Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Міністерство аграрної політики та продовольства України

Відповідно до статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 , пункту 8 Положення про Міністерство аграрної політики та продовольства України, затвердженого постановою Кабінету Міністрів України від 17 лютого 2021 року № 124, з метою забезпечення дотримання вимог до обробки та захисту персональних даних у Міністерстві аграрної політики та продовольства України, НАКАЗУЮ:

1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Міністерство аграрної політики та продовольства України, що додається.

2. Департаменту управління персоналом забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Керівникам самостійних структурних підрозділів Міністерства аграрної політики та продовольства України та керівникам підприємств, установ і організацій, що належать до сфери його управління, визначити працівників, які мають доступ до персональних даних, забезпечити надання письмового зобов’язання про нерозголошення персональних даних такими працівниками та ведення Журналу реєстрації зобов’язань про нерозголошення персональних даних.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

5. Контроль за виконанням цього наказу залишаю за собою.

1. Цей Порядок визначає загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Мінагрополітики, під час їх обробки в інформаційних (автоматизованих) системах Мінагрополітики та на паперових носіях.

2. Терміни у цьому Порядку вживаються у значенні, наведеному в Законах України "Про захист персональних даних" та "Про захист інформації в інформаційно-комунікаційних системах".

3. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.

4. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних" (далі - Закон).

5. Персональні дані в інформаційних (автоматизованих) системах Мінагрополітики обробляються автоматизовано в електронній формі за допомогою технічних і програмних засобів та у паперовій формі (зберігання звернень, запитів на доступ до публічної інформації, які надійшли у паперовій формі; документів, що містять персональні дані працівників Мінагрополітики або кандидатів на зайняття вакантних посад, призначення на які здійснюється Мінагрополітики).

6. Володільцем персональних даних є Мінагрополітики.

Розпорядниками персональних даних є підприємства, установи і організації, що належать до сфери управління Мінагрополітики, і яким доручається обробка персональних даних відповідно до законодавства.

7. Цей Порядок є обов’язковим до виконання працівниками Мінагрополітики та підприємств, установ і організацій, що належать до сфери його управління, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є Мінагрополітики.

8. Організацію роботи, пов’язаної із захистом персональних даних кожної категорії суб’єктів персональних даних, здійснюють відповідальні структурні підрозділи, відповідальні особи з питань захисту персональних даних, визначені керівництвом Мінагрополітики, та керівники підприємств, установ і організацій, що належать до сфери його управління.

9. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону.

1. Обробка персональних даних, володільцем яких є Мінагрополітики, здійснюється з метою:

забезпечення проходження державної служби та трудових відносин, військового та податкового обліків;

забезпечення права особи на доступ до електронних послуг та інформації про публічні послуги, звернення до органів державної влади та органів місцевого самоврядування, підприємств, установ і організацій, отримання інформації з інформаційних (автоматизованих) систем, яка необхідна для надання послуг;

ведення діловодства у сфері управління персоналом, діяльності з внутрішнього аудиту, відносин у сфері бухгалтерського обліку та/або підготовки відповідно до вимог законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції Мінагрополітики.

2. Обробка персональних даних в Мінагрополітики здійснюється з підстав, визначених пунктами 2 і 5 частини першої статті 11 Закону.

3. Підстави для обробки персональних даних, володільцем яких є Мінагрополітики:

дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до Закону виключно для здійснення його повноважень;

необхідність виконання обов’язку володільця персональних даних, який передбачений Законом.

Обробка персональних даних фізичних осіб, які надають Мінагрополітики послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.

4. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України "Про захист персональних даних", "Про Кабінет Міністрів України", "Про центральні органи виконавчої влади"та інших законів України з метою здійснення повноважень Мінагрополітики.

1. Мінагрополітики здійснює обробку персональних даних таких категорій суб’єктів:

працівників Мінагрополітики та кандидатів на зайняття вакантних посад, призначення на які здійснюється Мінагрополітики;

керівників державних підприємств, установ і організації, що належать до сфери управління Мінагрополітики;

осіб, які звертаються до Мінагрополітики в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації";

осіб, відомості про яких підлягають внесенню до відповідних державних реєстрів, електронних інформаційних ресурсів, баз даних або інформаційних (автоматизованих) систем.

