Відповідно до статті 6 Закону України "Про захист персональних даних" , Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 та пункту 8 Положення про Міністерство соціальної політики України , затвердженого постановою Кабінету Міністрів України від 17 червня 2015 року № 423,

1. Затвердити Порядок обробки персональних даних у базі персональних даних і в Єдиній інформаційно-аналітичній системі "Діти", що додається.

2. Департаменту захисту прав дітей та усиновлення (Колбаса Р.С.) забезпечити подання в установленому порядку цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Міністра з питань європейської інтеграції Устименка С.О.

1. Цей Порядок визначає загальні вимоги до обробки та захисту персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, кандидатів в усиновлювачі та усиновлювачів (далі – база даних), що обробляються без застосування автоматизованих засобів і містяться в документах на паперових носіях, і персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі та усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів, що обробляються в Єдиній інформаційно-аналітичній системі "Діти" (далі – ЄІАС "Діти") за допомогою автоматизованих засобів Департаментом захисту прав дітей та усиновлення (далі – Департамент) Міністерства соціальної політики України (далі – Міністерство).

2. Порядок розроблено на підставі Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-телекомунікаційних системах", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14.

3. Терміни в цьому Порядку вживаються у значеннях, наведених у Законі України "Про захист персональних даних" (далі – Закон), Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" та постановах Кабінету Міністрів України від 08 жовтня 2008 року № 905 "Про затвердження Порядку провадження діяльності з усиновлення та здійснення нагляду за дотриманням прав усиновлених дітей", від 24 вересня 2008 року № 866 "Питання діяльності органів опіки та піклування, пов'язаної із захистом прав дитини".

4. Володільцем та розпорядником персональних даних, що обробляються у Департаменті, є Міністерство.

5. Цей Порядок є обов'язковим для працівників Департаменту, на яких відповідно до їхніх посадових інструкцій покладено функції обробки персональних даних та/або яким надано доступ до бази даних.

6. Обробка персональних даних у базі даних на паперових носіях та в ЄІАС "Діти" здійснюється відповідно до Закону.

7. Місцезнаходження бази персональних даних на паперових носіях та в ЄІАС "Діти": м. Київ, вул. Еспланадна, 8/10.

8. Організацію роботи, пов'язаної із захистом персональних даних у Департаменті, забезпечує сектор роботи з базою даних (далі – відповідальний структурний підрозділ).

1. Метою обробки персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі, усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів у Департаменті є формування та забезпечення реалізації державної політики у сфері захисту прав дітей та усиновлення, моніторингу стану дотримання вимог законодавства щодо соціального захисту дітей відповідно до Положення про Міністерство соціальної політики України, затвердженого постановою Кабінету Міністрів України від 17 червня 2015 року № 423.

2. Обробка персональних даних дітей-сиріт, дітей, позбавлених батьківського піклування, дітей, які перебувають у складних життєвих обставинах, кандидатів в усиновлювачі, опікуни, піклувальники, прийомні батьки, батьки-вихователі та усиновлювачів, опікунів, піклувальників, прийомних батьків, батьків-вихователів забезпечується Міністерством відповідно до пункту 2 частини першої статті 11 Закону на підставі дозволу на обробку персональних даних, наданого володільцю персональних даних виключно для здійснення його повноважень.

3. Порядок доступу третіх осіб до персональних даних визначається відповідно до вимог Закону.

1. Відповідальний структурний підрозділ:

1) забезпечує:

ознайомлення керівників структурних підрозділів і працівників Департаменту, які у зв'язку з виконанням своїх посадових обов'язків мають доступ до персональних даних, з вимогами законодавства про захист персональних даних, зокрема, щодо обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали їм відомі у зв'язку з виконанням службових обов'язків;

аналіз процесів обробки персональних даних відповідно до завдань і функцій Департаменту;

доступ суб'єктів персональних даних до власних персональних даних, що обробляються в Департаменті;

ведення обліку фактів надання та позбавлення працівників Департаменту права обробки та/або доступу до персональних даних в ЄІАС "Діти";

реєстрацію зобов'язань про нерозголошення персональних даних;

розмежування режимів доступу працівників Департаменту до обробки персональних даних відповідно до їхніх службових обов'язків;

2) фіксує факти порушень режиму захисту персональних даних у Департаменті;

3) за необхідності готує проекти змін до цього Порядку;

4) інформує керівництво Департаменту про заходи, яких необхідно вжити для приведення складу персональних даних і процедур їх обробки у відповідність до Закону.

2. Відповідальним за виконання покладених на відповідальний структурний підрозділ основних завдань і виконання ним своїх функцій, дотримання працівниками виконавської дисципліни є керівник цього підрозділу.

3. Керівник відповідального структурного підрозділу має право:

1) перевіряти стан дотримання працівниками Департаменту законодавства у сфері захисту персональних даних і виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушення порядку обробки та захисту персональних даних;

2) вносити керівництву Департаменту пропозиції про розмежування режиму доступу працівників до персональних даних відповідно до їхніх посадових обов'язків;

3) розглядати вимоги суб'єктів персональних даних щодо заперечення проти обробки їхніх персональних даних;

4) користуватися доступом до будь-яких даних, що обробляються у Департаменті, та до всіх приміщень Департаменту, де здійснюється така обробка.

1. Працівники Департаменту, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники Департаменту, які обробляють персональні дані, зобов'язані:

1) запобігати втраті персональних даних та їх неправомірному використанню;

2) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом);

3) терміново повідомляти керівника відповідального структурного підрозділу в разі:

втрати або неумисного знищення носіїв інформації з персональними даними;

втрати ними ключів від приміщень, сейфів, шаф, у яких зберігаються персональні дані;

якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам;

виявлення спроби несанкціонованого доступу до персональних даних.