Відповідно до статті 6 Закону України "Про захист персональних даних" (2297-17) та Типового порядку обробки персональних даних у базах персональних даних (z0001-12) , затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованого в Міністерстві юстиції України 3 січня 2012 року за № 1/20314, та з метою створення умов для забезпечення захисту персональних даних, які обробляються в базі персональних даних "Електронний журнал обліку запитів на публічну інформацію", НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію", що додається.

2. Департаменту режимно-секретного та документального забезпечення (Терещенко Ю.В.) забезпечити:

2.1. Призначення відповідальної особи за обробку та захист персональних даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію".

2.2. Дотримання порядку доступу до бази персональних даних та захист від доступу до неї сторонніх осіб, що може призвести до розголошення або втрати інформації.

2.3. Своєчасне інформування уповноваженого державного органу з питань захисту персональних даних про зміну відомостей, що подаються для реєстрації бази персональних даних, у визначений законом термін.

2.4. Подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на заступника Міністра - керівника апарату Лекаря С.І.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

ПОРЯДОК

обробки персональних даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію"

I. Загальні положення

1.1. Цей Порядок визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних запитувачів від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.

1.2. Цей Порядок є обов’язковим для виконання працівниками відділу забезпечення доступу до публічної інформації Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення МВС України (далі - УДЗ ДРСДЗ МВС України), які мають доступ до персональних даних та обробляють їх.

1.3. Терміни в цьому Порядку вживаються в значеннях, наведених у Законі України "Про захист персональних даних" (2297-17) (далі - Закон) та Типовому порядку обробки персональних даних у базах персональних даних (z0001-12) , затвердженому наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованому у Міністерстві юстиції України 3 січня 2012 року за № 1/20314.

1.4. До персональних даних запитувача належать будь-які відомості чи сукупність відомостей про запитувача, за якими він ідентифікується чи може бути конкретно ідентифікованим.

1.5. Персональні дані запитувачів є інформацією з обмеженим доступом.

1.6. Персональні дані запитувачів обробляються в базі персональних даних, володільцем якої є Міністерство внутрішніх справ України.

1.7. База персональних даних "Електронний журнал обліку запитів на публічну інформацію" реєструється в Державному реєстрі баз персональних даних, при цьому Міністерство внутрішніх справ України повідомляє Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних "Електронний журнал обліку запитів на публічну інформацію", не пізніше ніж протягом десяти робочих днів з дня настання такої зміни шляхом подання заяви про внесення змін до відомостей Державного реєстру баз персональних даних (z0890-11) за формою, затвердженою наказом Міністерства юстиції України від 8 липня 2011 року № 1824/5 (у редакції наказу Міністерства юстиції України від 22 липня 2013 року № 1466/5), зареєстрованою в Міністерстві юстиції України 19 липня 2011 року за № 890/19628.

1.8. Персональні дані в базі персональних даних "Електронний журнал обліку запитів на публічну інформацію" обробляються за допомогою автоматизованої системи (далі - Автоматизована система), а також інших програмних продуктів (Access).

1.9. Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково в Автоматизованій системі, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, знеособленням, використанням, поширенням та знищенням персональних даних запитувача.

1.10. База персональних даних "Електронний журнал обліку запитів на публічну інформацію" розміщена у відділі забезпечення доступу до публічної інформації Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення.

II. Мета обробки персональних даних

2.1. Обробка персональних даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію" проводиться з метою обліку запитів на публічну інформацію відповідно до Закону України "Про доступ до публічної інформації" (2939-17) та Указу Президента України від 5 травня 2011 року № 547 (547/2011) "Питання забезпечення органами виконавчої влади доступу до публічної інформації".

2.2. Обробка персональних даних запитувачів є необхідною для:

ведення обліку запитів на публічну інформацію;

підготовки визначеної законодавством звітності.

