Про затвердження Порядку обробки персональних даних в Комісії з регулювання азартних ігор та лотерей

Відповідно до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах", пункту 8 частини другої статті 4 Закону України "Про державне регулювання діяльності щодо організації та проведення азартних ігор", Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, абзацу третього підпункту 1 пункту 4 Положення про Комісію з регулювання азартних ігор та лотерей, затвердженого постановою Кабінету Міністрів України від 23 вересня 2020 року № 891, Комісія з регулювання азартних ігор та лотерей ВИРІШИЛА:

1. Затвердити Порядок обробки персональних даних в Комісії з регулювання азартних ігор та лотерей, що додається.

2. Департаменту методології разом з департаментом юридичного забезпечення в установленому законодавством порядку забезпечити подання цього рішення на державну реєстрацію до Міністерства юстиції України.

3. Департаменту документального забезпечення та організаційної роботи забезпечити оприлюднення цього рішення після його державної реєстрації.

4. Це рішення набирає чинності з дня його офіційного опублікування.

5. Контроль за виконанням цього рішення покласти на в.о. Голови КРАІЛ.

1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних суб’єктів персональних даних, володільцем яких є КРАІЛ, під час їх обробки в інформаційно-комунікаційних системах КРАІЛ та із застосуванням неавтоматизованих засобів.

2. Терміни у цьому Порядку вживаються у значеннях, наведених в Законах України "Про захист персональних даних" та "Про захист інформації в інформаційно-комунікаційних системах".

3. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.

4. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".

5. Володільцем персональних даних є КРАІЛ.

6. Персональні дані в КРАІЛ обробляються автоматизовано в електронній формі за допомогою програмних засобів інформаційно-комунікаційних систем КРАІЛ та у паперовій формі (звернення, запити на доступ до публічної інформації, заяви щодо отримання адміністративних послуг, заяви про самообмеження/обмеження осіб у відвідуваннях гральних закладів та в участі в азартних іграх, які надійшли в паперовій формі; документи, що містять персональні дані державних службовців та інших працівників КРАІЛ (далі - працівники КРАІЛ) або кандидатів на зайняття вакантних посад).

7. Загальна організація та координація роботи, пов’язаної із захистом персональних даних під час їх обробки у КРАІЛ, покладаються на відповідальний структурний підрозділ (відповідальну особу).

8. Відповідальний структурний підрозділ (відповідальна особа):

забезпечує реалізацію прав суб’єктів персональних даних;

користується доступом до будь-яких даних, які обробляються КРАІЛ та до всіх приміщень КРАІЛ, де здійснюється така обробка;

у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника апарату КРАІЛ з метою вжиття необхідних заходів;

аналізує загрози безпеці персональних даних.

9. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону України "Про захист персональних даних".

10. Цей Порядок є обов’язковим до виконання для працівників КРАІЛ, яким надано доступ до інформації, що містить персональні дані, у межах виконання ними своїх повноважень.

1. Метою обробки персональних даних є:

забезпечення отримання фізичними та юридичними особами адміністративних послуг, передбачених Законом України "Про державне регулювання діяльності щодо організації та проведення азартних ігор";

захист прав, законних інтересів, життя та здоров’я громадян, мінімізація негативних наслідків участі фізичних осіб в азартній грі, а також вжиття заходів, спрямованих на боротьбу з ігровою залежністю (лудоманією);

реалізація державної кадрової політики з питань добору персоналу, документального оформлення вступу на роботу або державну службу, її проходження та припинення;

підготовка статистичної, адміністративної та іншої інформації, що належить до компетенції КРАІЛ, за умови знеособлення персональних даних та забезпечення їх належного захисту.

2. Підставами для обробки персональних даних є:

дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

необхідність виконання обов’язку володільця персональних даних, який передбачений законом.

Обробка персональних даних фізичних осіб, які надають КРАІЛ послуги за цивільно-правовими договорами, здійснюється на підставі правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.

3. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України "Про захист персональних даних", "Про інформацію", "Про центральні органи виконавчої влади", "Про адміністративні послуги", "Про державне регулювання діяльності щодо організації та проведення азартних ігор", "Про державні лотереї в Україні", "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" та інших законів України, а також Порядку формування і ведення Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх, затвердженого рішенням Комісії з регулювання азартних ігор та лотерей від 22 квітня 2021 року № 167, зареєстрованого в Міністерстві юстиції України 03 червня 2021 року за № 747/36369, Порядку видачі власнику приміщення дозволу, що підтверджує відповідність приміщення для організації та проведення азартних ігор у гральному закладі вимогам, встановленим Законом України "Про державне регулювання діяльності щодо організації та проведення азартних ігор", затвердженого рішенням Комісії з регулювання азартних ігор та лотерей від 17 грудня 2020 року № 26, зареєстрованого в Міністерстві юстиції України 15 січня 2021 року за № 65/35687, з метою здійснення повноважень КРАІЛ.

