Національний аерокосмічний університет «Харківський авіаційний інститут»
Університет
Про ХАІ Місія та візія Цінності Гімн Університету Історія Університету ХАІ під час війни Віртуальний тур по Університету Брендбук
Керівництво
Структура Університету Організаційна структура Підрозділи Університету Факультети та кафедри
Наглядова рада
Вчена рада
Університетська аналітика та інфраструктура
Нормативні документи
Стратегія розвитку
Публічна інформація
Комплаєнс, етика та безпека Запобігання корупції Комісія з трудових спорів Запобігання тероризму Академічна доброчесність Комісія з питань роботи зі службовою інформацією Дотримання мовного законодавства
Профспілка співробітників
Асоціація випускників
Газета
Вибори ректора
Вступ
Зимовий вступ
Предметні олімпіади
Правила прийому
Обрати спеціальність
Вступ для майбутніх бакалаврів Випускникам шкіл Випускникам технікумів та коледжів
Вступ для майбутніх магістрів
Вступ для майбутніх аспірантів та докторантів
Іноземним громадянам
Приймальна комісія
ІТ-коледж ХАІ
Консультаційний відділ
Підготовче відділення
Освітні центри «Крим/Донбас-Україна»
Асистент при вступі до ХАІ
Застосунок
Студенту
Розклад занять
Студмістечко
Портал дистанційного навчання
Студентське самоврядування Студентська рада Профком студентів та аспірантів ХАІ Молодіжна рада Інші органи студентського впливу
Студентські олімпіади, конкурси, семінари, форуми
Стипендії, гранти та соціальна підтримка Академічні стипендії Соціальні стипендії Гранти та міжнародні програми
Кар’єра та стейкхолдери Відділ сприяння працевлаштуванню студентів та випускників Стейкхолдери
Навчально-виховна робота Патріотичне, громадянське та правове виховання Академічна доброчесність Практикуючий психолог Академічна мобільність
Студентське конструкторське бюро
Опитування та анкетування студентів
Форум «Викладач-студент»
Оплата он-лайн
Освіта
Факультети та кафедри
Навчальні програми та освітні траєкторії Освітні програми і компоненти Спеціальності Каталог дисциплін Індивідуальна освітня траєкторія
Ліцензування та акредитація
Графік освітнього процесу
Система забезпечення якості освіти
Центри і відділи навчання
Цифрове освітнє середовище Mentor Pilot Epos
Підвищення кваліфікації Регіональний тренінговий центр інформаційних технологій, кібербезпеки та захисту інформації Підвищення кваліфікації викладачів
Академічна доброчесність
Неформальна освіта
Наука
Наукова діяльність університету Пріоритетні напрями досліджень Статистика наукових проєктів, грантів, публікацій
Відділ аспірантури і докторантури Спеціалізовані вчені ради
Наукові структури Науково-дослідна частина Науково-технічна рада Наукові школи Наукові конференції Наукові семінари
Наукові публікації Наукові видання Електронний репозитарій
Центр колективного користування науковим обладнанням «Створення та дослідження аерокосмічних об’єктів та систем»
Молодіжна наука Рада молодих учених Наукове товариство студентів, аспірантів, докторантів і молодих вчених Наукові гуртки
Науково-технічна бібліотека
Стипендії, гранти, премії, конкурси Стипендії Премії Гранти Конкурси
Програми розвитку інновацій
Сталий розвиток
Стратегія сталого розвитку Університету
Цілі сталого розвитку
Центр стратегічного розвитку та публічного позиціонування Положення про Центр стратегічного розвитку та публічного позиціонування
Офіс рівності, інклюзії та безпечного середовища Положення про Офіс рівності, інклюзії та безпечного середовища Кімната ментального здоров’я Політика інклюзивної мови Школа гендерних знань
Рейтинги Міжнародні рейтинги Національні рейтинги
Маркетинг та брендинг Брендбук KhaiStore
Меморандуми та партнерство
Новини
Контакти
Поиск
UKR ENG

Положення про захист персональних даних

Положення про про захист персональних даних
у Національному аерокосмічному університеті
«Харківський авіаційний інститут»

Затверджено:
Вченою радою
Національного аерокосмічного університету
«Харківський авіаційний інститут»
протокол №10 від 22 квітня 2026 року

Введено в дію наказом №187 від 22 квітня 2026 року

 

СУЯ ХАІ-ЮВ-П/001:2026

Дата введення в дію: 22 квітня 2026 року

Редакція № 1

1. Загальні положення

1.1. Це Положення про захист персональних даних (далі — Положення) регулює правові та організаційні засади обробки і захисту персональних даних у Національному аерокосмічному університеті «Харківський авіаційний інститут» (далі - Університет), встановлює порядок їх збору, зберігання, використання, поширення та захисту. Положення визначає комплекс організаційних та технічних заходів, спрямованих на запобігання незаконному доступу до персональних даних, їх втраті, незаконному використанню чи поширенню під час здійснення Університетом освітньої, наукової, кадрової, фінансово-господарської та іншої діяльності.

1.2. Це Положення розроблено відповідно до:

- Конституції України;

- Закону України «Про захист персональних даних»;

- Закону України «Про освіту»;

- Закону України «Про вишу освіту»;

- Закону України «Про інформацію»;

- Закону України «Про доступ до публічної інформації»;

- Закону України «Про електронні документи та електронний документообіг»;

- Закону України «Про електронну ідентифікацію та електронні довірчі послуги»;

- Типового порядку обробки персональних даних, затвердженого Уповноважені™ Верховної Ради України з прав людини від 08.01.2014 № 1/02-14;

- Загального регламенту про захист даних ЄС (СЮРК) — в частині обробки персональних даних іноземних студентів та партнерів із країн Європейського Союзу, а також під час реалізації міжнародних грантових програм;

- Статуту Університету;

- інших нормативно-правових актів України і Університету у сфері захисту інформації та персональних даних.

У випадку змін у законодавстві України норми цього Положення застосовуються в частині, що не суперечить чинному законодавству.

1.3. Дія цього Положення поширюється на всі структурні підрозділи Університету, його працівників, здобувачі в освіти, а також інших осіб, персональні дані яких обробляються Університетом. Це Положення є обов’язковим ДЛЯ виконання всіма працівниками Університету, які здійснюють обробку персональних даних або мають до них доступ.

