Про затвердження Порядку обробки та захисту отриманих від суб’єктів надання інформації персональних даних під час здійснення верифікації та моніторингу державних виплат

{Назва Постанови в редакції Постанови КМ № 205 від 03.03.2020}

{Із змінами, внесеними згідно з Постановою КМ
№ 205 від 03.03.2020}

Відповідно до абзацу другого частини другої статті 15 Закону України “Про верифікацію та моніторинг державних виплат” Кабінет Міністрів України постановляє:

{Вступна частина в редакції Постанови КМ № 205 від 03.03.2020}

Затвердити Порядок обробки та захисту отриманих від суб’єктів надання інформації персональних даних під час здійснення верифікації та моніторингу державних виплат, що додається.

{Постановляюча частина в редакції Постанови КМ № 205 від 03.03.2020}

ПОРЯДОК
обробки та захисту отриманих від суб’єктів надання інформації персональних даних під час здійснення верифікації та моніторингу державних виплат

{Назва Порядку в редакції Постанови КМ № 205 від 03.03.2020}

1. Цей Порядок визначає механізм обробки персональних даних та комплекс заходів щодо їх захисту, у тому числі інформації, яка отримується відповідно до статті 62 Закону України “Про банки і банківську діяльність”, від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, під час здійснення Мінфіном верифікації та моніторингу державних виплат.

{Пункт 1 із змінами, внесеними згідно з Постановою КМ № 205 від 03.03.2020}

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України “Про верифікацію та моніторинг державних виплат”, “Про захист персональних даних”, “Про захист інформації в інформаційно-телекомунікаційних системах”.

{Пункт 2 в редакції Постанови КМ № 205 від 03.03.2020}

3. Метою обробки персональних даних є:

1) здійснення превентивної, поточної та ретроспективної верифікації державних виплат;

2) надання рекомендацій органам, що здійснюють державні виплати;

3) підготовка аналітичних даних для підвищення адресності державних виплат;

4) надання центральним органам виконавчої влади, що забезпечують формування та реалізують державну політику у сфері надання відповідних державних виплат, пропозицій щодо вдосконалення законодавства з питань здійснення таких виплат.

{Пункт 3 в редакції Постанови КМ № 205 від 03.03.2020}

4. Обробка та захист персональних даних здійснюються відповідно до Законів України “Про верифікацію та моніторинг державних виплат”, “Про захист персональних даних”, “Про захист інформації в інформаційно-телекомунікаційних системах”, “Про інформацію”.

{Пункт 4 в редакції Постанови КМ № 205 від 03.03.2020}

5. Суб’єктами персональних даних є реципієнти, персональні дані яких обробляються.

6. Для здійснення верифікації та моніторингу державних виплат використовуються персональні дані реципієнтів, що визначені статтею 13 Закону України “Про верифікацію та моніторинг державних виплат.

{Пункт 6 в редакції Постанови КМ № 205 від 03.03.2020}

7. Інформація, що підтверджує право на отримання державних виплат відповідно до законодавства, може запитуватися стосовно періодів часу, необхідних для призначення відповідних державних виплат та їх отримання.

8. Отримані від суб’єктів надання інформації персональні дані обробляються засобами автоматизованої системи “Інформаційно-аналітична платформа електронної верифікації та моніторингу” (далі - інформаційно-аналітична платформа), яка розміщується на програмно-апаратному комплексі Мінфіну, із застосуванням апаратних засобів мережевого захисту від несанкціонованого доступу під час обробки цих даних.

9. Розпорядником персональних даних, які отримані від суб’єктів надання інформації, є Мінфін.

10. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються.

11. Збирання та накопичення персональних даних здійснюється шляхом підбору, впорядкування, поєднання та систематизації відомостей про реципієнтів засобами інформаційно-аналітичної платформи.

12. Персональні дані видаляються або знищуються в порядку, встановленому Законом України “Про захист персональних даних”. Знищення персональних даних здійснюється з використанням засобів інформаційно-аналітичної платформи у спосіб, що виключає подальшу можливість поновлення таких даних.

{Пункт 12 із змінами, внесеними згідно з Постановою КМ № 205 від 03.03.2020}

13. Персональні дані в інформаційно-аналітичній платформі зберігаються протягом строку, необхідного для цілей верифікації та моніторингу державних виплат, але не більше трьох років після завершення державної виплати реципієнту.

{Пункт 13 в редакції Постанови КМ № 205 від 03.03.2020}

14. Поширення персональних даних здійснюється у випадках, визначених законодавством, з дотриманням вимог Закону України “Про захист персональних даних”.

{Пункт 14 в редакції Постанови КМ № 205 від 03.03.2020}

15. Доступ до персональних даних надається користувачам інформаційно-аналітичної платформи в обсягах, необхідних для виконання службових обов’язків.

16. Порядок доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат, та їх обов’язки встановлюються Мінфіном.

17. Захист персональних даних від випадкової втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до них, забезпечується на всіх етапах обробки.

18. Захист персональних даних в інформаційно-аналітичній платформі здійснюється з урахуванням вимог комплексної системи захисту інформації.

19. Засобами інформаційно-аналітичної платформи здійснюється ведення обліку працівників, які мають доступ до персональних даних, та розмежування рівнів доступу зазначених працівників до персональних даних відповідно до їх посадових обов’язків.

20. Користувачі інформаційно-аналітичної платформи допускаються до обробки персональних даних після їх ідентифікації. Доступ користувачу, який не пройшов процедури ідентифікації, не надається та блокується.

21. Робота працівника з персональними даними фіксується в електронних протоколах доступу до персональних даних.

22. Інформаційно-аналітична платформа автоматично фіксує інформацію про операції, пов’язані з обробкою персональних даних та доступом до них, та зберігає інформацію про:

1) дату, час та джерело інформації, що містить персональні дані;

2) зміну інформації, що містить персональні дані;

3) перегляд інформації, що містить персональні дані;

4) будь-яку передачу (копіювання) інформації, що містить персональні дані;

5) дату та час видалення або знищення інформації, що містить персональні дані;

6) посаду та прізвище, ім’я, по батькові працівника, який здійснив одну із зазначених у цьому пункті операцій.

{Підпункт 6 пункту 22 із змінами, внесеними згідно з Постановою КМ № 205 від 03.03.2020}

23. Працівники, яким надається доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм довірено або стали відомі під час виконання службових обов’язків.

Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

24. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, яка не пов’язана з обробкою персональних даних, його обліковий запис анулюється засобами інформаційно-аналітичної платформи.

25. З метою зниження ризиків незаконного розкриття персональних даних під час їх передачі або обробки додатково можуть застосовуватися криптографічний захист інформації, електронний підпис та інші методи захисту.

26. За порушення вимог законодавства про захист персональних даних посадові особи несуть відповідальність, встановлену законом.