Документ z0780-19, чинний, поточна редакція — Прийняття від 24.06.2019
( Остання подія — Набрання чинності, відбулась 09.08.2019. Подивитися в історії? )

МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ

НАКАЗ

24.06.2019  № 270


Зареєстровано в Міністерстві
юстиції України
15 липня 2019 р.
за № 780/33751

Про затвердження Порядку доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат

Відповідно до пункту 16 Порядку обробки та захисту персональних даних під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат, затвердженого постановою Кабінету Міністрів України від 03 квітня 2019 року № 405, НАКАЗУЮ:

1. Затвердити Порядок доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат, що додається.

2. Департаменту моніторингу баз даних та верифікації виплат в установленому порядку забезпечити:

подання цього наказу на державну реєстрацію до Міністерства юстиції України;

оприлюднення цього наказу на офіційному веб-сайті Міністерства фінансів України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

Міністр

О. Маркарова

ПОГОДЖЕНО:

Уповноважений Верховної Ради України
з прав людини

Голова Державної служби спеціального зв’язку
та захисту інформації України

В.о. Голови Державного агентства
електронного урядування України
Л. Денісова


Л.О. Євдоченко


О. ВискубЗАТВЕРДЖЕНО
Наказ Міністерства
фінансів України
24 червня 2019 року № 270


Зареєстровано в Міністерстві
юстиції України
15 липня 2019 р.
за № 780/33751

ПОРЯДОК
доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат

I. Загальні положення

1. Цей Порядок визначає комплекс заходів щодо надання доступу до персональних даних осіб, які уповноважені на обробку та захист персональних даних під час здійснення верифікації та моніторингу державних виплат, та їх обов’язки.

2. У цьому Порядку терміни вживаються у значеннях, наведених у Законах України «Про захист персональних даних», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про електронні довірчі послуги», Порядку здійснення верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат, затвердженому постановою Кабінету Міністрів України від 18 лютого 2016 року № 136, Порядку адміністрування Інформаційно-аналітичної платформи електронної верифікації та моніторингу, затвердженому постановою Кабінету Міністрів України від 18 лютого 2016 року № 137.

3. Метою доступу до персональних даних є здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу державних виплат.

4. Отримані від суб’єктів надання інформації персональні дані обробляються засобами автоматизованої системи «Інформаційно-аналітична платформа електронної верифікації та моніторингу» (далі - інформаційно-аналітична платформа), яка розміщується на програмно-апаратному комплексі Мінфіну, із застосуванням апаратних засобів мережевого захисту від несанкціонованого доступу під час обробки цих даних.

5. Доступ до персональних даних в інформаційно-аналітичній платформі надається працівникам структурного підрозділу, визначеного розділом II цього Порядку, на яких відповідно до їх службових обов’язків покладено функції із здійснення обробки та/або захисту персональних даних.

6. Надання доступу до персональних даних, які обробляються в інформаційно-аналітичній платформі з використанням програмно-технічних засобів, розмежування режимів доступу до персональних даних здійснює адміністратор.

Автентифікація осіб в інформаційно-аналітичній платформі здійснюється з використанням кваліфікованих електронних довірчих послуг.

II. Обов’язки структурного підрозділу Мінфіну, відповідального за організацію роботи з обробки та захисту персональних даних

1. Відповідальним за організацію роботи з отримання, накопичення, зберігання, поновлення, використання та захисту персональних даних під час обробки є відділ верифікації та моніторингу виплат Департаменту моніторингу баз даних та верифікації виплат Мінфіну (далі - відповідальний структурний підрозділ).

2. Відповідальний структурний підрозділ здійснює отримання, накопичення, зберігання, формування, контроль за цілісністю баз даних.

3. Відповідальний структурний підрозділ відповідно до покладених завдань:

1) забезпечує:

збереження отриманої інформації, у тому числі інформації, що містить банківську таємницю;

аналіз процесів обробки персональних даних відповідно до основних завдань та функцій підрозділу;

організацію обробки персональних даних, запитів державних органів у випадках, визначених законом, працівниками Мінфіну відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов’язків;

ведення обліку фактів надання та позбавлення працівників, які мають доступ до персональних даних, права доступу до персональних даних та їх обробки;

організацію робіт із здійснення розмежування режимів доступу працівників Мінфіну до обробки персональних даних у базі персональних даних відповідно до їх службових обов’язків;

2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами Секретаріату Уповноваженого Верховної Ради України з прав людини з питань запобігання та усунення порушень законодавства про захист персональних даних.