1.4. У Цьому Положенні терміни вживаються у значеннях, наведених у Законі України «Про захист персональних даних», а саме:

- База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі (зокрема, в ЄДЕБО, внутрішніх СЕД) та/або у формі картотек (особові справи).

- Відповідальна особа - призначена наказом ректора особа, яка організовує роботу із захисту персональних даних та контролює дотримання цього Положення в Університеті.

- Володілець персональних даних—Університет в особі ректора, який визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки.

- Згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних. Згода може надаватися у письмовій формі або в електронній формі (з використанням КЕП, систем електронної ідентифікації, зокрема через портал/застосунок «Дія»).

- Знеособлення персональних даних—вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу (використовується під час надання відповідей на запити щодо публічної інформації або публікації статистичних даних).

- Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем Університету.

- Персональні дані (ПД ) - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, що відповідно до законодавства України та Положення про порядок зберігання та розповсюдження відомостей, що становлять комерційну таємницю та іншу конфіденційну інформацію Університету належать до конфіденційної інформації про фізичну особу та підлягають захисту, а їх обробка допускається виключно на підставах і в порядку, визначених законом.

- Порушення безпеки персональних даних (витік) - знищення, втрата, зміна, несанкціоноване розголошення або доступ до персональних даних, що передаються, зберігаються або іншим чином обробляються Університетом.

- Розпорядник персональних даних — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.

- Суб’єкт персональних даних - фізична особа, персональні дані якої обробляються Університетом (здобувач освіти, працівник, вступник, контрагент тощо).

- Третя особа - будь-яка особа (крім суб’єкта персональних даних, володільця, розпорядника та Уповноваженого Верховної Ради України з прав людини), якій Університетом здійснюється передача персональних даних відповідно до закону (зокрема, Міністерство освіти і науки України (МОН), Національне агентство забезпечення якості вищої освіти (НАЗЯВО), Територіальні центри комплектування та соціальної підтримки (ТЦК та СП), правоохоронні органи, банки тощо).

- Уповноважені особи - працівники Університету, які відповідно до своїх посадових обов’язків мають право доступу та здійснюють обробку персональних даних у відповідних структурних підрозділах (відділ кадрів, бухгалтерія, деканати тощо).

1.5. Обробка персональних даних в Університеті здійснюється на засадах:

- законності та справедливості;

- цільового призначення та обмеження мети обробки;

- пропорційності та мінімізації даних;

- достовірності та актуальності персональних даних;

- обмеження строків зберігання;

- забезпечення належного рівня захисту персональних даних.

1.6. Університет є володільцем персональних даних здобувачів освіти, працівників, вступників та інших осіб, персональні дані яких обробляються у зв’язку з виконанням його статутної діяльності.

Університет забезпечує:

- визначення мети обробки персональних даних;

- встановлення складу та процедур обробки персональних даних;

- впровадження організаційних і технічних заходів захисту персональних даних;

- призначення відповідальної особи (структурного підрозділу) з питань захисту персональних даних.

1.7. Де Положення підлягає оприлюдненню на офіційному вебсайті Університету та доводиться до відома працівників та здобувачів освіти іншим доступним способом.

1.8. Університет гарантує, що обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки. Втручання в особисте та сімейне життя суб'єктів персональних даних забороняється. В Університеті не збираються, не обробляються відомості про расове або етнічне походження працівників (здобувачів освіти), їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.

1.9. Згода на обробку персональних даних, а також Зобов'язання про нерозголошення персональних даних можуть надаватися суб’єктами ж у паперовій формі, так і в електронній. Електронна форма реалізується шляхом накладання кваліфікованого електронного підпису (КЕП), використання сервісу «Дія.Підпис», інших електронних довірчих послуг відповідно до законодавства України, або шляхом проставлення відмітки (чекбокса) на офіційних вебресурсах та в інформаційно- комунікаційних системах Університету. Електронні документи та лоти авторизації зберігаються в інформаційних системах Університету і мають однакову юридичну силу з паперовими аналогами.

1.10. Працівники Університету, які обробляють персональні дані у зв'язку з виконанням своїх посадових обов'язків, діють від імені Університету як володільця і не є розпорядниками персональних даних. Університет має право доручити обробку персональних даних здобувачів освіти, працівників та інших суб'єктів Розпоряднику (сторонній юридичній або фізичній особі) на підставі письмового договору, в якому обов'язково зазначаються мета обробки, обсяг даних та зобов'язання Розпорядника щодо забезпечення їх захисту та конфіденційності.

1.11. Первинні профспілкові організації, що діють в Університеті, самостійно забезпечують захист відомостей, наданих працівниками / здобувачами освіти, які є членами профспілки, і вважаються володільцями таких персональних даних.

2. Категорії суб’єктів та склад персональних даних

2.1. В Університеті здійснюється обробка персональних даних (далі - ПД) таких категорій суб’єктів:

- здобувачі вищої освіти (студенти, аспіранти, докторанти), вступники, слухачі підготовчого відділення, курсів та випускники;

- працівники Університету (штатні працівники, працівники за сумісництвом, кандидати на працевлаштування, колишні працівники);

- особи, пов’язані зі здобувачами освіти (батьки або інші законні представники здобувачів вищої освіти та вступників, а також платники за договором про надання платної освітньої послуги для здобувача освіти, якщо він не платить самостійно);

- фізичні особи-підприємці, особи, які виконують роботи за цивільно-правовими договорами, а також представники, керівники, засновники та працівники юридичних осіб - контрагентів Університету: партнерів, стейкхолдерів, баз практик тощо;

- відвідувачі, користувачі інфраструктури та учасники заходів Університету (які не є здобувачами освіти або працівниками Університету);

- потенційні вступники (особи, які беруть участь у профорієнтаційних, маркетингових та ознайомчих заходах Університету).

