06. Нормативно-правові акти щодо захисту конфіденційної інформації

Важливим кроком для захисту конфіденційної інформації з урахуванням розвитку інформатизації та утворення різноманітних баз даних було прийняття у 2010 році Закону України «Про захист персональних даних» (далі - Закон), який регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Він поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

У цьому Законі нижченаведені терміни вживаються в такому значенні:
- персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
- суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;
- обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
- база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
- володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Згідно статті 5 Закону персональні дані є об’єктами захисту.

Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України «Про засади запобігання і протидії корупції», не належать до інформації з обмеженим доступом.

Не належать до інформації з обмеженим доступом дані про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України «Про доступ до публічної інформації».

Згідно статті 6 Закону не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Згідно статті 8 суб'єкт персональних даних має право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захищеність своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

Згідно статті 24 Закону розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

В органах державної влади, органах місцевого самоврядування, а також у розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці:
1) інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
2) взаємодіє з Уповноваженим та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

Згідно статті 25 Закону дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здійснюється:
1) фізичною особою виключно для особистих чи побутових потреб;
2) виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів.

Контроль за додержанням вимог законодавства про захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини(далі - Уповноважений). Офіційний сайт Уповноваженого знаходиться тут. 

8 січня 2014 року наказом Уповноваженого № 1/02-14 були затверджені такі документи:
- Типовий порядок обробки персональних даних;
- Порядок здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних;
- Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.

1. Типовий порядок обробки персональних даних (далі - Порядок).

Розділ 3 «Захист персональних даних» Порядку визначає такі вимоги:
3.1. Володілець (розпорядник) персональних даних (далі - володілець) вживають заходів щодо захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.
3.2. Володілець самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

3.4. Організаційні заходи охоплюють:
- визначення порядку доступу до персональних даних працівників володільця;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання співробітників, які працюють з персональними даними.

3.5. Володілець веде облік працівників, які мають доступ до персональних даних суб’єктів. Володілець визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.

3.6. Усі інші працівники володільця мають право на повну інформацію лише стосовно власних персональних даних.

3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

3.13. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.

3.14. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

2. «Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (далі - Порядок).

Згідно п.1.2 Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів, - це будь-які дії з персональними даними про:
- расове, етнічне та національне походження;
- політичні, релігійні або світоглядні переконання;
- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
- стан здоров’я;
- статеве життя;
- біометричні дані;
- генетичні дані;
- притягнення до адміністративної чи кримінальної відповідальності;
- застосування щодо особи заходів в рамках досудового розслідування;
- вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
- вчинення щодо особи тих чи інших видів насильства;
- місцеперебування та/або шляхи пересування особи.

Згідно п.2.1 Порядку володілець повинен повідомити Уповноваженого про обробку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, крім випадків, якщо:
- здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;
- обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно персональних даних членів цих об’єднань та не передається без їх згоди;
- обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.

Закон України «Про організацію формування та обігу кредитних історій» (далі - Закон) визначає правові та організаційні засади формування і ведення кредитних історій, права суб'єктів кредитних історій та користувачів бюро кредитних історій, вимоги до захисту інформації, що складає кредитну історію, порядок утворення, діяльності та ліквідації бюро кредитних історій.

Терміни, що вживаються в Законі, мають таке значення:
- кредитна історія - це сукупність інформації про юридичну або фізичну особу, що її ідентифікує, відомостей про виконання нею зобов'язань за кредитними правочинами,  іншої відкритої інформації відповідно до Закону;
- бюро кредитних історій (далі - Бюро) - юридична особа, виключною діяльністю якої є збір, зберігання, використання інформації, яка складає кредитну історію;

Згідно статті 4 Закону основними принципами формування та доступу до інформації, яка складає кредитну історію, є конфіденційність інформації та її захист.

Згідно статті 12 Закону Бюро зобов'язане забезпечити захист інформації, що складає кредитну історію, згідно із законодавством України. Бюро не мають права доручати третім особам здійснювати діяльність з ведення кредитних історій.

Бюро та Користувачі несуть відповідальність згідно із законами України за перекручення, незаконне розголошення та нецільове використання інформації, що складає кредитну історію.