III. Обов’язки працівників відповідального структурного підрозділу, які обробляють персональні дані

1. Працівники відповідального структурного підрозділу, які обробляють персональні дані (далі - працівники підрозділу), повинні знати вимоги Закону України «Про захист персональних даних» та інших нормативно-правових актів у сфері захисту персональних даних та зобов’язані протягом часу виконання своїх посадових обов’язків:

1) запобігати втраті персональних даних або їх неправомірному використанню, не використовувати їх з вигодою для себе чи для третіх осіб;

2) не розголошувати персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом);

3) забезпечувати умови зберігання матеріальних носіїв інформації, які використовуються під час обробки персональних даних, шляхом унеможливлення несанкціонованого доступу до них сторонніх осіб;

4) терміново повідомляти керівника Департаменту моніторингу баз даних та верифікації виплат Мінфіну у разі:

втрати або знищення матеріальних носіїв інформації, які містять персональні дані, в тому числі банківську таємницю;

втрати службових печаток, ключів від приміщень, сейфів, шаф, де зберігаються матеріальні носії інформації;

якщо дані автентифікації для входу в інформаційно-аналітичну платформу стали відомі іншим особам;

виявлення спроби несанкціонованого доступу до персональних даних, їх модифікації або знищення.

2. У разі звільнення або переведення на іншу посаду працівники зобов’язані своєчасно передавати керівнику відповідального структурного підрозділу або іншому працівнику, визначеному керівництвом, матеріальні носії інформації, які вони використовували під час виконання посадових обов’язків, що фіксується відповідним актом приймання-передавання.

IV. Доступ працівників підрозділу до персональних даних

1. Доступ до персональних даних, внесених до інформаційно-аналітичної платформи, мають працівники підрозділу відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків.

2. Працівники підрозділу дають письмове зобов’язання про нерозголошення персональних даних (додаток 1), які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків.

Право доступу до персональних даних та їх обробки надається лише після підписання зобов’язання про нерозголошення персональних даних.

Забезпечення взяття зобов’язань про нерозголошення персональних даних покладається на керівника відповідального структурного підрозділу.

3. Зобов’язання про нерозголошення персональних даних реєструються в журналі реєстрації зобов’язань про нерозголошення персональних даних (додаток 2), який ведеться у відповідальному структурному підрозділі.

За даними журналу реєстрації зобов’язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників підрозділу права доступу до персональних даних та їх обробки.

4. Датою надання права доступу до персональних даних вважається дата надання зобов’язання.

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника підрозділу, дата переведення його на посаду, виконання обов’язків за якою не пов’язане з обробкою персональних даних.

Доступ до персональних даних працівнику підрозділу не надається, якщо такий працівник відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» у частині захисту персональних даних або неспроможний їх забезпечити.

5. Працівники підрозділу допускаються до обробки персональних даних в інформаційно-аналітичній платформі після їх ідентифікації та автентифікації з використанням кваліфікованого електронного підпису за допомогою інтегрованої системи електронної ідентифікації. Робота працівника підрозділу з персональними даними фіксується в електронних протоколах доступу до персональних даних.

Доступ осіб, які не пройшли процедури ідентифікації, фіксується в електронних журналах та блокується.

У разі переведення на іншу посаду, яка не передбачає обробки персональних даних, або у разі звільнення працівника, який мав право на обробку персональних даних в інформаційно-аналітичній платформі, про це повідомляється адміністратор інформаційно-аналітичної платформи, який забезпечує блокування його облікового запису з метою унеможливлення доступу до інформаційно-аналітичної платформи.

6. Знищення електронних носіїв інформації, які містять персональні дані, після обробки таких даних у разі відсутності потреби у їх використанні здійснюється шляхом фізичного руйнування або пошкодження електронного носія інформації до стану, коли відтворення інформації з нього неможливе, про що складається акт знищення електронних носіїв інформації, які містять персональні дані (додаток 3).

7. Факти порушення режиму захисту персональних даних фіксуються актами, які складає керівник відповідального структурного підрозділу.

Директор Департаменту
моніторингу баз даних
та верифікації виплатД.М. Серебрянський


Додаток 1
до Порядку доступу
до персональних даних осіб,
які уповноважені на обробку
та захист персональних даних
під час здійснення верифікації
та моніторингу державних виплат
(пункт 2 розділу IV)

ЗОБОВ’ЯЗАННЯ
про нерозголошення персональних данихДодаток 2
до Порядку доступу
до персональних даних осіб,
які уповноважені на обробку
та захист персональних даних
під час здійснення верифікації
та моніторингу державних виплат
(пункт 3 розділу IV)

ЖУРНАЛ
реєстрації зобов’язань про нерозголошення персональних даних

№ з/п

Посада

Прізвище, ім’я, по батькові

Дата надання зобов’язання

Дата позбавлення права доступу до персональних даних та їх обробки

Причина позбавлення права доступу до персональних даних та їх обробки (звільнення, переведення на посаду, обов’язки за якою не пов’язані з обробкою персональних даних, тощо)

1

2

3

4

5

6
Додаток 3
до Порядку доступу
до персональних даних осіб,
які уповноважені на обробку
та захист персональних даних
під час здійснення верифікації
та моніторингу державних виплат
(пункт 6 розділу IV)

АКТ
знищення електронних носіїв інформації, які містять персональні данівгору