МІНІСТЕРСТВО ОХОРОНИ ЗДОРОВ'Я УКРАЇНИ
НАКАЗ
15.01.2025 м. Київ № 99
Зареєстровано в Міністерстві юстиції України
11 лютого 2025 р. за № 209/43615
Про затвердження Порядку обробки та захисту персональних даних в електронній системі щодо оцінювання повсякденного функціонування особи
Відповідно до статті 6 Закону України "Про захист персональних даних", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, пунктів 19 - 23 Порядку функціонування електронної системи щодо оцінювання повсякденного функціонування особи, затвердженого постановою Кабінету Міністрів України від 15 листопада 2024 року № 1338, пункту 8 Положення про Міністерство охорони здоров'я України, затвердженого постановою Кабінету Міністрів України від 25 березня 2015 року № 267 (в редакції постанови Кабінету Міністрів України від 24 січня 2020 року № 90),
НАКАЗУЮ:
1. Затвердити Порядок обробки та захисту персональних даних в електронній системі щодо оцінювання повсякденного функціонування особи, що додається.
2. Департаменту цифрових трансформацій в охороні здоров'я (Дмитру Лук'янову) забезпечити:
1) подання цього наказу в установленому законодавством порядку на державну реєстрацію до Міністерства юстиції України;
2) оприлюднення цього наказу на офіційному вебсайті Міністерства охорони здоров'я України після здійснення державної реєстрації в Міністерстві юстиції України.
3. Контроль за виконанням цього наказу покласти на заступника Міністра з питань цифрового розвитку, цифрових трансформацій і цифровізації Марію Карчевич.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
ЗАТВЕРДЖЕНО
Наказ Міністерства охорони здоров'я України
15 січня 2025 року № 99
Порядок
обробки та захисту персональних даних в електронній системі щодо оцінювання повсякденного функціонування особи
I. Загальні положення
1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних під час їх обробки в електронній системі щодо оцінювання повсякденного функціонування особи (далі - електронна система) та/або у паперовій формі у разі відсутності технічної можливості використовувати електронну систему.
2. Цей Порядок є обов'язковим до виконання користувачами електронної системи, працівниками державного підприємства "Електронне здоров'я", що виконує функції адміністратора електронної системи (далі - адміністратор електронної системи), які мають доступ до персональних даних, що містяться в електронній системі (далі - персональні дані), та обробляють персональні дані.
3. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України "Основи законодавства України про охорону здоров'я", "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах", Порядку функціонування електронної системи щодо оцінювання повсякденного функціонування особи, затвердженому постановою Кабінету Міністрів України від 15 листопада 2024 року № 1338.
4. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
5. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".
6. Персональні дані обробляються:
1) в електронній системі автоматизовано в електронній формі за допомогою технічних і програмних засобів;
2) у паперовій формі, що передбачає обробку персональних даних, які містяться в таких документах, оформлених у паперовій формі в разі відсутності технічної можливості використання електронної системи:
направленнях на оцінювання повсякденного функціонування особи;
протоколах розгляду експертними командами з оцінювання повсякденного функціонування особи;
рішеннях експертних команд з оцінювання повсякденного функціонування особи;
протоколах розгляду скарг на рішення експертних команд з оцінювання повсякденного функціонування особи або рішення медико-соціальних експертних комісій;
рішеннях експертних команд з оцінювання повсякденного функціонування особи Центру оцінювання функціонального стану особи за результатами розгляду скарг на рішення експертних команд з оцінювання повсякденного функціонування особи або рішення медико-соціальних експертних комісій;
протоколах розгляду під час перевірки обґрунтованості рішень експертних команд з оцінювання повсякденного функціонування особи або рішень медико-соціальних експертних комісій;
рішеннях експертних команд з оцінювання повсякденного функціонування особи Центру оцінювання функціонального стану особи за результатами перевірки обґрунтованості рішень експертних команд з оцінювання повсякденного функціонування особи або рішень медико-соціальних експертних комісій.
7. Володільцем персональних даних є МОЗ.
Розпорядником персональних даних є адміністратор електронної системи.
