Відповідно до Закону України "Про захист персональних даних", Положення про Національне агентство України з питань державної служби, затвердженого постановою Кабінету Міністрів України від 01 листопада 2014 року № 500, Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, з метою забезпечення дотримання вимог до обробки та захисту персональних даних у Національному агентстві України з питань державної служби НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у Національному агентстві України з питань державної служби, що додається.

2. Сектору з питань захисту інформації в установленому законодавством порядку забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Цей Порядок визначає загальні вимоги до обробки та захисту персональних даних, що обробляються в НАДС, у тому числі в інформаційно-телекомунікаційних системах НАДС (далі - персональні дані).

2. Володільцем персональних даних є НАДС.

3. Терміни у цьому Порядку вживаються у значенні, наведеному в Законі України "Про захист персональних даних" (далі - Закон).

4. У цьому Порядку під інформаційно-телекомунікаційними системами НАДС слід розуміти:

Єдиний портал вакансій державної служби;

Портал управління знаннями.

5. Цей Порядок є обов’язковим до виконання для державних службовців та інших працівників апарату НАДС (далі - працівники), яким надано доступ до інформації, що містить персональні дані, у межах виконання ними своїх повноважень.

1. Метою обробки персональних даних є:

реалізація державної політики у сфері державної служби та з питань управління персоналом у державних органах;

підготовка відповідно до законодавства статистичної, адміністративної та іншої службової інформації з питань, що належать до компетенції НАДС;

забезпечення проходження державної служби та трудових відносин, управління персоналом НАДС;

організації навчання державних службовців з питань, що належать до компетенції НАДС;

забезпечення права особи на доступ до електронних послуг та інформації про публічні послуги, звернення до органів державної влади та органів місцевого самоврядування, підприємств, установ та організацій, отримання інформації з інформаційно-телекомунікаційних систем, яка необхідна для надання послуг.

2. Обробка персональних даних в НАДС здійснюється з підстав, визначених пунктами 2 і 5 частини першої статті 11 Закону.

3. До осіб, які мають доступ до персональних даних, володільцем яких є НАДС, належать:

відповідальні працівники інших державних органів, які використовують інформаційно-телекомунікаційні системи НАДС;

працівники НАДС.

4. НАДС обробляються такі персональні дані:

1) працівників НАДС: паспортні, військово-облікові, біографічні дані; реєстраційний номер облікової картки платника податків; відомості про освіту, наявність спеціальних знань або підготовки, трудову діяльність, стан здоров’я (в обсязі, необхідному для реалізації трудових відносин, і для забезпечення вимог законодавства у сфері охорони праці), ділові та особисті якості, сімейний стан та склад сім’ї, зареєстроване та фактичне місце проживання, засоби зв’язку, наявність прав на пільги та компенсації; фотографічні зображення; інші персональні дані, необхідність обробки яких визначена законодавством;

2) надані особами, які звертаються до НАДС в порядку, визначеному Законами України "Про звернення громадян" та "Про доступ до публічної інформації": прізвище, ім’я, по батькові (за наявності); місце проживання та роботи; відомості про наявність пільг, які є підставою для першочергового розгляду звернення, засоби зв’язку; інші дані, які особа добровільно, за власним бажанням, надає про себе;

3) користувачів інформації в інформаційно-телекомунікаційних системах, держателем яких є НАДС:

"Єдиний портал вакансій державної служби": прізвище, ім’я, по батькові (за наявності); число, місяць, рік народження; реквізити документа, що посвідчує особу та підтверджує громадянство України; підтвердження наявності відповідного ступеня вищої освіти, рівня вільного володіння державною мовою; відомості про стаж роботи, державної служби (за наявності), досвід роботи на відповідних посадах згідно з вимогами;

"Портал управління знаннями": прізвище, ім’я, по батькові (за наявності); відомості про засоби зв’язку (телефон, електронна пошта); реєстраційний номер облікової картки платника податків; паспортні дані; число, місяць, рік народження;

4) осіб, які виявили бажання взяти участь у конкурсі на зайняття посади директора Вищої школи публічного управління: прізвище, ім'я, по батькові (за наявності); паспортні дані; підтвердження наявності відповідного ступеня вищої освіти, рівня вільного володіння державною мовою; відомості про стаж роботи, досвід роботи на відповідних посадах згідно з вимогами до цієї посади; відомості про засоби зв'язку (телефон, електронна пошта).

5. В адміністративній будівлі НАДС ведеться відеофіксація та/або відеоспостереження з метою запобігання неконтрольованому переміщенню матеріальних цінностей та попередження завданню шкоди здоров’ю працівників та відвідувачів НАДС.

У приміщеннях адміністративної будівлі НАДС, де ведеться відеофіксація та/або відеоспостереження, встановлюються попереджувальні знаки, які повинні містити інформацію про володільця персональних даних та його контактні дані, за якими суб’єкт персональних даних може отримати інформацію, визначену частиною другою статті 12 Закону.

Матеріали відеофіксації та/або відеоспостереження обробляються з дотриманням законодавства відповідальною за їх обробку особою, яка визначена наказом НАДС.

Матеріали відеофіксації та/або відеоспостереження зберігаються на серверному обладнанні НАДС у строк, що не перевищує 30 календарних днів, доступ до якого здійснюється відповідальними працівниками апарату НАДС визначеними посадовою інструкцією.

У разі необхідності строк зберігання таких матеріалів може бути продовжено за рішенням Голови НАДС.

Доступ до матеріалів відеофіксації та/або відеоспостереження має Голова НАДС, його перший заступник та заступники, а також особа, визначена відповідальною за обробку матеріалів відеоспостереження.

6. Персональні дані обробляються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

Персональні дані зберігаються протягом строку, встановленого законодавством.

Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

7. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

8. Загальна організація та координація діяльності, пов’язаної з обробкою та захистом персональних даних у НАДС, покладається на відповідальну особу, визначену наказом НАДС (далі - відповідальна особа).

Відповідальна особа зобов’язана:

знати законодавство України у сфері захисту персональних даних;

взаємодіяти з Уповноваженим Верховної Ради України з прав людини (далі - Уповноважений) та визначеними ним посадовими особами з питань запобігання та усунення порушень законодавства про захист персональних даних;

інформувати Голову НАДС з питань додержання законодавства про захист персональних даних, у тому числі про виявлені порушення (чи наявну інформацію щодо можливих порушень) законодавства про захист персональних даних та/або цього Порядку з метою вжиття необхідних заходів;

регулярно проводити навчання працівників НАДС щодо впровадження норм, змін та доповнень до законодавства, що регулює правові відносини, пов’язані із захистом і обробкою персональних даних;

аналізувати загрози безпеці персональних даних;

розробити план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, в якому вони зберігаються або обробляються, виникнення інших надзвичайних ситуацій, що можуть вплинути на порушення встановленого законодавством порядку захисту та обробки персональних даних.