Згідно статті 15Закону у разі, якщо Бюро передбачає здійснювати діяльність із збирання та використання інформації, яка складає кредитну історію, воно починає здійснення такої діяльності з моменту отримання відповідної ліцензії.

Основним нормативним документом в Україні щодо поводження з матеріальними носіями, які містять службову інформацію (далі - документи), є «Типова інструкція про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію» (далі - Інструкція), затверджена постановою Кабінету Міністрів України від 19 жовтня 2016 року № 736.

Інструкція складається з таких розділів:
- загальна частина;
- приймання та реєстрація документів;
- облік видань з грифом «Для службового користування»
- облік електронних носіїв інформації;
- друкування і розмноження документів;
- формування виконаних документів у справи;
- користування документами;
- перегляд документів з грифом «Для службового користування»;
- підготовка справ до передачі на архівне зберігання та знищення;
- забезпечення збереженості документів та проведення перевірки їх наявності;
- охорона службової інформації під час міжнародного співробітництва.

Загальна частина

2. В установі утворюється комісія з питань роботи із службовою інформацією, яка постійно діє, положення про яку та склад якої затверджуються відповідним актом установи.

3. Основними завданнями комісії з питань роботи із службовою інформацією є:
- складення на підставі пропозицій структурних підрозділів установи та з урахуванням вимог законодавства переліку відомостей, що становлять службову інформацію (далі - перелік відомостей), і подання його на затвердження керівникові установи;
- перегляд документів з грифом “Для службового користування” (далі - ДСК) з метою його підтвердження або скасування;
- розгляд документів з грифом “ДСК” на предмет встановлення в них відомостей, що містять відкриту інформацію, яка може бути використана під час опрацювання запитів на публічну інформацію;
- розслідування на підставі рішення керівника установи фактів втрати документів з грифом “ДСК” та розголошення службової інформації;
- розгляд питання щодо присвоєння грифа “ДСК” документам, що містять службову інформацію, яка не передбачена переліком відомостей, за поданням осіб, які підписують такий документ;
- вивчення та проведення оцінки матеріалів, з якими планується ознайомити іноземців або які будуть їм передані.

До складу комісії з питань роботи із службовою інформацією включаються працівники структурних підрозділів установи, в яких створюється службова інформація, а також працівники режимно-секретного, мобілізаційного підрозділів, підрозділів криптографічного та/або технічного захисту інформації (у разі їх створення), структурного підрозділу з діловодства або документаційного забезпечення, підрозділу з питань запитів на інформацію або працівники, відповідальні за виконання відповідних функцій в установі.

4. Перелік відомостей складається установою відповідно до вимог частини другої статті 6 та статті 9 Закону України “Про доступ до публічної інформації”, затверджується керівником установи та оприлюднюється на її офіційному веб-сайті, а за відсутності такого веб-сайту - в інший прийнятний спосіб.

6. Організація в установі роботи з документами, що містять службову інформацію, покладається на структурний підрозділ з діловодства або документаційного забезпечення, а за його відсутності - на окрему посадову особу (далі - служба діловодства).

7. Служба діловодства ознайомлює працівників структурних підрозділів, а також членів зазначених у пункті 5 цієї Інструкції органів з інструкцією установи про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв, що містять службову інформацію (далі - інструкція установи), під розпис.

8. Документам, що містять службову інформацію, присвоюється гриф “Для службового користування”. На документах, що містять службову інформацію з:
- мобілізаційних питань, додатково проставляється відмітка “Літер “М”;
- питань криптографічного захисту службової інформації, - відмітка “Літер “К”;
- питань спеціальної інформації, - відмітка “СІ”.

9. Питання щодо необхідності присвоєння документу грифа “ДСК” вирішується виконавцем або посадовою особою, яка підписує документ, відповідно до переліку відомостей та з дотриманням вимог частини другої статті 6 та статті 9 Закону України “Про доступ до публічної інформації”.

11. Забороняється використовувати для передачі службової інформації відкриті канали зв’язку. У разі виникнення необхідності в передачі (надсиланні) документів, що містять службову інформацію, юридичним особам, громадським об’єднанням без статусу юридичної особи та фізичним особам, на яких не поширюються вимоги цієї Інструкції, останні беруть на себе письмове зобов’язання стосовно нерозголошення отриманої службової інформації.

12. Відповідальність за організацію та забезпечення дотримання в установах порядку ведення обліку, зберігання та використання документів, що містять службову інформацію, покладається на їх керівників.

