МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ
НАКАЗ
| 24.06.2019 № 270 |
Зареєстровано в Міністерстві
юстиції України
15 липня 2019 р.
за № 780/33751
Про затвердження Порядку доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат
( Із змінами, внесеними згідно з Наказом Міністерства фінансів № 288 від 11.06.2020 )
Відповідно до пункту 16 Порядку обробки та захисту персональних даних під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат, затвердженого постановою Кабінету Міністрів України від 03 квітня 2019 року № 405 ,
НАКАЗУЮ:
1. Затвердити Порядок доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат, що додається.
2. Департаменту моніторингу баз даних та верифікації виплат в установленому порядку забезпечити:
подання цього наказу на державну реєстрацію до Міністерства юстиції України;
оприлюднення цього наказу на офіційному веб-сайті Міністерства фінансів України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу залишаю за собою.
| Міністр | О. Маркарова |
ЗАТВЕРДЖЕНО
Наказ Міністерства
фінансів України
24 червня 2019 року № 270
Зареєстровано в Міністерстві
юстиції України
15 липня 2019 р.
за № 780/33751
ПОРЯДОК
доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат
I. Загальні положення
1. Цей Порядок визначає комплекс заходів щодо надання доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат, та їх обов’язки.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про верифікацію та моніторинг державних виплат", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про електронні довірчі послуги", Порядку адміністрування Інформаційно-аналітичної платформи електронної верифікації та моніторингу, затвердженому постановою Кабінету Міністрів України від 18 лютого 2016 року № 137.
( Пункт 2 розділу I в редакції Наказу Міністерства фінансів № 288 від 11.06.2020 )
3. Метою доступу до персональних даних є здійснення верифікації та моніторингу державних виплат.
( Пункт 3 розділу I в редакції Наказу Міністерства фінансів № 288 від 11.06.2020 )
4. Отримані від суб’єктів надання інформації персональні дані обробляються засобами автоматизованої системи "Інформаційно-аналітична платформа електронної верифікації та моніторингу" (далі - інформаційно-аналітична платформа), яка розміщується на програмно-апаратному комплексі Мінфіну, із застосуванням апаратних засобів мережевого захисту від несанкціонованого доступу під час обробки цих даних.
5. Доступ до персональних даних в інформаційно-аналітичній платформі надається працівникам структурного підрозділу, визначеного розділом II цього Порядку, на яких відповідно до їх службових обов’язків покладено функції із здійснення обробки та/або захисту персональних даних.
6. Надання доступу до персональних даних, які обробляються в інформаційно-аналітичній платформі з використанням програмно-технічних засобів, розмежування режимів доступу до персональних даних здійснює адміністратор.
Автентифікація осіб в інформаційно-аналітичній платформі здійснюється з використанням кваліфікованих електронних довірчих послуг.
II. Обов’язки структурного підрозділу Мінфіну, відповідального за організацію роботи з обробки та захисту персональних даних
1. Відповідальним за організацію роботи з отримання, накопичення, зберігання, поновлення, використання та захисту персональних даних під час обробки є відділ верифікації та моніторингу виплат Департаменту моніторингу баз даних та верифікації виплат Мінфіну (далі - відповідальний структурний підрозділ).
2. Відповідальний структурний підрозділ здійснює отримання, накопичення, зберігання, формування, контроль за цілісністю баз даних.
3. Відповідальний структурний підрозділ відповідно до покладених завдань:
1) забезпечує:
збереження отриманої інформації, у тому числі інформації, що містить банківську таємницю;
аналіз процесів обробки персональних даних відповідно до основних завдань та функцій підрозділу;
організацію обробки персональних даних, запитів державних органів у випадках, визначених законом, працівниками Мінфіну відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов’язків;
ведення обліку фактів надання та позбавлення працівників, які мають доступ до персональних даних, права доступу до персональних даних та їх обробки;
організацію робіт із здійснення розмежування режимів доступу працівників Мінфіну до обробки персональних даних у базі персональних даних відповідно до їх службових обов’язків;
2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами Секретаріату Уповноваженого Верховної Ради України з прав людини з питань запобігання та усунення порушень законодавства про захист персональних даних.
III. Обов’язки працівників відповідального структурного підрозділу, які обробляють персональні дані
1. Працівники відповідального структурного підрозділу, які обробляють персональні дані (далі - працівники підрозділу), повинні знати вимоги Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних та зобов’язані протягом часу виконання своїх посадових обов’язків:
1) запобігати втраті персональних даних або їх неправомірному використанню, не використовувати їх з вигодою для себе чи для третіх осіб;
2) не розголошувати персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом);
3) забезпечувати умови зберігання матеріальних носіїв інформації, які використовуються під час обробки персональних даних, шляхом унеможливлення несанкціонованого доступу до них сторонніх осіб;
4) терміново повідомляти керівника Департаменту моніторингу баз даних та верифікації виплат Мінфіну у разі:
втрати або знищення матеріальних носіїв інформації, які містять персональні дані, в тому числі банківську таємницю;
втрати службових печаток, ключів від приміщень, сейфів, шаф, де зберігаються матеріальні носії інформації;
якщо дані автентифікації для входу в інформаційно-аналітичну платформу стали відомі іншим особам;
виявлення спроби несанкціонованого доступу до персональних даних, їх модифікації або знищення.
