Про затвердження Порядку обробки та захисту персональних даних, володільцем яких є Державна служба України з питань праці

Відповідно до статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, НАКАЗУЮ:

1. Затвердити Порядок обробки та захисту персональних даних, володільцем яких є Державна служба України з питань праці, що додається.

2. Департаменту праці та зайнятості в установленому порядку подати цей наказ на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем яких є Державна служба України з питань праці, під час їх обробки в інформаційно-комунікаційних системах Держпраці та на паперових носіях.

2. Цей Порядок є обов’язковим до виконання працівниками Держпраці та її міжрегіональних територіальних органів, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є Держпраці.

3. Терміни у цьому Порядку вживаються у значенні, наведеному в Законах України "Про захист персональних даних" та "Про захист інформації в інформаційно-комунікаційних системах".

4. Персональні дані в інформаційно-комунікаційних системах Держпраці обробляються автоматизовано в електронній формі за допомогою програмних засобів та у паперовій формі (зберігання звернень, запитів на доступ до публічної інформації, які надійшли в паперовій формі, документів, що містять персональні дані працівників Держпраці або кандидатів на зайняття вакантних посад, призначення на які здійснюється Держпраці).

5. Володільцем персональних даних є Держпраці.

6. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону України "Про захист персональних даних" (далі - Закон).

1. Метою обробки персональних даних є:

реалізація основних завдань і функцій Держпраці, що належать до її компетенції;

реалізація кадрової політики у Держпраці з питань добору персоналу, документального оформлення прийняття на роботу та звільнення;

підготовка відповідно до законодавства статистичної, управлінської та іншої інформації з питань, що належать до компетенції Держпраці.

2. Держпраці здійснює обробку персональних даних на підставах визначених пунктами 2, 5 частини першої статті 11 Закону.

3. Держпраці здійснює обробку персональних даних таких категорій суб’єктів:

працівників Держпраці та її міжрегіональних територіальних органів;

кандидатів на зайняття вакантних посад, призначення на які здійснюється Держпраці;

осіб, які звертаються до Держпраці у порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правову допомогу" та "Про доступ до публічної інформації".

4. Склад персональних даних, які обробляються Держпраці залежить від категорії суб’єкта персональних даних.

5. Держпраці опрацьовуються такі персональні дані працівників Держпраці та її міжрегіональних територіальних органів; кандидатів на зайняття вакантних посад, призначення на які здійснюється Держпраці:

реквізити паспортного документа особи (серія (за наявності), номер, дата видачі паспорта громадянина України, назва уповноваженого суб’єкта, що видав документ, строк дії (за наявності));

реєстраційний номер облікової картки платника податків (за наявності);

військово-облікові дані;

біографічні дані;

відомості про освіту, наявність спеціальних знань або підготовки;

відомості про трудову діяльність;

відомості про ділові та особисті якості;

відомості про сімейний стан та склад сім’ї;

відомості про задеклароване/зареєстроване місце проживання (перебування) та про фактичне місце проживання;

відомості про засоби зв’язку;

відомості про наявність прав на пільги та компенсації;

фотографічні зображення;

інші персональні дані, необхідність обробки яких визначена законодавством.

6. Держпраці опрацьовуються персональні дані, надані особами, що звертаються у порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правову допомогу" та "Про доступ до публічної інформації":

прізвище, ім’я, по батькові (за наявності);

відомості про задеклароване/зареєстроване місце проживання (перебування) та про фактичне місце проживання;

відомості про наявність пільг, які є підставою для першочергового розгляду звернення;

відомості про засоби зв’язку;

інші дані, які суб’єкт персональних даних добровільно, за власним бажанням, надає про себе.

7. Збирання персональних даних працівників Держпраці та її міжрегіональних територіальних органів, здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу та працю. Такі персональні дані накопичуються в паперовій та електронній формах.

8. Збирання персональних даних кандидатів на зайняття вакантних посад, призначення на які здійснюється Держпраці, здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу та працю. Такі персональні дані накопичуються в паперовій та електронній формах.

9. Персональні дані осіб, які звертаються до Держпраці у порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правову допомогу" та "Про доступ до публічної інформації", збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях та запитах на інформацію.

Накопичення персональних даних зазначеної категорії суб’єктів здійснюється за допомогою системи електронного документообігу "Megapolis.DocNet".

10. Персональні дані обробляються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

11. Персональні дані працівників та кандидатів на зайняття вакантних посад, призначення на які здійснюється Держпраці, зберігаються у строк, визначений законодавством про державну службу, працю.