2.2. Склад персональних даних здобувачів вищої освіти та вступників:

- ідентифікаційні дані: прізвище, ім’я, по батькові, дата і місце народження, стать, громадянство;

- паспортні дані та реєстраційний номер облікової картки платника податків (РНОКПП);

- контактна інформація (адреса реєстрації та фактичного проживання, номер телефону, електронна пошта);

- відомості про попередню освіту (документи про освіту, результати НМТ/ЗНО/ЄВІ/ЄФВВ);

- відомості про хід освітнього процесу (успішність, накази про рух контингенту, інформація про індивідуальну освітню траєкторію);

- відомості про військовий облік (дані паперових військово-облікових документів, електронні військово-облікові документи (е-ВОД) з (QR-кодом, згенеровані через застосунок «Резерв+» або портал/застосунок «Дія», а також дані з Єдиного державного реєстру призовників, військовозобов'язаних та резервістів «Оберіг»);

- дані про батьків або інших законних представників (прізвище, ім’я, по батькові, адреса проживання, номер телефону, місце роботи) - для зв'язку в екстрених випадках та інформування щодо освітнього процесу (для неповнолітніх здобувачів);

- відомості про стан здоров’я (медичні довідки та висновки, необхідні для вступу на певні спеціальності згідно з Правилами прийому; для поселення та проживання в гуртожитку, звільнення від занять з фізичного виховання; надання академічної відпустки за медичними показаннями; підтвердження права на особливі умови складання іспитів, а також медичні документи, необхідні для забезпечення умов інклюзивного навчання), листки непрацездатності, довідки МСЕК про встановлення інвалідності, а також інформація про обов'язкові профілактичні щеплення (вакцинацію) або результати медичних обстежень — виключно у випадках, коли надання такої інформації прямо вимагається законодавством України для допуску до освітнього процесу, виконання посадових обов'язків або проживання в гуртожитку); 

- відомості про належність до пільгових категорій (документи, що підтверджують право на соціальні стипендії, пільгове проживання, державні гранти);

- фінансові реквізити (номери банківських рахунків для виплати стипендій чи повернення коштів);

- фотозображення.

2.3. Склад персональних даних працівників:

- ідентифікаційні та паспортні дані, реєстраційний номер облікової картки платника податків (РНОКПП);

- дані про освіту, наукові ступені, вчені звання, підвищення кваліфікації;

- відомості з трудової книжки (в тому числі, електронної) або відомості про трудову діяльність з реєстру застрахованих осіб;

- відомості про військовий облік (дані паперових військово-облікових документів, електронні військово-облікові документи (е-ВОД) з QR-кодом, згенеровані через мобільний застосунок «Резерв+» або портал/застосунок «Дія», а також дані з Єдиного державного реєстру призовників, військовозобов'язаних та резервістів «Оберіг»);

- відомості про стан здоров’я (результати обов'язкових попередніх та періодичних психіатричних і медичних оглядів при прийомі на роботу та під час трудової діяльності; дані особових медичних (санітарних) книжок для визначених категорій посад; медичні висновки (МСЕК) щодо встановлення інвалідності для забезпечення належних умов праці та застосування податкових пільг; електронні та паперові листки непрацездатності, а також інформація про обов'язкові профілактичні щеплення (вакцинацію) або результати медичних обстежень - виключно у випадках, коли надання такої інформації прямо вимагається законодавством України для допуску до освітнього процесу, виконання посадових обов'язків або проживання в гуртожитку);

- фінансові дані (розмір заробітної плати, банківські реквізити, дані для податкового обліку);

- сімейний стан та наявність дітей (для реалізації прав на відпустки та соціальні пільги);

- цифрові ідентифікатори (логіни в корпоративних системах, цифрові підписи);

- фотозображення.

2.4. Склад персональних даних осіб, пов'язаних зі здобувачами освіти (батьків, усиновителів, опікунів або інших законних представників*, а також замовників / платників за договором про надання платної освітньої послуги):

* якщо законний представник здобувача освіти не є замовником / платником за договором про надання платної освітньої послуги для здобувача освіти, стосовно нього збираються лише дані, які зазначені у цьому пункті позначкою *

- ідентифікаційні дані: прізвище, ім’я, по батькові*;

- контактна інформація: адреса зареєстрованого та фактичного місця проживання, номер телефону, адреса електронної пошти - для офіційного листування за договором, зв’язку в екстрених випадках та інформування щодо освітнього процесу (для неповнолітніх здобувачів)*;

- відомості про родинні зв’язки та належність до соціальних/пільгових категорій: копії свідоцтва про народження, рішень органів опіки, посвідчень УБД, довідок ВПО, свідоцтва про смерть тощо обробляються виключно в межах, необхідних для підтвердження повноважень представника, а також для оформлення пільг, соціальних стипендій та державних грантів для здобувачів освіти*;

- документальні та податкові дані: реквізити документа, що посвідчує особу (паспорта / ГО-картки), та реєстраційний номер облікової картки платника податків (РНОКПП) — збираються під час укладання договорів про надання освітніх послуг або договорів про проживання в гуртожитку, де особа виступає Замовником / платником, а також для цілей податкового обліку;

- фінансові дані, банківські реквізити (рахунки у форматі IBAN) — збираються у разі здійснення оплати, необхідності повернення коштів за навчання / проживання або проведення фінансових звірок;

- зразки підписів: власноручний підпис або дані сертифікатів кваліфікованого електронного підпису (КЕП / Дія.Підпис) під час підписання договорів, додаткових угод та актів наданих послуг.

2.5. Склад персональних даних фізичних осіб-підприємців (ФОП), осіб за цивільно- правовими договорами та представників юридичних осіб (контрагентів, партнерів баз практик):

- ідентифікаційні дані (прізвище, ім’я, по батькові);

- посада та місце роботи;

- контактна інформація (робочий телефон, адреса електронної пошти);

- відомості про повноваження підписанта (дані, що містяться у витягах з ЄДР, статутах, наказах про призначення або довіреностях, які можуть включати паспортні дані та РНОКПП керівника/представника);

- ідентифікаційні дані ФОП та осіб за цивільно-правовими договорами (паспортні дані, РНОКПП, банківські реквізити, адреса реєстрації);

- зразки підписів (у тому числі дані сертифікатів кваліфікованих електронних підписів-КЕП).

