Відповідно до Закону України "Про захист персональних даних" , постанови Кабінету Міністрів України від 25 травня 2011 р. № 616 "Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення", Типового порядку обробки персональних даних у базах персональних даних , затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Міністерстві юстиції України 03.01.2012 за № 1/20314,

1. Затвердити Положення про обробку та захист персональних даних Міністерства освіти і науки, молоді та спорту, що додається.

2. Утворити робочу групу з питань запровадження заходів із захисту персональних даних, що обробляються у Міністерстві освіти і науки молоді та спорту, у складі згідно з додатком.

3. Робочій групі:

3.1. Проаналізувати особливості процесу обробки персональних даних відповідно до основних завдань і функцій Міністерства.

3.2. Визначити бази персональних даних, що зареєстровані або підлягають державній реєстрації, розпорядників баз, третіх осіб відповідно до вимог Закону України "Про захист персональних даних" .

4. Призначити відповідальними особами за здійснення визначених законодавством заходів із захисту персональних даних під час їх обробки:

4.1. Департамент роботи з персоналом та керівними кадрами (Некрасса І.А.):

в картотеках особових справ, в листках тимчасової непрацездатності працівників, документів, що стосуються питань спецперевірок (місце знаходження бази персональних даних - м. Київ, проспект Перемоги, 10);

в картотеках документів, що стосуються відомчих, державних нагород та почесних звань (місце знаходження бази персональних даних - м. Київ, проспект Перемоги, 10);

в картотеках документів, що стосуються питань атестації наукових та науково-педагогічних кадрів (місце знаходження бази персональних даних - м. Київ, проспект Перемоги, 10).

4.2. Управління бухгалтерського обліку і звітності (Шарманська С.О.) в розрахунково-платіжних відомостях працівників та картотеках документів бухгалтерії (місце знаходження бази персональних даних - м. Київ, проспект Перемоги, 10).

4.3. Відділ захисту інформації та інформаційно-технічного забезпечення (Васілевський О.М.) в електронній базі персональних даних АРМ "Картка", електронній базі персональних даних бухгалтерії "Парус" та електронній базі документообігу "Мегаполіс" (місце знаходження електронних баз персональних даних - м. Київ, проспект Перемоги, 10).

4.4. Департамент професійно-технічної освіти (Супрун В.В.) в картотеках документів, що стосуються прийняття, переведення, звільнення директорів професійно-технічних закладів освіти (місце знаходження бази персональних даних - м. Київ, вул. Хрещатик, 22).

4.5. Департамент атестації кадрів (Бондаренко В.Д.) в картотеках документів, що стосуються питань атестації наукових кадрів (місце знаходження бази персональних даних - м. Київ, вул. Хрещатик, 34).

4.6. Керівники структурних підрозділів в картотеках документів (номенклатурах справ), що стосуються звернення громадян, які надходять до Міністерства з метою реалізації своїх прав відповідно до законів України "Про звернення громадян" та "Про доступ до публічної інформації" (місце знаходження баз персональних даних - м. Київ, проспект Перемоги, 10).

5. Контроль за виконанням цього наказу покласти на заступника Міністра - керівника апарату Кулікова П.М.

1. Загальні положення:

1.1. Положення про обробку та захист персональних даних (далі - Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних Міністерства освіти і науки, молоді та спорту України (далі - МОНмолодьспорт) від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.

1.2. Положення розроблено на підставі Закону України "Про захист персональних даних" (далі - Закон) та Типового порядку обробки персональних даних у базах персональних даних , затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Мін'юсті 03.01.2012 за № 1/20314 (далі - Типовий порядок).

1.3. Положення є обов'язковим для виконання працівниками МОНмолодьспорту, які мають доступ до персональних даних та обробляють персональні дані.

1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону та Типового порядку .

1.5. До персональних даних належать будь-які відомості чи сукупність відомостей про працівника, за якими він ідентифікується чи може бути конкретно ідентифікованим.

1.6. Персональні дані працівників є інформацією з обмеженим доступом.

1.7. Персональні дані працівників МОНмолодьспорту обробляються у базі персональних даних АРМ "Картка", базі персональних даних бухгалтерії МОНмолодьспорту та базах персональних даних у формі картотек, володільцем яких є МОНмолодьспорт.

1.8. Для бази персональних даних АРМ "Картка", бази персональних даних бухгалтерії МОНмолодьспорту та баз персональних даних у формі картотек розпорядники відсутні. Працівники МОНмолодьспорту не є розпорядниками зазначених баз персональних даних.

1.9. База персональних даних АРМ "Картка", база персональних даних бухгалтерії, база персональних даних документообігу та бази персональних даних у формі картотек (далі - бази персональних даних) реєструються у Державному реєстрі баз персональних даних, при цьому Міністерство повідомляє Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації баз персональних даних, не пізніше ніж протягом десяти робочих днів з дня настання такої зміни шляхом подання відповідної заяви (за формами та у порядку, визначеними наказом Міністерства юстиції України від 08.07.2011 № 1824/5 ).

