Про Порядок доступу до бази даних Державного реєстру виборців
З метою забезпечення захисту даних Державного реєстру виборців під час організації надання доступу до його бази даних, відповідно до пункту 1 розділу XXXXII "Прикінцеві та перехідні положення" Виборчого кодексу України, статей 11, 14 - 16, 26, 33 Закону України "Про Державний реєстр виборців", керуючись статтями 11 - 13, пунктом 8 статті 17 Закону України "Про Центральну виборчу комісію", Центральна виборча комісія постановляє:
1. Затвердити Порядок доступу до бази даних Державного реєстру виборців (додаток 1).
попередження користувача автоматизованої інформаційно-комунікаційної системи "Державний реєстр виборців" про відповідальність за порушення вимог Закону України "Про Державний реєстр виборців" (додаток 2);
відомості про надання користувачу автоматизованої інформаційно-комунікаційної системи "Державний реєстр виборців" програмно-апаратного засобу ідентифікації (додаток 3).
3. Визнати такими, що втратили чинність:
постанову Центральної виборчої комісії від 25 червня 2020 року № 120 "Про Порядок доступу до бази даних Державного реєстру виборців";
постанову Центральної виборчої комісії від 30 липня 2020 року № 155 "Про внесення змін до постанови Центральної виборчої комісії від 25 червня 2020 року № 120".
4. Копію цієї постанови надіслати Міністерству закордонних справ України, обласним, Київській міській військовим адміністраціям для доведення до відома відповідних органів ведення і регіональних органів адміністрування Державного реєстру виборців та контролю за її виконанням, а також Адміністрації Державної служби спеціального зв’язку та захисту інформації України.
5. Цю постанову оприлюднити на офіційному вебсайті Центральної виборчої комісії.
ПOРЯДОК
доступу до бази даних Державного реєстру виборців
1.1. Цей Порядок визначає обсяг даних Державного реєстру виборців (далі - Реєстр), до яких мають доступ розпорядник Реєстру, органи ведення Реєстру, регіональні органи адміністрування Реєстру, державні органи, яким законом надано право доступу до Реєстру для здійснення ними своїх повноважень (далі - державні органи, які мають право доступу до Реєстру), а також процедуру доступу до бази даних Реєстру та забезпечення захисту бази даних Реєстру в процесі експлуатації автоматизованої інформаційно-комунікаційної системи "Державний реєстр виборців" (далі - Система).
Дія зазначеного Порядку не поширюється на питання доступу до бази даних Реєстру шляхом організації електронної взаємодії електронних інформаційних ресурсів.
1.2. Розпорядник Реєстру надає доступ до бази даних Реєстру органам ведення Реєстру, регіональним органам адміністрування Реєстру з метою забезпечення ведення та функціонування Реєстру відповідно до Закону України "Про Державний реєстр виборців" (далі - Закон) та рішень Центральної виборчої комісії (далі - Комісія), прийнятих згідно із Законом, а також державним органам, які мають право доступу до Реєстру.
1.3. Працівники органів ведення Реєстру мають доступ до всіх записів Реєстру стосовно виборців у режимі читання, а також у режимі записування щодо персональних даних виборців, виборча адреса яких визначена відповідно до статті 8 Закону, знаходиться в межах території, на яку поширюються повноваження цих органів.
1.4. Працівники регіональних органів адміністрування Реєстру мають доступ тільки до статистичних відомостей Реєстру.
1.5. Члени Комісії мають доступ у режимі читання до всієї бази даних Реєстру: усіх записів Реєстру і статистичних відомостей Реєстру.
Для забезпечення виконання Комісією функцій розпорядника Реєстру працівники Секретаріату Комісії мають доступ у режимі читання до бази даних Реєстру в межах, необхідних для виконання ними своїх посадових обов’язків.
1.6. Працівникам державних органів, які мають право доступу до Реєстру, доступ до персональних даних виборців, що містяться у базі даних Реєстру (далі - персональні дані Реєстру), надається у визначеному розпорядником Реєстру обсязі.
1.7. Доступ до бази даних Реєстру надається працівникам органів ведення Реєстру, регіональних органів адміністрування Реєстру, членам Комісії, працівникам Секретаріату Комісії та працівникам державних органів, які мають право доступу до Реєстру, за наявності доступу до Системи.
Особи, яким надається доступ до Системи, є користувачами Системи.
1.8. Доступ до бази даних Реєстру надається після автентифікації, що здійснюється з використанням кваліфікованих електронних довірчих послуг.
