Про затвердження Порядку обробки персональних даних у базі персональних даних - Державному реєстрі фізичних осіб - платників податків

Відповідно до Закону України "Про захист персональних даних" та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14,

НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у базі персональних даних - Державному реєстрі фізичних осіб - платників податків, що додається.

2. Департаменту податкової, митної політики та методології бухгалтерського обліку Міністерства фінансів України (Чмерук М. О.) у встановленому порядку забезпечити:

подання цього наказу на державну реєстрацію до Міністерства юстиції України;

оприлюднення цього наказу.

3. Державній фіскальній службі України (Білоус І. О.) забезпечити розміщення цього наказу на офіційному веб-порталі Державної фіскальної служби України.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

5. Контроль за виконанням цього наказу покласти на заступника Міністра фінансів України Фудашкіна Д. О. та Голову Державної фіскальної служби України Білоуса І. О.

 

 

1. Цей Порядок розроблено з метою встановлення загальних вимог до організаційних та технічних заходів захисту персональних даних під час їх обробки у базі персональних даних - Державному реєстрі фізичних осіб - платників податків (далі - ДРФО), який формує та веде Державна податкова служба України.

2. Цей Порядок розроблено на підставі Законів України "Про захист персональних даних" (далі - Закон № 2297), "Про захист інформації в інформаційно-комунікаційних системах" (далі - Закон № 80/94) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14.

3. Терміни у Порядку вживаються у значеннях, наведених у Законі № 2297 та Законі № 80/94.

4. Цей Порядок є обов'язковим для посадових осіб ДПС, на яких відповідно до їх посадових інструкцій покладено функції зі здійснення обробки та/або яким надано доступ до персональних даних ДРФО.

5. Персональні дані фізичних осіб - платників податків обробляються у базі персональних даних - ДРФО.

6. Володільцем бази персональних даних ДРФО є ДПС.

7. Персональні дані у базі персональних даних - ДРФО обробляються за допомогою інформаційно-комунікаційної системи ДРФО (далі - ІКС ДРФО).

8. Під обробкою персональних даних фізичної особи - платника податків розуміється будь-яка дія або сукупність дій, здійснюваних в ІКС ДРФО, які пов'язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про фізичну особу.

9. Місцезнаходження бази персональних даних ДРФО: Україна, місто Київ, Львівська площа, будинок 8.

1. Обробка даних у базі персональних даних - ДРФО проводиться з метою забезпечення реалізації податкових відносин відповідно до Податкового кодексу України (далі - Кодекс) щодо:

реєстрації та обліку фізичних осіб, які зобов'язані сплачувати податки;

обліку джерел отриманих доходів, об'єктів оподаткування, сум нарахованих та/або виплачених доходів, сум нарахованих та/або перерахованих податків, сум нарахованого та/або перерахованого військового збору, даних про податкову знижку та податкові пільги фізичної особи - платника податків;

створення умов для здійснення контролюючими органами контролю за правильністю нарахування, своєчасністю і повнотою сплати податків, нарахованих фінансових санкцій, дотримання податкового та іншого законодавства, контроль за дотриманням якого покладено на контролюючі органи;

забезпечення інших питань адміністрування податків і зборів та інших платежів відповідно до законодавства.

2. Обробка персональних даних суб'єктів персональних даних є необхідною умовою для забезпечення використання реєстраційного номера облікової картки платника податків або серії (за наявності) та номера паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті) у документах, пов'язаних із проведенням операцій, передбачених пунктами 70.12 - 70.16 статті 70 глави 6 розділу II Кодексу, а також в інших випадках, визначених законодавством, органами державної влади та органами місцевого самоврядування, юридичними особами незалежно від організаційно-правових форм, включаючи Національний банк України, банки, інші фінансові установи, небанківських надавачів платіжних послуг, емітентів електронних грошей, біржі, фізичними особами, у тому числі підприємцями та особами, які провадять незалежну професійну діяльність.