14. Використання інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем чи засобів копіювально-розмножувальної техніки, що застосовуються під час обробки службової інформації, здійснюється на підставі розпорядчого документа керівника установи з дотриманням вимог законодавства у сфері захисту інформації.

15. Особливості ведення обліку, зберігання, передачі, пересилання, транспортування і знищення документів з відміткою “Літер “К”, засобів криптографічного захисту службової інформації, ключових документів, нормативної, технічної (експлуатаційної) документації визначаються нормативно-правовими актами Адміністрації Держспецзв’язку.

Приймання та реєстрація документів

18. Приймання та реєстрація документів з грифом “ДСК”, крім документів, зазначених в абзаці другому цього пункту, здійснюється централізовано службою діловодства.

21. Вхідна кореспонденція з грифом “ДСК” розкривається працівником служби діловодства, відповідальним за діловодство стосовно документів, що містять службову інформацію. При цьому перевіряється відповідність кількості аркушів, примірників, додатків до документів та їх реєстраційних індексів зазначеним на конверті (пакованні) та у супровідному листі.

22. У разі ведення окремої реєстрації документів з грифом “ДСК” з мобілізаційних питань, з питань криптографічного захисту службової інформації та з питань спеціальної інформації конверти (паковання) з відмітками “Літер “М”, “Літер “К” та “СІ”, що надійшли до служби діловодства, передаються нерозкритими структурним підрозділам чи посадовим особам, відповідальним за виконання відповідних видів робіт в установі, під розписку в журналі обліку пакетів (паковань) із зазначенням дати їх отримання та проставленням печатки “Для пакетів”.

23. За відсутності вкладень або порушення їх цілісності (невідповідності кількості аркушів, додатків до документа), пошкодження конверта (паковання), що призвело до унеможливлення прочитання тексту документа або можливого несанкціонованого ознайомлення з його змістом, а також невідповідності реєстраційного індексу документа зазначеному на конверті (пакованні), документ не реєструється. При цьому складається акт у двох примірниках, один примірник якого разом з отриманими документами надсилається відправникові, другий зберігається у службі діловодства.

24. Надіслані не за адресою документи з грифом “ДСК” повертаються відправникові без їх розгляду.

26. Облік електронних носіїв інформації, книг та інших видань, які є додатками до вхідного супровідного листа, ведеться окремо від вхідних документів. На супровідному листі, який долучається до відповідної справи, службою діловодства проставляються номер облікової форми, порядковий номер і дата взяття додатка на облік.

27. Реєстрація вхідних, вихідних та внутрішніх документів з грифом “ДСК” здійснюється окремо від документів, які не містять службову інформацію, з дотриманням вимоги щодо одноразовості реєстрації.

29. Реєстрація документів з грифом “ДСК” в електронній базі даних здійснюється з використанням спеціальних комп’ютерних програм та дотриманням вимог щодо технічного захисту інформації, встановлених законодавством.

Облік електронних носіїв інформації

35. На захисній оболонці електронного носія інформації (пластмасовій капсулі гнучкого магнітного диска, касеті або бобіні з магнітною стрічкою, на верхньому боці диска для лазерних систем зчитування, невід’ємній частині корпусу модулів флеш-пам’яті тощо) зазначаються найменування установи, обліковий номер і дата взяття на облік електронного носія, гриф “ДСК”.

36. Обліковий номер жорсткого магнітного диска зазначається на етикетці, що наклеюється на його корпусі або на опломбованому корпусі блока чи пристрою, в якому він розміщується.

37. Наклеювання на електронний носій інформації етикеток з обліковими номерами, зазначеними у пунктах 35 і 36 цієї Інструкції, здійснюється у спосіб, який виключає можливість розбирання пристрою без пошкодження етикетки, її непомітного видалення (зміни) або перенесення на інший носій інформації.

41. Ремонт блока чи пристрою з електронним носієм інформації, що має гриф “ДСК”, проводиться в установі у присутності працівника, якому такий носій в установленому порядку видано, та у разі необхідності - працівника, який відповідає за забезпечення захисту інформації в установі. У разі виникнення необхідності в передачі за межі установи такого блока чи пристрою для виконання ремонтних робіт електронний носій інформації вилучається та зберігається працівником, якому зазначений носій виданий в установленому порядку.