1. КРАІЛ здійснює обробку персональних даних таких категорій суб’єктів:

осіб, які звертаються до КРАІЛ з заявами щодо отримання дозволу, що підтверджує відповідність приміщення встановленим Законом України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" вимогам до приміщення для грального закладу;

осіб, відомості про яких підлягають обробці під час розгляду КРАІЛ заяв про отримання ліцензій, передбачених Законами України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" та "Про державні лотереї в Україні";

осіб, які звертаються до КРАІЛ в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу";

осіб, відомості про яких підлягають внесенню до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх;

осіб, які звертаються до КРАІЛ із заявами про внесення відомостей до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх;

реєстраторів та користувачів Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх;

працівників КРАІЛ та кандидатів на зайняття вакантних посад.

2. Склад персональних даних, які обробляються КРАІЛ залежить від категорії суб’єкта персональних даних.

3. КРАІЛ здійснює обробку таких персональних даних осіб, які звертаються до КРАІЛ з заявами щодо отримання дозволу, що підтверджує відповідність приміщення встановленим Законом України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" вимогам до приміщення для грального закладу:

прізвище, власне ім’я, по батькові (за наявності);

відомості про задеклароване або зареєстроване місце проживання (перебування);

реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);

відомості про засоби зв’язку.

4. КРАІЛ здійснює обробку таких персональних даних осіб, відомості про яких підлягають обробці під час розгляду КРАІЛ заяв про отримання ліцензій, передбачених Законами України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" та "Про державні лотереї в Україні":

прізвище, власне ім’я, по батькові (за наявності);

дата народження;

країна громадянства;

тип, серія (за наявності) та номер документа, що посвідчує особу/реквізити паспортного документа іноземця;

реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);

відомості про задеклароване або зареєстроване місце проживання (перебування).

5. КРАІЛ здійснює обробку таких персональних даних осіб, які звертаються в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації", "Про безоплатну правову допомогу":

прізвище, власне ім’я, по батькові (за наявності);

відомості про задеклароване або зареєстроване місце проживання (перебування);

відомості про місце роботи;

наявність пільг, які є підставою для першочергового розгляду звернення;

відомості про засоби зв’язку;

інші дані, які особа добровільно, за власним бажанням, надає про себе.

6. КРАІЛ здійснює обробку таких персональних даних осіб, відомості про яких підлягають внесенню до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх:

прізвище, власне ім’я, по батькові (за наявності);

дата народження (число, місяць, рік);

тип, серія (за наявності) та номер документа, що посвідчує особу / реквізити паспортного документа іноземця;

реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);

громадянство/підданство (відомості про відсутність громадянства/підданства);

відомості про задеклароване або зареєстроване місце проживання (перебування);

унікальний номер запису з Єдиного державного демографічного реєстру (за наявності);

стать;

відомості про засоби зв’язку.

7. КРАІЛ обробляє такі персональні дані осіб, які звертаються до КРАІЛ із заявами про внесення відомостей до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх:

прізвище, власне ім’я, по батькові (за наявності);

дата народження (число, місяць, рік);

відомості про ступінь споріднення з особою, якій має бути обмежено доступ до гральних закладів та/або участь в азартних іграх;

інші дані, які особа добровільно, за власним бажанням, надає про себе.

8. КРАІЛ обробляє такі персональні дані реєстраторів та користувачів до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх:

прізвище, власне ім’я, по батькові (за наявності);

дата народження;

тип, серія (за наявності) та номер документа, що посвідчує особу;

реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті).

9. КРАІЛ обробляє такі персональні дані працівників КРАІЛ та кандидатів на зайняття вакантних посад:

прізвище, власне ім’я, по батькові (за наявності);

дата народження (число, місяць, рік);

тип, серія (за наявності) та номер документа, що посвідчує особу;

реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті);

відомості про освіту, наявність спеціальних знань або підготовки;

відомості про трудову діяльність;

військово-облікові дані;

відомості про стан здоров’я (в обсязі, необхідному для реалізації трудових відносин, і для забезпечення вимог законодавства у сфері охорони праці);

біографічні дані;

відомості про сімейний стан та склад сім’ї;

відомості про задеклароване або зареєстроване місце проживання (перебування);

відомості про засоби зв’язку;

відомості про наявність прав на пільги та компенсації;

фотографічні зображення.

