Відповідно до Закону України "Про захист персональних даних" , Типового порядку обробки персональних даних у базах персональних даних , затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованого в Міністерстві юстиції України 03 січня 2012 року за № 1/20314, Національна комісія, що здійснює державне регулювання у сфері енергетики,

1. Затвердити Порядок обробки персональних даних у базі персональних даних Національної комісії, що здійснює державне регулювання у сфері енергетики (додається).

2. Визначити відповідальним за організацію роботи в НКРЕ, пов’язаної із захистом персональних даних при їх обробці, відділ роботи з персоналом, запобігання та протидії корупції.

3. Відділу роботи з персоналом, запобігання та протидії корупції в установленому законодавством порядку забезпечити подання цієї постанови на державну реєстрацію до Міністерства юстиції України.

4. Ця постанова набирає чинності з дня її офіційного опублікування.

1.1. Цей Порядок розроблено з метою встановлення загальних вимог до організаційних та технічних заходів захисту персональних даних під час їх обробки у базі персональних даних "Працівники" (далі - база персональних даних) Національної комісії, що здійснює державне регулювання у сфері енергетики, та є обов’язковим для виконання працівниками НКРЕ, які мають доступ до персональних даних та обробляють персональні дані.

1.2. Терміни у цьому Порядку вживаються у значенні, наведеному в Законі України "Про захист персональних даних" (далі - Закон) і Типовому порядку обробки персональних даних у базах персональних даних , затвердженому наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованому в Міністерстві юстиції України 03 січня 2012 року за № 1/20314.

1.3. НКРЕ здійснює обробку персональних даних відповідно до законодавства з метою і в обсязі, визначеними в цьому Порядку.

1.4. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цих персональних даних.

1.5 До персональних даних працівника належать відомості чи сукупність відомостей про працівника, за якими він ідентифікується чи може бути конкретно ідентифікованим.

Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

Для бази персональних даних НКРЕ розпорядники відсутні.

1.6. База персональних даних розміщується у відділі роботи з персоналом, запобігання та протидії корупції НКРЕ (далі - відділ роботи з персоналом).

1.7. Третіми особами, яким НКРЕ здійснюється передача персональних даних відповідно до закону, є:

органи державної влади;

банківська установа, що надає послуги НКРЕ у рамках зарплатного карткового проекту;

інші юридичні та фізичні особи, що звертаються із запитом щодо доступу до персональних даних працівників.

1.8. Обробка персональних даних у базі персональних даних проводиться з метою забезпечення реалізації трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку, адміністративно-правових відносин, відносин у сфері бухгалтерського і податкового обліку та є необхідною для:

ведення кадрового діловодства;

підготовки визначеної законодавством статистичної та іншої звітності;

документального забезпечення прав та обов’язків працівників та роботодавця у сфері праці та соціального захисту.

1.9. Персональні дані у базі персональних даних обробляються на паперових носіях та за допомогою автоматизованої системи "Картка" єдиної державної комп'ютерної системи "Кадри" (далі - Автоматизована система), автоматизованої системи - програмного комплексу "ІС-ПРО", а також інших програмних продуктів (Excel, Word тощо).

1.10. Персональні дані працівників НКРЕ обробляються відділом роботи з персоналом:

у картотеках особових карток та військового обліку;

в інших документах, що містять персональні дані працівників НКРЕ, у тому числі трудових книжках, організаційно-розпорядчих документах, звітних та облікових формах;

в складі Автоматизованої системи.

1.11. В управлінні з фінансово-економічних питань, бухгалтерського обліку та звітності НКРЕ персональні дані працівників НКРЕ обробляються в складі автоматизованої системи - програмного комплексу "ІС-ПРО".

1.12. НКРЕ обробляє персональні дані працівників в Автоматизованій системі, у якій забезпечується захист персональних даних, шляхом:

здійснення обробки персональних даних в базі персональних даних в Автоматизованій системі класу АС-1;

призначення системного адміністратора НКРЕ;

забезпечення завантаження Автоматизованої системи лише за умови ідентифікації та автентифікації працівників НКРЕ, які мають доступ до бази персональних даних;

надання доступу до перегляду зареєстрованих дій в Автоматизованій системі лише системному адміністратору НКРЕ та працівникам НКРЕ, визначеним у пункті 4.6 розділу ІV цього Порядку;

реєстрації дій працівників, які мають доступ до персональних даних працівників НКРЕ;

реєстрації та блокування спроб порушення захисту бази персональних даних;

наявності ідентифікаторів про підтвердження надання згоди на обробку персональних даних працівників НКРЕ та зобов’язання про нерозголошення персональних даних;

забезпечення цілісності засобів захисту бази персональних даних;

забезпечення антивірусного захисту бази персональних даних.

2.1. Відповідно до визначеної пунктом 1.9 розділу І цього Порядку мети обробки персональних даних працівників НКРЕ в базі персональних даних обробляються такі персональні дані:

прізвище, ім’я, по батькові;

дата і місце народження;

паспортні дані;

реєстраційний номер облікової картки платника податків або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний орган державної податкової служби і мають відмітку у паспорті);

для військовозобов’язаних та призовників - відомості з військового квитка або тимчасового посвідчення (замість військового квитка) та посвідчення про приписку до призовної дільниці в обсязі, необхідному для ведення військового обліку;

відомості про майно, доходи, витрати і зобов’язання фінансового характеру (декларація про майно, доходи, витрати і зобов’язання фінансового характеру);

відомості, що містяться в особовій картці встановленого зразка, і фотографії розміром і в кількості, визначених Порядком проведення конкурсу на заміщення вакантних посад державних службовців , затвердженим постановою Кабінету Міністрів України від 15 лютого 2002 року № 169;

фактичне місце проживання, номер телефону;

інші персональні дані, необхідність обробки яких пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності НКРЕ.