2. У разі звільнення або переведення на іншу посаду працівники зобов’язані своєчасно передавати керівнику відповідального структурного підрозділу або іншому працівнику, визначеному керівництвом, матеріальні носії інформації, які вони використовували під час виконання посадових обов’язків, що фіксується відповідним актом приймання-передавання.
IV. Доступ працівників підрозділу до персональних даних
1. Доступ до персональних даних, внесених до інформаційно-аналітичної платформи, мають працівники підрозділу відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.
2. Працівники підрозділу дають письмове зобов’язання про нерозголошення персональних даних (додаток 1), які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків.
Право доступу до персональних даних та їх обробки надається лише після підписання зобов’язання про нерозголошення персональних даних.
Забезпечення взяття зобов’язань про нерозголошення персональних даних покладається на керівника відповідального структурного підрозділу.
3. Зобов’язання про нерозголошення персональних даних реєструються в журналі реєстрації зобов’язань про нерозголошення персональних даних (додаток 2), який ведеться у відповідальному структурному підрозділі.
За даними журналу реєстрації зобов’язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників підрозділу права доступу до персональних даних та їх обробки.
4. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
( Абзац перший пункту 4 розділу IV із змінами, внесеними згідно з Наказом Міністерства фінансів № 288 від 11.06.2020 )
Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника підрозділу, дата переведення його на посаду, виконання обов’язків за якою не пов’язане з обробкою персональних даних.
Доступ до персональних даних працівнику підрозділу не надається, якщо такий працівник відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України "Про захист персональних даних" у частині захисту персональних даних або неспроможний їх забезпечити.
5. Працівники підрозділу допускаються до обробки персональних даних в інформаційно-аналітичній платформі після їх ідентифікації та автентифікації з використанням кваліфікованого електронного підпису за допомогою інтегрованої системи електронної ідентифікації. Робота працівника підрозділу з персональними даними фіксується в електронних протоколах доступу до персональних даних.
Доступ осіб, які не пройшли процедури ідентифікації, фіксується в електронних журналах та блокується.
У разі переведення на іншу посаду, яка не передбачає обробки персональних даних, або у разі звільнення працівника, який мав право на обробку персональних даних в інформаційно-аналітичній платформі, про це повідомляється адміністратор інформаційно-аналітичної платформи, який забезпечує блокування його облікового запису з метою унеможливлення доступу до інформаційноаналітичної платформи.
6. Персональні дані видаляються або знищуються в порядку, встановленому Законом України "Про захист персональних даних" .
Знищення персональних даних здійснюється з використанням засобів інформаційно-аналітичної платформи у спосіб, що виключає подальшу можливість поновлення таких даних.
Персональні дані, які розміщуються на електронних носіях інформації, після обробки таких даних та у разі відсутності потреби у їх використанні знищуються шляхом фізичного руйнування або пошкодження електронного носія інформації до стану, коли відтворення інформації з нього неможливе, про що складається акт знищення електронних носіїв інформації, які містять персональні дані (додаток 3).
( Пункт 6 розділу IV в редакції Наказу Міністерства фінансів № 288 від 11.06.2020 )
7. Факти порушення режиму захисту персональних даних фіксуються актами, які складає керівник відповідального структурного підрозділу.
| Директор Департаменту моніторингу баз даних та верифікації виплат | Д.М. Серебрянський |
Додаток 1
до Порядку доступу
до персональних даних осіб,
які уповноважені на обробку
та захист персональних даних
під час здійснення верифікації
та моніторингу державних виплат
(пункт 2 розділу IV)
ЗОБОВ’ЯЗАННЯ
про нерозголошення персональних даних
( Див. текст )( Додаток 1 в редакції Наказу Міністерства фінансів № 288 від 11.06.2020 )
Додаток 2
до Порядку доступу
до персональних даних осіб,
які уповноважені на обробку
та захист персональних даних
під час здійснення верифікації
та моніторингу державних виплат
(пункт 3 розділу IV)
ЖУРНАЛ
реєстрації зобов’язань про нерозголошення персональних даних
Додаток 3
до Порядку доступу
до персональних даних осіб,
які уповноважені на обробку
та захист персональних даних
під час здійснення верифікації
та моніторингу державних виплат
(пункт 6 розділу IV)
АКТ
знищення електронних носіїв інформації, які містять персональні дані
( Див. текст )