12. Персональні дані осіб, які звертаються до Держпраці у порядку, визначеному Законами України "Про звернення громадян", "Про безоплатну правову допомогу" та "Про доступ до публічної інформації", зберігаються протягом 5 років з дати звернення.

13. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про суб’єкта персональних даних.

У разі виявлення відомостей про суб’єкта персональних даних, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

14. Зміни до персональних даних вносяться на підставі:

вмотивованої письмової вимоги суб’єкта персональних даних;

припису Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений) або визначених ним посадових осіб секретаріату Уповноваженого;

рішення суду, що набрало законної сили;

звернення інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних.

15. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

16. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання персональних даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;

припинення правовідносин між суб’єктом персональних даних та Держпраці, якщо інше не передбачено законом;

видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;

набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

17. Персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.

18. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.

19. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними Держпраці припиняє обробку персональних даних суб’єкта та інформує про це суб’єкта персональних даних.

20. Безпосередня організація роботи, пов’язаної з обробкою та захистом персональних даних у самостійних структурних підрозділах Держпраці та її міжрегіональних територіальних органах, покладається на їх керівників.

21. Керівники самостійних структурних підрозділів, у межах своїх повноважень, забезпечують:

контроль за виконанням встановлених законодавством вимог із забезпечення захисту персональних даних;

збереженість персональних даних, обмеженість доступу до них інших осіб;

організацію обробки персональних даних працівниками відповідного самостійного структурного підрозділу відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов’язків та доручень керівництва Держпраці.

22. Персональні дані, щодо яких встановлено особливі вимоги обробки, обробляються з урахуванням статті 7 Закону.

Про здійснення будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних Держпраці повідомляє Уповноваженого в порядку, визначеному законодавством.

23. Особисті немайнові права на персональні дані, які має кожен суб’єкт персональних даних, є невід’ємними і непорушними.

24. Працівники, які обробляють персональні дані, зобов’язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом).

25. Держпраці визначає рівень доступу працівників до персональних даних. Кожен з працівників користується доступом лише до тих персональних даних (їх частини) суб’єкта персональних даних, які необхідні йому у зв’язку з виконанням своїх професійних, службових обов’язків.

26. Усі інші працівники Держпраці мають право на повну інформацію лише стосовно власних персональних даних.

27. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних за формою, згідно з додатком 1 до цього Порядку.

Зобов’язання про нерозголошення персональних даних реєструються в Журналі реєстрації зобов’язань про нерозголошення персональних даних за формою, згідно з додатком 2 до цього Порядку, що ведеться структурним підрозділом, що відповідає за кадрове забезпечення, як форма обліку працівників, які мають доступ до персональних даних.

28. Датою надання права доступу до персональних даних вважається дата надання зобов’язання про нерозголошення персональних даних відповідним працівником.

29. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

30. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

31. Суб’єкт персональних даних має право на одержання від Держпраці будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.

32. Доступ до персональних даних третіх осіб здійснюється відповідно до вимог законодавства.

33. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється відповідальними особами лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.

34. Суб’єкт персональних даних протягом десяти робочих днів повідомляється про передачу його персональних даних третім особам.

Повідомлення не здійснюються у разі:

передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.

Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані:

в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Про зміну, видалення чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, а також суб’єктів відносин, пов’язаних із персональними даними, яким ці дані було передано.

35. Не є конфіденційною інформацією передбачені Законом персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

1. Держпраці вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їхньої обробки, зокрема за допомогою організаційних та технічних заходів, спрямованих на запобігання їх випадковій втраті або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до персональних даних.

2. Персональні дані обробляються у спосіб, що унеможливлює доступ до них сторонніх осіб.

3. В інформаційних системах забезпечується антивірусний захист та використання технічних засобів безперебійного живлення елементів інформаційної системи.

4. Облік операцій, пов’язаних із обробкою персональних даних та доступом до них, здійснюється Держпраці відповідно до законодавства.

5. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації структурним підрозділом, що відповідає за кадрове забезпечення.

7. Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Держпраці відповідно до законодавства.

8. Структурним підрозділом, що відповідає за кадрове забезпечення здійснюються заходи, спрямовані на підвищення обізнаності працівників із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.

Створення та забезпечення функціонування комплексної системи захисту інформації в інформаційно-комунікаційних системах Держпраці, призначених для захисту персональних даних, покладається на відповідальну особу або структурний підрозділ, що відповідає за інформаційне забезпечення.