1.10. Персональні дані, що містяться у базах персональних даних, обробляються на паперових носіях та за допомогою автоматизованих систем АРМ "Картка" та "Парус" (далі - автоматизовані системи), а також інших програмних продуктів (Excel, Word тощо).

1.11. Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково в автоматизованих системах та в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про працівників МОНмолодьспорту.

1.12. База персональних даних АРМ "Картка" розміщена у відділі кадрів державної служби департаменту роботи з персоналом та керівними кадрами, база персональних даних бухгалтерії розміщена у відділі звітності та бухгалтерського забезпечення центрального апарату управління бухгалтерського обліку і звітності, а база персональних даних документообігу розміщена в серверній кімнаті центрального апарату Міністерства, до якого за допомогою локальної мережі підключені робочі станції працівників відділу документального забезпечення департаменту управління справами, які здійснюють обробку персональних даних громадян, які звертаються до Міністерства з метою реалізації своїх прав відповідно до Закону України "Про звернення громадян" .

1.13. У відділі кадрів державної служби департаменту роботи з персоналом та керівними кадрами персональні дані працівників обробляються у картотеках (на паперових носіях - у картотеці особових карток (типова форма № П-2 ), у т. ч. картотеці військового обліку, в особових справах, в інших документах, що містять персональні дані працівників, у т. ч. трудові книжки, організаційно-розпорядчі документи, звітні та облікові форми) та в автоматизованій системі АРМ "Картка".

1.14. В управлінні бухгалтерського обліку і звітності персональні дані працівників обробляються на паперових носіях на підставі організаційно-розпорядчих документів, розрахунково-платіжних відомостей, бухгалтерських документів, звітних та облікових форм та в автоматизованій системі "Парус".

1.15. Для баз персональних даних третіми особами у контексті Закону є:

- державні органи, яким персональні дані працівників передаються відповідно до законодавства (пенсійний фонд, податкова інспекція, військові комісаріати, центри зайнятості та ін.);

- банківська установа, що надає послуги МОНмолодьспорту у рамках зарплатного карткового проекту;

- інші юридичні та фізичні особи, що звертаються із запитом щодо доступу до персональних даних працівників.

2. Мета обробки персональних даних:

2.1. Обробка персональних даних у базах персональних даних проводиться з метою забезпечення реалізації трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку (відповідно до Кодексу законів про працю України , законів України "Про професійні спілки, їх права та гарантії діяльності" , "Про військовий обов'язок та військову службу" , "Про охорону праці" , Положення про Міністерство ), адміністративно-правових відносин (відповідно до Господарського кодексу України , Цивільного кодексу України та згідно з Положенням про Міністерство), відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України , законів України "Про бухгалтерський облік та фінансову звітність в Україні" , "Про оплату праці" ), реалізації прав громадян, які звертаються до Міністерства відповідно до Закону України "Про звернення громадян" та Закону України "Про доступ до публічної інформації" .

2.2. Обробка персональних даних працівників є необхідною для:

- ведення кадрового діловодства;

- підготовки визначеної законодавством статистичної та іншої звітності;

- документаційного забезпечення визначених у пункті 2.1 відносин, у т. ч. прав та обов'язків працівників та роботодавця у сфері праці та соціального захисту.

3. Склад персональних даних у базах персональних даних МОНмолодьспорту:

3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб управлінської діяльності МОНмолодьспорту у базах персональних даних обробляються персональні дані, необхідність обробки яких передбачена законами України:

- прізвище, ім'я, по батькові;

- дата і місце народження;

- паспортні дані;

- ідентифікаційний код (номер облікової картки платника податків);

- відомості з військового квитка (приписного свідоцтва) (для військовозобов'язаних та осіб призовного віку) в обсязі, необхідному для ведення військового обліку;

- відомості про трудову діяльність, що містяться у трудовій книжці;

- відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади);

- відомості про наявність категорії державного службовця (рангу);

- відомості про стан здоров'я (обробляються відповідно до статті 24 Кодексу законів про працю України в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);

- біографічні дані;

- відомості про ділові та особисті якості, зокрема, вказані у поданому при працевлаштуванні резюме (у т. ч. щодо рис характеру, особистих захоплень, звичок);

- відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;

- відомості про фактичне місце проживання, номери телефонів, адресу особистої електронної пошти;

- відомості про членство у професійних спілках;

- відомості, що підтверджують право на пільги та компенсації відповідно до законодавства (встановлення інвалідності, належність до категорії постраждалих від аварії на ЧАЕС, отримання пенсії за віком, статус одинокої матері, опікуна, піклувальника, усиновлення дитини тощо);

- фотозображення;

- інші персональні дані, необхідність обробки яких визначена нормативно-правовими актами або пов'язана з кваліфікаційними вимогами до посади та специфікою діяльності МОНмолодьспорту.

3.2. У МОНмолодьспорт не обробляються відомості про расове або етнічне походження працівників, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.

4. Обов'язки та права осіб відповідальних за організацію робіт, пов'язаних із захистом персональних даних у МОНмолодьспорті:

4.1. З урахуванням вимог статті 24 Закону наказом Монмолодьспорту призначаються особи, відповідальні за організацію робіт, пов'язаної із захистом персональних даних у закріпленій сфері діяльності (далі - відповідальні особи). Наказ доводиться до відома відповідальних осіб під підпис.

