БРАМА: Система автентифікації

Повідомлення про обробку персональних даних

На виконання пунктів 1 і 2 частини другої статті 8, частини другої статті 12 Закону України “Про захист персональних даних” Міністерство оборони України повідомляє про володільця, розпорядника, місцезнаходження, склад і мету збору персональних даних, що обробляються за допомогою Інформаційно-комунікаційної системи автентифікації користувачів інформаційних систем сил оборони “Брама” (далі – ІКС “Брама”), третіх осіб, яким передаються такі персональні дані, та права суб’єкта персональних даних. Порядок призначення, визначення структури, функціонування ІКС “Брама”, її створення, впровадження та використання визначаються рішенням Міністра оборони України від _____ 2024 року №ХХХХ «Про впровадження________» (далі – Рішення).

Володільцем персональних даних, що обробляються в ІКС “Брама”, є держатель ІКС “Брама” – Міністерство оборони України (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – 00034022).
Розпорядником персональних даних, що обробляються в ІКС “Брама”, є технічний адміністратор ІКС “Брама” – __ХХХ__ (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – ____).
Місцезнаходження персональних даних: дані зберігаються в інформаційно-комунікаційних системах, в яких безпосередньо користувач проходить автентифікацію (ідентифікацію) через ІКС “Брама”.
До складу персональних даних включаються ідентифікаційні дані користувачів, які надаються користувачами та завантажуються під час реєстрації або дані, що передаються з Інтегрованої системи електронної ідентифікації ID.GOV.UA та з реєстру військовослужбовців …. Зміст персональних даних обробляється у ІКС “Брама” під час проходження процедури автентифікації користувачем.
Дані, необхідні для авторизації в ІКС “Брама”: Відомості, що подаються та зазначаються в формі на створення облікового запису в ІКС “Брама”, а саме:
1. ідентифікатор військовослужбовця;
2. прізвище, ім’я та по батькові користувача;
3. серія та номер паспорта громадянина України, іншого документа, що посвідчує особу користувача, підтверджує громадянство України чи спеціальний статус користувача;
4. реєстраційний номер облікової картки платника податків з Державного реєстру фізичних осіб - платників податків;
5. адреса електронної пошти, номери контактних телефонів (за якими встановлено месенджер WhatsApp та/або Signal);
6. посада користувача та підрозділ в якому він проходить службу.
(військового квитка осіб / посвідчення офіцера; посвідки на постійне проживання в Україні; позивний; У разі необхідності додаткових персональних даних в рамках взаємодії з інформаційними системами сил оборони користувач власноручно заповнює додаткову інформацію, яку користувач з власної волі зазначає у формі заявки на створення облікового запису в ІКС “Брама”. .)
Після проходження користувачем автентифікації (ідентифікації) ІКС “Брама” не має доступу до персональних даних користувачів, крім тих, що зберігаються в обліковому записі користувача: ідентифікатор військовослужбовця, адреса електронної пошти, номери контактних телефонів, логін та пароль до облікового кабінету.
Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, що здійснюються повністю або частково з використанням ІКС “Брама”, які пов’язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням персональних даних, щодо користувача який надав свої персональні дані.
Мета обробки персональних даних визначена в Рішенні …. Метою обробки (передачі) персональних даних є забезпечення відповідно до схем електронної ідентифікації доступу користувачів ІКС “Брама” до інформаційних систем сил оборони, які надаються ….., та їх сервісів, функціонування електронного документообігу, провадження іншої діяльності із застосуванням електронної ідентифікації, зокрема:
1. Ідентифікація користувача, який створив обліковий запис в Брамі;
2. Встановлення та перевірка приналежності користувача до сектору безпеки і оборони;
3. Вирішення питання про рівні доступу користувача до інформації та функціоналу …
4. Здійснення інших спеціальних перевірок.
Суб’єкт персональних даних надає Міністерству оборони України добровільну, інформовану та однозначну згоду на обробку в ІКС “Брама” своїх персональних даних, а саме на:
1. збір, обробку, накопичення та зберігання персональних даних, які включають в себе дані, передбачені в п. 4. даного Повідомлення (ст.12, 13 Закону
2. використання персональних даних, що передбачає дії володільця щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця відповідно до їх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (стаття 10 Закону);
3. поширення персональних даних, що передбачає дії володільця бази персональних даних щодо передачі відомостей про суб’єкта (ст. 14 Закону);
4. доступ до персональних даних третіх осіб, що визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи, в порядку передбаченому чинним законодавством України, щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (ст. 16 Закону).
Треті особи, яким передаються персональні дані, що обробляються
Відповідно до Рішення технічний адміністратор, зокрема, забезпечує електронну інформаційну взаємодію користувачів системи, суб’єктів та об’єктів взаємодії; здійснює позбавлення доступу суб’єктів взаємодії до системи щодо приєднання інформаційних та/або інформаційно-комунікаційних систем до системи; здійснює ведення електронного обліку суб’єктів взаємодії, які приєднані до системи, з фіксуванням відомостей про дату і час отримання доступу, обсяг інформації, до якої отримано доступ.
Згідно з Рішенням суб’єктами взаємодії є:
- сили оборони, їх посадові особи;
- надавачі електронних довірчих послуг та надавачі послуг електронної ідентифікації;
- адміністратори проміжних вузлів електронної ідентифікації (хабів);
- адміністратор;
- держатель системи.
Об’єктами взаємодії є:
- засоби електронної ідентифікації, що підпадають під схеми електронної ідентифікації, які використовують користувачі системи для здійснення процедур електронної ідентифікації;
- інформаційно-комунікаційні системи сил оборони, які реалізують схеми електронної ідентифікації.
- Зазначена взаємодія регулюється Рішенням та _______, щодо приєднання інформаційних та інформаційно-комунікаційних систем сил оборони до ІКС “Брама”.
ХХХ приймає на себе зобов’язання щодо захисту персональних даних та вживає технічних і організаційних заходів щодо захисту отриманих персональних даних.
Обробка персональних даних проводитиметься персоналом ХХХ та/або підрядниками, які надали письмові зобов’язання про нерозголошення персональних даних осіб, що стали відомі у зв’язку з виконанням посадових обов’язків та/або обов’язків за відповідними договорами.
Згідно зі статтею 14 Закону, ХХХ має право на поширення, передання персональних даних особи без повідомлення їй про це, якщо передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
В інших випадках, ніж зазначених у пункті 7, 8 даного Повідомлення, доступ до персональних даних надається третім особам лише за письмової згоди суб’єкта по кожному запиту окремо.
Строки зберігання персональних даних визначаються згідно зі строками зберігання відповідних документів, встановленими законодавством України та внутрішніми документами ХХХ, після чого персональні дані підлягають знищенню у визначеному законодавством порядку.
Об’єктами взаємодії є:
- засоби електронної ідентифікації, що підпадають під схеми електронної ідентифікації, які використовують користувачі системи для здійснення процедур електронної ідентифікації;
- інформаційно-комунікаційні системи сил оборони, які реалізують схеми електронної ідентифікації.
- Зазначена взаємодія регулюється Рішенням та _______, щодо приєднання інформаційних та інформаційно-комунікаційних систем сил оборони до ІКС “Брама”.

