МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ

НАКАЗ
24.02.2015 N 210

Зареєстровано
в Міністерстві юстиції України
12 березня 2015 р. за N 278/26723

Про затвердження Порядку обробки персональних
даних у базі персональних даних - Державному реєстрі
фізичних осіб - платників податків

Відповідно до Закону України "Про захист персональних даних" та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року N 1/02-14, НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у базі персональних даних - Державному реєстрі фізичних осіб - платників податків, що додається.

2. Департаменту податкової, митної політики та методології бухгалтерського обліку Міністерства фінансів України (Чмерук М.О.) у встановленому порядку забезпечити:

подання цього наказу на державну реєстрацію до Міністерства юстиції України;

оприлюднення цього наказу.

3. Державній фіскальній службі України (Білоус І.О.) забезпечити розміщення цього наказу на офіційному веб-порталі Державної фіскальної служби України.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

5. Контроль за виконанням цього наказу покласти на заступника Міністра фінансів України Фудашкіна Д.О. та Голову Державної фіскальної служби України Білоуса І.О.

Міністр Н. Яресько

Затверджено
Наказ Міністерства фінансів України
24.02.2015 N 210

Зареєстровано
в Міністерстві юстиції України
12 березня 2015 р. за N 278/26723

Порядок
обробки персональних даних у базі персональних
даних - Державному реєстрі фізичних осіб - платників податків

І. Загальні положення

1. Цей Порядок розроблено з метою встановлення загальних вимог до організаційних та технічних заходів захисту персональних даних під час їх обробки у базі персональних даних - Державному реєстрі фізичних осіб - платників податків (далі - ДРФО), який формує та веде Державна фіскальна служба України (далі - ДФС).

2. Цей Порядок розроблено на підставі Законів України "Про захист персональних даних" (далі - Закон N 2297), "Про захист інформації в інформаційно-телекомунікаційних системах" (далі - Закон N 80/94) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року N 1/02-14.

3. Терміни у Порядку вживаються у значеннях, наведених у Законі N 2297 та Законі N 80/94.

4. Цей Порядок є обов’язковим для посадових осіб ДФС, на яких відповідно до їх посадових інструкцій покладено функції зі здійснення обробки та/або яким надано доступ до персональних даних ДРФО.

5. Персональні дані фізичних осіб - платників податків обробляються у базі персональних даних - ДРФО.

6. Володільцем бази персональних даних ДРФО є ДФС.

7. Персональні дані у базі персональних даних - ДРФО обробляються за допомогою інформаційно-телекомунікаційної системи ДРФО (далі - ІТС ДРФО).

8. Під обробкою персональних даних фізичної особи - платника податків розуміється будь-яка дія або сукупність дій, здійснюваних в ІТС ДРФО, які пов’язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про фізичну особу.

9. Місцезнаходження бази персональних даних ДРФО: Україна, місто Київ, Львівська площа, будинок 8.

ІІ. Мета обробки персональних даних

1. Обробка даних у базі персональних даних - ДРФО проводиться з метою забезпечення реалізації податкових відносин відповідно до Податкового кодексу України (далі - Кодекс) щодо:

реєстрації та обліку фізичних осіб, які зобов’язані сплачувати податки;

обліку джерел отриманих доходів, об’єктів оподаткування, сум нарахованих та/або отриманих доходів, сум нарахованих та/або сплачених податків, даних про податкову знижку та податкові пільги фізичної особи - платника податків;

створення умов для здійснення контролюючими органами контролю за правильністю нарахування, своєчасністю і повнотою сплати податків, нарахованих фінансових санкцій, дотримання податкового та іншого законодавства, контроль за дотриманням якого покладено на контролюючі органи;

забезпечення інших питань адміністрування податків і зборів та інших платежів відповідно до законодавства.