Друкування і розмноження документів

42. Друкування і розмноження в установі документів з грифом “ДСК” за допомогою електронно-обчислювальної та копіювально-розмножувальної техніки провадиться з урахуванням вимог законодавства у сфері захисту інформації.

Друкування і розмноження документів з мобілізаційних питань та з питань спеціальної інформації здійснюється працівниками установи, які мають допуск до роботи з такими документами.

43. У правому верхньому куті першої сторінки документа, що містить службову інформацію, проставляються гриф “ДСК” та номер примірника. Відмітки “Літер “М”, “Літер “К”, “СІ”, номер примірника зазначаються нижче грифа “ДСК”.

46. На зворотному боці останнього аркуша примірника документа, що залишається у справі установи, у нижньому лівому куті зазначаються кількість надрукованих примірників; перелік номерів примірників з найменуваннями адресатів (не більше чотирьох); номер пункту переліку відомостей установи або реквізити акта комісії з питань роботи із службовою інформацією, згідно з якими інформацію віднесено до службової; назва та обліковий номер електронного носія інформації або номер автоматизованого робочого місця, з якого друкувався документ.

48. На кожному примірнику вихідного документа та додатках до нього на лицьовому боці в нижньому лівому куті останнього аркуша зазначаються прізвище (прізвище, ім’я, по батькові) виконавця та номер його службового телефону.

49. Після реєстрації створеного документа з грифом “ДСК” його чернетки і роздруковані варіанти знищуються виконавцем шляхом подрібнення або іншим способом (спалювання, розплавлення, розчинення тощо), який виключає можливість їх прочитання та відновлення.

Надсилання документів

54. Надсилання документів з грифом “ДСК” іншим установам у межах України здійснюється рекомендованим поштовим відправленням або кур’єрською службою установи (кур’єрами), підрозділами урядового фельд’єгерського зв’язку, підрозділами органів спеціального зв’язку.

Передача службової інформації телекомунікаційними, інформаційно-телекомунікаційними мережами здійснюється лише з використанням засобів криптографічного захисту інформації, що в установленому порядку допущені до експлуатації, з дотриманням вимог технічного захисту інформації.

56. Документи з грифом “ДСК”, які надсилаються, повинні бути вкладені у конверти або упаковані у спосіб, який виключає можливість доступу та прочитання тексту чи реквізитів без порушення цілісності паковання.

59. У разі надсилання документів з мобілізаційних питань на конвертах (пакованнях) додатково проставляється відмітка “Літер “М”.

60. Надсилання документів з мобілізаційних питань в одному конверті (пакованні) з документами, що не стосуються мобілізаційних питань, не дозволяється.

Формування виконаних документів у справи

63. Виконані документи з грифом “ДСК” групуються у справи згідно із затвердженою в установі зведеною номенклатурою справ. Дозволяється долучати до справи із грифом “ДСК” документи з відкритою інформацією, якщо такі документи стосуються питань такої справи.

Документи з мобілізаційних питань долучаються до справ з мобілізаційної роботи, що мають відмітку “Літер “М”, а документи з питань спеціальної інформації - до справ з відміткою “СІ”.

71. Документи з мобілізаційних питань та з питань спеціальної інформації зберігаються в окремих робочих папках, футлярах або пакетах, на яких зазначаються прізвища та ініціали працівників, які мають право їх розкривати. Робочі папки, футляри або пакети з документами з мобілізаційних питань або з питань спеціальної інформації опечатуються особистою номерною металевою печаткою працівника, який безпосередньо з ними працює.

72.  Документи з відміткою “Літер “К” зберігаються окремо від інших документів та долучаються до справ, що формуються службою криптографічного захисту інформації установи або працівником, відповідальним за виконання такого виду робіт.

Користування документами

74. Вхідні, вихідні, внутрішні документи з грифом “ДСК” передаються працівникам відповідно до резолюцій керівника установи або його заступників, керівників підрозділів установи.

76. Робота з документами з мобілізаційних питань та з питань спеціальної інформації проводиться в окремо виділених і належним чином обладнаних службових приміщеннях з дотриманням вимог, які унеможливлюють ознайомлення із змістом таких документів сторонніх осіб.