Користувачі електронної системи, працівники адміністратора електронної системи здійснюють обробку персональних даних відповідно до їх прав доступу, визначених Порядком функціонування електронної системи щодо оцінювання повсякденного функціонування особи, затвердженим постановою Кабінету Міністрів України від 15 листопада 2024 року № 1338.
8. Обробка персональних даних, щодо яких встановлені особливі вимоги, та/або яка становить особливий ризик для прав і свобод суб'єктів персональних даних, здійснюється відповідно до статей 7 та 9 Закону України "Про захист персональних даних".
II. Мета та підстави обробки персональних даних
1. Обробка персональних даних здійснюється з метою забезпечення:
проведення оцінювання повсякденного функціонування особи (далі - оцінювання);
адміністративного оскарження рішень експертних команд з оцінювання повсякденного функціонування особи (далі - експертна команда), рішення медико-соціальних експертних комісій;
перевірки обґрунтованості рішень експертних команд, рішень медико-соціальних експертних комісій;
функціонування електронної системи.
2. Підставами для обробки персональних даних є:
дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
необхідність виконання обов'язку володільця персональних даних, який передбачений законом.
3. Обробка персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України "Основи законодавства України про охорону здоров'я", "Про захист персональних даних", "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах".
III. Категорії суб'єктів та склад персональних даних
1. В електронній системі здійснюється обробка персональних даних таких категорій суб'єктів персональних даних:
осіб, які направлені на проведення оцінювання та/або проходять оцінювання, їх довірених осіб для повідомлення у разі неможливості зв'язку з відповідними особами;
осіб, які оскаржують рішення експертних команд, рішення медико-соціальних експертних комісій в порядку адміністративного оскарження, їх уповноважених представників;
осіб, залучених до розгляду скарг на рішення експертних команд, рішення медико-соціальних експертних комісій;
осіб, стосовно яких прийнято рішення експертних команд, рішення медико-соціальних експертних комісій, щодо яких здійснюється перевірка їх обґрунтованості;
користувачів електронної системи;
працівників адміністратора електронної системи, на яких покладено завдання щодо здійснення обробки та/або яким надано доступ до персональних даних.
2. Склад персональних даних, які обробляються засобами електронної системи, залежить від категорії суб'єкта персональних даних.
3. В електронній системі обробляються такі персональні дані:
1) персональні дані осіб, які направлені на проведення оцінювання та/або проходять оцінювання:
прізвище, власне ім'я та по батькові (за наявності);
дата народження;
стать (біологічна);
реєстраційний номер облікової картки платника податків (далі - РНОКПП) (у разі наявності) або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття РНОКПП та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті громадянина України);
реквізити документа, що посвідчує особу;
серія (за наявності) та номер військово-облікового документа для призовників, військовозобов'язаних та резервістів чи посвідчення про приписку до призовної дільниці (за наявності), категорія щодо військового обов'язку та військове звання (за наявності) (для чоловіків віком від 18 до 60 років);
адреса задекларованого/зареєстрованого місця проживання (перебування) або адреса фактичного місця проживання (для внутрішньо переміщених осіб);
контактні дані (номер телефону, адреса електронної пошти (за наявності));
відомості про характер праці особи;
медична інформація;
2) персональні дані довірених осіб для повідомлення у разі неможливості зв'язку з особами, які направлені на проведення оцінювання та/або проходять оцінювання:
прізвище, власне ім'я та по батькові (за наявності);
контактні дані (номер телефону, адреса електронної пошти (за наявності));
3) персональні дані осіб, які оскаржують рішення експертних команд, рішення медико-соціальних експертних комісій в порядку адміністративного оскарження:
прізвище, власне ім'я та по батькові (за наявності);
РНОКПП (у разі наявності) або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття РНОКПП та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті громадянина України);
адреса задекларованого/зареєстрованого місця проживання (перебування) або адреса фактичного місця проживання (для внутрішньо переміщених осіб);
контактні дані (номер телефону, адреса електронної пошти (за наявності));
4) персональні дані уповноважених представників осіб, які оскаржують рішення експертних команд, рішення медико-соціальних експертних комісій в порядку адміністративного оскарження:
прізвище, власне ім'я та по батькові (за наявності);
реквізити документа, що підтверджує повноваження уповноваженого представника;