III. Склад персональних даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію"

3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб управлінської діяльності Міністерства внутрішніх справ України у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію" обробляються персональні дані, необхідність обробки яких передбачена законами України:

прізвище, ім’я, по батькові;

відомості про місце проживання, адресу електронної пошти.

3.2. В "Електронному журналі обліку запитів на публічну інформацію" не обробляються відомості про расове або етнічне походження запитувачів, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.

IV. Обов’язки та права особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у відділі забезпечення доступу до публічної інформації Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення МВС України

4.1. З урахуванням вимог статті 24 Закону (2297-17) наказом директора Департаменту режимно-секретного та документального забезпечення призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних у відділі забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України (далі - Відповідальна особа). Наказ доводиться до відома Відповідальної особи під підпис.

4.2. Відповідальна особа:

1) забезпечує:

аналіз процесів обробки персональних даних відповідно до основних завдань та функцій відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України, у тому числі визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідності та ненадмірності персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, а також приведення переліку персональних даних у відповідність до визначеної мети і правових підстав їх обробки;

подання заяв про державну реєстрацію баз персональних даних, унесення змін до відомостей Державного реєстру баз персональних даних (за необхідності);

ознайомлення працівників відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення в будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;

організацію обробки запитів третіх осіб щодо доступу до персональних даних;

2) сприяє доступу суб’єктів персональних даних до власних персональних даних;

3) за необхідності готує проекти змін до цього Порядку, подає зазначені проекти на розгляд керівництву Департаменту режимно-секретного та документального забезпечення МВС України (далі - ДРСДЗ МВС України);

4) інформує керівництво ДРСДЗ МВС України про:

заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону (2297-17) ;

порушення встановлених процедур обробки персональних даних;

5) фіксує факти порушень режиму захисту персональних даних у порядку, визначеному розділом VII цього Порядку.

4.3. Відповідальна особа має право:

1) перевіряти стан дотримання працівниками відділу забезпечення доступу до публічної інформації ДРСДЗ МВС України законодавства у сфері захисту персональних даних та виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних;

2) уносити керівництву ДРСДЗ МВС України пропозиції щодо розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.

V. Права та обов’язки запитувача як суб’єкта персональних даних

5.1. Відповідно до Закону (2297-17) запитувач як фізична особа, щодо якої здійснюється обробка її персональних даних, має право:

знати про місцезнаходження та призначення бази персональних даних "Електронний журнал обліку запитів на публічну інформацію", мету обробки даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію";

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, що міститься в базі персональних даних "Електронний журнал обліку запитів на публічну інформацію";

доступу до своїх персональних даних, що містяться в базі персональних даних "Електронний журнал обліку запитів на публічну інформацію", відповідно до статті 16 Закону (2297-17) ;

отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених Законом (2297-17) , відповідь про те, чи зберігаються його персональні дані в базі персональних даних "Електронний журнал обліку запитів на публічну інформацію", а також отримувати інформацію щодо змісту його персональних даних, які зберігаються;

пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних;

пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних ДРСДЗ МВС України, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або суду;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

5.2. Запитувач має інші права, передбачені статтею 8 Закону (2297-17) .

VI. Обов’язки працівників відділу забезпечення доступу до публічної інформації Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення МВС України, які обробляють персональні дані

6.1. Працівники ДРСДЗ МВС України, які обробляють персональні дані, мають бути обізнані з вимогами Закону (2297-17) та інших нормативно-правових актів у сфері захисту персональних даних.

6.2. Працівники ДРСДЗ МВС України зобов’язані:

1) забезпечити захист персональних даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них;

2) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з використанням персональних даних, крім випадків, установлених Законом (2297-17) ;

3) терміново повідомляти Відповідальну особу в разі:

втрати або неумисного знищення носіїв інформації з персональними даними;

втрати ними ключів від приміщень, де зберігаються персональні дані;

виявлення спроби несанкціонованого доступу до персональних даних.