2. Склад персональних даних, які обробляються Мінагрополітики, залежить від категорії суб’єкта персональних даних.

Мінагрополітики здійснює обробку таких персональних даних працівників та кандидатів на зайняття вакантних посад, призначення на які здійснюється Мінагрополітики: прізвище, власне ім’я, по батькові (за наявності), реквізити паспорта громадянина України (назва документа, серія (за наявності) і номер, дата видачі та уповноважений суб’єкт, що видав документ); відомості про задеклароване/зареєстроване місце проживання (перебування) та фактичне місце проживання; реєстраційний номер облікової картки платника податків (за наявності); унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності); відомості про засоби зв’язку; відомості про трудову діяльність; відомості про освіту; відомості про сімейний стан та склад сім’ї; відомості про громадянство та національність; відомості про відсутність судимості; військово-облікові дані; відомості про стан здоров’я; біографічні дані; відомості про ділові та особисті якості; відомості про наявність прав на пільги та компенсації; фотографічні зображення; інші персональні дані, необхідність обробки яких визначена законодавством.

Мінагрополітики здійснює обробку таких персональних даних осіб, які звертаються в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації": прізвище, власне ім’я, по батькові (за наявності); місце проживання; наявність пільг, які є підставою для першочергового розгляду звернення; відомості про засоби зв’язку; інші дані, які стосуються особи та надаються нею для задоволення заяв, запитів, звернень, адвокатських запитів.

Мінагрополітики здійснюється обробка таких персональних даних осіб, відомості про яких підлягають внесенню до відповідних державних реєстрів, електронних інформаційних ресурсів, баз даних або інформаційних (автоматизованих) систем: прізвище, власне ім’я, по батькові (за наявності); реквізити паспорта громадянина України; реєстраційний номер облікової картки платника податків (за наявності); громадянство; унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності); адреса задекларованого/зареєстрованого місця проживання (перебування); дата народження; інші відомості, визначені вимогами чинного законодавства.

1. Збирання та накопичення персональних даних працівників Мінагрополітики та кандидатів на зайняття вакантних посад, призначення на які здійснюється Мінагрополітики, проводиться шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу, працю.

Накопичення таких персональних даних працівників здійснюється за допомогою Інформаційної системи управління людськими ресурсами в державних органах та нарахування заробітної плати Implementation of Human Resources and Payroll Management Information System (HRMIS) та в особових справах працівників.

2. Збирання та накопичення персональних даних керівників державних підприємств, установ і організації, що належать до сфери управління Мінагрополітики, здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про працю.

3. Персональні дані осіб, які звертаються до Мінагрополітики відповідно до Законів України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність", "Про доступ до публічної інформації", збираються шляхом використання відомостей про таких осіб, зазначених ними у заявах, запитах на інформацію, зверненнях, адвокатських запитах та інформації в паперовій та/або електронній формах, що надходять від підприємств, установ і організацій, у відповідь на подані відповідно до чинного законодавства запити.

Накопичення персональних даних вказаної категорії суб’єктів здійснюється автоматизовано за допомогою системи електронного документообігу Megapolis.Doc Net та зберігаються на серверах Мінагрополітики.

4. Збирання персональних даних осіб, відомості про яких підлягають внесенню під час ведення відповідних державних реєстрів, електронних інформаційних ресурсів, баз даних або інформаційних (автоматизованих) систем, здійснюється шляхом отримання інформації в паперовій та/або електронній формах від суб’єктів, визначених відповідно до вимог чинного законодавства.

5. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, джерела збирання, місцезнаходження своїх персональних даних, мету їх збору, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних (додаток 1).

1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

2. Персональні дані працівників Мінагрополітики та кандидатів на зайняття вакантних посад, призначення на які здійснюється Мінагрополітики, зберігаються у строк, визначений законодавством, зокрема, про державну службу, працю.