2.6. Склад персональних даних відвідувачів, користувачів інфраструктури та учасників заходів Університету (які не є здобувачами освіти або працівниками Університету):

- ідентифікаційні дані та дані для пропускного режиму: прізвище, ім’я, по батькові, реквізити документів, що посвідчують особу, час входу/виходу, а також відомості про особу, до якої здійснюється візит (збираються виключно для цілей забезпечення пропускного режиму, охорони майна, оформлення тимчасових перепусток, читацьких/абонементних квитків та внесення записів до журналів обліку відвідувачів навчальних корпусів і гуртожитків);

- контактна інформація: номер телефону, адреса електронної пошти (для реєстрації на заходи, надсилання матеріалів конференцій, комунікації з користувачами бібліотеки чи спортивних комплексів);

- професійні та академічні відомості: місце роботи або навчання, посада, науковий ступінь, вчене звання (збираються під час реєстрації запрошених гостей та учасників освітніх, наукових та інших заходів, конференцій, симпозіумів тощо);

- відомості про стан здоров’я: медичні довідки встановленого зразка (збираються виключно для відвідувачів спортивних комплексів, басейнів тощо, якщо надання такої довідки є обов'язковою умовою доступу згідно з санітарними нормами та правилами відвідування);

- фінансові дані: інформація про здійснені платежі (у разі сплати організаційних внесків за участь у конференціях, оплати послуг користування спортивною інфраструктурою або іншими платними послугами Університету).

2.7. Склад персональних даних потенційних вступників (учасників профорієнтаційних заходів)*:

- ідентифікаційні дані: прізвище, ім’я, по батькові, дата народження або вік (збирається з метою перевірки досягнення суб'єктом віку, з якого дозволяється самостійне надання згоди на обробку ПД);

- контактна інформація: номер телефону, адреса електронної пошти, профілі в месенджерах (Telegram, Viber тощо) та соціальних мережах, населений пункт/регіон проживання (для запрошення на регіональні офлайн-заходи);

- академічні інтереси: інформація про навчальний заклад, у якому навчається особа (школа, коледж), клас/курс, рік випуску та бажані спеціальності для вступу.

* Збір паспортних даних, РНОКПП, точної домашньої адреси або інших надлишкових даних від цієї категорії суб'єктів забороняється.

2.7.1. Порядок отримання обов'язкової згоди на обробку ПД потенційних вступників:

Збір вказаних даних здійснюється виключно на підставі чіткої, добровільної та інформованої згоди суб’єкта (або його законного представника, якщо особі не виповнилося 14 років). Згода отримується у такі способи:

- під час онлайн-реєстрації (через вебсайти, електронні форми, зокрема, Google Форми, тощо): шляхом самостійного проставлення суб’єктом відмітки (галочки) у чекбокси «Надаю згоду на обробку моїх персональних даних у маркетингових та профорієнтаційних цілях». Чекбокс не повинен бути активованим (проставленим) за замовчуванням. Поруч із чекбоксом розмішується посилання на текст цього Положення або коротке повідомлення про конфіденційність.

- під час офлайн-заходів (виставки, дні відкритих дверей, ярмарки професій): шляхом проставлення особистого підпису суб’єкта на паперовій анкеті/картці, що містить застереження про згоду на обробку ПД, або шляхом сканування QR-коду з переходом на електронну форму надання згоди.

Кожне електронне повідомлення (розсипка на email, SMS, у месенджерах), що надсилається таким суб'єктам, обов'язково повинно містити простий та зрозумілий механізм відкликання згоди (кнопку «Відписатися» або інструкцію щодо відмови від розсипки). Після відкликання згоди ПД суб'єкта підлягають негайному видаленню з відповідних баз персональних даних Університету.

2.8. Загальні дані, що збираються щодо всіх без винятку категорій суб’єктів персональних даних під час їхньої фізичної або цифрової взаємодії з Університетом:

- відеозображення: фото- та відеодані, зафіксовані системами відеоспостереження під час перебування будь-яких осіб на території, на пропускних пунктах та в приміщеннях загального користування Університету* (збираються виключно з метою забезпечення громадського порядку, безпеки учасників освітнього процесу, охорони майна Університету та запобігання правопорушенням);

* в зонах ведення відеоспостереження обов'язково розміщуються відповідні попереджувальні інформаційні таблички на видних місцях

- мережеві та цифрові ідентифікатори: IP-адреси, МАС-адреси пристроїв, файли cookie (під час відвідування вебсайтів Університету або використання університетських мереж Wi-Fi з метою забезпечення кібербезпеки);

- дані систем контролю доступу (у разі їх впровадження): електронні логи входу/виходу, зафіксовані автоматизованими системами пропуску (СКУД) під час перетину пунктів контролю на території або в приміщеннях Університету;

- аудіодані (у випадку використання відповідних технічних засобів): записи телефонних розмов під час звернень на офіційні гарячі лінії чи довідкові служби Університету (здійснюється виключно за умови попереднього автоматичного звукового попередження абонента про ведення такого запису).

3. Мета та правові підстави обробки персональних даних

3.1. Метою обробки персональних даних в Університеті є:

- забезпечення реалізації відносин у сфері освіти і науки (організація вступної кампанії, освітнього процесу, видача документів про вищу освіту, забезпечення інклюзивного навчання, ведення ЄДЕБО);

- забезпечення трудових відносин (ведення кадрового діловодства, нарахування заробітної плати, контроль за станом здоров'я працівників згідно з вимогами охорони праці);

- укладання та виконання договорів про надання освітніх послуг, про надання інших послуг, договорів оренди/проживання та інших договорів з контрагентами;

- проведення профорієнтаційної роботи, маркетингових досліджень, інформування потенційних вступників про правила прийому, дні відкритих дверей, підготовчі курси та інші заходи Університету (виключно за умови отримання попередньої згоди суб'єкта);

- здійснення бухгалтерського та податкового обліку, адміністрування державних грантів, стипендій та соціальних пільг;

- забезпечення ведення військового обліку призовників, військовозобов’язаних та резервістів відповідно до законодавства України;

- забезпечення пропускного режиму, безпеки та охорони майна на території Студентського містечка Університету;

- реалізація програм міжнародної академічної мобільності та грантових проектів;

- забезпечення захисту прав і свобод фізичних осіб, зокрема права на недоторканність приватного життя, у зв’язку з обробкою їх персональних даних.