1. Відповідно до мети обробки до складу персональних даних ДРФО включаються такі дані про фізичних осіб:

реєстраційний номер облікової картки платника податків;

прізвище, ім'я, по батькові (за наявності);

дата народження;

місце народження (країна, область, район, населений пункт);

зареєстроване або задеклароване місце проживання (перебування);

для іноземців: громадянство та номер, що використовується під час оподаткування в країні громадянства;

джерела отримання доходів;

об'єкти оподаткування;

суми нарахованих та/або виплачених доходів;

суми нарахованих та/або перерахованих податків;

суми нарахованого та/або перерахованого військового збору;

унікальний номер запису в Єдиному державному демографічному реєстрі (у разі внесення інформації про особу до Єдиного державного демографічного реєстру);

інформація про податкову знижку та податкові пільги платника податків;

серія, номер свідоцтва про народження, паспорта (аналогічні дані іншого документа, що посвідчує особу), ким і коли виданий;

інформація про фізичних осіб, які померли.

2. До ДРФО вносяться відомості про державну реєстрацію, реєстрацію та взяття на облік фізичних осіб - підприємців і осіб, які провадять незалежну професійну діяльність. Такі відомості включають:

дати, номери записів, свідоцтв та інших документів, а також підстави державної реєстрації, реєстрації та взяття на облік, припинення підприємницької чи незалежної професійної діяльності, інші реєстраційні дані;

інформацію про державну реєстрацію, реєстрацію та взяття на облік змін у даних про особу, заміну чи продовження дії довідок про взяття на облік;

місце провадження діяльності, телефони та іншу додаткову інформацію для зв'язку з фізичною особою - підприємцем чи особою, яка провадить незалежну професійну діяльність;

види діяльності;

систему оподаткування із зазначенням періодів дії.

1. ДПС визначає самостійний структурний підрозділ, що здійснює методологічне супроводження, формування, інформаційне забезпечення, функціонування, контроль за достовірністю, повнотою та цілісністю бази персональних даних - ДРФО.

2. ДПС визначає структурний підрозділ, відповідальний за організацію роботи зі збирання, накопичення, зберігання, внесення змін, поновлення, використання та захисту персональних даних при обробці у ДРФО, з урахуванням вимог статті 24 Закону № 2297 (далі - відповідальний структурний підрозділ).

3. Обов'язки працівників відповідального структурного підрозділу щодо організації роботи з обробки та захисту персональних даних при обробці у ДРФО вказуються у посадових інструкціях.

4. Відповідальний структурний підрозділ відповідно до покладених завдань:

1) забезпечує:

ознайомлення керівників структурних підрозділів та працівників ДПС, які у зв'язку з виконанням своїх посадових обов'язків мають доступ до персональних даних з ДРФО, з вимогами законодавства про захист персональних даних, зокрема щодо обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали їм відомі у зв'язку з виконанням посадових обов'язків;

організацію обробки персональних даних у ДРФО працівниками ДПС відповідно до посадових обов'язків в обсязі, необхідному для виконання таких обов'язків;

організацію роботи з обробки запитів щодо доступу до персональних даних ДРФО суб'єктів відносин, пов'язаних з обробкою персональних даних;

доступ суб'єктів персональних даних до власних персональних даних з ДРФО;

ведення обліку фактів надання та позбавлення працівників ДПС права здійснення обробки та/або доступу до персональних даних ДРФО;

здійснення розмежування режимів доступу працівників ДПС до обробки персональних даних у базі персональних даних - ДРФО відповідно до їх посадових обов'язків;

2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних у ДРФО;

3) фіксує факти порушень режиму захисту персональних даних у ДРФО.

5. Відповідальний структурний підрозділ має право перевіряти стан виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних у ДРФО.

1. Відповідно до Закону № 2297 фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІКС ДРФО, є суб'єктом персональних даних.

2. Фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІКС ДРФО, має право:

знати про мету обробки персональних даних у базі персональних даних ДРФО та про їх місцезнаходження;

на доступ до своїх персональних даних, що містяться у базі персональних даних ДРФО, відповідно до статті 16 Закону № 2297;

отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються її персональні дані у базі персональних даних ДРФО, а також отримувати зміст таких персональних даних;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;

на інші права, передбачені статтею 8 Закону № 2297.

3. Фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІКС ДРФО, зобов'язана подавати контролюючим органам відомості про зміну даних, які вносяться до облікової картки або повідомлення (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків і мають відмітку у паспорті), протягом місяця з дня виникнення таких змін шляхом подання відповідної заяви.

1. ІКС ДРФО - окрема складова частина всієї інформаційно-комунікаційної системи ДПС, що забезпечує функціонування та щоденне оновлення ДРФО.

2. Збирання персональних даних.

Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

Спосіб збору, накопичення персональних даних, що включаються до ДРФО, умови та процедури внесення змін до персональних даних визначаються відповідними нормами Кодексу та Положенням про реєстрацію фізичних осіб у Державному реєстрі фізичних осіб - платників податків, затвердженим наказом Міністерства фінансів України від 29 вересня 2017 року № 822, зареєстрованим в Міністерстві юстиції України 25 жовтня 2017 року за № 1306/31174 (далі - Положення).

Процедура реєстрації фізичної особи - платника податків у ДРФО та/або внесення змін до даних, які містяться у ДРФО відповідно до пункту 3 розділу II Положення, включає, зокрема, повідомлення фізичної особи про права та обов'язки фізичної особи - платника податків та мету збору персональних даних у ДРФО відповідно до статей 8 та 12 Закону № 2297 та статті 17 розділу I, статей 63 та 70 розділу II Кодексу.

Інформація про фізичну особу - платника податків, що пов'язана з нарахуванням, сплатою податків і контролем за дотриманням податкового законодавства України, відповідно до пункту 70.16 статті 70 Кодексу надходить до ДРФО від органів виконавчої влади та місцевого самоврядування, самозайнятих осіб, податкових агентів в порядку, встановленому Кабінетом Міністрів України.

3. Зберігання та знищення персональних даних.

Персональні дані в ДРФО зберігаються протягом усього життя фізичної особи - платника податків та 75 років з дати внесення запису про її смерть.

Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону № 2297. Персональні дані в ДРФО підлягають знищенню у разі закінчення строку зберігання даних. Зокрема, підставою для знищення персональних даних у базі ДРФО є набрання законної сили рішенням суду щодо виключення даних про фізичну особу з ДРФО.

Зберігання персональних даних передбачає дії із забезпечення їх цілісності та відповідного режиму доступу до них.

4. Інформація в ІКС ДРФО поділяється на:

персональні дані;

технологічну інформацію.

5. Персональні дані фізичних осіб - платників податків із ДРФО є інформацією з обмеженим доступом.

6. Персональні дані ДРФО відносяться до даних, до яких висуваються підвищені вимоги із забезпечення конфіденційності, цілісності, доступності та спостережності.

7. Технологічна інформація складається з інформації щодо системних налаштувань компонентів ІКС ДРФО, облікових записів та атрибутів доступу користувачів ІКС ДРФО, журналів реєстрації подій в ІКС ДРФО тощо. Технологічна інформація призначена для використання тільки уповноваженими користувачами ІКС ДРФО та персоналом, що забезпечує функціонування ІКС ДРФО.

8. Порядок доступу до персональних даних працівників ДПС.

Доступ до персональних даних у ІКС ДРФО надається працівникам ДПС, на яких відповідно до їх функціональних обов'язків покладено функції зі здійснення обробки та/або яким надано доступ до персональних даних ДРФО, у посадових інструкціях яких передбачено функції обробки та/або доступу до персональних даних та які надали письмове зобов'язання щодо нерозголошення персональних даних за формою згідно з додатком 1 до цього Порядку.

Зобов'язання про нерозголошення персональних даних реєструються у Журналі реєстрації зобов'язань про нерозголошення персональних даних за формою згідно з додатком 2 до цього Порядку.

