Відповідно до Закону України "Про захист персональних даних" , Типового порядку обробки персональних даних у базах персональних даних , затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованого в Міністерстві юстиції України 03 січня 2012 року за № 1/20314,

1. Затвердити Порядок обробки персональних даних у базі персональних даних "Працівники" Національної комісії, що здійснює державне регулювання у сфері комунальних послуг (додається).

2. Визначити відповідальним за організацію роботи в Національній комісії, що здійснює державне регулювання у сфері комунальних послуг, пов’язаної із захистом персональних даних при їх обробці у базі персональних даних "Працівники", Управління кадрового забезпечення.

3. Управлінню кадрового забезпечення та Юридичному управлінню в установленому законодавством порядку забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1.1. Цей Порядок розроблено з метою встановлення загальних вимог до організаційних та технічних заходів захисту персональних даних під час їх обробки у базі персональних даних "Працівники" (далі - база персональних даних) Національної комісії, що здійснює державне регулювання у сфері комунальних послуг (далі - Комісія), та є обов’язковим для виконання працівниками Національної комісії, що здійснює державне регулювання у сфері комунальних послуг, які мають доступ до персональних даних та обробляють персональні дані.

1.2. Терміни у цьому Порядку вживаються у значенні, наведеному в Законі України "Про захист персональних даних" (далі - Закон) і Типовому порядку обробки персональних даних у базах персональних даних , затвердженому наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованому в Міністерстві юстиції України 03 січня 2012 року за № 1/20314.

1.3. Комісія здійснює обробку персональних даних відповідно до законодавства з метою і в обсязі, визначеними в цьому Порядку.

1.4. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цих персональних даних.

1.5. До персональних даних працівника належать відомості чи сукупність відомостей про працівника, за якими він ідентифікується чи може бути конкретно ідентифікованим.

Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

1.6. База персональних даних розміщується в Управлінні кадрового забезпечення Комісії.

1.7. Третіми особами, яким Комісією здійснюється передача персональних даних відповідно до закону, є:

органи державної влади;

банківська установа, що надає послуги Комісії у рамках зарплатного карткового проекту;

інші юридичні та фізичні особи, що звертаються із запитом щодо доступу до персональних даних працівників.

1.8. Обробка персональних даних у базі персональних даних проводиться з метою забезпечення реалізації трудових, соціально-трудових відносин, відносин у сфері управління персоналом, адміністративно-правових відносин, відносин у сфері бухгалтерського і податкового обліку та є необхідною для:

ведення кадрового діловодства;

підготовки визначеної законодавством статистичної та іншої звітності;

документального забезпечення прав та обов’язків працівників та роботодавця у сфері праці та соціального захисту.

1.9. Персональні дані у базі персональних даних обробляються на паперових носіях та за допомогою автоматизованої системи "Картка" єдиної державної комп'ютерної системи "Кадри" (далі - Автоматизована система), автоматизованої системи - програмного комплексу "ІС-ПРО", а також інших програмних продуктів.

1.10. Персональні дані працівників Комісії обробляються Управлінням кадрового забезпечення:

у картотеках особових карток;

в інших документах, що містять персональні дані працівників Комісії, у тому числі трудових книжках, організаційно-розпорядчих документах, звітних та облікових формах;

в складі Автоматизованої системи.

1.11. В Управлінні фінансування, бухгалтерського обліку та звітності Комісії персональні дані працівників Комісії обробляються в складі автоматизованої системи - програмного комплексу "ІС-ПРО".

2.1. Відповідно до визначеної пунктом 1.8 розділу І цього Порядку мети обробки персональних даних працівників Комісії в базі персональних даних обробляються такі персональні дані:

1) на підставі Закону :

прізвище, ім’я, по батькові;

дата і місце народження;

паспортні дані;

реєстраційний номер облікової картки платника податків або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний орган державної податкової служби і мають відмітку у паспорті);

відомості про майно, доходи, витрати і зобов’язання фінансового характеру (декларація про майно, доходи, витрати і зобов’язання фінансового характеру);

відомості, що містяться в особовій картці встановленого зразка, і фотографії розміром і в кількості, визначених Порядком проведення конкурсу на заміщення вакантних посад державних службовців , затвердженим постановою Кабінету Міністрів України від 15 лютого 2002 року № 169;

фактичне місце проживання, номер телефону;

2) за згодою на обробку персональних даних (додаток 1) суб’єкта персональних даних інші персональні дані, необхідність обробки яких пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності Комісії, а також у рамках зарплатного карткового проекту.