2. Обробка персональних даних суб’єктів персональних даних є необхідною умовою для забезпечення використання реєстраційного номера облікової картки платника податків або серії та номера паспорта (для фізичних осіб, які мають відмітку у паспорті про право здійснювати будь-які платежі за серією та номером паспорта) у документах, пов’язаних з проведенням операцій, передбачених пунктами 70.12 - 70.16 статті 70 розділу ІІ Кодексу, а також у інших випадках, визначених законодавством, органами державної влади та органами місцевого самоврядування, юридичними особами, у тому числі банками та іншими фінансовими установами, фізичними особами, у тому числі підприємцями та особами, які провадять незалежну професійну діяльність.

ІІІ. Склад персональних даних

1. Відповідно до мети обробки до складу персональних даних ДРФО включаються такі дані про фізичних осіб:

реєстраційний номер облікової картки платника податків;

прізвище, ім’я, по батькові;

дата народження;

місце народження (країна, область, район, населений пункт);

місце проживання;

для іноземців: громадянство та номер, що використовується під час оподаткування в країні громадянства;

джерела отримання доходів;

об’єкти оподаткування;

суми нарахованих та/або отриманих доходів;

суми нарахованих та/або сплачених податків;

інформація про податкову знижку та податкові пільги платника податків;

серія, номер свідоцтва про народження, паспорта (аналогічні дані іншого документа, що посвідчує особу), ким і коли виданий;

інформація про фізичних осіб, які померли.

2. До ДРФО вносяться відомості про державну реєстрацію, реєстрацію та взяття на облік фізичних осіб - підприємців і осіб, які провадять незалежну професійну діяльність. Такі відомості включають:

дати, номери записів, свідоцтв та інших документів, а також підстави державної реєстрації, реєстрації та взяття на облік, припинення підприємницької чи незалежної професійної діяльності, інші реєстраційні дані;

інформацію про державну реєстрацію, реєстрацію та взяття на облік змін у даних про особу, заміну чи продовження дії довідок про взяття на облік;

місце провадження діяльності, телефони та іншу додаткову інформацію для зв'язку з фізичною особою - підприємцем чи особою, яка провадить незалежну професійну діяльність;

види діяльності;

систему оподаткування із зазначенням періодів дії.

ІV. Обов’язки та права структурного підрозділу ДФС,
відповідального за організацію роботи із захисту
персональних даних

1. ДФС визначає самостійний структурний підрозділ, що здійснює методологічне супроводження, формування, інформаційне забезпечення, функціонування, контроль за достовірністю, повнотою та цілісністю бази персональних даних - ДРФО.

2. ДФС визначає структурний підрозділ, відповідальний за організацію роботи зі збирання, накопичення, зберігання, внесення змін, поновлення, використання та захисту персональних даних при обробці у ДРФО, з урахуванням вимог статті 24 Закону N 2297 (далі - відповідальний структурний підрозділ).

3. Обов’язки працівників відповідального структурного підрозділу щодо організації роботи з обробки та захисту персональних даних при обробці у ДРФО вказуються у посадових інструкціях.

4. Відповідальний структурний підрозділ відповідно до покладених завдань:

1) забезпечує:

ознайомлення керівників структурних підрозділів та працівників ДФС, які у зв’язку з виконанням своїх посадових обов’язків мають доступ до персональних даних з ДРФО, з вимогами законодавства про захист персональних даних, зокрема щодо обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали їм відомі у зв’язку з виконанням службових обов’язків;

організацію обробки персональних даних у ДРФО працівниками ДФС відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов'язків;

організацію роботи з обробки запитів щодо доступу до персональних даних ДРФО суб’єктів відносин, пов’язаних з обробкою персональних даних;

доступ суб’єктів персональних даних до власних персональних даних з ДРФО;

ведення обліку фактів надання та позбавлення працівників ДФС права здійснення обробки та/або доступу до персональних даних ДРФО;

здійснення розмежування режимів доступу працівників ДФС до обробки персональних даних у базі персональних даних - ДРФО відповідно до їх службових обов’язків;

2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних у ДРФО;

3) фіксує факти порушень режиму захисту персональних даних у ДРФО.