82. Після ознайомлення з документами з грифом “ДСК” на зворотному боці запиту або припису на право проведення перевірки робиться запис про документи (реєстраційні дані, заголовки), з якими ознайомлено працівника іншої установи.

83. У разі потреби працівник іншої установи робить витяги з виданих йому документів з грифом “ДСК” у робочому зошиті, що має зазначений гриф, який після завершення роботи з документами надсилається установі, що робила запит на ознайомлення.

84. Працівник іншої установи може ознайомитися із змістом документа з грифом “ДСК”, отриманим від іншої установи, лише за письмовою згодою установи - розробника такого документа. Зазначена вимога не поширюється на представників органів державного нагляду (контролю) під час виконання ними відповідних функцій згідно із законодавством.

85. Забороняється використовувати службову інформацію, що міститься в документах з грифом “ДСК”, для відкритих виступів або опублікування у засобах масової інформації та демонструвати такі документи на стендах, у вітринах на відкритих виставках або в інших громадських місцях.

Перегляд документів з грифом “ДСК”

86. Перегляд документів з грифом “ДСК” проводиться з метою підтвердження наявності або відсутності в них відомостей, що становлять службову інформацію, не рідше ніж один раз на 5 років. Скасування грифа “ДСК” здійснюється за відсутності законних підстав для обмеження у доступі до службової інформації, які існували раніше.

87. Рішення про скасування грифа “ДСК” чи його підтвердження приймається комісією з питань роботи із службовою інформацією установи - розробника документа або відповідною комісією установи-правонаступника чи установи вищого рівня, якщо установа - розробник документа припинила свою діяльність.

90. Про скасування грифа “Для службового користування” письмово повідомляються всі установи, яким надсилався такий документ. За потреби можуть надсилатися витяги з протоколу засідання комісії з питань роботи із службовою інформацією.

91. На обкладинках справ та документах гриф “ДСК” погашається працівником служби діловодства (архівного підрозділу) установи шляхом його закреслення тонкою рискою та зазначення нижче на вільному від тексту місці дати і номера відповідного протоколу засідання комісії з питань роботи із службовою інформацією. Такі відмітки вносяться до реєстраційних та облікових форм, номенклатури та опису справ.

Забезпечення збереженості документів та проведення перевірки їх наявності

101. Документи і справи з грифом “ДСК” зберігаються у шафах, сейфах, що розташовані у службових приміщеннях або сховищах архіву. Шафи, сейфи, службові приміщення, сховища архіву повинні надійно замикатися і опечатуватися металевими печатками.

102. Документи з грифом “ДСК” можуть перебувати у працівників на виконанні протягом строку, необхідного для виконання завдання, за умови дотримання вимог їх зберігання, визначених пунктом 101 цієї Інструкції.

105. Документи з грифом “ДСК” не дозволяється виносити за межі установи, крім випадків передачі документів на виконання у структурні підрозділи, що розташовуються поза межами основного приміщення установи, та у разі виникнення необхідності в їх узгодженні, підписанні в установах, розташованих у межах одного населеного пункту.

Винесення документа з грифом “ДСК” за межі установи здійснюється на підставі резолюції керівника установи (його заступника) або керівника структурного підрозділу, в якому такий документ (його проект) підготовлено. При цьому документ повинен бути вкладений у конверт або упакований у такий спосіб, щоб виключити можливість його прочитання.

106. Особі, відрядженій до іншого населеного пункту, забороняється мати при собі документи з грифом “ДСК”. У разі потреби такі документи надсилаються за призначенням до початку відрядження.

107. В окремих випадках, зокрема у разі термінового позапланового відрядження, керівник установи (його заступник) ставить на доповідній записці керівника відповідного структурного підрозділу резолюцію, згідно з якою дає дозвіл на перевезення документів з грифом “ДСК” до іншого населеного пункту за умови, що такі документи перевозяться групою у складі не менше двох працівників, які повинні виконувати роботу з ними з дотриманням заходів, що унеможливлюють несанкціоноване ознайомлення з текстом таких документів.

108. Стан організації роботи з документами, що містять службову інформацію (наявність та фізичний стан документів, справ, видань, електронних носіїв інформації з грифом “ДСК”), не рідше ніж один раз на рік перевіряється комісією з питань проведення перевірки наявності документів з грифом “ДСК” після завершення діловодного року та формування справ.