2. Порядок і засоби електронної ідентифікації користувача Системи та надання доступу до Системи
2.1. Доступ користувача Системи до Системи забезпечується шляхом використання таких засобів електронної ідентифікації:
індивідуального системного імені (логіна) користувача Системи;
індивідуального системного пароля користувача Системи;
програмно-апаратного засобу ідентифікації (далі - ПАЗІ) користувача Системи, який є засобом кваліфікованого електронного підпису (далі - КЕП);
індивідуального пароля доступу до ПАЗІ (ПІН-коду) користувача Системи.
ПАЗІ призначено для зберігання:
особистого ключа КЕП для доступу до бази даних Реєстру;
особистого ключа електронного підпису для автентифікації в Системі.
2.2. Користувач Системи, який є членом Комісії, працівником Секретаріату Комісії, органу ведення Реєстру, регіонального органу адміністрування Реєстру чи державного органу, який має право доступу до Реєстру, отримує КЕП у кваліфікованого надавача електронних довірчих послуг із заповненими ідентифікаційними даними Комісії, органу, у якому утворено відповідний орган ведення Реєстру чи регіональний орган адміністрування Реєстру або державного органу, який має право доступу до Реєстру.
2.3. Структурний підрозділ Секретаріату Комісії, відповідальний за захист інформації (далі - Структурний підрозділ), пов’язує ПАЗІ з користувачем Системи, а також створює та активує обліковий запис користувача Системи.
Структурний підрозділ здійснює налаштування та облік ПАЗІ засобами Системи.
2.4. Під час активації облікового запису користувача Системи формується індивідуальне системне ім’я (логін) користувача Системи.
2.5. Після запису особистого ключа КЕП на ПАЗІ користувач Системи, який є працівником органу ведення Реєстру, регіонального органу адміністрування Реєстру чи державного органу, який має право доступу до Реєстру, одержує засобами віддаленого зв’язку від Структурного підрозділу індивідуальний системний пароль користувача Системи з метою самостійного налаштування цього ПАЗІ для автентифікації в Системі.
2.6. Після отримання повідомлення щодо налаштування ПАЗІ користувача Системи Структурний підрозділ невідкладно вимикає автентифікацію з використанням індивідуального системного пароля користувача Системи.
2.7. Заборонено розголошувати зміст індивідуального системного пароля та ПІН-код користувача Системи. Також забороняється користувачу Системи передавати засоби електронної ідентифікації іншим особам.
3. Надання доступу користувачу Системи до бази даних Реєстру
3.1. Доступ користувача Системи до бази даних Реєстру забезпечується шляхом авторизації з використанням КЕП відповідно до законодавства у сфері електронних довірчих послуг.
Службою розпорядника Державного реєстру виборців Секретаріату Комісії (далі - Служба) засобами Системи забезпечується облік осіб, яким надається доступ до Системи та доступ до бази даних Реєстру, а також здійснення їх перевірки на виконання вимог цього Порядку.
3.2. Особа, якій надається доступ до Системи та бази даних Реєстру, підписує попередження користувача Системи про відповідальність за порушення вимог Закону (далі - попередження) (додаток 2 до постанови Центральної виборчої комісії від 24 листопада 2023 року № 74).
3.3. Працівникам Секретаріату Комісії доступ до бази даних Реєстру надається на підставі службової записки керівника самостійного структурного підрозділу Секретаріату Комісії до Служби з обґрунтуванням необхідності надання такого доступу.
3.4. Для отримання доступу до бази даних Реєстру новопризначеними працівниками органу ведення Реєстру, регіонального органу адміністрування Реєстру керівник органу, у якому утворено відповідний орган ведення Реєстру чи регіональний орган адміністрування Реєстру, невідкладно після призначення працівника письмово інформує про це розпорядника Реєстру.
Керівник органу ведення Реєстру, регіонального органу адміністрування Реєстру в Системі заповнює картку користувача Системи та долучає до неї електронні копії розпорядчого документа про призначення працівника та підписане ним попередження.
Оригінал підписаного працівником органу ведення Реєстру, регіонального органу адміністрування Реєстру попередження зберігається у відповідному органі ведення Реєстру чи регіональному органі адміністрування Реєстру.
3.5. Працівникам державного органу, який має право доступу до Реєстру, надається доступ до бази даних Реєстру на підставі письмового звернення керівника цього органу до розпорядника Реєстру, а також надісланих копій підписаних працівниками попереджень.
Оригінал підписаного працівником державного органу, який має право доступу до Реєстру, попередження зберігається в цьому органі.
3.6. Для забезпечення доступу до бази даних Реєстру Служба надсилає користувачу Системи ПАЗІ.
