Про затвердження Порядку обробки та захисту персональних даних в Службі безпеки України
Відповідно до статей 10, 13 Закону України «Про Службу безпеки України», статті 6 Закону України «Про захист персональних даних»
1. Затвердити Порядок обробки та захисту персональних даних в Службі безпеки України, що додається.
2. Начальнику Управління правового забезпечення Служби безпеки України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому законодавством порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
|
ПОГОДЖЕНО:
|
|
Порядок
обробки та захисту персональних даних в Службі безпеки України
1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, які обробляються в Службі безпеки України (далі — СБУ).
2. У цьому Порядку терміни вживаються у значеннях, наведених у Законах України «Про захист персональних даних», «Про захист інформації в інформаційно-комунікаційних системах», а також інших актах законодавства, що регулюють питання захисту персональних даних.
3. Володільцем персональних даних, які обробляються відповідно до цього Порядку, є СБУ.
4. Розпорядниками персональних даних є підрозділи Центрального управління, регіональні органи, органи військової контррозвідки, навчальні, наукові, науково-дослідні та інші заклади, установи, організації і підприємства СБУ, а також штаб Антитерористичного центру при СБУ (далі — підрозділи, органи, заклади СБУ).
5. Загальна організація роботи, пов’язана з обробкою та захистом персональних даних під час їхньої обробки, у підрозділах, органах, закладах СБУ покладається на їх керівників (начальників).
6. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікована.
Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
7. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України «Про захист персональних даних».
8. Персональні дані обробляються в інформаційно-комунікаційних системах СБУ автоматизовано в електронній формі за допомогою технічних і програмних засобів та у паперовій формі.
9. Цей Порядок є обов’язковим до виконання підрозділами, органами, закладами СБУ, а також співробітниками-військовослужбовцями СБУ, працівниками, які уклали трудовий договір з СБУ, державними службовцями СБУ, які мають доступ до персональних даних та обробляють персональні дані, володільцем яких є СБУ.
II. Мета та підстави обробки персональних даних
1. Метою обробки персональних даних є забезпечення реалізації в СБУ:
відносин, що виникають у зв’язку з проходженням військової, державної служби та роботи;
відносин у сфері охорони здоров’я;
відносин у сфері архівної справи;
інших відносин, що потребують обробки персональних даних (забезпечення бойової підготовки та повсякденної діяльності, забезпечення матеріально-технічними засобами, озброєнням та військовою технікою, забезпечення житлом, реалізації інших соціальних гарантій);
інших завдань, визначених законодавством та пов’язаних з обробкою персональних даних.
2. Персональні дані обробляються на підставі положень Конституції України та Законів України «Про захист персональних даних», «Про інформацію», «Про захист інформації в інформаційно-комунікаційних системах», «Про Службу безпеки України», «Про військовий обов’язок і військову службу», «Про державну службу», а також інших законів з метою здійснення повноважень СБУ.
III. Категорії суб’єктів персональних даних
1. Володілець та розпорядники персональних даних здійснюють обробку персональних даних стосовно:
співробітників-військовослужбовців СБУ;
працівників, які уклали трудовий договір з СБУ;
військовозобов’язаних та резервістів;
курсантів вищих військових навчальних закладів (військових навчальних підрозділів закладів вищої освіти);
кандидатів на військову службу, державну службу, роботу в СБУ;
осіб, звільнених з військової служби, або направлених для проходження військової служби до інших військових формувань, утворених відповідно до законів України;
інших громадян України, іноземців, осіб без громадянства за наявності визначених законодавством підстав.
2. Склад персональних даних, які обробляються в СБУ, залежить від категорії суб’єкта персональних даних. Визначення складу персональних даних по кожній окремо категорії суб’єктів персональних даних здійснюється згідно з вимогами законодавства, на підставі яких обробляються відповідні персональні дані.