3.2. Обробка персональних даних здійснюється на таких правових підставах:

- згода суб’єкта ЦЦ (або його законного представника) на обробку ПД;

- дозвіл на обробку ПД, наданий Університету відповідно до закону виключно для здійснення його повноважень (зокрема, Закони України «Про вишу освіту», «Про військовий обов’язок і військову службу», Кодекс законів про працю України, Податковий кодекс України тощо);

- укладення та виконання правочину (договору), стороною якого є суб’єкт ЦЦ;

- необхідність виконання обов’язку володільця ПД, який передбачений законом.

4. Порядок збору, обробки та зберігання персональних даних

4.1. Порядок збору та надання згоди.

ПД збираються безпосередньо від суб’єктів шляхом надання паперових копій документів, передачі електронних копій цифрових документів через застосунки «Дія», «Резерві», а також (за згодою суб'єкта або на вимогу' закону) шляхом електронної інформаційної взаємодії з державними реєстрами (ЄДЕБО, ЄДРВЗР «Оберіг», реєстри ПФУ) через систему «Трембіта».

Обробка ПД здійснюється після надання суб’єктом чіткої та добровільної згоди. Згода надається у письмовій формі або в електронній формі з використанням кваліфікованого електронного підпису (КЕП) чи систем електронної ідентифікації. Форми згоди різних категорій суб’єктів персональних даних на обробку ПД наведено у Додатку до цього Положення.

У випадках, передбачених статтею 11 Закону України «Про захист персональних даних», обробка ПД здійснюється без отримання згоди (в рамках виконання прямих вимог законодавства, наприклад, щодо військового або податкового обліку).

4.2. Порядок обробки та зберігання.

ПД обробляються у формі картотек (особові справи) та/або в електронній формі (в ЄДЕБО, системах електронного документообігу (СЕД), корпоративних інформаційних системах).

Документи на паперових носіях (особливо ті, що містять чутливі дані про стан здоров'я або військовий облік) зберігаються у спеціально обладнаних приміщеннях або в металевих шафах/сейфах, доступ до яких мають виключно працівники Університету або уповноважені особи (розпорядники).

Обробка персональних даних про стан здоров’я (відомостей про інвалідність, тимчасову непрацездатність, наявність медичних протипоказань тощо) здійснюється виключно уповноваженими особами (працівниками відділу кадрів, бухгалтерії, деканатів) у межах, необхідних для реалізації трудових, соціальних та освітніх прав суб’єктів відповідно до закону. Такі особи зобов’язані дотримуватися посиленого режиму конфіденційності та використовувати ці дані виключно за цільовим призначенням, із забезпеченням посилених заходів конфіденційності відповідно до вимог ст. 7 Закону України «Про захист персональних даних».

ПД в електронній формі зберігаються на захищених серверах Університету або у хмарних сховищах, що відповідають вимогам у сфері захисту інформації.

Строки зберігання ПД визначаються відповідно до Номенклатури справ Університету та законодавства про архівну справу. ПД знищуються (або знеособлюються) після закінчення строку їх зберігання, після досягнення мети обробки

або на законну вимогу суб’єкта шляхом складання відповідного акту про знищення.

4.3. Організація доступу працівників.

Працівники Університету допускаються до обробки ПД лише після підписання зобов’язання про нерозголошення персональних даних. Форму зобов’язання про нерозголошення персональних даних наведено у Додатку до цього Положення.

Зобов'язання щодо нерозголошення персональних даних залишається чинним і після звільнення працівника або припинення виконання ним відповідних обов'язків.

Доступ до електронних баз надається працівникам виключно в обсязі, необхідному для виконання їхніх посадових обов'язків, з використанням індивідуальних засобів автентифікації.

4.4. Надання персональних даних за запитами правоохоронних органів, судів, адвокатів чи інших третіх осіб здійснюється виключно у випадках, передбачених законом, на підставі письмового і вмотивованого запиту, який містить чітке посилання на правову підставу, мету запиту та перелік необхідних даних. Безпідставні або занадто широкі запити підлягають відхиленню.

5. Права та обов’язки суб’єктів персональних даних

5.1. Згідно зі статтею 8 Закону України «Про захист персональних даних» суб’єкт ПД має право:

- знати про джерела збирання, місцезнаходження своїх ПД, мету їх обробки;

- отримувати інформацію про умови надання доступу до ПД третім особам;

- на доступ до своїх персональних даних;

- пред’являти вмотивовану вимогу із запереченням проти обробки своїх ПД або вимогу щодо їх зміни чи знищення, якщо ці дані обробляються незаконно чи є недостовірними;

- на захист своїх ПД від незаконної обробки та випадкової втрати;

- відкликати згоду на обробку ПД (крім випадків, коли обробка є безальтернативною вимогою закону);

- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду.

5.2. Порядок реалізації прав

Університет протягом 10 робочих днів з дня надходження запиту повідомляє суб’єкта про те, чи буде його запит задоволено. Загальний строк вирішення питань, порушених у запиті, не може перевищувати 30 календарних днів.

5.3. Суб'єкт персональних даних зобов'язаний:

- надавати достовірні персональні дані в обсязі, необхідному для досягнення мети обробки;

- своєчасно (у строки, визначені внутрішніми правилами або законодавством) повідомляти Університет про зміну своїх персональних даних (зокрема, зміну прізвища, адреси, оновлення військово-облікових документів або медичних висновків, що впливають на освітній/робочий процес).

5.4. Наслідки відкликання згоди або вимоги щодо знищення персональних даних

У разі, якщо суб’єкт ЦЦ вимагає знищення своїх персональних даних або відкликає згоду на їх обробку, і ці дані є необхідними для забезпечення освітнього процесу, ведення військового чи податкового обліку, нарахування заробітної плати/стипендії або виконання інших обов’язків Університету, передбачених законодавством України, Університет роз’яснює суб’єкту наслідки такої вимоги.

Якщо подальша обробка таких ПД є безальтернативною умовою перебування особи у статусі здобувача освіти або працівника, задоволення вимоги про знищення ПД або припинення їх обробки тягне за собою неможливість подальшого виконання Університетом своїх зобов’язань.

У такому випадку неможливість обробки обов’язкових персональних даних є підставою для припинення відповідних правовідносин (відрахування здобувача освіти, звільнення працівника або розірвання господарського договору) у зв’язку з неможливістю виконання сторонами своїх обов’язків.

Вищезазначене не стосується випадків відкликання згоди на обробку ПД, які збиралися виключно в маркетингових, профорієнтаційних цілях або для надання додаткових сервісів, не пов’язаних безпосередньо з виконанням вимог законодавства про освіту чи трудового законодавства.