2.2. Працівники НКРЕ як суб’єкти персональних даних мають право:

знати про місцезнаходження бази персональних даних, яка містить їх персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються їх персональні дані, що містяться у відповідній базі персональних даних;

на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються їх персональні дані у відповідній базі персональних даних, а також отримувати зміст їх персональних даних, які зберігаються;

пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить здійснення захисту персональних даних, або до суду;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

відкликати згоду на обробку персональних даних;

знати механізм автоматичної обробки персональних даних;

на захист від автоматизованого рішення, яке має для них правові наслідки.

3.1. Обов’язки структурного підрозділу, відповідального за організацію роботи, пов’язаної із захистом персональних даних:

3.1.1. Забезпечує:

організацію обробки персональних даних працівниками НКРЕ відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;

аналіз процесів обробки персональних даних відповідно до основних завдань та функцій НКРЕ, у тому числі визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та ненадмірність персональних даних згідно з визначеною метою їх обробки та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав для їх обробки;

визначення баз персональних даних, що підлягають державній реєстрації;

ознайомлення працівників НКРЕ з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;

організацію обробки запитів третіх осіб щодо доступу до персональних даних.

3.1.2. Сприяє доступу суб’єктів персональних даних до власних персональних даних.

3.1.3. Погоджує проекти положень про структурні підрозділи, працівниками яких обробляються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них.

3.1.4. Інформує Голову НКРЕ про:

заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону ;

порушення встановлених процедур обробки персональних даних;

втрату або неумисне знищення носіїв інформації з персональними даними;

втрату ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

розголошення ідентифікаційних даних для входу в систему "Картка" іншим особам, крім системного адміністратора НКРЕ, призначеного наказом Голови НКРЕ;

виявлення спроби несанкціонованого доступу до персональних даних.

3.1.5. Фіксує факти порушень режиму захисту персональних даних.

3.2. Структурний підрозділ, відповідальний за організацію роботи, пов’язаної із захистом персональних даних, має право:

3.2.1. Перевіряти дотримання працівниками НКРЕ законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.

3.2.2. Вносити Голові НКРЕ пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.

3.2.3. Розглядати вимоги працівників щодо зміни або знищення їх персональних даних, заперечення проти обробки власних персональних даних.

4.1. Працівники НКРЕ, які обробляють персональні дані, зобов’язані:

4.1.1. Виконувати вимоги законодавства про захист персональних даних.

4.1.2. Запобігати втраті персональних даних або їх неправомірному використанню.

4.1.3. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.

4.2. Під використанням персональних даних працівників згідно зі статтею 10 Закону розуміються будь-які дії НКРЕ щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою працівника НКРЕ чи відповідно до закону.

4.3. Відомості про особисте життя працівників НКРЕ не можуть використовуватися як чинник, що підтверджує чи спростовує їх ділові якості.

4.4. Обробка персональних даних, зазначених у пункті 2.1 розділу ІІ цього Порядку, здійснюється відповідно до вимог чинного законодавства та за згодою на обробку персональних даних (додаток 1).

4.5. Доступ до персональних даних працівників НКРЕ, внесених до Автоматизованої системи та картотек персональних даних, мають Голова НКРЕ, члени Комісії, керівник апарату, працівники бухгалтерії та відділу роботи з персоналом, начальник юридичного управління, системний адміністратор НКРЕ відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.

4.6. Право на доступ до персональних даних та на їх обробку надається особам, зазначеним у пункті 4.5 цього розділу, лише після підписання зобов’язання про нерозголошення персональних даних (додаток 2).

Зобов’язання про нерозголошення персональних даних, які їм було довірено або стали відомі у зв’язку з виконанням посадових обов’язків, дають також члени комісії НКРЕ із соціального страхування.

Забезпечення отримання таких зобов’язань покладається на працівників відділу роботи з персоналом.

Зобов’язання про нерозголошення персональних даних реєструються у журналі реєстрації зобов’язань про нерозголошення персональних даних (додаток 3).

Датою надання права доступу до персональних даних вважається дата реєстрації зобов’язання про нерозголошення персональних даних.

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на іншу посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.

Після реєстрації зобов’язання про нерозголошення персональних даних формуються в окрему справу.

4.7. Працівники НКРЕ допускаються до обробки персональних даних в Автоматизованій системі лише після їх авторизації. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, блокується.

4.8. При обробці персональних даних в складі Автоматизованої системи та в картотеках НКРЕ забезпечує захист персональних даних відповідно до вимог закону, зокрема:

антивірусний захист в Автоматизованій системі;

використання технічних засобів безперебійного живлення елементів Автоматизованої системи;

зберігання картотек у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу;

обладнання дверей у приміщеннях (шафах, сейфах) замком.

4.9. Факти порушень режиму захисту персональних даних фіксуються актами, які складає керівник відділу роботи з персоналом.

У разі необхідності за фактами порушень режиму захисту персональних даних Головою НКРЕ призначається службове розслідування.

4.10. Збирання персональних даних працівників НКРЕ передбачає дії з підбору чи впорядкування відомостей про працівників НКРЕ та внесення їх до бази персональних даних.