Неофициальный перевод. (с) СоюзПравоИнформ

ПРИКАЗ МИНИСТЕРСТВА СОЦИАЛЬНОЙ ПОЛИТИКИ УКРАИНЫ

от 1 июля 2016 года №717

Об утверждении Порядка обработки персональных данных в базе персональных данных и в Единой информационно-аналитической системе "Дети"

Согласно статье 6 Закона Украины "О защите персональных данных", Типовому порядку обработки персональных данных, утвержденному приказом Уполномоченного Верховной Рады Украины по правам человека от 8 января 2014 года №1/02-14 и пункту 8 Положения о Министерстве социальной политики Украины, утвержденного постановлением Кабинета Министров Украины от 17 июня 2015 года №423, приказываю:

1. Утвердить Порядок обработки персональных данных в базе персональных данных и в Единой информационно-аналитической системе "Дети", который прилагается.

2. Департаменту защиты прав детей и усыновления (Колбаса Р.С.) обеспечить представление в установленном порядке этого приказа на государственную регистрацию в Министерство юстиции Украины.

3. Настоящий приказ вступает в силу со дня его официального опубликования.

4. Контроль за выполнением настоящего приказа возложить на заместителя Министра по вопросам европейской интеграции Устименко С.О.

Утвержден Приказом Министерства социальной политики Украины от 1 июля 2016 года №717

Порядок обработки персональных данных в базе персональных данных и в Единой информационно-аналитической системе "Дети"

I. Общие положения

1. Настоящий Порядок определяет общие требования к обработке и защите персональных данных детей-сирот, детей, лишенных родительской опеки, кандидатов в усыновители и усыновителей (далее - база данных), которые обрабатываются без применения автоматизированных средств и содержатся в документах на бумажных носителях, и персональных данных детей-сирот, детей, лишенных родительской опеки, детей, находящихся в сложных жизненных обстоятельствах, кандидатов в усыновители, опекуны, попечители, приемные родители, родители-воспитатели и усыновителей, опекунов, попечителей, приемных родителей, родителей-воспитателей, которые обрабатываются в Единой информационно-аналитической системе "Дети" (далее - ЕИАС "Дети") с помощью автоматизированных средств Департаментом защиты прав детей и усыновления (далее - Департамент) Министерства социальной политики Украины (далее - Министерство).

2. Порядок разработан на основании Законов Украины "О защите персональных данных", "О защите информации в информационно-телекоммуникационных системах", Типового порядка обработки персональных данных, утвержденного приказом Уполномоченного Верховной Рады Украины по правам человека от 8 января 2014 года №1/0214.

3. Термины в этом Порядке используются в значениях, приведенных в Законе Украины "О защите персональных данных" (далее - Закон), Законе Украины "О защите информации в информационно-телекоммуникационных системах" и постановлениях Кабинета Министров Украины от 8 октября 2008 года №905 "Об утверждении Порядка осуществления деятельности по усыновлению и осуществлению надзора за соблюдением прав усыновленных детей", от 24 сентября 2008 года №866 "Вопросы деятельности органов опеки и попечительства, связанной с защитой прав ребенка".

4. Владельцем и распорядителем персональных данных, обрабатываемых в Департаменте, является Министерство.

5. Настоящий Порядок является обязательным для работников Департамента, на которых в соответствии с их должностными инструкциями возложены функции обработки персональных данных и/или которым предоставлен доступ к базе данных.

6. Обработка персональных данных в базе данных на бумажных носителях и в ЕИАС "Дети" осуществляется в соответствии с Законом.

7. Адрес базы персональных данных на бумажных носителях и в ЕИАС "Дети": г. Киев, ул. Эспланадная, 8/10.

8. Организация работы, связанной с защитой персональных данных в Департаменте, обеспечивает сектор работы с базой данных (далее - ответственное структурное подразделение).

II. Цель и основания обработки персональных данных

1. Целью обработки персональных данных детей-сирот, детей, лишенных родительской опеки, детей, находящихся в сложных жизненных обстоятельствах, кандидатов в усыновители, опекуны, попечители, приемные родители, родителивоспитатели, усыновителей, опекунов, попечителей, приемных родителей, родителейвоспитателей в Департаменте является формирование и обеспечение реализации государственной политики в сфере защиты прав детей и усыновления, мониторинга состояния соблюдения требований законодательства о социальной защите детей в соответствии с Положением о Министерстве социальной политики Украины, утвержденным постановлением Кабинета Министров Украины от 17 июня 2015 года №423.

2. Обработка персональных данных детей-сирот, детей, лишенных родительской опеки, детей, находящихся в сложных жизненных обстоятельствах, кандидатов в усыновители, опекуны, попечители, приемные родители, родители-воспитатели и усыновителей, опекунов, попечителей, приемных родителей, родителей-воспитателей обеспечивается Министерством в соответствии с пунктом 2 части первой статьи 11 Закона на основании разрешения на обработку персональных данных, предоставленного владельцу персональных данных исключительно для осуществления его полномочий.