3. В СБУ обробляються такі персональні дані: прізвище, ім’я, по батькові (за наявності); дата і місце народження; паспортні дані (або дані іншого документа, що посвідчує особу), дата видачі та орган, що видав паспорт (або документ, що посвідчує особу); реєстраційний номер облікової картки платника податків (за наявності) або відомості стосовно внесення запису про відмову від прийняття реєстраційного номера облікової картки платника податків (якщо особа через свої релігійні переконання відмовилася від прийняття такого реєстраційного номера і повідомила про це контролюючий орган відповідно до закону); відомості про освіту, стан здоров’я (в обсязі, необхідному для визначення придатності до військової служби, можливості зайняття відповідної посади та/або для реалізації трудових відносин), сімейний стан, адресу задекларованого/зареєстрованого місця проживання (перебування); номери контактних (мобільних) телефонів; відомості, що підтверджують право на пільги та компенсації; фотозображення; відеозображення; відомості про проходження військової (державної) служби, що містяться в особовій справі; відомості про військовий облік, що містяться в особових справах призовників або в облікових картках військовозобов’язаних та резервістів; відомості про трудову діяльність, що містяться в трудовій книжці, а також інші персональні дані, які дають змогу ідентифікувати особу та необхідність обробки яких визначена законодавством.
4. Обробка персональних даних, щодо яких встановлені особливі вимоги або інформації, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7, 9, 11 Закону України «Про захист персональних даних».
IV. Порядок обробки персональних даних
1. Спосіб збирання, накопичення персональних даних
1. Збирання персональних даних здійснюється шляхом надання суб’єктами персональних даних відповідних документів (зокрема, про військову, державну службу, працю) та в інший спосіб, визначений законодавством.
2. Накопичення зібраних персональних даних здійснюється згідно з вимогами законодавства, зокрема, про військову, державну службу, працю.
2. Строки та умови зберігання персональних даних
1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не довше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
2. Подальша обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися за умови забезпечення їх належного захисту.
3. Внесення змін, видалення або знищення персональних даних
1. Персональні дані підлягають зміні та доповненню за наявності підстав, визначених Законом України «Про захист персональних даних» та іншими актами законодавства.
2. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб’єктом персональних даних та СБУ, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
3. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
4. Персональні дані видаляються або знищуються в порядку, встановленому законодавством.
4. Умови передачі персональних даних третім особам
1. Передача персональних даних третім особам здійснюється відповідно до закону.
2. Передача персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
5. Доступ до персональних даних
1. Суб’єкт персональних даних має право на доступ до своїх персональних даних, крім випадків, установлених законом.
2. Архівні документи та довідковий апарат до них (картотеки, каталоги тощо), що містять персональні дані та знаходяться на зберіганні у Галузевому державному архіві СБУ, обробляються відповідно до Закону України «Про Національний архівний фонд та архівні установи» та інших нормативно-правових актів у галузі архівної справи.
3. Суб’єкт персональних даних має право на одержання від СБУ будь-яких відомостей про себе за умови надання інформації, визначеної у пункті 1 частини четвертої статті 16 Закону України «Про захист персональних даних», крім випадків, установлених законом.
6. Заходи забезпечення захисту персональних даних та процедура збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них
1. Під час обробки персональних даних забезпечується їх захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, випадкових втрат, копіювання, поширення.
2. Керівники (начальники) підрозділів, органів, закладів СБУ, відповідальних за ведення баз персональних даних, вживають необхідних заходів з метою забезпечення процедури обробки персональних даних відповідно до чинного законодавства та належного рівня захисту персональних даних від несанкціонованого доступу.
3. Обробка персональних даних в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах здійснюється на облікованих у встановленому порядку електронних (машинних) носіях інформації із забезпеченням захисту персональних даних відповідно до закону.
В інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах здійснюється обов’язкова реєстрація:
результатів ідентифікації та автентифікації користувачів;
результатів виконання користувачем операцій з обробки інформації;
спроб несанкціонованих дій з інформацією;
фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
результатів перевірки цілісності засобів захисту інформації.