5. Відповідальний структурний підрозділ має право перевіряти стан виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних у ДРФО.

V. Права та обов’язки фізичної особи - платника
податків як суб’єкта персональних даних

1. Відповідно до Закону N 2297 фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІТС ДРФО, є суб’єктом персональних даних.

2. Фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІТС ДРФО, має право:

знати про мету обробки персональних даних у базі персональних даних ДРФО та про їх місцезнаходження;

на доступ до своїх персональних даних, що містяться у базі персональних даних ДРФО, відповідно до статті 16 Закону N 2297;

отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються її персональні дані у базі персональних даних ДРФО, а також отримувати зміст таких персональних даних;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;

на інші права, передбачені статтею 8 Закону N 2297.

3. Фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІТС ДРФО, зобов’язана подавати контролюючим органам відомості про зміну даних, які вносяться до облікової картки або повідомлення (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків і мають відмітку у паспорті), протягом місяця з дня виникнення таких змін шляхом подання відповідної заяви.

VІ. Обробка персональних
даних у складі ІТС ДРФО

1. ІТС ДРФО - окрема складова частина всієї інформаційно-телекомунікаційної системи ДФС, що забезпечує функціонування та щоденне оновлення ДРФО.

2. Збирання персональних даних.

Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

Спосіб збору, накопичення персональних даних, що включаються до ДРФО, умови та процедури внесення змін до персональних даних визначаються відповідними нормами Кодексу та Положенням про реєстрацію фізичних осіб у Державному реєстрі фізичних осіб - платників податків, затвердженим наказом Міністерства доходів і зборів України від 10 грудня 2013 року N 779, зареєстрованим у Міністерстві юстиції України 26 грудня 2013 року за N 2211/24743 (далі - Положення).

Процедура реєстрації фізичної особи - платника податків у ДРФО та/або внесення змін до даних, які містяться у ДРФО відповідно до пункту 3 розділу ІІ Положення, включає, зокрема, повідомлення фізичної особи про права та обов’язки фізичної особи - платника податків та мету збору персональних даних у ДРФО відповідно до статей 8 та 12 Закону N 2297 та статті 17 розділу І, статей 63 та 70 розділу ІІ Кодексу.

Інформація про фізичну особу - платника податків, що пов’язана з нарахуванням, сплатою податків і контролем за дотриманням податкового законодавства України, відповідно до пункту 70.16 статті 70 Кодексу надходить до ДРФО від органів виконавчої влади та місцевого самоврядування, самозайнятих осіб, податкових агентів в порядку, встановленому Кабінетом Міністрів України.

3. Зберігання та знищення персональних даних.

Персональні дані в ДРФО зберігаються протягом усього життя фізичної особи - платника податків та 75 років з дати внесення запису про її смерть.

Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону N 2297. Персональні дані в ДРФО підлягають знищенню у разі закінчення строку зберігання даних. Зокрема, підставою для знищення персональних даних у базі ДРФО є набрання законної сили рішенням суду щодо виключення даних про фізичну особу з ДРФО.

Зберігання персональних даних передбачає дії із забезпечення їх цілісності та відповідного режиму доступу до них.

4. Інформація в ІТС ДРФО поділяється на:

персональні дані;

технологічну інформацію.

5. Персональні дані фізичних осіб - платників податків із ДРФО є інформацією з обмеженим доступом.

6. Персональні дані ДРФО відносяться до даних, до яких висуваються підвищені вимоги із забезпечення конфіденційності, цілісності, доступності та спостережності.

7. Технологічна інформація складається з інформації щодо системних налаштувань компонентів ІТС ДРФО, облікових записів та атрибутів доступу користувачів ІТС ДРФО, журналів реєстрації подій в ІТС ДРФО тощо. Технологічна інформація призначена для використання тільки уповноваженими користувачами ІТС ДРФО та персоналом, що забезпечує функціонування ІТС ДРФО.