У Журналі реєстрації зобов'язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників ДПС права здійснення обробки та/або доступу до персональних даних ДРФО.

Датою надання права на здійснення обробки та/або доступу до персональних даних ДРФО вважається дата надання зобов'язання.

Датою позбавлення права на здійснення обробки та/або доступу до персональних даних ДРФО вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків за якою не пов'язано з обробкою та/або доступом до персональних даних ДРФО.

При переведенні на іншу посаду, яка не передбачає здійснення обробки та/або доступу до персональних даних ДРФО, або звільненні працівника, який мав право на здійснення обробки та/або доступу до персональних даних в ІКС ДРФО, його ідентифікаційні дані вилучаються з системи.

9. Облік порушень режиму захисту персональних даних.

Факти порушень режиму захисту персональних даних фіксуються в актах, які складає працівник відповідального структурного підрозділу.

За необхідності за фактами порушень режиму захисту персональних даних Головою ДПС призначається службове розслідування.

За результатами службового розслідування за фактами порушень режиму захисту персональних даних на працівників ДПС, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.

10. З метою забезпечення безперервності роботи ІКС ДРФО та можливості у разі необхідності відновлення інформації, яка міститься в ІКС ДРФО, ДПС здійснює заходи щодо створення резервної копії інформації (копії бази персональних даних ДРФО, інсталяційних копій програмного забезпечення, за допомогою якого забезпечується процес формування та ведення ДРФО) із дотриманням вимог щодо захисту, цілісності та конфіденційності інформації в ІКС ДРФО.

11. З метою забезпечення функціонування ІКС ДРФО та захисту інформації, що обробляється в ІКС ДРФО, на період дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування ДПС може вживати додаткових заходів, а саме:

створення резервної копії інформації з ІКС ДРФО на окремих фізичних носіях у зашифрованому вигляді та передачу таких резервних копій надалі для зберігання в установленому законодавством порядку, у тому числі за межами України (зокрема в закордонних дипломатичних установах України), протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування;

зупиняти, обмежувати роботу ІКС ДРФО.

1. Персональні дані з ДРФО третій особі не надаються, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону № 2297 або неспроможна їх забезпечити.

2. Без згоди фізичної особи - платника податків її персональні дані можуть передаватися у таких випадках, зокрема:

1) за рішенням суду;

2) коли передача персональних даних прямо передбачена законом України і лише в інтересах національної безпеки, економічного добробуту та прав людини:

органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їх письмову вимогу щодо персональних даних фізичної особи з ДРФО за конкретний проміжок часу;

центральному органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, на його запит щодо персональних даних з ДРФО;

органам державної виконавчої служби та приватним виконавцям на їх письмову вимогу з питань виконання рішень судів та рішень, що підлягають примусовому виконанню відповідно до Закону України "Про виконавче провадження", щодо персональних даних фізичної особи з ДРФО;

3) отримання запиту від інших органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України відповідно до нормативно-правових актів щодо взаємодії обміну або отримання інформації з ДРФО.

3. В інших випадках, ніж зазначені у пункті 2 цього розділу, доступ до персональних даних надається третім особам лише за письмової згоди фізичної особи - платника податків за кожним запитом окремо у порядку, визначеному статтею 16 Закону № 2297.

4. Запит відповідного органу державної влади на отримання персональних даних з ДРФО та відповідь на такий запит може надаватися в паперовій або в електронній формі з дотриманням вимог законодавства у сферах електронних документів, електронного документообігу, електронної ідентифікації та електронних довірчих послуг.

Запит, що подається в паперовій формі, повинен:

бути викладений на бланку органу державної влади встановленої форми;

бути наданий за підписом керівника органу державної влади (чи його заступника), скріплений гербовою печаткою;

містити мету та/або правові підстави для запиту, посилання на норми закону, відповідно до яких орган державної влади має право на отримання такої інформації.