3. Порядок доступа третьих лиц к персональным данным определяется в соответствии с требованиями Закона.

III. Обязанности и права структурного подразделения департамента, ответственного за организацию работы по защите персональных данных

1. Ответственное структурное подразделение:

1) обеспечивает:

ознакомление руководителей структурных подразделений и работников Департамента, которые в связи с выполнением своих должностных обязанностей имеют доступ к персональным данным, с требованиями законодательства о защите персональных данных, в частности, обязанности не допускать разглашения любым способом персональных данных, которые им доверены или которые стали им известны в связи с выполнением служебных обязанностей;

анализ процессов обработки персональных данных в соответствии с задачами и функциями Департамента;

доступ субъектов персональных данных к собственным персональным данным, обрабатываемым в Департаменте;

ведение учета фактов предоставления и лишения работников Департамента права обработки и/или доступа к персональным данным в ЕИАС "Дети";

регистрацию обязательств о неразглашении персональных данных;

разграничение режимов доступа работников Департамента к обработке персональных данных в соответствии с их служебными обязанностями;

2) фиксирует факты нарушений режима защиты персональных данных в Департаменте;

3) при необходимости готовит проекты изменений в настоящий Порядок;

4) информирует руководство Департамента о мерах, которые необходимо принять для приведения состава персональных данных и процедур их обработки в соответствие с Законом.

2. Ответственным за выполнение возложенных на ответственное структурное подразделение основных задач и выполнение им своих функций, соблюдение работниками исполнительской дисциплины является руководитель этого подразделения.

3. Руководитель ответственного структурного подразделения имеет право:

1) проверять состояние соблюдения работниками Департамента законодательства в сфере защиты персональных данных и требований этого Порядка, участвовать в служебных расследованиях по вопросам нарушения порядка обработки и защиты персональных данных;

2) вносить руководству Департамента предложения о разграничении режима доступа работников к персональным данным в соответствии с их должностными обязанностями;

3) рассматривать требования субъектов персональных данных относительно возражения против обработки их персональных данных;

4) пользоваться доступом к любым данным, обрабатываемым в Департаменте, и ко всем помещениям Департамента, где осуществляется такая обработка.

IV. Обязанности работников департамента, которые обрабатывают персональные данные

1. Работники Департамента, которые обрабатывают персональные данные, должны быть ознакомлены с требованиями Закона и других нормативно-правовых актов в сфере защиты персональных данных.

2. Работники Департамента, которые обрабатывают персональные данные, обязаны:

1) предотвращать потерю персональных данных и их неправомерное использование;

2) не разглашать персональные данные, которые им были доверены или которые стали известны в связи с исполнением должностных обязанностей (такое обязательство остается в силе после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных Законом);

3) срочно уведомлять руководителя ответственного структурного подразделения в случае:

потери или непреднамеренного уничтожения носителей информации с персональными данными;

потери ими ключей от помещений, сейфов, шкафов, в которых хранятся персональные данные;

если идентификационные данные для входа в автоматизированную систему стали известны другим лицам;

выявления попытки несанкционированного доступа к персональным данным.

V. Права и обязанности субъектов персональных данных

1. В соответствии с Законом физические лица - дети-сироты, дети, лишенные родительской опеки, дети, которые находятся в сложных жизненных обстоятельствах, кандидаты в усыновители, опекуны, попечители, приемные родители, родители-воспитатели и усыновители, опекуны, попечители, приемные родители, родители-воспитатели, в отношении которых осуществляется обработка их персональных данных в Департаменте, являются субъектами персональных данных.

2. Субъект персональных данных, исключительно на основании запроса о доступе к персональным данным (далее - запрос), согласно Закону имеет право:

знать цель обработки персональных данных в Департаменте и их местонахождение;

на доступ к своим персональным данным, которые обрабатываются Департаментом;

получать не позднее чем за 30 календарных дней со дня поступления запроса ответ о том, обрабатываются ли его персональные данные в Департаменте, а также получать содержание таких персональных данных;

на другие права, предусмотренные Законом.

Департамент имеет право отказать в удовлетворении запроса, не позднее десяти рабочих дней со дня его поступления, в случае его представления с нарушением требований Закона.

3. Граждане Украины, которые проживают за пределами Украины, и иностранцы, желающие усыновить ребенка, проживающего в Украине, как субъекты персональных данных, которые находятся на учете и в отношении которых осуществляется обработка персональных данных в Департаменте, в случае изменения персональных данных обязаны уведомлять Министерство в течение месяца со дня возникновения таких изменений путем подачи соответствующего заявления и копий документов, подтверждающих эти изменения.

VI. Распространение персональных данных

1. Доступ к персональным данным субъектам отношений, связанных с персональными данными, предоставляется в соответствии с требованиями Закона.

2. Распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица допускается в случаях, определенных законом, и только (если это необходимо) в интересах национальной безопасности, экономического благосостояния и прав человека.