8. Порядок доступу до персональних даних працівників ДФС.

Доступ до персональних даних у ІТС ДРФО надається працівникам ДФС, на яких відповідно до їх функціональних обов’язків покладено функції зі здійснення обробки та/або яким надано доступ до персональних даних ДРФО, у посадових інструкціях яких передбачено функції обробки та/або доступу до персональних даних та які надали письмове зобов’язання щодо нерозголошення персональних даних за формою згідно з додатком 1 до цього Порядку.

Зобов’язання про нерозголошення персональних даних реєструються у Журналі реєстрації зобов’язань про нерозголошення персональних даних за формою згідно з додатком 2 до цього Порядку.

У Журналі реєстрації зобов’язань про нерозголошення персональних даних ведеться облік фактів надання та позбавлення працівників ДФС права здійснення обробки та/або доступу до персональних даних ДРФО.

Датою надання права на здійснення обробки та/або доступу до персональних даних ДРФО вважається дата надання зобов’язання.

Датою позбавлення права на здійснення обробки та/або доступу до персональних даних ДРФО вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою та/або доступом до персональних даних ДРФО.

При переведенні на іншу посаду, яка не передбачає здійснення обробки та/або доступу до персональних даних ДРФО, або звільненні працівника, який мав право на здійснення обробки та/або доступу до персональних даних в ІТС ДРФО, його ідентифікаційні дані вилучаються з системи.

9. Облік порушень режиму захисту персональних даних.

Факти порушень режиму захисту персональних даних фіксуються в актах, які складає працівник відповідального структурного підрозділу.

За необхідності за фактами порушень режиму захисту персональних даних Головою ДФС призначається службове розслідування.

За результатами службового розслідування за фактами порушень режиму захисту персональних даних на працівників ДФС, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.

VІІ. Передавання персональних даних з ДРФО

1. Персональні дані з ДРФО третій особі не надаються, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону N 2297 або неспроможна їх забезпечити.

2. Без згоди фізичної особи - платника податків її персональні дані можуть передаватися у таких випадках, зокрема:

1) за рішенням суду;

2) коли передача персональних даних прямо передбачена законом України і лише в інтересах національної безпеки, економічного добробуту та прав людини:

органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їх письмову вимогу щодо персональних даних фізичної особи з ДРФО за конкретний проміжок часу;

центральному органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, на його запит щодо персональних даних з ДРФО;

органам державної виконавчої служби на їх письмову вимогу з питань виконання рішень судів та рішень, що підлягають примусовому виконанню відповідно до Закону України "Про виконавче провадження", щодо персональних даних фізичної особи з ДРФО;

3) отримання запиту від інших органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України відповідно до нормативно-правових актів щодо взаємодії обміну або отримання інформації з ДРФО.

3. В інших випадках, ніж зазначені у пункті 2 цього розділу, доступ до персональних даних надається третім особам лише за письмової згоди фізичної особи - платника податків за кожним запитом окремо у порядку, визначеному статтею 16 Закону N 2297.

4. Запит відповідного органу державної влади на отримання персональних даних з ДРФО повинен:

бути викладений на бланку органу державної влади встановленої форми;

бути наданий за підписом керівника органу державної влади (чи його заступника), скріплений гербовою печаткою;

містити мету та/або правові підстави для запиту, посилання на норми закону, відповідно до яких орган державної влади має право на отримання такої інформації.

5. Фізична особа - платник податків має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних ДРФО.

6. Фізична особа - платник податків подає запит щодо доступу до своїх персональних даних, наявних у ДРФО (далі - запит).

7. У запиті фізична особа - платник податків зазначає прізвище, ім’я, по батькові, реєстраційний номер облікової картки платника податків або серію та номер паспорта (для фізичних осіб, які мають відмітку в паспорті про право здійснювати будь-які платежі за серією та номером паспорта), місце проживання (місце перебування), реквізити документа, що посвідчує особу.