Подання запиту в електронній формі та надання у відповідь відомостей з ДРФО забезпечуються шляхом електронної інформаційної взаємодії між державними електронними інформаційними ресурсами.

У разі здійснення електронної інформаційної взаємодії з використанням системи електронної взаємодії державних електронних інформаційних ресурсів "Трембіта" (далі - система "Трембіта") порядок обміну даними між ДПС та суб'єктами електронної взаємодії визначається постановою Кабінету Міністрів України від 08 вересня 2016 року № 606 "Деякі питання електронної взаємодії електронних інформаційних ресурсів", іншими актами законодавства України у цій сфері.

У разі відсутності технічної можливості передачі даних з використанням системи "Трембіта" електронна інформаційна взаємодія здійснюється з використанням інших інформаційно-комунікаційних систем із застосуванням в них відповідних комплексних систем захисту інформації з підтвердженою відповідністю за результатами державної експертизи в порядку, встановленому законодавством.

5. Фізична особа - платник податків має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних ДРФО.

6. Фізична особа - платник податків подає запит щодо доступу до своїх персональних даних, наявних у ДРФО (далі - запит).

7. У запиті фізична особа - платник податків зазначає прізвище, ім'я, по батькові (за наявності), реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта (для фізичних осіб, які мають відмітку в паспорті про право здійснювати будь-які платежі за серією та/або номером паспорта), зареєстроване або задеклароване місце проживання (перебування), реквізити документа, що посвідчує особу.

1. ДПС відповідальна за організацію роботи із захисту персональних даних у ІКС ДРФО.

2. При обробці персональних даних у складі ІКС ДРФО забезпечується захист персональних даних відповідно до вимог Закону № 2297, Закону № 80/94 та Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373.

3. ДПС як володілець бази персональних даних ДРФО вживає заходів, у тому числі організаційних та технічних, щодо забезпечення захисту персональних даних у ІКС ДРФО.

4. Розмежування доступу користувачів:

в ІКС ДРФО здійснюється розмежування доступу користувачів до інформації відповідно до їх повноважень шляхом створення облікового запису для кожного користувача (логін, пароль). Кожному користувачу надаються певні права на доступ до окремих полів бази даних ДРФО. Крім адміністраторів бази даних, жоден з користувачів не має доступу до всієї бази даних;

користувачі ІКС ДРФО допускаються до роботи з персональними даними лише після авторизації. Доступ осіб, які не пройшли процедури ідентифікації та/або автентифікації, блокується;

під час обробки персональних даних в ІКС ДРФО забезпечується їх захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення шляхом надання користувачеві права на виконання однієї або кількох операцій з обробки інформації або позбавлення його такого права.

5. Категорії користувачів ІКС ДРФО:

за рівнем повноважень щодо доступу до інформації та характером робіт, що виконуються у процесі функціонування ІКС ДРФО, особи, які мають доступ до її ресурсів, поділяються на такі категорії:

адміністратор ДРФО - здійснює управління реєстраційними записами користувачів, забезпечує налаштування програмного забезпечення автоматизованої системи, адміністрування серверів та бази персональних даних ДРФО;

користувачі системи, які мають певні повноваження щодо доступу до персональних даних (повноваження користувача встановлюються відповідно до його посадових обов'язків);

технічний персонал, що забезпечує належні умови функціонування ІКС ДРФО, повсякденне підтримання життєдіяльності її фізичного середовища тощо.

6. В ІКС ДРФО виконується аудит дій користувачів та адміністраторів системи, який забезпечує облік операцій, пов'язаних з обробкою персональних даних та доступом до них. Аудит в ІКС ДРФО забезпечує фіксування таких даних, як дата, час, джерело, підстави, найменування програмного забезпечення, відомості про працівника, який здійснив дії щодо збирання персональних даних суб'єкта, внесення змін до персональних даних, запит до бази персональних даних ДРФО (перегляд, копіювання).

7. Захист персональних даних в ІКС ДРФО здійснюється шляхом створення та забезпечення функціонування комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованим у Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (із змінами).