VII. Порядок та документальне забезпечення обробки персональних даних у відділі забезпечення доступу до публічної інформації Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення МВС України

7.1. Правовою підставою обробки персональних даних, зазначених у пункті 3.1 розділу III цього Порядку, є дозвіл, наданий володільцю бази персональних даних "Електронний журнал обліку запитів на публічну інформацію" для здійснення його повноважень відповідно до Закону України "Про доступ до публічної інформації" (2939-17) , Указу Президента України від 5 травня 2011 року № 547 (547/2011) "Питання забезпечення органами виконавчої влади доступу до публічної інформації", наказу МВС України від 21 липня 2011 року № 459 (z1109-11) "Про затвердження Порядку складання і форми подання запитів на публічну інформацію, розпорядником якої є Міністерство внутрішніх справ України", зареєстрованого в Міністерстві юстиції України 20 вересня 2011 року за № 1109/19847, та наказу МВС України від 27 березня 2012 року № 245 (z0561-12) "Про затвердження Інструкції про порядок прийому, реєстрації, розгляду запитів на публічну інформацію та відшкодування запитувачами фактичних витрат на копіювання та друк документів у системі МВС України", зареєстрованого в Міністерстві юстиції України 12 квітня 2012 року за № 561/20874.

7.2. Запити на публічну інформацію, які надійшли на адресу Міністерства внутрішніх справ України електронною поштою, телефоном, факсом чи в усній формі, приймаються і реєструються в електронній автоматизованій системі працівниками відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України.

7.3. У разі виявлення факту внесення до бази персональних даних "Електронний журнал обліку запитів на публічну інформацію" відомостей про запитувача, які не відповідають дійсності, такі відомості мають бути невідкладно виправлені або знищені.

7.4. У момент збору персональних даних або у випадках, передбачених пунктами 2-5 частини першої статті 11 Закону (2297-17) , протягом десяти робочих днів з дня збору персональних даних суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані, виключно в письмовій формі згідно з додатком 1 до цього Порядку.

Повідомлення надають працівники відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України.

7.5. Контроль за наданням повідомлень покладається на начальника відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України.

7.6. Зберігання та знищення персональних даних:

1) персональні дані запитувачів зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством;

2) персональні дані, строк зберігання яких закінчився, підлягають знищенню в порядку, визначеному чинним законодавством;

3) знищення персональних даних здійснюється в спосіб, що виключає подальшу можливість відновлення таких персональних даних.

7.7. Під використанням персональних даних працівниками відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України згідно зі статтею 10 Закону (2297-17) розуміються будь-які дії працівників цього відділу щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до Закону:

1) доступ до персональних даних запитувачів, унесених до Автоматизованої системи, мають працівники відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України, а також директор ДРСДЗ МВС України, його заступники відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;

2) працівники відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України, які працюють з персональними даними, зазначені в підпункті 1 цього пункту, дають письмове зобов’язання про нерозголошення персональних даних за формою, наведеною в додатку 2 до цього Порядку;

3) право доступу до персональних даних та їх обробки надається особам, зазначеним у підпункті 1 цього пункту, лише після підписання зобов’язання про нерозголошення персональних даних;

4) зобов’язання про нерозголошення персональних даних реєструються в Журналі реєстрації зобов’язань про нерозголошення персональних даних, форму якого наведено в додатку 3 до цього Порядку.

За Журналом реєстрації зобов’язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки.

Датою надання права доступу до персональних даних вважається дата надання зобов’язання.

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.

Після реєстрації зобов’язання формуються в окрему справу.

Номенклатурні справи "Документи з питань обробки персональних даних", "Зобов’язання посадових осіб відділу забезпечення доступу до публічної інформації Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення щодо нерозголошення персональних даних", Журнал реєстрації зобов’язань про нерозголошення персональних даних включаються до номенклатури справ відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України.

Відповідальним за забезпечення збереженості зазначених справ та реєстраційних форм є начальник відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України.

