб, пов'язаних з наданням адміністративних та інших публічних послуг (крім використання модуля дистанційного навчання):

прізвище, власне ім'я, по батькові (за наявності) особи;

найменування області, району, населеного пункту, в якій (якому) проживає особа;

номер контактного телефону;

адреса електронної пошти;

відомості, надані особою у вебформі зворотнього зв'язку;

2) дані про фізичних осіб, які використовують модуль дистанційного навчання Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія):

прізвище, власне ім'я, по батькові (за наявності) особи;

рік народження;

стать;

найменування області, району, населеного пункту, в якій (якому) проживає особа;

рід занять;

номер контактного телефону;

адреса електронної пошти;

відомості про проходження навчальних курсів з використанням модуля дистанційного навчання, зокрема список отриманих особою сертифікатів навчальних курсів та бейджів;

3) дані про працівників центрів надання адміністративних послуг і представників суб'єктів надання адміністративних та інших публічних послуг, які використовують Національну веб-платформу центрів надання адміністративних послуг (Платформу Центрів Дія), крім модуля дистанційного навчання:

прізвище, власне ім'я, по батькові (за наявності) особи;

найменування області, району, населеного пункту, в якій (якому) проживає особа;

найменування центру надання адміністративних послуг, державного органу чи органу місцевого самоврядування, в якому працює особа;

номер контактного телефону;

адреса електронної пошти;

відомості, надані особою у вебформі зворотнього зв'язку;

4) дані про працівників центрів надання адміністративних послуг і представників суб'єктів надання адміністративних та інших публічних послуг, які використовують модуль дистанційного навчання Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія):

прізвище, власне ім'я, по батькові (за наявності) особи;

реєстраційний номер облікової картки платника податків (за наявності);

серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідному контролюючому органу і мають відмітку в паспорті);

унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);

рік народження;

стать;

місце роботи, посада, дата призначення на посаду та обов'язки працівника центру надання адміністративних послуг, представника суб'єкта надання адміністративних та інших публічних послуг;

номер контактного телефону;

адреса електронної пошти;

відомості, необхідні для забезпечення навчання працівників центрів надання адміністративних послуг і представників суб'єктів надання адміністративних та інших публічних послуг з використанням модуля дистанційного навчання (сфери фахового інтересу особи, її сильні сторони, навички, що потребують розвитку, цілі у навчанні);

відомості про проходження навчальних курсів з використанням модуля дистанційного навчання, зокрема список отриманих особою сертифікатів навчальних курсів та бейджів;

5) дані про фізичних осіб, які взяли участь в оцінці рівня задоволеності суб'єктів звернення якістю надання адміністративних послуг:

найменування офлайн-фронт-офісу або онлайн-фронт-офісу, в якому особа отримала адміністративну послугу;

назва адміністративної послуги, яку отримала особа;

стать;

вікова категорія, до якої належить особа;

категорія за соціальним та правовим статусом, до якої належить особа;

контактні дані, надані особою для зворотнього зв'язку.

9. Мінцифри та підприємствами, установами і організаціями, що належать до сфери його управління, у системі моніторингу опрацьовуються такі персональні дані суб'єктів звернення і працівників суб'єктів моніторингу та органів, які беруть участь у проведенні моніторингу:

1) номери контактних телефонів та/або адреси електронної пошти суб'єктів звернення, залишені ними суб'єктам надання адміністративних послуг та центрам надання адміністративних послуг для отримання інформації про надання адміністративних послуг;

2) дані про працівників суб'єктів моніторингу та органів, які беруть участь у проведенні моніторингу, необхідні з метою їх авторизації (електронної ідентифікації та автентифікації) для отримання ними доступу до системи моніторингу:

прізвище, власне ім'я, по батькові (за наявності) особи;

реєстраційний номер облікової картки платника податків (за наявності);

серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку в паспорті);

унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);

3) дані про керівників центрів надання адміністративних послуг та працівників центрів надання адміністративних послуг, відповідальних за подання звітності про результати моніторингу якості надання адміністративних послуг:

прізвище, власне ім'я, по батькові (за наявності) особи;

номер контактного телефону;

адреса електронної пошти.

1. Збирання персональних даних працівників здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу, працю.

Накопичення таких персональних даних здійснюється згідно з вимогами законодавства, зокрема, про державну службу, працю.

Накопичення персональних даних працівників здійснюється за допомогою інформаційної системи управління людськими ресурсами та нарахування заробітної плати Implementation of Human Resources and Payroll Management Information System (HRMIS) та системи ISpro.

