МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ
НАКАЗ
01.05.2024 м. Київ № 219
Зареєстровано в Міністерстві юстиції України
15 травня 2024 р. за № 712/42057
Про затвердження Порядку обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби
Відповідно до статті 6 Закону України "Про захист персональних даних", частини шостої статті 24-2 Закону України "Основи законодавства України про охорону здоров'я", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, підпункту 24-3 пункту 4 Положення про Міністерство фінансів України, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року № 375, Порядку перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби, затвердженого постановою Кабінету Міністрів України від 19 липня 2022 року № 807,
НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби, що додається.
2. Департаменту забезпечення координаційно-моніторингової роботи в установленому порядку забезпечити:
подання цього наказу на державну реєстрацію до Міністерства юстиції України;
оприлюднення цього наказу.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на першого заступника Міністра Улютіна Д. В.
ЗАТВЕРДЖЕНО
Наказ Міністерства фінансів України
01 травня 2024 року № 219
Порядок
обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби
I. Загальні положення
1. Цей Порядок визначає механізм обробки персональних даних та комплекс заходів щодо їх захисту від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, під час здійснення Мінфіном перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби.
2. У цьому Порядку терміни вживаються у значеннях, наведених у Законах України "Основи законодавства України про охорону здоров'я", "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах", "Про електронну ідентифікацію та електронні довірчі послуги", "Про державні фінансові гарантії медичного обслуговування населення", Порядку адміністрування Інформаційно-аналітичної платформи електронної верифікації та моніторингу, затвердженого постановою Кабінету Міністрів України від 18 лютого 2016 року № 137.
3. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".
4. Отримані від суб'єктів надання інформації персональні дані обробляються засобами автоматизованої системи "Інформаційно-аналітична платформа електронної верифікації та моніторингу" (далі - інформаційно-аналітична платформа), яка розміщується на програмно-апаратному комплексі Мінфіну, із застосуванням апаратних засобів мережевого захисту від несанкціонованого доступу під час обробки цих даних.
5. Володільцем персональних даних є Мінфін.
6. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються.
II. Мета та підстави обробки персональних даних
1. Метою обробки персональних даних є:
здійснення перевірки достовірності інформації та документів;
надання рекомендацій НСЗУ для проведення додаткової перевірки інформації, що містить невідповідності;
моніторинг інформації, отриманої під час перевірки достовірності інформації та документів, результатів такої перевірки, а також результатів опрацювання та врахування НСЗУ рекомендацій.
2. Обробка та захист персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України "Про захист персональних даних", "Основи законодавства України про охорону здоров'я", "Про захист інформації в інформаційно-комунікаційних системах" та інших законів України з метою здійснення повноважень Мінфіну.
III. Категорії суб'єктів та склад персональних даних
1. Мінфін здійснює обробку персональних даних таких категорій суб'єктів:
надавачів медичних послуг (фізичних осіб - підприємців);
працівників надавачів медичних послуг;
суб'єктів господарювання, які провадять діяльність з роздрібної торгівлі лікарськими засобами та медичними виробами (фізичних осіб - підприємців);
пацієнтів.
2. Склад персональних даних, які обробляються Мінфіном, залежить від категорії суб'єкта персональних даних і визначений пунктом 6 Порядку перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби, затвердженого постановою Кабінету Міністрів України від 19 липня 2022 року № 807.
IV. Порядок обробки персональних даних
1. Спосіб збирання, накопичення персональних даних, строки та умови їх зберігання
1. Збирання та накопичення персональних даних здійснюється шляхом підбору, впорядкування, поєднання та систематизації відомостей про суб'єктів персональних даних засобами інформаційно-аналітичної платформи.
2. Персональні дані в інформаційно-аналітичній платформі зберігаються протягом строку, необхідного для цілей перевірки достовірності інформації та документів, але не довше 5 років.
3. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
2. Видалення або знищення персональних даних
1. Персональні дані видаляються або знищуються в порядку, встановленому Законом України "Про захист персональних даних". Знищення персональних даних здійснюється з використанням засобів інформаційно-аналітичної платформи у спосіб, що виключає подальшу можливість поновлення таких даних.
2. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання даних;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
3. Знищення електронних носіїв інформації, які містять персональні дані, після обробки таких даних у разі відсутності потреби у їх використанні здійснюється шляхом фізичного руйнування або пошкодження електронного носія інформації до стану, коли відтворення інформації з нього неможливе, про що складається акт знищення електронних носіїв інформації, які містять персональні дані (додаток 1).
3. Умови передачі персональних даних третім особам
Передача персональних даних третім особам здійснюється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини з дотриманням вимог Закону України "Про захист персональних даних".
4. Доступ до персональних даних
1. Відповідальним за організацію роботи з отримання, накопичення, зберігання, використання та захисту персональних даних під час обробки є структурний підрозділ Мінфіну, на який покладено функції зі здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби (далі - відповідальний структурний підрозділ).
2. Доступ до персональних даних в інформаційно-аналітичній платформі надається працівникам відповідального структурного підрозділу, на яких відповідно до їх службових обов'язків покладено функції зі здійснення обробки та/або захисту персональних даних.
3. Надання доступу до персональних даних, які обробляються в інформаційно-аналітичній платформі з використанням програмно-технічних засобів, розмежування режимів доступу до персональних даних здійснює адміністратор.
4. Відповідальний структурний підрозділ здійснює отримання, накопичення, зберігання, формування, контроль за цілісністю баз даних.
5. Відповідальний структурний підрозділ відповідно до покладених завдань:
1) забезпечує:
збереження отриманої інформації;
аналіз процесів обробки персональних даних відповідно до основних завдань та функцій підрозділу;
організацію обробки персональних даних, запитів державних органів у випадках, визначених законом, працівниками відповідального структурного підрозділу відповідно до службових обов'язків в обсязі, необхідному для виконання таких обов'язків;
ведення обліку фактів надання та позбавлення працівників, які мають доступ до персональних даних, права доступу до персональних даних та їх обробки;
організацію робіт зі здійснення розмежування режимів доступу працівників відповідального структурного підрозділу до обробки персональних даних у базі персональних даних відповідно до їх службових обов'язків;
2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами Секретаріату Уповноваженого Верховної Ради України з прав людини з питань запобігання та усунення порушень законодавства про захист персональних даних.
6. Працівники відповідального структурного підрозділу, які обробляють персональні дані, мають бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.
Працівники відповідального структурного підрозділу, які обробляють персональні дані, зобов'язані:
1) запобігати втраті персональних даних або їх неправомірному використанню, не використовувати їх з вигодою для себе чи третіх осіб;
2) не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом);
3) забезпечувати умови зберігання матеріальних носіїв інформації, які використовуються під час обробки персональних даних, шляхом унеможливлення несанкціонованого доступу до них сторонніх осіб.
7. У разі звільнення або переведення на іншу посаду працівники відповідального структурного підрозділу зобов'язані своєчасно передавати керівнику відповідального структурного підрозділу або іншому працівнику, визначеному керівництвом, матеріальні носії інформації, які вони використовували під час виконання посадових обов'язків, що фіксується відповідним актом приймання-передавання.
8. Доступ до персональних даних, внесених до інформаційно-аналітичної платформи, мають працівники відповідального структурного підрозділу відповідно до посадових обов'язків в обсязі, необхідному для виконання таких обов'язків.
9. Працівники відповідального структурного підрозділу дають письмове зобов'язання про нерозголошення персональних даних (додаток 2), які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків.
Право доступу до персональних даних та їх обробки надається лише після підписання зобов'язання про нерозголошення персональних даних.
Забезпечення взяття зобов'язань про нерозголошення персональних даних покладається на керівника відповідального структурного підрозділу.
10. Зобов'язання про нерозголошення персональних даних реєструються в журналі реєстрації зобов'язань про нерозголошення персональних даних (додаток 3), який ведеться у відповідальному структурному підрозділі.
За даними журналу реєстрації зобов'язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників відповідального структурного підрозділу права доступу до персональних даних та їх обробки.
11. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника відповідального структурного підрозділу, дата переведення його на посаду, виконання обов'язків за якою не пов'язане з обробкою персональних даних.
Доступ до персональних даних працівнику відповідального структурного підрозділу не надається, якщо такий працівник відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону України "Про захист персональних даних" у частині захисту персональних даних або неспроможний їх забезпечити.
12. Працівники відповідального структурного підрозділу допускаються до обробки персональних даних в інформаційно-аналітичній платформі після їх ідентифікації та автентифікації з використанням кваліфікованого електронного підпису за допомогою інтегрованої системи електронної ідентифікації.
Доступ осіб, які не пройшли процедури ідентифікації, фіксується в електронних журналах та блокується.
У разі переведення на іншу посаду, яка не передбачає обробки персональних даних, або у разі звільнення працівника, який мав право на обробку персональних даних в інформаційно-аналітичній платформі, про це повідомляється адміністратор інформаційно-аналітичної платформи, який забезпечує блокування його облікового запису з метою унеможливлення доступу до інформаційно-аналітичної платформи.
V. Заходи забезпечення захисту персональних даних
1. Захист персональних даних від випадкової втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до них, забезпечується на всіх етапах обробки.
2. Захист персональних даних в інформаційно-аналітичній платформі здійснюється з урахуванням вимог комплексної системи захисту інформації.
3. Засобами інформаційно-аналітичної платформи здійснюється ведення обліку працівників, які мають доступ до персональних даних, та розмежування рівнів доступу зазначених працівників до персональних даних відповідно до їх посадових обов'язків.
4. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Користувачі інформаційно-аналітичної платформи допускаються до обробки персональних даних лише після їх ідентифікації.
5. Робота працівника з персональними даними фіксується в електронних протоколах доступу до персональних даних.
6. Інформаційно-аналітична платформа автоматично фіксує інформацію про операції, пов'язані з обробкою персональних даних та доступом до них, та зберігає інформацію про:
1) дату, час та джерело інформації, що містить персональні дані;
2) зміну інформації, що містить персональні дані;
3) перегляд інформації, що містить персональні дані;
4) будь-яку передачу (копіювання) інформації, що містить персональні дані;
5) дату та час видалення або знищення інформації, що містить персональні дані;
6) посаду та прізвище, ім'я, по батькові (за наявності) працівника, який здійснив одну із зазначених у цьому пункті операцій.
7. Факти порушення режиму захисту персональних даних фіксуються актами, які складає керівник відповідального структурного підрозділу.
Така документальна фіксація, а також опис дій працівників на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, надзвичайних ситуацій здійснюється Мінфіном відповідно до законодавства.
8. З метою зниження ризиків незаконного розкриття персональних даних під час їх передачі або обробки додатково можуть застосовуватися криптографічний захист інформації, електронний підпис та інші методи захисту.
9. За порушення вимог законодавства про захист персональних даних посадові особи несуть відповідальність, встановлену законом.
Директор Департаменту забезпечення координаційно-моніторингової роботи | Юрій КОНЮШЕНКО |
Додаток 1
до Порядку обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби
(пункт 3 глави 2 розділу IV)
АКТ
знищення електронних носіїв інформації, які містять персональні дані,
за період з ____________ по ____________
N з/п | Дата та номер супровідного листа | Назва електронного носія | Серійний номер електронного носія | Дата знищення |
1 | 2 | 3 | 4 | 5 |
... |
Усього за цим актом знищено _______________________________________ штук електронних носіїв у присутності: (кількість словами) |
Додаток 2
до Порядку обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби
(пункт 9 глави 4 розділу IV)
ЗОБОВ'ЯЗАННЯ
про нерозголошення персональних даних
___ ____________ 20__ р. | _____________ (підпис) | ___________________ (ініціал, прізвище) |
Додаток 3
до Порядку обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров'я (крім інформації про стан здоров'я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби
(пункт 10 глави 4 розділу IV)
ЖУРНАЛ
реєстрації зобов'язань про нерозголошення персональних даних
____________