адреса задекларованого/зареєстрованого місця проживання (перебування) або адреса фактичного місця проживання (для внутрішньо переміщених осіб);
контактні дані (номер телефону, адреса електронної пошти (за наявності));
5) персональні дані осіб, залучених до розгляду скарг на рішення експертних команд, рішення медико-соціальних експертних комісій:
прізвище, власне ім'я та по батькові (за наявності);
адреса задекларованого/зареєстрованого місця проживання (перебування) або адреса фактичного місця проживання (для внутрішньо переміщених осіб);
контактні дані (номер телефону, адреса електронної пошти (за наявності));
6) персональні дані осіб, стосовно яких прийнято рішення експертних команд, рішення медико-соціальних експертних комісій, щодо яких здійснюється перевірка їх обґрунтованості:
прізвище, власне ім'я та по батькові (за наявності);
РНОКПП (у разі наявності) або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття РНОКПП та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті громадянина України);
адреса задекларованого/зареєстрованого місця проживання (перебування) або адреса фактичного місця проживання (для внутрішньо переміщених осіб);
контактні дані (номер телефону, адреса електронної пошти (за наявності));
7) персональні дані користувачів електронної системи (залежно від їх категорії та способу обробки їх персональних даних):
прізвище, власне ім'я та по батькові (за наявності);
дата народження;
РНОКПП (у разі наявності) або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідному контролюючому органу і мають відмітку у паспорті громадянина України);
реквізити документа, що посвідчує особу;
контактні дані (номер телефону, адреса електронної пошти (за наявності));
спеціальність;
посада;
8) персональні дані працівників адміністратора електронної системи, на яких покладено завдання щодо здійснення обробки та/або яким надано доступ до персональних даних:
прізвище, власне ім'я та по батькові (за наявності);
дата народження;
РНОКПП (у разі наявності) або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідному контролюючому органу і мають відмітку у паспорті громадянина України);
реквізити документа, що посвідчує особу;
контактні дані (номер телефону, адреса електронної пошти (за наявності)).
IV. Порядок обробки персональних даних
1. Спосіб збирання, накопичення персональних даних
1. Збирання персональних даних осіб, відомості про яких підлягають внесенню до електронної системи, здійснюється:
1) під час авторизації (електронної ідентифікації та автентифікації) користувачів електронної системи в електронній системі з використанням особистого ключа, а також шляхом надання користувачами електронної системи своїх персональних даних під час реєстрації в електронній системі;
2) шляхом отримання інформації в паперовій та/або електронній формах безпосередньо від суб'єктів персональних даних у разі створення (отримання) таких документів:
направлень на оцінювання повсякденного функціонування особи;
протоколів розгляду експертними командами з оцінювання повсякденного функціонування особи;
рішень експертних команд з оцінювання повсякденного функціонування особи;
протоколів розгляду скарг на рішення експертних команд з оцінювання повсякденного функціонування особи або рішення медико-соціальних експертних комісій;
рішень експертних команд з оцінювання повсякденного функціонування особи Центру оцінювання функціонального стану особи за результатами розгляду скарг на рішення експертних команд з оцінювання повсякденного функціонування особи або рішення медико-соціальних експертних комісій;
протоколів розгляду під час перевірки обґрунтованості рішень експертних команд з оцінювання повсякденного функціонування особи або рішень медико-соціальних експертних комісій;
рішень експертних команд з оцінювання повсякденного функціонування особи Центру оцінювання функціонального стану особи за результатами перевірки обґрунтованості рішень експертних команд з оцінювання повсякденного функціонування особи або рішень медико-соціальних експертних комісій;
скарг на рішення експертних команд, рішення медико-соціальних експертних комісій;
клопотань про поновлення строку подання скарг на рішення експертних команд, рішення медико-соціальних експертних комісій.
2. Суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України "Про захист персональних даних", мету обробки (збору) персональних даних, осіб, яким передаються його персональні дані, а також про джерела збирання, місцезнаходження своїх персональних даних, місцезнаходження володільця чи розпорядника персональних даних, у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних.
2. Строки та умови зберігання персональних даних
1. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
2. Персональні дані суб'єктів персональних даних, зазначених у пункті 1 розділу III цього Порядку, зберігаються протягом строку, необхідного для досягнення мети обробки, але не менше 50 років.
3. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
3. Внесення змін, видалення або знищення персональних даних
1. Працівники адміністратора електронної системи, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства.
2. Зміни до персональних даних вносяться на підставі:
вмотивованої письмової вимоги суб'єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили;
звернення інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних.
3. Персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
4. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
5. Персональні дані підлягають видаленню або знищенню у разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних та МОЗ чи адміністратором електронної системи, якщо інше не передбачено законом;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
6. Персональні дані, зібрані з порушенням вимог Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку.
7. Суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
8. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта обробляються незаконно або є недостовірними МОЗ або адміністратор електронної системи припиняють обробку персональних даних суб'єкта та інформують про це суб'єкта персональних даних.
4. Доступ до персональних даних
1. Працівники адміністратора електронної системи, які мають доступ до персональних даних, повинні бути ознайомлені з вимогами Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних.
2. Працівники адміністратора електронної системи, які мають доступ до персональних даних, зобов'язані:
запобігати втраті персональних даних та їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків (таке зобов'язання залишається чинним після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених Законом України "Про захист персональних даних").
3. Працівники адміністратора електронної системи, які мають доступ до персональних даних, надають письмове зобов'язання про нерозголошення персональних даних (додаток 1), що зберігається в особовій справі працівника, який надав таке зобов'язання.
Кожен із цих працівників адміністратора електронної системи користується доступом лише до тих персональних даних (їх частин) суб'єктів, які необхідні у зв'язку з виконанням ними своїх професійних, службових або трудових обов'язків.
4. Відомості про працівників адміністратора електронної системи, які надали письмове зобов'язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов'язань про нерозголошення персональних даних (додаток 2), який ведеться в електронній формі працівником адміністратора електронної системи, відповідальним за організацію роботи, пов'язаної із захистом персональних даних при їх обробці (далі - відповідальна особа).
5. Датою надання права доступу до персональних даних вважається дата надання відповідним працівником зобов'язання про нерозголошення персональних даних.
6. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.
7. Контроль за наданням працівниками адміністратора електронної системи зобов'язань про нерозголошення персональних даних здійснюється відповідальною особою.
8 Суб'єкт персональних даних має право на одержання від МОЗ та адміністратора електронної системи будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.
9 Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
V. Заходи забезпечення захисту персональних даних
1. Обробка та захист персональних даних в електронній системі здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.
2. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Працівники, які відповідно до посадових обов'язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації в електронній системі.
3. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо унеможливлення несанкціонованого доступу до персональних даних та технічного і програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
4. Облік операцій, пов'язаних із обробкою персональних даних суб'єкта та доступом до них, здійснюється адміністратором електронної системи відповідно до законодавства.
5. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
6. Факти порушень процесу обробки та захисту персональних даних підлягають документальній фіксації відповідальною особою.
Така документальна фіксація, а також опис дій працівників адміністратора електронної системи на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій здійснюється адміністратором електронної системи відповідно до законодавства.
7. Відповідальна особа:
інформує та консультує працівників адміністратора електронної системи з питань додержання законодавства про захист персональних даних;
взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами Секретаріату Уповноваженого Верховної Ради України з прав людини з питань запобігання та усунення порушень законодавства про захист персональних даних;
здійснює заходи, спрямовані на підвищення обізнаності працівників адміністратора електронної системи із законодавством у сфері захисту персональних даних, у тому числі систематичне навчання.
Відповідальна особа визначається керівником адміністратора електронної системи.
| Директор Департаменту цифрових трансформацій в охороні здоров'я | Дмитро ЛУК'ЯНОВ |
Додаток 1
до Порядку обробки та захисту персональних даних в електронній системі щодо оцінювання повсякденного функціонування особи
(пункт 3 глави 4 розділу IV)
Зобов'язання
про нерозголошення персональних даних
| "___" ____________ 20__ року (дата) | _______________ (підпис) |
____________
Додаток 2
до Порядку обробки та захисту персональних даних в електронній системі щодо оцінювання повсякденного функціонування особи
(пункт 4 глави 4 розділу IV)
Журнал
реєстрації зобов'язань про нерозголошення персональних даних
____________