3. Персональні дані осіб, які звертаються до Мінагрополітики в порядку, визначеному Законами України "Про звернення громадян", "Про адвокатуру та адвокатську діяльність" та "Про доступ до публічної інформації", зберігаються протягом 5 років з дати звернення.

4. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

1. Працівники структурних підрозділів Мінагрополітики та підприємств, установ і організацій, що належать до сфери його управління, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.

2. Зміни до персональних даних вносяться на підставі:

вмотивованої письмової вимоги суб’єкта персональних даних;

припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

рішення суду, що набрало законної сили;

звернення інших суб’єктів відносин, пов’язаних із персональними даними.

3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання персональних даних, визначеного Законом;

припинення правовідносин між суб’єктом персональних даних та Мінагрополітики, якщо інше не передбачено Законом;

видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

6. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.

7. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.

8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними, Мінагрополітики або підприємства, установи і організації, що належать до сфери його управління, припиняють обробку персональних даних суб’єкта та інформують про це суб’єкта персональних даних.

1. Працівники, які мають доступ до персональних даних, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники, які мають доступ до персональних даних, зобов’язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом.

3. Працівники, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних (додаток 2), яке зберігається в особовій справі.

Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних, службових або трудових обов’язків.

4. Відомості про працівників Мінагрополітики та підприємств, установ і організацій, що належать до сфери його управління, які надали письмове зобов’язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов’язань про нерозголошення персональних даних (додаток 3), який ведеться керівником самостійного структурного підрозділу або керівником підприємства, установи і організації, що належать до сфери управління Мінагрополітики.

5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

7. Суб’єкт персональних даних має право на одержання від Мінагрополітики та підприємств, установ і організацій, що належать до сфери його управління, будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених Законом.

1. Передача персональних даних третім особам здійснюється відповідно до вимог законодавства.

2. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених Законом або міжнародними договорами України.

3. Суб’єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, якщо цього вимагають умови його згоди або інше не передбачено Законом або міжнародним договором України.

Повідомлення, зазначені в абзаці першому цього пункту, не здійснюється у разі:

передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених Законом;

здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;

здійснення обробки персональних даних відповідно до вимог частини другої статті 12 Закону.

1. Обробка персональних даних в структурних підрозділах Мінагрополітики здійснюється відповідно до законодавства у сфері захисту персональних даних.

2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.

Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації у відповідних системах.

3. Обробка персональних даних в інформаційних (автоматизованих) системах Мінагрополітики здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.

З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо унеможливлення несанкціонованого доступу до персональних даних та технічного й програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій затверджується План дій Мінагрополітики.

4. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

5. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальним структурним підрозділом або відповідальною особою, що організовує роботу, пов’язану із захистом персональних даних при їх обробці в апараті Мінагрополітики.

Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Мінагрополітики відповідно до законодавства.

6. Відповідальний структурний підрозділ або відповідальна особа:

інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;

взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату;

здійснює заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.

1. Відповідно до вимог статті 12 Закону України "Про захист персональних даних" (далі - Закон) Ви інформуєтесь про те, що володільцем персональних даних є Міністерство аграрної політики та продовольства України.

2. Склад та зміст персональних даних:

3. Метою збору (у т.ч. обробки) персональних даних є:

4. Передача персональних даних третім особам може здійснюватися лише після надання Вами письмової згоди або відповідно до Закону.

5. Як суб’єкт персональних даних Ви маєте права, передбачені статтею 8 Закону, а саме:

1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженими Вами особами, крім випадків, встановлених Законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються Ваші персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом, відповідь про те, чи обробляються Ваші персональні дані, а також отримувати зміст таких персональних даних;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять Вашу честь, гідність та ділову репутацію;

8) звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

10) знати механізм автоматичної обробки персональних даних;

11) на захист від автоматизованого рішення, яке може мати для Вас правові наслідки.