Згідно з частиною другою статті 8 Закону України “Про захист персональних даних” суб’єкт персональних даних має право:

знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
на доступ до своїх персональних даних та їх оновлення;
отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
знати механізм автоматичної обробки персональних даних;
на захист від автоматизованого рішення, яке має для нього правові наслідки.

Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законодавством України, здійснює Уповноважений Верховної Ради України з прав людини.

Моментом надання згоди на обробку персональних даних в ІКС “Брама”, є проставлення на відповідній сторінці/вкладці веб-сайту https:// Брама.mil.gov.ua/) відмітки про надання дозволу на обробку своїх персональних даних, а саме “Даю згоду на обробку моїх персональних даних в обсязі та на умовах, зазначених у Повідомленні про обробку персональних даних”. Така згода є чинною з моменту її надання та діє до моменту її відкликання, що здійснюється шляхом подання до ХХХ відповідної заяви в письмовій формі про відкликання згоди на обробку персональних даних.

Повідомлення про обробку персональних даних

Володільцем персональних даних, що обробляються в ІКС “Брама”, є держатель ІКС “Брама” – Міністерство оборони України (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – 00034022).
Розпорядником персональних даних, що обробляються в ІКС “Брама”, є технічний адміністратор ІКС “Брама” – __ХХХ__ (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – ____).
Місцезнаходження персональних даних: дані зберігаються в інформаційно-комунікаційних системах, в яких безпосередньо користувач проходить автентифікацію (ідентифікацію) через ІКС “Брама”.
До складу персональних даних включаються ідентифікаційні дані користувачів, які надаються користувачами та завантажуються під час реєстрації або дані, що передаються з Інтегрованої системи електронної ідентифікації ID.GOV.UA та з реєстру військовослужбовців …. Зміст персональних даних обробляється у ІКС “Брама” під час проходження процедури автентифікації користувачем.
Дані, необхідні для авторизації в ІКС “Брама”: Відомості, що подаються та зазначаються в формі на створення облікового запису в ІКС “Брама”, а саме:
1. ідентифікатор військовослужбовця;
2. прізвище, ім’я та по батькові користувача;
3. серія та номер паспорта громадянина України, іншого документа, що посвідчує особу користувача, підтверджує громадянство України чи спеціальний статус користувача;
4. реєстраційний номер облікової картки платника податків з Державного реєстру фізичних осіб - платників податків;
5. адреса електронної пошти, номери контактних телефонів (за якими встановлено месенджер WhatsApp та/або Signal);
6. посада користувача та підрозділ в якому він проходить службу.
(військового квитка осіб / посвідчення офіцера; посвідки на постійне проживання в Україні; позивний; У разі необхідності додаткових персональних даних в рамках взаємодії з інформаційними системами сил оборони користувач власноручно заповнює додаткову інформацію, яку користувач з власної волі зазначає у формі заявки на створення облікового запису в ІКС “Брама”. .)
Після проходження користувачем автентифікації (ідентифікації) ІКС “Брама” не має доступу до персональних даних користувачів, крім тих, що зберігаються в обліковому записі користувача: ідентифікатор військовослужбовця, адреса електронної пошти, номери контактних телефонів, логін та пароль до облікового кабінету.
Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, що здійснюються повністю або частково з використанням ІКС “Брама”, які пов’язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням персональних даних, щодо користувача який надав свої персональні дані.
Мета обробки персональних даних визначена в Рішенні …. Метою обробки (передачі) персональних даних є забезпечення відповідно до схем електронної ідентифікації доступу користувачів ІКС “Брама” до інформаційних систем сил оборони, які надаються ….., та їх сервісів, функціонування електронного документообігу, провадження іншої діяльності із застосуванням електронної ідентифікації, зокрема:
1. Ідентифікація користувача, який створив обліковий запис в Брамі;