1. Персональні дані осіб, які звертаються до КРАІЛ з заявами щодо отримання дозволу, що підтверджує відповідність приміщення встановленим Законом України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" вимогам до приміщення для грального закладу, а також осіб відомості про яких підлягають обробці під час розгляду КРАІЛ заяв про отримання ліцензій, передбачених Законами України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" та "Про державні лотереї в Україні", збираються шляхом використання відомостей про таких осіб в порядку, встановленому зазначеними законами України, а також Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення".

Накопичення персональних даних здійснюється за допомогою інформаційно-комунікаційних систем КРАІЛ, а також неавтоматизованими засобами.

2. Збирання персональних даних працівників КРАІЛ та кандидатів на зайняття вакантних посад здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, про державну службу, працю.

Накопичення таких персональних даних здійснюється згідно з вимогами законодавства, зокрема, про державну службу, працю неавтоматизованими засобами, а також за допомогою ліцензійного програмного забезпечення "MASTER: Комплексний облік для бюджетних установ".

3. Персональні дані осіб, які звертаються до КРАІЛ в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу", збираються шляхом використання відомостей про таких осіб, зазначених ними у зверненнях та запитах на інформацію.

Накопичення персональних даних вказаної категорії суб’єктів здійснюється за допомогою системи електронного документообігу, а також неавтоматизованими засобами.

4. Персональні дані осіб, відомості про яких підлягають внесенню до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх, осіб, які звертаються до КРАІЛ із заявами про внесення відомостей до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх, а також реєстраторів та користувачів зазначеного Реєстру накопичуються на підставі інформації в паперовій або електронній формах, яка надсилається КРАІЛ відповідно до Порядку формування та ведення Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх, затвердженого рішенням Комісії з регулювання азартних ігор та лотерей від 22 квітня 2021 року № 167, зареєстрованого в Міністерстві юстиції України 03 червня 2021 року за № 747/36369.

Персональні дані обробляються та зберігаються в інформаційно-комунікаційних системах КРАІЛ.

5. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України "Про захист персональних даних", мету збору персональних даних та про осіб, яким передаються його персональні дані, а також про джерела збирання, місцезнаходження своїх персональних даних, місцезнаходження володільця чи розпорядника персональних даних, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних.

1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

2. Персональні дані працівників КРАІЛ та кандидатів на зайняття вакантних посад зберігаються у строк, визначений законодавством, зокрема про державну службу, про працю.

3. Персональні дані осіб, які звертаються до КРАІЛ в порядку, визначеному Законами України "Про звернення громадян", "Про доступ до публічної інформації" та "Про безоплатну правову допомогу", зберігаються протягом 5 років з моменту звернення.

4. Персональні дані осіб, відомості про яких підлягають внесенню до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх, зберігаються протягом строку, визначеного з урахуванням вимог статті 16 Закону України "Про державне регулювання діяльності щодо організації та проведення азартних ігор", але не більше 3 років з дати їх включення до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх.

5. Персональні дані осіб, відомості про яких підлягають обробці під час розгляду КРАІЛ заяв про отримання ліцензій, передбачених Законами України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" та "Про державні лотереї в Україні", зберігаються до закінчення строку дії відповідної ліцензії або її анулювання.

6. Персональні дані осіб, які звертаються до КРАІЛ з заявами щодо отримання дозволу, що підтверджує відповідність приміщення встановленим Законом України "Про державне регулювання діяльності щодо організації та проведення азартних ігор" вимогам до приміщення для грального закладу, зберігаються постійно.

7. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

1. Працівники структурних підрозділів КРАІЛ, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.

2. Зміни до персональних даних вносяться на підставі:

вмотивованої письмової вимоги суб’єкта персональних даних;

припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

за рішенням суду, що набрало законної сили;

в інших випадках, передбачених Законом України "Про захист персональних даних", Порядком формування та ведення Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх, затвердженим рішенням Комісії з регулювання азартних ігор та лотерей від 22 квітня 2021 року № 167, зареєстрованим в Міністерстві юстиції України 03 червня 2021 року за № 747/36369, та іншими нормативно-правовими актами у сфері захисту персональних даних.

3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

5. Персональні дані підлягають знищенню у разі:

закінчення строку зберігання даних, визначених законом;

припинення правовідносин між суб’єктом персональних даних та КРАІЛ, якщо інше не передбачено законом;

видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;

набрання законної сили рішенням суду щодо вилучення персональних даних про особу.

6. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку.

7. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних КРАІЛ, якщо ці дані обробляються незаконно чи є недостовірними.