7.8. Факти порушень режиму захисту персональних даних фіксуються актами, які складає Відповідальна особа.

За фактами порушень у сфері захисту персональних даних керівництвом Міністерства та ДРСДЗ МВС України призначається службове розслідування.

За результатами службового розслідування до працівників, з вини яких сталися порушення у сфері захисту персональних даних, застосовується відповідальність, передбачена чинним законодавством, у встановленому порядку.

VIII. Умови розкриття інформації про персональні дані третім особам

8.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог Закону (2297-17) .

8.2. Доступ до інформації третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону (2297-17) або неспроможна їх забезпечити.

8.3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю бази персональних даних.

8.4. У запиті зазначаються:

прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

перелік персональних даних, що запитуються;

мета та/або правові підстави запиту.

8.5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку володілець бази персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті. Запит задовольняється протягом тридцяти календарних днів із дня його надходження, якщо інше не передбачено Законом (2297-17) .

8.6. Відстрочення доступу до персональних даних третіх осіб допускається в разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. Строк вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.

8.7. Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

8.8. У повідомленні про відстрочення зазначаються:

прізвище, ім'я та по батькові посадової особи;

дата відправлення повідомлення;

причина відстрочення;

строк, протягом якого буде задоволено запит.

8.9. Відмова в доступі до персональних даних допускається, якщо доступ до них заборонено згідно із Законом (2297-17) .

8.10. У повідомленні про відмову зазначаються:

прізвище, ім'я, по батькові посадової особи, яка відмовляє в доступі;

дата відправлення повідомлення;

причина відмови.

8.11. Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до суду.

IХ. Захист персональних даних при їх обробці

9.1. Право доступу до Автоматизованої системи надається працівникам відділу забезпечення доступу до публічної інформації УДЗ ДРСДЗ МВС України, у посадових інструкціях яких передбачено функції з обробки даних в Автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.

9.2. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних і процедури ідентифікації та/або автентифікації працівників володільця бази персональних даних.

У Міністерстві внутрішніх справ України отримано та зареєстровано Ваш запит на отримання публічної інформації.

Повідомляємо, що відповідно до вимог статті 12 Закону України "Про захист персональних даних" (2297-17) Ваші персональні дані включено до бази персональних даних "Електронний журнал обліку запитів на публічну інформацію", володільцем якої є Міністерство внутрішніх справ України, а розпорядником - Управління документального забезпечення Департаменту режимно-секретного та документального забезпечення МВС України.

Метою обробки (у тому числі збору) персональних даних є забезпечення реалізації Ваших законних прав на отримання публічної інформації, розпорядником якої є Міністерство внутрішніх справ України, відповідно до вимог Закону України "Про доступ до публічної інформації". (2939-17)

Також повідомляємо, що згідно зі статтею 8 Закону України "Про захист персональних даних" (2297-17) суб’єкт персональних даних має право:

1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, установлених Законом (2297-17) ;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом (2297-17) , відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

5) пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних та інші права, визначені статтею 8 Закону України "Про захист персональних даних" (2297-17) .

ЗОБОВ’ЯЗАННЯ

про нерозголошення персональних даних

Відповідно до статті 10 Закону України "Про захист персональних даних" (2297-17) зобов’язуюсь не розголошувати в будь-який спосіб персональні дані інших осіб, що стали відомі мені у зв’язку з виконанням посадових обов’язків.

№ з/п	Посада	Прізвище, ім’я, по батькові	Дата надання зобов’язання	Дата позбавлення права доступу до персональних даних та їх обробки	Причина позбавлення права доступу до персональних даних та їх обробки (звільнення, переведення на посаду, обов’язки за якою не пов’язані з обробкою персональних даних)
1	2	3	4	5	6

Про затвердження Порядку обробки персональних даних у базі персональних даних "Електронний журнал обліку запитів на публічну інформацію"