2. Встановлення та перевірка приналежності користувача до сектору безпеки і оборони;
3. Вирішення питання про рівні доступу користувача до інформації та функціоналу …
4. Здійснення інших спеціальних перевірок.
Суб’єкт персональних даних надає Міністерству оборони України добровільну, інформовану та однозначну згоду на обробку в ІКС “Брама” своїх персональних даних, а саме на:
1. збір, обробку, накопичення та зберігання персональних даних, які включають в себе дані, передбачені в п. 4. даного Повідомлення (ст.12, 13 Закону
2. використання персональних даних, що передбачає дії володільця щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця відповідно до їх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (стаття 10 Закону);
3. поширення персональних даних, що передбачає дії володільця бази персональних даних щодо передачі відомостей про суб’єкта (ст. 14 Закону);
4. доступ до персональних даних третіх осіб, що визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи, в порядку передбаченому чинним законодавством України, щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (ст. 16 Закону).
Треті особи, яким передаються персональні дані, що обробляються
Відповідно до Рішення технічний адміністратор, зокрема, забезпечує електронну інформаційну взаємодію користувачів системи, суб’єктів та об’єктів взаємодії; здійснює позбавлення доступу суб’єктів взаємодії до системи щодо приєднання інформаційних та/або інформаційно-комунікаційних систем до системи; здійснює ведення електронного обліку суб’єктів взаємодії, які приєднані до системи, з фіксуванням відомостей про дату і час отримання доступу, обсяг інформації, до якої отримано доступ.
Згідно з Рішенням суб’єктами взаємодії є:
- сили оборони, їх посадові особи;
- надавачі електронних довірчих послуг та надавачі послуг електронної ідентифікації;
- адміністратори проміжних вузлів електронної ідентифікації (хабів);
- адміністратор;
- держатель системи.
Об’єктами взаємодії є:
- засоби електронної ідентифікації, що підпадають під схеми електронної ідентифікації, які використовують користувачі системи для здійснення процедур електронної ідентифікації;
- інформаційно-комунікаційні системи сил оборони, які реалізують схеми електронної ідентифікації.
- Зазначена взаємодія регулюється Рішенням та _______, щодо приєднання інформаційних та інформаційно-комунікаційних систем сил оборони до ІКС “Брама”.
ХХХ приймає на себе зобов’язання щодо захисту персональних даних та вживає технічних і організаційних заходів щодо захисту отриманих персональних даних.
Обробка персональних даних проводитиметься персоналом ХХХ та/або підрядниками, які надали письмові зобов’язання про нерозголошення персональних даних осіб, що стали відомі у зв’язку з виконанням посадових обов’язків та/або обов’язків за відповідними договорами.
Згідно зі статтею 14 Закону, ХХХ має право на поширення, передання персональних даних особи без повідомлення їй про це, якщо передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
В інших випадках, ніж зазначених у пункті 7, 8 даного Повідомлення, доступ до персональних даних надається третім особам лише за письмової згоди суб’єкта по кожному запиту окремо.
Строки зберігання персональних даних визначаються згідно зі строками зберігання відповідних документів, встановленими законодавством України та внутрішніми документами ХХХ, після чого персональні дані підлягають знищенню у визначеному законодавством порядку.
Об’єктами взаємодії є:
- засоби електронної ідентифікації, що підпадають під схеми електронної ідентифікації, які використовують користувачі системи для здійснення процедур електронної ідентифікації;
- інформаційно-комунікаційні системи сил оборони, які реалізують схеми електронної ідентифікації.
- Зазначена взаємодія регулюється Рішенням та _______, щодо приєднання інформаційних та інформаційно-комунікаційних систем сил оборони до ІКС “Брама”.

знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
на доступ до своїх персональних даних та їх оновлення;
отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
знати механізм автоматичної обробки персональних даних;
на захист від автоматизованого рішення, яке має для нього правові наслідки.