8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними КРАІЛ припиняє обробку персональних даних суб’єкта та інформує про це суб’єкта персональних даних.

1. Працівники КРАІЛ, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних", цього Порядку та інших нормативно-правових актів у сфері захисту персональних даних.

2. Працівники КРАІЛ, які обробляють персональні дані, зобов’язані:

запобігати втраті персональних даних та їх неправомірному використанню;

не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").

3. Відповідальний структурний підрозділ (відповідальна особа) веде облік працівників, які мають доступ до персональних даних, обробку яких здійснює КРАІЛ. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних чи службових або трудових обов’язків. Такі працівники надають письмове зобов’язання про нерозголошення персональних даних (додаток 1), яке зберігається в особовій справі.

4. Відомості про працівників КРАІЛ, які надали письмове зобов’язання про нерозголошення відомостей, що належать до персональних даних, заносяться до Журналу реєстрації зобов’язань про нерозголошення персональних даних (додаток 2), який ведеться відповідальним структурним підрозділом (відповідальною особою) в електронній або паперовій формі.

5. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

7. Суб’єкт персональних даних має право на одержання від КРАІЛ будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.

8. Вимоги відповідального структурного підрозділу (відповідальної особи) до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.

1. Передача персональних даних третім особам здійснюється відповідно до вимог законодавства.

2. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється відповідальним структурним підрозділом (відповідальною особою) лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.

Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі:

надання суб’єктом персональних даних однозначної згоди на таку передачу;

необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою - суб’єктом персональних даних на користь суб’єкта персональних даних;

необхідності захисту життєво важливих інтересів суб’єктів персональних даних;

необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;

надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних.

3. Суб’єкт персональних даних завчасно інформується про передачу його персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними.

4. Не є конфіденційною інформацією передбачені законом персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

5. Не належать до інформації з обмеженим доступом:

відомості, зазначені у деклараціях осіб, уповноважених на виконання функцій держави або місцевого самоврядування, оформлених за формою і в порядку, що встановлені Законом України "Про запобігання корупції", крім відомостей, визначених абзацом четвертим частини першої статті 47 цього Закону;

інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації";

інші відомості, доступ до яких не може бути обмежено відповідно до законів та міжнародних договорів України, згода на обов’язковість яких надана Верховною Радою України.

1. КРАІЛ вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, зокрема за допомогою організаційних та технічних заходів.

Захист персональних даних передбачає вжиття заходів, спрямованих на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

2. Персональні дані обробляються у спосіб, що унеможливлює доступ до них сторонніх осіб.

Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних в інформаційно-комунікаційних системах КРАІЛ, допускаються до обробки лише після їх авторизації.

3. Обробка персональних даних в інформаційно-комунікаційних системах КРАІЛ здійснюється відповідно до вимог Законів України "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах", "Про державне регулювання діяльності щодо організації та проведення азартних ігор", "Про державні лотереї в Україні" та законодавства у сфері захисту інформації.

З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту від несанкціонованого доступу до персональних даних, що обробляються, у тому числі, ознайомлення, модифікації, знищення, копіювання, поширення, а також роботи технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

Доступ до Реєстру осіб, яким обмежено доступ до гральних закладів та/або участь в азартних іграх за допомогою інтегрованої системи електронної ідентифікації з використанням засобів кваліфікованого електронного підпису, що забезпечують захист даних від несанкціонованого доступу.

4. КРАІЛ забезпечує ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта персональних даних та доступом до них, а саме інформації про:

про дату, час та джерело збирання персональних даних;

зміну персональних даних;

перегляд персональних даних;

будь-яку передачу (копіювання) персональних даних суб’єкта;

дату та час видалення або знищення персональних даних;

посадову особу, яка здійснила одну із зазначених операцій;

мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

5. Облік операцій, пов’язаних з обробкою персональних даних, що містяться у картотеках (особових справах працівників), здійснюється шляхом ведення службою управлінням персоналом Журналу обліку операцій, пов’язаних з обробкою персональних даних (додаток 3) в електронній або паперовій формі.

Облік операцій, пов’язаних з обробкою персональних даних в інформаційно-комунікаційних системах КРАІЛ, здійснюється автоматично.

6. Забезпечення захисту персональних даних в інформаційно-комунікаційних системах КРАІЛ покладається на структурний підрозділ КРАІЛ, до повноважень якого належить здійснення заходів з кібербезпеки, кіберзахисту та безпеки інформаційних технологій.

7. На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій затверджується план дій працівників КРАІЛ.

8. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальним структурним підрозділом (відповідальною особою), в тому числі на підставі повідомлення працівника КРАІЛ, який обробляє персональні дані.