6. Передача персональних даних третім особам

6.1. Загальні умови передачі

Передача ПД третім особам здійснюється виключно за згодою суб'єкта ПД або у випадках, прямо передбачених законом.

Передача ПД у комерційних цілях забороняється.

6.2. Обов'язкова передача ПД за законом:

Університет передає ПД (в обсягах, визначених законодавством) без додаткової згоди таким установам:

- Міністерству освіти і науки України (зокрема, через ЄДЕБО);

- Територіальним центрам комплектування та соціальної підтримки - для забезпечення військового обліку;

- Органам Державної податкової служби, Пенсійному фонду України;

- Національному агентству із забезпечення якості вищої освіти (НАЗЯВО);

- Державній казначейській службі України;

- Державній аудиторській службі України;

- Центрам зайнятості;

- Банківським установам (для обслуговування зарплатних, стипендіальних проектів згідно з договорами);

- Лікувально-профілактичним установам, які забезпечують проведення обов'язкових медичних оглядів.

6.3. Передача ПД за запитами:

Надання ПД на запити правоохоронних органів, судів, органів державної виконавчої служби здійснюється лише на письмову та обґрунтовану вимогу із посиланням на конкретні норми закону.

Надання ПД у відповідь на запити щодо доступу до публічної інформації або адвокатські запити здійснюється з обов'язковим знеособленням (ретушуванням) ПД, окрім випадків, коли відкриття таких даних вимагається законодавством.

6.4. Транскордонна передача ПД:

Передача ПД іноземним суб’єктам (іноземним закладам освіти, грантовим фондам) здійснюється в рамках програм міжнародної мобільності або міжнародного партнерства виключно за наявності згоди суб’єкта ПД або на підставі міжнародного договору України.

Транскордонна передача дозволяється державам, які забезпечують належний рівень захисту ПД (зокрема, згідно з нормами GDPR).

7. Організаційні та технічні заходи захисту персональних даних

7.1. Організаційні заходи захисту

7.1.1. В Університеті застосовується децентралізована модель управління захистом персональних даних. Відповідальність за організацію роботи із захисту ПД покладається безпосередньо на керівників структурних підрозділів та робочих органів Університету (відділ кадрів, бухгалтерія, деканати, приймальна комісія, стипендіальна комісія, військово-мобілізаційний підрозділ тощо) в межах їхніх функціональних обов'язків та щодо тих масивів даних, які вони обробляють.

7.1.2. Організацію захисту ПД в Університеті, координацію та методичне керівництво здійснює відповідальна особа, яка призначається наказом ректора. Відповідальна особа консультує керівників структурних підрозділів та контролює наявність підписаних Згод на збір та обробку персональних даних та Зобов'язань про нерозголошення персональних даних, а також координує надання відповідей на запити суб'єктів персональних даних.

Безпосередню обробку ПД у структурних підрозділах (відділ кадрів, бухгалтерія, деканати тощо) здійснюють уповноважені працівники, які мають доступ до цих даних згідно з їхніми посадовими обов’язками та підписали Зобов'язання про нерозголошення персональних даних.

7.1.3. Керівники відповідних структурних підрозділів на своїх ділянках роботи самостійно організовують процес обробки ПД, проводять інструктажі для підпорядкованих працівників, які мають до них доступ, та здійснюють постійний контроль за дотриманням ними вимог законодавства і цього Положення. Розподіл баз персональних даних та закріплення відповідальності за їх ведення і збереження за конкретними структурними підрозділами здійснюється згідно з наказами ректора та Положеннями про відповідні структурні підрозділи.

7.1.4. Університет (в особі керівників структурних підрозділів) веде облік працівників, яким надано право доступу до ПД для виконання їхніх посадових обов'язків. Усі такі працівники обов'язково надають письмове (або електронне з накладанням КЕП) Зобов'язання про нерозголошення персональних даних.

7.1.5. Внутрішня передача ПД здобувачів освіти, працівників та контрагентів структурним підрозділам або уповноваженим посадовим особам Університету для ведення претензійно-позовної роботи (підготовки позовів, претензій, відповідей на запити суду) здійснюється згідно з процедурами та на підставах, визначених Положенням про порядок ведення претензійно-позовної роботи Університету. Працівники, які отримують такий доступ, зобов'язані використовувати дані виключно за цільовим призначенням та надають письмове Зобов'язання про нерозголошення персональних даних.

7.2. Працівники Університету, яким надано доступ до ПД:

7.2.1. Мають бути обізнані з вимогами Закону України «Про захист персональних даних» (див. за посиланням: https://zakon.rada.gov.ua/laws/show/2297-17%2523Text) та цього Положення.

7.2.2. Зобов'язані:

- використовувати ПД лише відповідно до професійних чи службових або трудових обов’язків, запобігати втраті ПД або їх неправомірному використанню;

- не допускати розголошення у будь-який спосіб ПД, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків (крім випадків, передбачених законом), при цьому таке зобов'язання чинне після припинення ними діяльності, пов'язаної з ПД, крім випадків, установлених законом;

- терміново повідомляти безпосередньому керівнику в разі втрати або неумисного знищення носіїв інформації ПД, втрати ними ключів від приміщень, сейфів, шаф, де зберігаються ПД, якщо ідентифікаційні дані для входу в будь-яку із автоматизованих систем стали відомі іншим особам, за винятком системного адміністратора Університету, виявлення спроби несанкціонованого доступу до персональних даних;

- при звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом Університету, носії інформації, що містять ПД, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов'язків.

7.3. Технічні заходи та кібербезпека:

Доступ до електронних баз ПД (внутрішніх СЕД, ЄДЕБО, бухгалтерських та кадрових програм) здійснюється виключно з використанням індивідуальних облікових записів (логінів та паролів), багатофакторної автентифікації (за наявності технічної можливості) та/або кваліфікованого електронного підпису (КЕП).

Забороняється передача логінів, паролів, носіїв із КЕП від одного працівника іншому.

Університет забезпечує застосування ліцензійного антивірусного програмного забезпечення, систем міжмережевих екранів (файрволів) та засобів криптографічного захисту інформації під час передачі ПД через відкриті мережі.