VIІІ. Захист персональних даних при їх обробці

1. ДФС відповідальна за організацію роботи із захисту персональних даних у ІТС ДРФО.

2. При обробці персональних даних у складі ІТС ДРФО забезпечується захист персональних даних відповідно до вимог Закону N 2297,

Закону N 80/94 та Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373.

3. ДФС як володілець бази персональних даних ДРФО вживає заходів, у тому числі організаційних та технічних, щодо забезпечення захисту персональних даних у ІТС ДРФО.

4. Розмежування доступу користувачів:

в ІТС ДРФО здійснюється розмежування доступу користувачів до інформації відповідно до їх повноважень шляхом створення облікового запису для кожного користувача (логін, пароль). Кожному користувачу надаються певні права на доступ до окремих полів бази даних ДРФО. Крім адміністраторів бази даних, жоден з користувачів не має доступу до всієї бази даних;

користувачі ІТС ДРФО допускаються до роботи з персональними даними лише після авторизації. Доступ осіб, які не пройшли процедури ідентифікації та/або автентифікації, блокується;

під час обробки персональних даних в ІТС ДРФО забезпечується їх захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення шляхом надання користувачеві права на виконання однієї або кількох операцій з обробки інформації або позбавлення його такого права.

5. Категорії користувачів ІТС ДРФО:

за рівнем повноважень щодо доступу до інформації та характером робіт, що виконуються у процесі функціонування ІТС ДРФО, особи, які мають доступ до її ресурсів, поділяються на такі категорії:

адміністратор ДРФО - здійснює управління реєстраційними записами користувачів, забезпечує налаштування програмного забезпечення автоматизованої системи, адміністрування серверів та бази персональних даних ДРФО;

користувачі системи, які мають певні повноваження щодо доступу до персональних даних (повноваження користувача встановлюються відповідно до його службових обов’язків);

технічний персонал, що забезпечує належні умови функціонування ІТС ДРФО, повсякденне підтримання життєдіяльності її фізичного середовища тощо.

6. В ІТС ДРФО виконується аудит дій користувачів та адміністраторів системи, який забезпечує облік операцій, пов’язаних з обробкою персональних даних та доступом до них. Аудит в ІТС ДРФО забезпечує фіксування таких даних, як дата, час, джерело, підстави, найменування програмного забезпечення, відомості про працівника, який здійснив дії щодо збирання персональних даних суб'єкта, внесення змін до персональних даних, запит до бази персональних даних ДРФО (перегляд, копіювання).

7. Захист персональних даних в ІТС ДРФО здійснюється шляхом створення та забезпечення функціонування комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, визначеному Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року N 93, зареєстрованим у Міністерстві юстиції України 16 липня 2007 року за N 820/14087 (із змінами).

Директор Департаменту податкової, митної політики
та методології бухгалтерського обліку М.О. Чмерук

Додаток 1
до Порядку обробки персональних
даних у базі персональних даних -
Державному реєстрі фізичних осіб -
платників податків (пункт 8 розділу VI)

Зобов’язання
про нерозголошення персональних даних

Зобов’язання про нерозголошення персональних даних (Додаток 1) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".

Додаток 2
до Порядку обробки персональних
даних у базі персональних даних -
Державному реєстрі фізичних осіб
- платників податків
(пункт 8 розділу VI)

Журнал
реєстрації зобов’язань про нерозголошення персональних даних

N з/п  Структурний підрозділ, посада  Прізвище, ім’я, по батькові  Дата надання зобов’язання про нерозголошення персональних даних  Дата позбавлення права доступу до персональних даних та їх обробки  Причина позбавлення права доступу до персональних даних та їх обробки (звільнення, переведення на посаду, обов’язки за якою не пов’язані з обробкою персональних даних)