До складу комісій з питань проведення перевірки наявності документів з грифом “Для службового користування” з відмітками “Літер “М”, “Літер “К” та “СІ” залучаються лише особи, допущені до роботи з такими документами.

110. Працівник, якому стало відомо про факт втрати документа, що містить службову інформацію, та про можливе розголошення відомостей, що становлять службову інформацію, невідкладно інформує керівника свого структурного підрозділу, який у письмовій формі терміново інформує про такий факт керівника установи та керівника служби діловодства.

У разі втрати документа, що містить службову інформацію, письмово повідомляється установі, від якої цей документ отримано. Про втрату документа, що містить службову інформацію, зібрану під час провадження оперативно-розшукової, контррозвідувальної діяльності, діяльності у сфері оборони держави, або можливе розголошення такої службової інформації повідомляється також органові СБУ із зазначенням обставин втрати документа (розголошення відомостей) та про вжиті заходи.

У разі втрати, відсутності відомостей про місцезнаходження або виникнення підозри про можливий доступ сторонніх осіб до інформації або документа, яким надана відмітка “Літер “К”, засобів криптографічного захисту службової інформації, технічної (експлуатаційної) документації, ключових даних невідкладно письмово інформується Адміністрація Держспецзв’язку.

111. Факти втрати документів або розголошення відомостей, які містять службову інформацію, розслідує комісія з питань роботи із службовою інформацією.

114. За результатами розслідування, яке триває не довше ніж один місяць, складається акт, що підписується членами комісії з питань роботи із службовою інформацією або спеціальної комісії та подається керівникові установи на затвердження. За наявності обґрунтованих пропозицій відповідної комісії, прийнятих на її засіданні, строк проведення розслідування може бути продовжено за резолюцією керівника установи не більш як на один місяць.

Розслідування починається з дати підписання розпорядчого документа про його проведення та завершується датою затвердження акта про результати проведення розслідування.

115. В окремому розділі акта про результати проведення розслідування зазначаються обставини, причини та умови настання відповідного випадку, рівень заподіяної шкоди або негативного впливу на діяльність установ, а також наводиться перелік втрачених документів.

Охорона службової інформації під час міжнародного співробітництва

118. Рішення про можливість прийому установою іноземних делегацій, груп та окремих іноземних громадян та осіб без громадянства (далі - іноземці) приймається керівником установи або його заступником, відповідальним за організацію прийому та роботу з іноземцями.

119. Організацію прийому іноземців і проведення роботи з ними забезпечує структурний підрозділ з питань зовнішніх відносин, а в установах, де такий підрозділ відсутній, - посадова особа, визначена керівником установи у розпорядчому документі (далі - підрозділ зовнішніх відносин).

120. Підрозділом зовнішніх відносин разом з іншими структурними підрозділами установи, що беруть участь у прийомі іноземців, за участю структурного підрозділу технічного захисту інформації (особи, відповідальної за виконання такої роботи) розробляється програма прийому іноземців, яка повинна містити:
- відомості про іноземців, найменування їх посад, а також інформацію про підприємство, установу, організацію, яку вони представляють, період перебування в установі;
- мету прийому іноземців, перелік питань, які плануються для обговорення. Інформація про діяльність установи, яка може бути доведена до іноземців або їм передана, зазначається у додатку до програми;
- список посадових осіб установи, відповідальних за прийом іноземців і виконання інших завдань, пов’язаних з перебуванням іноземців в установі (із зазначенням змісту таких завдань);
- перелік структурних підрозділів установи (із зазначенням приміщень, цехів, дільниць, лабораторій), які відвідуватимуться іноземцями;
- перелік місць та порядок застосування іноземцями кіно-, фото-, аудіо- і відеоапаратури, інших технічних засобів;
- маршрути і порядок пересування іноземців територією установи;
- інші необхідні заходи.

121. У разі коли під час прийому іноземців передбачається передача іноземцям в установленому законодавством порядку службової інформації, яка була зібрана під час провадження оперативно-розшукової, контррозвідувальної діяльності, діяльності у сфері оборони держави, керівник установи або за його дорученням керівник підрозділу зовнішніх відносин своєчасно інформує у письмовій формі орган СБУ про склад іноземної делегації (групи) із зазначенням прізвищ, імен і посад її членів, період перебування та мету відвідання устано