3.7. Члени Комісії, працівники Секретаріату Комісії для доступу до Системи та бази даних Реєстру використовують ПАЗІ, який застосовується ними для доступу до інформаційно-комунікаційних систем Комісії.
Працівнику державного органу, який має право доступу до Реєстру, та працівнику регіонального органу адміністрування Реєстру ПАЗІ надаються Службою безпосередньо, а працівнику органу ведення Реєстру - Службою безпосередньо або через відповідний регіональний орган адміністрування Реєстру.
Про надання ПАЗІ складається відомість (додаток 3 до постанови Центральної виборчої комісії від 24 листопада 2023 року № 74), де користувач Системи, який отримав ПАЗІ, ставить свій підпис із зазначенням дати його отримання.
Відомість про надання ПАЗІ зберігається в Службі.
3.8. У разі тимчасової відсутності користувача Системи (відпустка, відрядження, хвороба тощо) відомості про це вносяться до його картки користувача Системи та його доступ до бази даних Реєстру тимчасово (на час його відсутності) блокується Службою.
3.9. Користувач Системи повинен повернути ПАЗІ у разі, зокрема, його звільнення з роботи (посади), увільнення від роботи на час проходження військової служби, призупинення дії трудового договору, оформлення відпустки у зв’язку з вагітністю та пологами, відпустки для догляду за дитиною до досягнення нею трирічного віку чи іншої відпустки без збереження заробітної плати, якщо її тривалість становить понад 90 календарних днів.
Орган ведення Реєстру, регіональний орган адміністрування Реєстру невідкладно передає розпоряднику Реєстру засобами Системи електронну копію відповідного розпорядчого документа.
Відповідний користувач Системи зобов’язаний повернути керівнику органу ведення Реєстру, регіонального органу адміністрування Реєстру наданий йому для доступу до бази даних Реєстру ПАЗІ.
Керівник органу ведення Реєстру, регіонального органу адміністрування Реєстру зобов’язаний передати (надіслати) ПАЗІ відповідного користувача Системи розпоряднику Реєстру разом з супровідним листом.
У разі настання обставин, передбачених абзацом першим цього пункту, щодо керівника органу ведення Реєстру, регіонального органу адміністрування Реєстру такий керівник передає (надсилає) наданий йому ПАЗІ разом з супровідним листом розпоряднику Реєстру безпосередньо або через регіональний орган адміністрування Реєстру.
Державний орган, який має право доступу до Реєстру, невідкладно письмово повідомляє розпорядника Реєстру про обставини, передбачені абзацом першим цього пункту. Керівник державного органу, який має право доступу до Реєстру, забезпечує повернення розпоряднику Реєстру ПАЗІ таких користувачів.
3.10. Блокування доступу до бази даних Реєстру у зв’язку з настанням обставин, передбачених абзацом першим пункту 3.9 цього Порядку, забезпечує Служба після здійснення перевірки виконання вимог цього Порядку.
Обліковий запис користувача Системи та доступ до Системи блокує Структурний підрозділ у зв’язку з настанням обставин, передбачених абзацом першим пункту 3.9 цього Порядку.
Про припинення увільнення від роботи на час проходження військової служби працівника органу ведення Реєстру, регіонального органу адміністрування Реєстру, поновлення дії його трудового договору, закінчення відпустки у зв’язку з вагітністю та пологами, припинення відпустки для догляду за дитиною до досягнення нею трирічного віку чи іншої відпустки без збереження заробітної плати тривалістю понад 90 календарних днів інформується розпорядник Реєстру. Копія відповідного розпорядчого документа передається розпоряднику Реєстру в електронній формі засобами Системи. Надання такому користувачу Системи доступу до бази даних Реєстру забезпечується відповідно до цього Порядку.
3.11. У разі виходу з ладу, втрати або пошкодження ПАЗІ працівника органу ведення Реєстру, регіонального органу адміністрування Реєстру чи працівника державного органу, який має право доступу до Реєстру, керівник відповідного органу ведення Реєстру, регіонального органу адміністрування Реєстру чи державного органу, який має право доступу до Реєстру, складає відповідний акт у двох примірниках, один з яких разом із зіпсованим ПАЗІ (у разі виходу з ладу або пошкодження) передається (надсилається) розпоряднику Реєстру.
Про втрату ПАЗІ керівник органу ведення Реєстру, регіонального органу адміністрування Реєстру, державного органу, який має право доступу до Реєстру, невідкладно повідомляє Службу та Структурний підрозділ.