2.2. Працівники Комісії як суб’єкти персональних даних мають право:

знати про місцезнаходження бази персональних даних, яка містить їх персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (місцеперебування) володільця чи розпорядника персональних даних, або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються їх персональні дані;

на доступ до своїх персональних даних;

отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються їхні персональні дані у відповідній базі персональних даних, а також отримувати зміст своїх персональних даних, які зберігаються;

пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

відкликати згоду на обробку персональних даних;

знати механізм автоматичної обробки персональних даних;

на захист від автоматизованого рішення, яке має для них правові наслідки.

3.1. Структурний підрозділ, відповідальний за організацію роботи, пов’язаної із захистом персональних даних:

1) забезпечує:

організацію обробки персональних даних працівниками Комісії відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;

аналіз процесів обробки персональних даних відповідно до основних завдань та функцій Комісії, у тому числі визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та ненадмірність персональних даних згідно з визначеною метою їх обробки та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав для їх обробки;

ознайомлення працівників Комісії з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;

організацію обробки запитів третіх осіб щодо доступу до персональних даних;

2) сприяє доступу суб’єктів персональних даних до власних персональних даних;

3) погоджує проекти положень про структурні підрозділи, працівниками яких обробляються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них;

4) інформує Голову Комісії про:

заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону ;

порушення встановлених процедур обробки персональних даних;

втрату або неумисне знищення носіїв інформації з персональними даними;

втрату ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

розголошення ідентифікаційних даних для входу в систему "Картка" іншим особам, крім системного адміністратора Комісії, призначеного наказом Голови Комісії;

виявлення спроби несанкціонованого доступу до персональних даних;

5) фіксує факти порушень режиму захисту персональних даних.

3.2. Структурний підрозділ, відповідальний за організацію роботи, пов’язаної із захистом персональних даних, має право:

1) перевіряти дотримання працівниками Комісії законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних;

2) вносити Голові Комісії пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків;

3) розглядати вимоги працівників щодо зміни або знищення їх персональних даних, заперечення проти обробки власних персональних даних.

4.1. Працівники Комісії, які обробляють персональні дані, зобов’язані:

1) виконувати вимоги законодавства про захист персональних даних;

2) запобігати втраті персональних даних або їх неправомірному використанню;

3) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.

4.2. Під використанням персональних даних працівників згідно зі статтею 10 Закону розуміються будь-які дії Комісії щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаним із персональними даними, що здійснюються за згодою працівника Комісії чи відповідно до закону.

4.3. Відомості про особисте життя працівників Комісії не можуть використовуватися як чинник, що підтверджує чи спростовує їх ділові якості.

4.4. Доступ до персональних даних працівників Комісії, внесених до Автоматизованої системи та картотек персональних даних, мають Голова Комісії, члени Комісії, керівник апарату, працівники Управління фінансування, бухгалтерського обліку та звітності, Управління кадрового забезпечення та Сектору з питань запобігання та протидії корупції, начальник Юридичного управління, системний адміністратор Комісії відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.

4.5. Право на доступ до персональних даних та на їх обробку надається особам, зазначеним у пункті 4.4 цього розділу, лише після підписання зобов’язання про нерозголошення персональних даних (додаток 2).

Зобов’язання про нерозголошення персональних даних, які їм було довірено або стали відомі у зв’язку з виконанням посадових обов’язків, дають також члени Комісії із соціального страхування.

Забезпечення отримання таких зобов’язань покладається на працівників Управління кадрового забезпечення.

Зобов’язання про нерозголошення персональних даних реєструються у журналі реєстрації зобов’язань про нерозголошення персональних даних (додаток 3).

Датою надання права доступу до персональних даних вважається дата реєстрації зобов’язання про нерозголошення персональних даних.

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на іншу посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.

Після реєстрації зобов’язання про нерозголошення персональних даних формуються в окрему справу.

4.6. Працівники Комісії допускаються до обробки персональних даних в Автоматизованій системі лише після їх авторизації. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, блокується.

4.7. При обробці персональних даних в складі Автоматизованої системи та в картотеках Комісії структурний підрозділ, відповідальний за організацію роботи, пов’язаної із захистом персональних даних, забезпечує:

1) захист персональних даних відповідно до вимог закону, зокрема:

антивірусний захист в Автоматизованій системі;

використання технічних засобів безперебійного живлення елементів Автоматизованої системи;

зберігання картотек у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу;

обладнання дверей у приміщеннях (шафах, сейфах) замком;

2) обробку персональних даних працівників в Автоматизованій системі, у якій забезпечується захист персональних даних, шляхом:

здійснення обробки персональних даних в базі персональних даних в Автоматизованій системі класу АС-1;

забезпечення завантаження Автоматизованої системи лише за умови ідентифікації та автентифікації працівників Комісії, які мають доступ до бази персональних даних;