2. Персональні дані осіб, які звертаються до Мінцифри в порядку, визначеному законами України "Про звернення громадян" та "Про доступ до публічної інформації", збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях та запитах на інформацію.

Накопичення персональних даних вказаної категорії суб'єктів здійснюється за допомогою системи електронного документообігу "АСКОД".

3. Збирання відомостей про прізвище, ім'я, по батькові (за наявності) та реєстраційний номер облікової картки платника податків користувача Єдиного державного вебпорталу електронних послуг здійснюється під час авторизації (електронної ідентифікації) на порталі шляхом застосування особистого ключа.

Інші персональні дані користувачів Єдиного державного вебпорталу електронних послуг збираються шляхом безпосереднього надання особою своїх персональних даних при реєстрації.

Персональні дані зберігаються автоматизовано на серверах дата-центру De Novo (04136, м. Київ, вул. Північно-Сирецька, буд. 1 - 3).

При використанні Єдиного державного вебпорталу електронних послуг з метою отримання адміністративних послуг здійснюється тимчасове (до 2 годин) збереження (кешування) даних, надання яких передбачено інформаційною карткою відповідної адміністративної послуги, та які були отримані користувачем з державних реєстрів.

Користувач Єдиного державного вебпорталу електронних послуг може зберігати в особистому кабінеті заповнені чернетки документів, які містять персональні дані, отримані ним з державних реєстрів.

4. Збирання персональних даних користувачів онлайн-платформи цифрової грамотності "Дія. Цифрова освіта" здійснюється шляхом надання особою своїх персональних даних при авторизації на вебпорталі.

Накопичення персональних даних здійснюється автоматизовано на серверах дата-центру De Novo (04136, м. Київ, вул. Північно-Сирецька, буд. 1 - 3).

5. Збирання персональних даних користувачів онлайн-платформи "Дія. Бізнес" здійснюється шляхом надання особою своїх персональних даних при авторизації на вебпорталі.

Накопичення персональних даних здійснюється автоматизовано на серверах дата-центру De Novo (04136, м. Київ, вул. Північно-Сирецька, буд. 1 - 3).

6. Збирання персональних даних користувачів Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія) здійснюється:

під час авторизації (електронної ідентифікації та автентифікації) особи для доступу до захищених ресурсів зазначеної вебплатформи з використанням особистого ключа;

шляхом безпосереднього надання особою своїх персональних даних під час реєстрації на зазначеній вебплатформі, використання її підсистем, функціональних модулів, інформаційних та інших ресурсів.

Під час авторизації (електронної ідентифікації та автентифікації) особи з використанням особистого ключа на Національній веб-платформі центрів надання адміністративних послуг (Платформі Центрів Дія) здійснюється збирання відомостей про прізвище, власне ім'я, по батькові (за наявності) особи та реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідному контролюючому органу і мають відмітку в паспорті), або унікальний номер запису в Єдиному державному демографічному реєстрі.

Користувач Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія) може зберігати електронні документи та їх чернетки, які містять персональні дані, в електронному кабінеті користувача в модулі дистанційного навчання.

Накопичення персональних даних здійснюється автоматизовано на серверах дата-центру De Novo (04136, м. Київ, вул. Північно-Сирецька, буд. 1 - 3).

7. Збирання персональних даних суб'єктів звернення і працівників суб'єктів моніторингу та органів, які беруть участь у проведенні моніторингу, що обробляються засобами системи моніторингу, здійснюється:

шляхом передачі суб'єктами надання адміністративних послуг та центрами надання адміністративних послуг інформації про номери контактних телефонів та/або адреси електронної пошти суб'єктів звернення до системи моніторингу для забезпечення їх добровільної участі в опитуванні з метою збору даних для оцінки рівня задоволеності суб'єктів звернення якістю надання адміністративних послуг, яке проводиться за допомогою смс-повідомлення або електронних засобів зв'язку;

під час авторизації (електронної ідентифікації та автентифікації) працівників суб'єктів моніторингу та органів, які беруть участь у проведенні моніторингу, для отримання доступу до системи моніторингу з використанням особистого ключа;

шляхом внесення персональних даних керівників центрів надання адміністративних послуг та працівників центрів надання адміністративних послуг, відповідальних за подання звітності про результати моніторингу якості надання адміністративних послуг, до зазначеної звітності, яку розміщено в системі моніторингу, або до профілів відповідних центрів надання адміністративних послуг.

Накопичення персональних даних здійснюється автоматизовано на серверах дата-центру De Novo (вул. Північно-Сирецька, буд. 1 - 3, м. Київ, 04136).

8. Суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України "Про захист персональних даних", мету збору персональних даних та про осіб, яким передаються його персональні дані, а також про джерела збирання, місцезнаходження своїх персональних даних, місцезнаходження володільця чи розпорядника персональних даних, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних.

1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

2. Персональні дані працівників зберігаються у строк, визначений законодавством, зокрема, про державну службу, працю.

3. Персональні дані осіб, які звертаються до Мінцифри в порядку, визначеному Законами України "Про звернення громадян" та "Про доступ до публічної інформації", зберігаються протягом 5 років з моменту звернення.

4. Персональні дані користувачів Єдиного державного вебпорталу електронних послуг зберігаються протягом строку, необхідного для досягнення мети обробки, але не довше 5 років.

5. Персональні дані користувачів онлайн-платформи цифрової грамотності "Дія. Цифрова освіта" зберігаються протягом строку, необхідного для досягнення мети обробки, але не довше 5 років.

6. Персональні дані користувачів онлайн-платформи "Дія. Бізнес" зберігаються протягом строку, необхідного для досягнення мети обробки, але не довше 5 років.

7. Персональні дані користувачів Національної веб-платформи центрів надання адміністративних послуг (Платформи Центрів Дія) зберігаються протягом строку, необхідного для досягнення мети обробки, але не довше 5 років.

8. Персональні дані суб'єктів звернення і працівників суб'єктів моніторингу та органів, які беруть участь у проведенні моніторингу, що обробляються засобами системи моніторингу, зберігаються протягом строку, необхідного для досягнення мети обробки, але не довше 5 років.

9. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

1. Працівники структурних підрозділів Мінцифри та підприємств, установ і організацій, що належать до сфери його управління, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.

2. Зміни до персональних даних вносяться на підставі:

вмотивованої письмової вимоги суб'єкта персональних даних;

припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

рішення суду.

3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;

припинення правовідносин між суб'єктом персональних даних та Мінцифри, якщо інше не передбачено законом;

видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

6. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку.

7. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.

8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта обробляються незаконно або є недостовірними Мінцифри або підприємства, установи і організації, що належать до сфери його управління, припиняють обробку персональних даних суб'єкта та інформують про це суб'єкта персональних даних.

1. Працівники, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники, які обробляють персональні дані, зобов'язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").

3. Відповідальні особи ведуть облік працівників, які мають доступ до персональних даних суб'єктів, та визначають рівень доступу зазначених працівників до персональних даних суб'єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб'єктів, які необхідні у зв'язку з виконанням ними своїх професійних чи службових або трудових обов'язків. Такі працівники надають письмове зобов'язання про нерозголошення персональних даних (додаток 1).

4. Відомості про працівників Мінцифри та підприємств, установ та організацій, що належать до сфери його управління, які надали письмове зобов'язання про нерозголошення відомостей, що належать до персональних даних, заносяться до Журналу реєстрації зобов'язань про нерозголошення персональних даних (додаток 2).

5. Датою надання права доступу до персональних даних вважається дата надання зобов'язання відповідним працівником.

6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.

7. Суб'єкт персональних даних має право на одержання від Мінцифри та підприємств, установ та організацій, що належать до сфери його управління, будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.

1. Доступ до персональних даних третіх осіб здійснюється відповідно до вимог законодавства.

2. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється відповідальними особами лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.

Суб'єкт персональних даних завчасно інформується про передачу його персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними.

3. Не є конфіденційною інформацією передбачені законом персональні дані, що стосуються здійснення особою, яка займає посаду, пов'язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

4. Не належать до інформації з обмеженим доступом:

відомості, зазначені у деклараціях осіб, уповноважених на виконання функцій держави або місцевого самоврядування, оформлених за формою і в порядку, що встановлені Законом України "Про запобігання корупції", крім відомостей, визначених абзацом четвертим частини першої статті 47 цього Закону;

інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації";

інші відомості, доступ до яких не може бути обмежено відповідно до законів та міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України.

1. Обробка персональних даних в інформаційних системах Мінцифри здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-телекомунікаційних системах.

2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.

Працівники, які відповідно до посадових обов'язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації.

3. В інформаційних системах забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної системи.

4. Облік операцій, пов'язаних із обробкою персональних даних суб'єкта та доступом до них, здійснюється Мінцифри відповідно до законодавства.

5. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою.

Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Мінцифри відповідно до законодавства.

7. Відповідальною особою здійснюються заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.