4.2. Відповідальні особи:

4.2.1. Забезпечують:

- організацію обробки персональних даних у закріпленій сфері діяльності відповідно до посадових обов'язків в обсязі, необхідному для виконання таких обов'язків;

- аналіз процесів обробки персональних даних у закріпленій сфері діяльності, у т. ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та не надмірність персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;

- визначення баз персональних даних, що підлягають державній реєстрації;

- подання заяв про державну реєстрацію баз персональних даних, внесення змін до відомостей Державного реєстру баз персональних даних (за необхідності);

- ознайомлення керівників структурних підрозділів та працівників МОНмолодьспорту з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов'язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків;

- організацію обробки запитів третіх осіб щодо доступу до персональних даних.

4.2.2. Сприяють доступу суб'єктів персональних даних до власних персональних даних.

4.2.3. За необхідності готують проекти змін та доповнень до цього Положення, подають зазначені проекти на розгляд керівництву.

4.2.4. Погоджують проекти положень про структурні підрозділи, працівниками яких обробляються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них, за необхідності ініціюють внесення необхідних змін та доповнень до положень про структурні підрозділи та посадових інструкцій.

4.2.5. Інформують керівництво про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону.

4.2.6. Інформують керівництво про порушення встановлених процедур обробки персональних даних.

4.2.7. Фіксують факти порушень режиму захисту персональних даних у порядку, визначеному розділом 7 цього Положення.

4.3. Відповідальні особи мають право:

4.3.1. Перевіряти стан дотримання працівниками МОНмолодьспорту законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.

4.3.2. Вносити керівництву пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов'язків.

4.3.3. Розглядати вимоги працівників щодо заперечення проти обробки їх персональних даних.

5. Права та обов'язки працівників як суб'єктів персональних даних:

Відповідно до Закону працівники МОНмолодьспорту як фізичні особи, щодо яких здійснюється обробка їх персональних даних:

5.1. Є суб'єктами персональних даних.

5.2. Мають право:

- знати про місцезнаходження та призначення баз персональних даних, мету обробки даних у базах персональних даних;

- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані, що містяться у базах персональних даних;

- на доступ до своїх персональних даних, що містяться у базах персональних даних, відповідно до статті 16 "Порядок доступу до персональних даних" Закону;

- отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються їх персональні дані у базах персональних даних МОНмолодьспорту, а також отримувати зміст своїх персональних даних, які зберігаються;

- пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

- звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

- застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

5.3. Зобов'язані повідомляти МОНмолодьспорт про зміну своїх персональних даних, що підлягають обробці у базах персональних даних, у порядку, визначеному у пункті 7.1.5 цього Положення.

6. Обов'язки працівників МОНмолодьспорту, які обробляють персональні дані:

Працівники МОНмолодьспорту, які обробляють персональні дані:

6.1. Мають бути обізнані з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

6.2. Зобов'язані:

6.2.1. Запобігати втраті персональних даних або їх неправомірному використанню.

6.2.2. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків, при цьому таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом;

6.2.3. Терміново повідомляти відповідальних осіб у разі:

- втрати або неумисного знищення носіїв інформації з персональними даними;

- втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

- якщо ідентифікаційні дані для входу в автоматизовані системи стали відомі іншим особам, за винятком системного адміністратора МОНмолодьспорту;

- виявлення спроби несанкціонованого доступу до персональних даних.

6.2.4. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов'язків.

7. Порядок та документаційне забезпечення обробки персональних даних у МОНмолодьспорті:

7.1. Збирання персональних даних:

7.1.1. Обробка (у т. ч. збирання) персональних даних, зазначених у пункті 3.1, провадиться на підставі письмової згоди працівника, форму якої наведено у Додатку 1.

7.1.2. Працівники відділу кадрів державної служби департаменту роботи з персоналом та керівними кадрами МОНмолодьспорту, які оформлюють прийняття на роботу, роз'яснюють претендентам на посаду порядок оформлення прийняття на роботу, у т. ч. підстави для обробки їхніх персональних даних відповідно до Закону , повідомляють про мету обробки персональних даних.

7.1.3. При прийняті на роботу претендент на вакантну посаду подає документи, передбачені законодавством, у т. ч. документи, що підтверджують право на пільги та компенсації відповідно до законодавства, заяву про прийняття на роботу (у випадках, передбачених Кодексом законів про працю України , оформлюється трудовий договір у письмовій формі) та надає згоду на обробку своїх персональних даних за встановленою у Додатку 1 формою, зазначаючи прізвище, ім'я, по батькові, паспортні дані, особистий підпис, дату.

7.1.4. При прийнятті на роботу персональні дані вносяться до автоматизованих систем та картотек персональних даних.

7.1.5. Про зміну своїх персональних даних, що підлягають обробці у базах персональних даних, працівники МОНмолодьспорту повідомляють відділ кадрів державної служби департаменту роботи з персоналом та керівними кадрами у п'ятиденний строк з наданням відповідних документів.