Про затвердження Порядку обробки та захисту персональних даних під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат

Відповідно до пункту 40 розділу VI “Прикінцеві та перехідні положення” Бюджетного кодексу України Кабінет Міністрів України постановляє:

Затвердити Порядок обробки та захисту персональних даних під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат, що додається.

ПОРЯДОК
обробки та захисту персональних даних під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат

1. Цей Порядок визначає механізм обробки персональних даних та комплекс заходів щодо їх захисту, у тому числі інформації, яка отримується відповідно до статті 62 Закону України “Про банки і банківську діяльність”, від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, під час здійснення Мінфіном верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат, які здійснюються за рахунок коштів державного та місцевих бюджетів, фондів загальнообов’язкового державного соціального і пенсійного страхування (далі - державні виплати).

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України “Про захист персональних даних”, “Про захист інформації в інформаційно-телекомунікаційних системах”, Порядку здійснення верифікації та моніторингу достовірності інформації, поданої фізичними особами для нарахування та отримання соціальних виплат, пільг, субсидій, пенсій, заробітної плати, інших виплат, що здійснюються за рахунок коштів державного та місцевих бюджетів, коштів Пенсійного фонду України, фондів загальнообов’язкового державного соціального страхування, затвердженому постановою Кабінету Міністрів України від 18 лютого 2016 р. № 136 (Офіційний вісник України, 2016 р., № 19, ст. 769), Порядку адміністрування Інформаційно-аналітичної платформи електронної верифікації та моніторингу, затвердженому постановою Кабінету Міністрів України від 18 лютого 2016 р. № 137 (Офіційний вісник України, 2016 р., № 19, ст. 770; 2017 р., № 84, ст. 2570).

3. Метою обробки персональних даних є здійснення контролю за дотриманням вимог бюджетного законодавства в частині верифікації та моніторингу державних виплат для забезпечення адресності та недопущення неправомірного призначення, нарахування та/або здійснення таких виплат.

4. Обробка та захист персональних даних здійснюється відповідно до пункту 40 розділу VI “Прикінцеві та перехідні положення” Бюджетного кодексу України, Законів України “Про захист персональних даних”, “Про захист інформації в інформаційно-телекомунікаційних системах”.

5. Суб’єктами персональних даних є реципієнти, персональні дані яких обробляються.

6. Персональними даними реципієнтів, які використовуються для здійснення верифікації та моніторингу державних виплат, є:

1) прізвище, ім’я, по батькові;

2) дата і місце народження;

3) стать;

4) серія, номер, дата видачі паспорта громадянина України та найменування уповноваженого суб’єкта, що його видав (номер, дата видачі паспорта громадянина України у формі картки та код уповноваженого суб’єкта, що його видав), а для іноземців та осіб без громадянства - реквізити паспортного документа іноземця та/або документа, що підтверджує право на постійне або тимчасове проживання в Україні;

5) унікальний номер запису в Єдиному державному демографічному реєстрі;

6) відомості про зареєстроване та фактичне місце проживання;

7) реєстраційний номер облікової картки платника податків або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання в установленому порядку відмовилися від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідному контролюючому органу і мають відмітку в паспорті);

8) інформація, отримана від суб’єктів надання інформації, що підтверджує право на отримання державних виплат відповідно до законодавства;

9) інформація, яка подається реципієнтом під час призначення, нарахування та/або здійснення державних виплат, відповідно до визначених законодавством вимог для отримання таких виплат, необхідна для здійснення верифікації.

Інформація про відкриті в банках на ім’я реципієнтів рахунки, операції та залишки за ними отримується відповідно до статті 62 Закону України “Про банки і банківську діяльність”.

7. Інформація, що підтверджує право на отримання державних виплат відповідно до законодавства, може запитуватися стосовно періодів часу, необхідних для призначення відповідних державних виплат та їх отримання.

8. Отримані від суб’єктів надання інформації персональні дані обробляються засобами автоматизованої системи “Інформаційно-аналітична платформа електронної верифікації та моніторингу” (далі - інформаційно-аналітична платформа), яка розміщується на програмно-апаратному комплексі Мінфіну, із застосуванням апаратних засобів мережевого захисту від несанкціонованого доступу під час обробки цих даних.

9. Розпорядником персональних даних, які отримані від суб’єктів надання інформації, є Мінфін.

10. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються.

11. Збирання та накопичення персональних даних здійснюється шляхом підбору, впорядкування, поєднання та систематизації відомостей про реципієнтів засобами інформаційно-аналітичної платформи.

12. Персональні дані видаляються або знищуються в порядку, встановленому Законом України “Про захист персональних даних”. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких даних.

13. Персональні дані в інформаційно-аналітичній платформі зберігаються протягом строку, передбаченого законодавством.

14. Поширення персональних даних та доступ до них третіх осіб здійснюються з дотриманням вимог, визначених Законом України “Про захист персональних даних”.

15. Доступ до персональних даних надається користувачам інформаційно-аналітичної платформи в обсягах, необхідних для виконання службових обов’язків.

16. Порядок доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат, та їх обов’язки встановлюються Мінфіном.

17. Захист персональних даних від випадкової втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до них, забезпечується на всіх етапах обробки.

18. Захист персональних даних в інформаційно-аналітичній платформі здійснюється з урахуванням вимог комплексної системи захисту інформації.

19. Засобами інформаційно-аналітичної платформи здійснюється ведення обліку працівників, які мають доступ до персональних даних, та розмежування рівнів доступу зазначених працівників до персональних даних відповідно до їх посадових обов’язків.

20. Користувачі інформаційно-аналітичної платформи допускаються до обробки персональних даних після їх ідентифікації. Доступ користувачу, який не пройшов процедури ідентифікації, не надається та блокується.

21. Робота працівника з персональними даними фіксується в електронних протоколах доступу до персональних даних.

22. Інформаційно-аналітична платформа автоматично фіксує інформацію про операції, пов’язані з обробкою персональних даних та доступом до них, та зберігає інформацію про:

1) дату, час та джерело інформації, що містить персональні дані;

2) зміну інформації, що містить персональні дані;

3) перегляд інформації, що містить персональні дані;

4) будь-яку передачу (копіювання) інформації, що містить персональні дані;

5) дату та час видалення або знищення інформації, що містить персональні дані;

6) найменування посади та прізвище, ім’я, по батькові працівника, який здійснив одну із зазначених у цьому пункті операцій.

23. Працівники, яким надається доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм довірено або стали відомі під час виконання службових обов’язків.

Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

24. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, яка не пов’язана з обробкою персональних даних, його обліковий запис анулюється засобами інформаційно-аналітичної платформи.

25. З метою зниження ризиків незаконного розкриття персональних даних під час їх передачі або обробки додатково можуть застосовуватися криптографічний захист інформації, електронний підпис та інші методи захисту.

26. За порушення вимог законодавства про захист персональних даних посадові особи несуть відповідальність, встановлену законом.