З метою запобігання втраті даних здійснюється регулярне резервне копіювання електронних баз ПД.

7.4. Порядок дій у разі витоку або несанкціонованого доступу до ПД

У разі виявлення факту несанкціонованого доступу до ПД, їх витоку, втрати або кібератаки на сервери Університету, працівник, який виявив такий факт, зобов'язаний негайно повідомити про це свого безпосереднього керівника та/або керівництво Університету.

Університет вживає невідкладних заходів для блокування несанкціонованого доступу, усунення вразливостей та мінімізації наслідків.

Якщо витік даних несе високий ризик для прав і свобод суб'єктів ПД, Університет у встановлені законодавством строки повідомляє про цей інцидент Уповноваженого Верховної Ради України з прав людини, а також, за можливості, самих суб'єктів ПД.

8. Строки зберігання та порядок знищення персональних даних

8.1. Строки зберігання

ПД зберігаються в Університеті не довше, ніж це необхідно для мети їх обробки, якщо інше не передбачено законодавством.

Строки зберігання документів, що містять ПД (особові справи студентів, накази з кадрових питань, бухгалтерські відомості), визначаються згідно з Переліком типових документів, що створюються під час діяльності державних органів та органів місцевого

самоврядування, затвердженим Міністерством юстиції України 12.04.2012 № 578/5 (зі змінами).

Відеозаписи з систем відеоспостереження Університету зберігаються не більше ЗО календарних днів, після чого підлягають автоматичному циклічному перезапису, крім випадків, коли відеозапис є доказом у розслідуванні правопорушень.

ПД потенційних вступників (зібрані під час профорієнтаційних заходів) зберігаються до завершення відповідної вступної кампанії або до моменту відкликання згоди суб'єктом.

8.2. Порядок знищення (видалення)

ПД підлягають знищенню у разі:

- закінчення строку їх зберігання, визначеного законодавством;

- припинення правовідносин між суб'єктом ПД та Університетом (якщо законодавство не вимагає подальшого архівного зберігання);

- набрання законної сили рішенням суду щодо вилучення або знищення ПД;

- відкликання згоди суб'єктом ПД (якщо немає інших законних підстав для обробки).

Знищення документів, що містять ПД, на паперових носіях здійснюється шляхом їх подрібнення (шредерування) або спалювання, що оформлюється відповідним Актом про знищення документів.

Знищення ПД в електронній формі здійснюється шляхом їх безповоротного видалення з баз даних та резервних копій без можливості відновлення.

9. Відповідальність за порушення

9.1. Працівники Університету, які мають доступ до ПД несуть персональну

відповідальність за дотримання вимог законодавства України у сфері захисту

персональних даних та норм цього Положення.

9.2. За порушення законодавства про захист ПД (незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу), а також за недотримання встановленого порядку захисту ПД, винні особи притягаються до:

- дисциплінарної відповідальності (догана, звільнення);

- адміністративної відповідальності (штрафи згідно зі ст. 188-39 КУпАП);

- кримінальної відповідальності (згідно зі ст. 182, 361, 362 Кримінального кодексу України)

- цивільно-правової відповідальності (відшкодування матеріальної та моральної шкоди).

10. Прикінцеві положення

10.1. Це Положення затверджується вченою радою Університету та вводиться в дію наказом ректора.

10.2. Зміни та доповнення до цього Положення вносяться у порядку, встановленому для його прийняття, у разі зміни чинного законодавства України, впровадження нових інформаційних технологій або зміни організаційної структури Університету

Додаток А1

Форма 1: Для здобувачів вищої освіти та вступників

Заповнюється в приймальній комісії або деканаті при зарахуванні

Додаток А2

Форма 2: Для працівників (кандидатів на посади, працюючих та звільнених працівників)

Заповнюється у відділі кадрів при працевлаштуванні або оновленні даних.

Підписується у паперовій формі власноруч або в електронній формі за допомогою ЕЦП (КЕП або Дія.Підпис)

Додаток А3

Форма 3: Для осіб, пов'язаних зі здобувачами освіти (батьків, законних представників, замовників / платників за договором)

Підписується у паперовій формі власноруч або в електронній формі за допомогою ЕЦП (КЕП / УЕП або Дія. Підпис) або шляхом проставлення чекбоксу

Ця форма заповнюється та підписується особисто батьками або платниками ВИКЛЮЧНО у випадках їхньої безпосередньої участі в укладанні договорів або під час особистого подання документів для оформлення пільг. Якщо відомості про батьків (ПІБ. телефон, адреса) надаються здобувачем освіти виключно як контактна інформація, ця форма батьками не заповнюється - зобов'язання щодо законності передачі цих даних та інформування батьків бере на себе сам здобувач освіти під час підписання Форми 1

Додаток А4

Форма 4: Для ФОП, осіб за цивільно-правовими договорами (ЦИХ) та представників юридичних осіб (контрагентів, партнерів, баз практик)

Підписується паперовій формі власноруч або в електронній формі за допомогою ЕЦП (КЕП або Дія.Піднис)

Якщо з фізичною особою-підприємцем (ФОП) або особою за договором ЦПХ укладається повноцінний письмовий договір, окрему згоду можна не підписувати за умови включення відповідного пункту договору або застереження про конфіденційність безпосередньо у текст такого договору, примірний текст цього пункту наведено нижче *

Додаток А5

Форма 5: Для відвідувачів, користувачів інфраструктури (бібліотека, спорткомплекс) та учасників заходів

Залежно від формату взаємодії зі суб'єктом, Університет використовує один із наведених нижче варіантів отримання згоди:

Варіант 5.1: Повна письмова форма

Використовується для оформлення читацьких квитків, абонементів у спорткомплекс/басейн або під час реєстрації на масштабні заходи з організаційними внесками

Варіант 5.2: Журнальна форма (для постів охорони та гуртожитків)

Роздруковується та вклеюється на титульну сторінку Журнала обліку відвідувачів на прохідній навчальних корпусів та гутрожитків. Окремі бланки не заповнюються

Варіанть 5.3: Електронний чекбокс (для реєстрації на конференції та заходи)

Розміщується під онлайн-формами реєстрації на сайті Університету або Google формах. Галочка не повинна бути проставлена за замовчуванням

Додаток А6

Форма 6: Для потенційних вступників (учасників профорієнтаційних заходів)

