Відповідно до Закону України "Про захист персональних даних" та наказу Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних"

1. Затвердити Порядок обробки і захисту персональних даних у Міністерстві оборони України, що додається.

2. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок встановлює загальні вимоги до організаційних та технічних заходів обробки і захисту персональних даних у структурних підрозділах Міністерства оборони України, Генерального штабу Збройних Сил України, органах військового управління, військових частинах, військових навчальних закладах, підприємствах, установах, організаціях Міністерства оборони України та Збройних Сил України (далі - Військові частини).

2. Терміни в цьому Порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних" (далі - Закон) та наказі Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних".

3. Володільцем персональних даних є Міністерство оборони України.

4. Розпорядниками персональних даних є Військові частини.

5. Іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних вважається базою персональних даних (далі - БПД).

6. Володілець та розпорядники персональних даних ведуть такі БПД:

військовослужбовців;

працівників;

державних службовців;

військовозобов’язаних;

призовників;

резервістів;

осіб, звільнених з військової служби, ветеранів військової служби та війни.

7. В БПД обробляються такі персональні дані: прізвище, ім’я, по батькові; дата і місце народження; паспортні дані (або дані іншого документа, що посвідчує особу), дата видачі та орган, що видав паспорт (або документ, що посвідчує особу); реєстраційний номер облікової картки платника податків; відомості про освіту, про стан здоров’я (в обсязі, необхідному для визначення придатності до військової служби та/або для реалізації трудових відносин), про сімейний стан, про фактичне місце проживання; номери телефонів; відомості, що підтверджують право на пільги та компенсації; фотозображення; відеозображення; відомості про проходження військової (державної) служби, що містяться в особовій справі; відомості про військовий облік, що містяться в особових справах призовників або в облікових картках військовозобов’язаних резервістів; відомості про трудову діяльність, що містяться в трудовій книжці, а також інші персональні дані, які дають змогу ідентифікувати особу та необхідність обробки яких визначена чинним законодавством.

Персональні дані, щодо яких встановлено особливі вимоги обробки, обробляються з урахуванням статті 7 Закону. Персональні дані, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, обробляються згідно зі статтею 9 Закону та повідомляються в порядку, встановленому наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних".

8. Загальна організація та координація діяльності, пов’язаної із обробкою та захистом персональних даних під час їх обробки, у Міністерстві оборони України покладаються на Управління інформаційних технологій.

9. Загальна організація роботи, пов’язаної із обробкою та захистом персональних даних під час їх обробки, покладається:

у структурних підрозділах Міністерства оборони України та Генерального штабу Збройних Сил України - на керівників (начальників) цих підрозділів;

в органах військового управління, у військових частинах, установах, закладах, на підприємствах - на начальників штабів, а де посада начальника штабу не передбачена, - на командирів (начальників) військових частин, установ, навчальних закладів і підприємств.

10. Безпосередню організацію роботи, пов’язаної з обробкою та захистом персональних даних під час їх обробки, здійснює особа (особи), визначена(ні) командиром (начальником).

11. Командири (начальники) Військових частин забезпечують:

планування та організацію виконання дій щодо забезпечення безпеки персональних даних;

збереженість персональних даних, обмеженість доступу до них;

визначення посадових обов’язків особам, які безпосередньо організовують роботу, пов’язану з обробкою та захистом персональних даних;

організацію та здійснення контролю за виконанням встановлених вимог із забезпечення захисту персональних даних;

планування та організацію проведення занять з вивчення чинного законодавства.

1. Обробка персональних даних в БПД здійснюється відповідно до Закону України "Про захист персональних даних" .

2. Метою обробки персональних даних є забезпечення реалізації:

проходження військової служби та трудових відносин;

відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;

відносин у сфері інформаційних послуг;

відносин у сфері економічних, фінансових послуг;

відносин у сфері телекомунікаційних послуг;

відносин у сфері освіти;

відносин у сфері охорони здоров’я;

інших відносин, що потребують обробки персональних даних (забезпечення бойової підготовки та повсякденної діяльності військ, закріплення озброєння та військової техніки, речове та продовольче забезпечення, забезпечення житлом);

підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої службової інформації з питань персоналу;

вирішення інших питань з використанням інформації з БПД.

3. Суб’єкт персональних даних повідомляється про його права, мету збору даних та про третіх осіб, яким передаються його персональні дані, виключно в письмовій формі згідно з Повідомленням про обробку персональних даних (додаток 1).

4. Володілець/розпорядник персональних даних зобов’язаний слідкувати за актуальністю та достовірністю персональних даних та своєчасно вносити зміни.

У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Володілець/розпорядник персональних даних зобов’язаний вносити зміни до персональних даних на підставі:

вмотивованої письмової вимоги суб’єкта персональних даних;

припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.

6. Видалення персональних даних, що обробляються в інформаційно-телекомунікаційній системі, здійснюється за місцем їх обробки та в спосіб, що виключає подальшу можливість поновлення таких персональних даних.

7. Знищення документів, які містять персональні дані, проводиться шляхом механічної переробки на паперознищувальних машинах, а там, де їх немає, шляхом спалення. Печі для спалювання повинні мати на димарях металеві сітки.

Спалювання або механічна переробка документів проводиться до повного їх знищення.

Знищувати документи будь-яким іншим способом та використовувати їх з іншою метою заборонено.

Персональні дані, що містяться на машинних носіях інформації, знищуються (видаляються) у встановленому нормативно-правовими актами порядку.

8. Доступ до персональних даних осіб, які здійснюють обробку персональних даних, надається наказом командира (начальника) Військових частин, яким визначається підрозділ (посадова особа), що відповідає за організацію обробки персональних даних, та особи, допущені до їх обробки.

9. Доступ до персональних даних мають тільки ті особи, які визначені в наказах командирів (начальників) Військових частин, та (або) особи, доступ яким дозволено їх посадовими обов’язками.

У такому разі з цих осіб береться письмове зобов’язання про нерозголошення персональних даних (додаток 2).

Перелік осіб, з яких було взято письмове зобов’язання про нерозголошення персональних даних, заноситься до Журналу реєстрації зобов’язань про нерозголошення персональних даних у Міністерстві оборони України (додаток 3).

10. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених Законом. Доступ суб’єкта персональних даних до відомостей про себе здійснюється безоплатно.

11. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, а також відповідно до вимог Закону.

Доступ до персональних даних третім особам не надається, якщо особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання Закону або неспроможна їх забезпечити.

Персональні дані можуть використовуватися посадовими особами володільця або розпорядника персональних даних, які за змістом своїх обов’язків мають право їх обробляти, виключно в необхідному обсязі для проведення їх обробки.