Член Комісії, працівник Секретаріату Комісії, який є користувачем Системи, в разі виходу з ладу, втрати чи пошкодження його ПАЗІ невідкладно інформує про це Структурний підрозділ, який складає відповідний акт. При цьому ПАЗІ, який вийшов з ладу чи пошкоджений, підлягає поверненню.
Блокування доступу до бази даних Реєстру у зв’язку з втратою ПАЗІ користувача Системи забезпечує Служба, а блокування доступу до Системи - Структурний підрозділ.
3.12. У разі отримання повідомлення про вихід з ладу, втрату або пошкодження ПАЗІ доступ такого користувача Системи до бази даних Реєстру надається відповідно до розділу 2, пунктів 3.6, 3.7 цього Порядку.
3.13. З метою проведення технологічних робіт, перевірок, необхідного тестування, спрямованих на забезпечення функціонування прикладного програмного забезпечення Реєстру, доступ до бази даних Реєстру користувача Системи може бути тимчасово заблоковано Службою.
З метою проведення технологічних робіт, перевірок, необхідного тестування, спрямованих на забезпечення функціонування комплексної системи захисту інформації, а також у разі виникнення загрози цілісності бази даних Реєстру, несанкціонованого доступу до неї, незаконного використання, спотворення, знищення персональних даних Реєстру, порушення цілісності бази даних Реєстру та його апаратного чи програмного забезпечення доступ до Системи або бази даних Реєстру користувача Системи може бути тимчасово заблоковано Структурним підрозділом.
Працівники Служби та Структурного підрозділу мають доступ до приміщень, у яких розміщено автоматизовані робочі місця та обладнання Системи, зокрема для контролю за організацією захисту інформації, надання допомоги в налаштуванні засобів Системи та організації доступу користувачів до Системи та бази даних Реєстру.
3.14. Розблокування доступу користувача Системи до Системи здійснює Структурний підрозділ, розблокування доступу до бази даних Реєстру - Служба.
4. Доступ до бази даних Реєстру в режимі читання
4.1. Доступ до бази даних Реєстру в режимі читання здійснюють користувачі Системи після їх автентифікації в Системі для виконання завдань, передбачених законом.
Доступ до бази даних Реєстру в режимі читання здійснює орган ведення Реєстру для:
візуального та автоматизованого контролю за повнотою і коректністю персональних даних Реєстру;
підготовки звернень до виборців з метою перевірки чи уточнення відомостей про них;
перевірки включення до Реєстру особи, яка звернулася із заявою про включення до Реєстру;
підготовки повідомлень щодо включення виборця до Реєстру чи відмови у ньому;
перевірки зміни персональних даних виборця, зазначених у його заяві щодо зміни персональних даних;
підготовки повідомлень щодо внесення змін до персональних даних виборця в Реєстрі чи відмови у внесенні змін;
підготовки відповіді на запит виборця;
перевірки інформації про виборців для підготовки звернень до відповідних органів, закладів, установ, зазначених у статті 22 Закону;
опрацювання відомостей про виборців, поданих відповідними органами, закладами, установами, під час проведення періодичного поновлення персональних даних Реєстру;
підготовки запитів до органів, закладів, установ, визначених статтею 22 Закону, з метою уточнення персональних даних Реєстру;
підготовки статистичної інформації щодо кількісних характеристик виборчого корпусу на відповідній території;
підготовки до складання попередніх списків виборців та виготовлення іменних запрошень виборцям;
уточнення попередніх списків виборців;
підготовки до складання уточнених списків виборців;
підготовки відповідей на запити щодо перевірки достовірності відомостей про громадян України, зазначених у частинах другій - п’ятій статті 29 Закону.
4.2. Вхід користувача Системи до бази даних Реєстру в режимі читання фіксується відповідними програмними засобами, які реєструють:
дату та час доступу до бази даних Реєстру;
значення параметрів запитів до бази даних Реєстру.
5. Доступ до бази даних Реєстру в режимі записування
5.1. Доступ до бази даних Реєстру в режимі записування здійснюють користувачі Системи після їх автентифікації в Системі для виконання передбачених Законом дій щодо ведення Реєстру, а саме:
внесення запису про виборця до бази даних Реєстру;
внесення змін до персональних даних Реєстру;
5.2. Вхід користувача Системи до бази даних Реєстру в режимі записування фіксується відповідними програмними засобами, які реєструють:
дату та час доступу до бази даних Реєстру;
зміст дії щодо ведення Реєстру;
дії користувача Системи в режимі записування.
5.3. Засоби Системи забезпечують контроль за дотриманням вимог Закону та цього Порядку щодо внесення змін до бази даних Реєстру та моніторинг (перегляд) внесених змін до бази даних Реєстру.