Залежно від формату заходу, використовується електронний чекбокс або коротка паперова анкета

Додаток Б1

Форма 7: Для осіб, яким надається право доступу до персональних даних та їх обробки (працівників, членів комісій, системних адміністраторів, осіб за договорами ЦПХ)

Це зобов’язання підписується до моменту фактичного надання особі доступу до баз персональних даних (під час працевлаштування включення до складу приймальної комісії або перед наданням логіну/пароля до систем ЄДЕБО, Ментор тощо) і зберігається в особовій  справі або у секретаря робочого органу

Підписується у паперовій формі власноруч або в електронній формі за допомогою ЕЦП (КЕП або Дія.Підпис)

Додаток Б2

Журнал реєстрації зобов'язань про нерозголошення персональних даних

Додаток В

Відповідальність за порушення законодавства у сфері захисту персональних даних

Працівники Національного аерокосмічного університету «Харківський авіаційний інститут», а також інші особи, які отримали доступ до персональних даних у зв'язку з виконанням своїх професійних, службових чи договірних обов'язків, зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі.

За порушення законодавства про захист персональних даних та внутрішніх нормативних актів Університету винні особи притягуються до дисциплінарної, адміністративної, кримінальної, цивільно- правової та матеріальної відповідальності згідно із законодавством України.

1. Дисциплінарна відповідальність

За невиконання або неналежне виконання працівником Університету своїх трудових обов'язків щодо оброоки та захисту персональних даних, порушення вимог Положення про захист персональних даних та зобов'язання про нерозголошення, до працівника можуть бути застосовані заходи дисциплінарного стягнення відповідно до Кодексу законів про працю України (КЗпП):

Догана (ст. 147 КЗпП України).

Звільнення (ст. 147, п. З ст. 40 КЗпП України - за систематичне невиконання обов'язків, або за іншими відповідними статтями у разі виявлення факту грубого порушення).

2. Адміністративна відповідальність

Відповідно до ст. 18839 Кодексу України про адміністративні правопорушення (КУпАП), порушення законодавства у сфері захисту персональних даних тягне за собою накладення штрафів на посадових осіб та громадян (працівників). До таких правопорушень, зокрема, належать:

- Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини (або іншого визначеного законом наглядового органу) про обробку персональних даних, яка становить особливий ризик, або про зміну таких даних що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних (наприклад, залишений відкритий доступ до бази, втрата носія з базою персональних даних).

Санкція: штраф на громадян від 1700,00 до 3 400,00 грн, на посадових осіб - від 3400,00 до 6800,00 грн.

- Ухилення від виконання законних вимог Уповноваженого або його представників щодо усунення порушень законодавства.

Санкція: штраф на громадян від 3400,00 до 5100,00 грн, на посадових осіб —від 5100,00 до 17000,00 грн.

- Недодержання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних.

Санкція: штрафна громадян від 1700,00 до 8500,00 грн, на посадових осіб - від 5100,00 до 17000,00 грн.

Примітка. Сплата адміністративного штрафу не звільняє винну особу від обов'язку відиікодувати завдані збитки

3. Кримінальна відповідальність

У разі умисних дій, що призвели до тяжких наслідків, винні особи притягуються до відповідальності згідно з Кримінальним кодексом України (ККУ):

Стаття 182 ККУ («Порушення недоторканності приватного життя»): Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації (наприклад, злив бази даних або передача її третім особам без згоди).

Санкція (ч. 1): штраф від 8500,00 до 17000,00 грн, або виправні роботи на строк до 2 років, або арешт на строк до 6 місяців, або обмеження волі на строк до 3 років.

Санкція (ч. 2-ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду): арешт на строк від 3 до 6 місяців, або обмеження чи позбавлення волі на строк від 3 до 5 років.

Стаття 361 ККУ («Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних мереж»): Якщо витік даних стався внаслідок умисного зламу баз даних Університету, обходу систем захисту або передачі паролів доступу стороннім особам, що призвело до витоку, втрати чи підробки інформації

Санкція (ч. 1): штраф від 17000,00 до 51000,00 грн, або позбавлення права обіймати певні посади чи займатися певного діяльністю на строк до 2 років, або обмеження волі на строк до 3 років.

Стаття 362 ККУ («Несанкціоновані дії з інформацією, яка оброблюється в комп'ютерах, автоматизованих системах...»): Викрадення, пошкодження, підробка або блокування інформації особою, яка має законне право доступу до неї (наприклад, працівник приймальної комісії або деканату умисно змінив чи видалив дані в ЄДЕБО або внутрішніх реєстрах Університету).

Санкція (ч. 1): штраф від 34000,00 до 68000,00 грн або виправні роботи на строк до 2 років.

Санкція (ч. 2): позбавлення волі на строк до 3 років з позбавленням права обіймати певні посади або займатися певного діяльністю на той самий строк.

Санкція (ч. З - ті самі дії, якщо вони заподіяли значну шкоду): позбавлення волі на строк від 3 до 6 років з позбавленням права обіймати певні посади на строк до 3 років.

4. Цивільно-правова відповідальність

Відшкодування шкоди суб'єкту персональних даних.

Здобувачі освіти, працівники або інші ‘особи, яким було завдано майнової та/або моральної шкоди внаслідок незаконної обробки їхніх персональних даних або порушення вимог щодо їх захисту, мають право на відшкодування цієї шкоди згідно з Цивільним кодексом України.

5. Матеріальна відповідальність

Матеріальна відповідальність працівника перед Університетом.

Якщо внаслідок дій працівника (витік даних, втрата носіїв інформації, порушення інструкцій з кібербезпеки) Університету було завдано прямої дійсної майнової шкоди (наприклад. Університет був змушений сплатити штрафи за рішенням наглядових органів або відшкодувати шкоду потерпілим), такий працівник несе матеріальну відповідальність у порядку, передбаченому главою IX КЗпП України.

6. Порядок фіксації порушень

У разі виявлення факту порушення безпеки персональних даних (витік, несанкціонований доступ, втрата) в Університеті створюється комісія для проведення службового розслідування. До складу такої комісії обов'язково входить за посадою Відповідальна особа. За результатами розслідування складається Акт, який є підставою для притягнення винних осіб до відповідальності або передачі матеріалів до правоохоронних органів.