3. Доступ к персональным данным третьему лицу не предоставляется, если оно отказывается взять на себя обязательства по обеспечению выполнения требований Закона или не в состоянии их обеспечить.

VII. Защита персональных данных при их обработке

1. Персональные данные, содержащиеся в ЕИАС "Дети", относятся к конфиденциальной информации, которая нуждается в защите. Доступ к конфиденциальной информации о детях-сиротах, детях, лишенных родительской опеки, детях, находящихся в сложных жизненных обстоятельствах, кандидатов в усыновители, опекуны, попечители, приемные родители, родители-воспитатели и усыновителей, опекунов, попечителей, приемных родителей, родителей-воспитателей имеют пользователи, которые получили право доступа в соответствии с заявкой на регистрацию пользователя ЕИАС "Дети" и предоставление прав доступа к ее информационным ресурсам.

2. Работники Департамента, которые имеют доступ к базе персональных данных, предоставляют письменное обязательство о неразглашении персональных данных (далее обязательство), которые им были доверены или которые стали им известны в связи с выполнением профессиональных или служебных обязанностей, которое составляется по форме согласно приложению 1 к настоящему Порядку.

3. Обязательство хранится в личном деле работника и регистрируется ответственным структурным подразделением в журнале регистрации обязательств о неразглашении персональных данных по форме согласно приложению 2 к настоящему Порядку.

4. Датой предоставления права доступа к персональным данным считается дата предоставления обязательства соответствующим работником.

5. Датой лишения права доступа к персональным данным считается дата увольнения или перевода работника на должность, исполнение обязанностей на которой не связано с обработкой персональных данных.

6. В случае увольнения работника, который имеет доступ к персональным данным или перевода его на другую должность, которая не предусматривает работы с персональными данными субъектов, Департаментом принимаются меры по предотвращению доступа такого лица к персональным данным, а документы и другие носители, содержащие персональные данные субъектов, передаются другому работнику.

7. Учет операций, связанных с обработкой персональных данных и доступ к ним, ведется каждым структурным подразделением Департамента в журнале учета операций, связанных с обработкой персональных данных, по форме согласно приложению 3 к настоящему Порядку.

8. Хранение персональных данных предусматривает действия по обеспечению их целостности и соответствующего режима доступа к ним.

9. Документы, содержащие персональные данные в бумажной и электронной форме, хранятся и уничтожаются в соответствии с требованиями нормативно-правовых актов в сфере архивного дела и делопроизводства.

10. Защита персональных данных в ЕИАС "Дети" осуществляется путем создания и обеспечения функционирования комплексной системы защиты информации с подтвержденным соответствием. Подтверждение соответствия проводится по результатам государственной экспертизы в порядке, определенном Положением о государственной экспертизе в сфере технической защиты информации, утвержденным приказом Администрации Государственной службы специальной связи и защиты информации Украины от 16 мая 2007 года №93, зарегистрированным в Министерстве юстиции Украины 16 июля 2007 года за №820/14087 (с изменениями).

Приложение 1

к Порядку обработки персональных данных в базе персональных данных и в Единой информационно-аналитической системе "Дети" (пункт 2 раздела VII)

заместителю Министра _______________________________________ (Фамилия и инициалы) _______________________________________ (должность работника) _______________________________________ (фамилия и инициалы работника)

Обязательство о неразглашении персональных данных

Согласно статье 10 Закона Украины "О защите персональных данных" обязуюсь не разглашать любым способом персональные данные других лиц, ставшие мне известными в связи с исполнением должностных обязанностей.

Подтверждаю, что обязательство будет действовать после прекращения мной деятельности, связанной с обработкой персональных данных, кроме случаев, установленных законом.

___ __________ 20___ года

____________________ (Подпись)

Приложение 2

к Порядку обработки персональных данных в базе персональных данных и Единой информационно-аналитической системе "Дети" (пункт 3 раздела VII)

Журнал регистрации обязательств о неразглашении персональных данных

№ п/п	Структурное подразделение, должность	Фамилия, Имя, Отчество	Дата предоставления обязательства о неразглашении персональных данных	Дата лишения права доступа к персональным данным и их обработке	Причина лишения права доступа к персональным данным и их обработке (увольнение, перевод на должность, обязанности по которой не связаны с обработкой персональных данных)
1	2	3	4	5	6

 

Приложение 3

к Порядку обработки персональных данных в базе персональных данных и в Единой информационно-аналитической системе "Дети" (пункт 7 раздела VII)

Журнал учета операций, связанных с обработкой персональных данных

________________________________________________________________

(Наименование структурного подразделения)

Департамента защиты прав детей и усыновления
Министерства социальной политики Украины

№ п/п	Дата и время записи	Фамилия, имя, отчество исполнителя	Операции с персональными данными (изменение, пересмотр, передача/ копирование, уничтожение, удаление)	Конкретизация персональных данных, с которыми проводилась работа (источник)	Цель и основание изменения, пересмотра, передачи / копирования, уничтожения, удаления персональных данных	Примечания
1	2	3	4	5	6	7