5.4. Виконання передбачених Законом дій щодо ведення Реєстру в базі даних Реєстру в режимі записування здійснюється на підставі наказу керівника органу ведення Реєстру після завершення дій з організаційно-правової підготовки щодо внесення змін до бази даних Реєстру.
6. Забезпечення захисту бази даних Реєстру
6.1. Розпорядник Реєстру, органи ведення Реєстру, регіональні органи адміністрування Реєстру, державні органи, які мають право доступу до Реєстру, під час здійснення своїх повноважень вживають заходів, спрямованих на забезпечення захисту бази даних Реєстру від несанкціонованого доступу та зловживання доступом, незаконного використання, знищення персональних даних Реєстру, порушення цілісності бази даних Реєстру та його апаратного чи програмного забезпечення шляхом застосування засобів і методів технічного захисту інформації, впровадження організаційних та інженерно-технічних заходів комплексної системи захисту інформації.
6.2. Керівник Структурного підрозділу, керівник органу ведення Реєстру, регіонального органу адміністрування Реєстру, керівник державного органу, який має право доступу до Реєстру, з метою виконання вимог законодавства України забезпечують здійснення таких заходів щодо захисту інформації в Системі:
виконання затвердженої Головою Комісії відповідної документації комплексної системи захисту інформації в Системі;
контроль за дотриманням користувачами Системи вимог законодавства щодо захисту інформації в інформаційно-комунікаційних системах та щодо захисту персональних даних;
забезпечення функціонування в Комісії та її Секретаріаті, органі ведення Реєстру, регіональному органі адміністрування Реєстру, державному органі, який має право доступу до Реєстру, комплексної системи захисту інформації в Системі.
6.3. Керівник органу, у якому утворено орган ведення Реєстру чи регіональний орган адміністрування Реєстру, керівник державного органу, який має право доступу до Реєстру:
забезпечує отримання працівниками КЕП у кваліфікованого надавача електронних довірчих послуг із заповненими ідентифікаційними даними відповідного місцевого органу виконавчої влади, органу місцевого самоврядування, державного органу, який має право доступу до Реєстру;
забезпечує створення умов для здійснення відповідним органом ведення Реєстру, регіональним органом адміністрування Реєстру, державним органом, який має право доступу до Реєстру, заходів щодо захисту інформації та експлуатації технічних засобів захисту інформації;
визначає особу, відповідальну за здійснення заходів щодо забезпечення захисту даних, які обробляються в Системі (адміністратор безпеки). Функції адміністратора безпеки визначаються інструкцією адміністратора безпеки відповідного органу ведення Реєстру, регіонального органу адміністрування Реєстру, державного органу, який має право доступу до Реєстру, що затверджується Головою Комісії;
визначає осіб, яким надається доступ до бази даних Реєстру (оператори). Функції операторів визначаються інструкцією оператора відповідного органу ведення Реєстру, регіонального органу адміністрування Реєстру, державного органу, який має право доступу до Реєстру, що затверджується Головою Комісії.
Про особу, відповідальну за здійснення заходів щодо забезпечення захисту даних, які обробляються в Системі (адміністратора безпеки), повідомляється розпорядник Реєстру:
керівником органу ведення Реєстру, регіонального органу адміністрування Реєстру - засобами Системи;
керівником державного органу, який має право доступу до Реєстру, - у письмовому зверненні, передбаченому пунктом 3.5 цього Порядку.
Адміністратори безпеки органу ведення Реєстру, регіонального органу адміністрування Реєстру, державного органу, який має право доступу до Реєстру, під час виконання функцій адміністратора безпеки взаємодіють із Структурним підрозділом.
7. Відповідальність користувачів Системи
7.1. За порушення захисту Реєстру, несанкціонований доступ або зловживання доступом до бази даних Реєстру, порушення цілісності Реєстру, спотворення або незаконне знищення персональних даних Реєстру, незаконне копіювання бази даних Реєстру чи її частини настає юридична відповідальність у встановленому законом порядку.
7.2. Користувачі Системи особисто попереджаються про персональну відповідальність за порушення вимог Закону.
ПОПЕРЕДЖЕННЯ
користувача автоматизованої інформаційно-комунікаційної системи "Державний реєстр виборців" про відповідальність за порушення вимог Закону України "Про Державний реєстр виборців"
ВІДОМІСТЬ
про надання користувачу автоматизованої інформаційно-комунікаційної системи "Державний реєстр виборців" програмно-апаратного засобу ідентифікації