Відповідно до Закону України "Про захист персональних даних" та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, НАКАЗУЮ:

1. Затвердити Порядок обробки персональних даних у базі персональних даних - Державному реєстрі фізичних осіб - платників податків, що додається.

2. Департаменту податкової, митної політики та методології бухгалтерського обліку Міністерства фінансів України (Чмерук М.О.) у встановленому порядку забезпечити:

подання цього наказу на державну реєстрацію до Міністерства юстиції України;

оприлюднення цього наказу.

3. Державній фіскальній службі України (Білоус І.О.) забезпечити розміщення цього наказу на офіційному веб-порталі Державної фіскальної служби України.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

5. Контроль за виконанням цього наказу покласти на заступника Міністра фінансів України Фудашкіна Д.О. та Голову Державної фіскальної служби України Білоуса І.О.

1. Цей Порядок розроблено з метою встановлення загальних вимог до організаційних та технічних заходів захисту персональних даних під час їх обробки у базі персональних даних - Державному реєстрі фізичних осіб - платників податків (далі - ДРФО), який формує та веде Державна податкова служба України.

2. Цей Порядок розроблено на підставі Законів України "Про захист персональних даних" (далі - Закон № 2297), "Про захист інформації в інформаційно-комунікаційних системах " (далі - Закон № 80/94) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14.

3. Терміни у Порядку вживаються у значеннях, наведених у Законі № 2297 та Законі № 80/94.

4. Цей Порядок є обов’язковим для посадових осіб ДПС, на яких відповідно до їх посадових інструкцій покладено функції зі здійснення обробки та/або яким надано доступ до персональних даних ДРФО.

5. Персональні дані фізичних осіб - платників податків обробляються у базі персональних даних - ДРФО.

6. Володільцем бази персональних даних ДРФО є ДПС.

7. Персональні дані у базі персональних даних - ДРФО обробляються за допомогою інформаційно-комунікаційної системи ДРФО (далі - ІКС ДРФО).

8. Під обробкою персональних даних фізичної особи - платника податків розуміється будь-яка дія або сукупність дій, здійснюваних в ІКС ДРФО, які пов’язані із збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про фізичну особу.

9. Місцезнаходження бази персональних даних ДРФО: Україна, місто Київ, Львівська площа, будинок 8.

1. Обробка даних у базі персональних даних - ДРФО проводиться з метою забезпечення реалізації податкових відносин відповідно до Податкового кодексу України (далі - Кодекс) щодо:

реєстрації та обліку фізичних осіб, які зобов’язані сплачувати податки;

обліку джерел отриманих доходів, об’єктів оподаткування, сум нарахованих та/або виплачених доходів, сум нарахованих та/або перерахованих податків, сум нарахованого та/або перерахованого військового збору, даних про податкову знижку та податкові пільги фізичної особи - платника податків;

створення умов для здійснення контролюючими органами контролю за правильністю нарахування, своєчасністю і повнотою сплати податків, нарахованих фінансових санкцій, дотримання податкового та іншого законодавства, контроль за дотриманням якого покладено на контролюючі органи;

забезпечення інших питань адміністрування податків і зборів та інших платежів відповідно до законодавства.

2. Обробка персональних даних суб’єктів персональних даних є необхідною умовою для забезпечення використання реєстраційного номера облікової картки платника податків або серії (за наявності) та номера паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті) у документах, пов’язаних із проведенням операцій, передбачених пунктами 70.12-70.16 статті 70 глави 6 розділу II Кодексу, а також в інших випадках, визначених законодавством, органами державної влади та органами місцевого самоврядування, юридичними особами незалежно від організаційно-правових форм, включаючи Національний банк України, банки, інші фінансові установи, небанківських надавачів платіжних послуг, емітентів електронних грошей, біржі, фізичними особами, у тому числі підприємцями та особами, які провадять незалежну професійну діяльність.

1. Відповідно до мети обробки до складу персональних даних ДРФО включаються такі дані про фізичних осіб:

реєстраційний номер облікової картки платника податків;

прізвище, ім’я, по батькові (за наявності);

дата народження;

місце народження (країна, область, район, населений пункт);

зареєстроване або задеклароване місце проживання (перебування);

для іноземців: громадянство та номер, що використовується під час оподаткування в країні громадянства;

джерела отримання доходів;

об’єкти оподаткування;

суми нарахованих та/або виплачених доходів;

суми нарахованих та/або перерахованих податків;

суми нарахованого та/або перерахованого військового збору;

унікальний номер запису в Єдиному державному демографічному реєстрі (у разі внесення інформації про особу до Єдиного державного демографічного реєстру);

інформація про податкову знижку та податкові пільги платника податків;

серія, номер свідоцтва про народження, паспорта (аналогічні дані іншого документа, що посвідчує особу), ким і коли виданий;

інформація про фізичних осіб, які померли.

2. До ДРФО вносяться відомості про державну реєстрацію, реєстрацію та взяття на облік фізичних осіб - підприємців і осіб, які провадять незалежну професійну діяльність. Такі відомості включають:

дати, номери записів, свідоцтв та інших документів, а також підстави державної реєстрації, реєстрації та взяття на облік, припинення підприємницької чи незалежної професійної діяльності, інші реєстраційні дані;

інформацію про державну реєстрацію, реєстрацію та взяття на облік змін у даних про особу, заміну чи продовження дії довідок про взяття на облік;

місце провадження діяльності, телефони та іншу додаткову інформацію для зв'язку з фізичною особою - підприємцем чи особою, яка провадить незалежну професійну діяльність;

види діяльності;

систему оподаткування із зазначенням періодів дії.

1. ДПС визначає самостійний структурний підрозділ, що здійснює методологічне супроводження, формування, інформаційне забезпечення, функціонування, контроль за достовірністю, повнотою та цілісністю бази персональних даних - ДРФО.

2. ДПС визначає структурний підрозділ, відповідальний за організацію роботи зі збирання, накопичення, зберігання, внесення змін, поновлення, використання та захисту персональних даних при обробці у ДРФО, з урахуванням вимог статті 24 Закону № 2297 (далі - відповідальний структурний підрозділ).

3. Обов’язки працівників відповідального структурного підрозділу щодо організації роботи з обробки та захисту персональних даних при обробці у ДРФО вказуються у посадових інструкціях.

4. Відповідальний структурний підрозділ відповідно до покладених завдань:

1) забезпечує:

ознайомлення керівників структурних підрозділів та працівників ДПС, які у зв’язку з виконанням своїх посадових обов’язків мають доступ до персональних даних з ДРФО, з вимогами законодавства про захист персональних даних, зокрема щодо обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали їм відомі у зв’язку з виконанням посадових обов’язків;

організацію обробки персональних даних у ДРФО працівниками ДПС відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов'язків;

організацію роботи з обробки запитів щодо доступу до персональних даних ДРФО суб’єктів відносин, пов’язаних з обробкою персональних даних;

доступ суб’єктів персональних даних до власних персональних даних з ДРФО;

ведення обліку фактів надання та позбавлення працівників ДПС права здійснення обробки та/або доступу до персональних даних ДРФО;

здійснення розмежування режимів доступу працівників ДПС до обробки персональних даних у базі персональних даних - ДРФО відповідно до їх посадових обов’язків;

2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних у ДРФО;

3) фіксує факти порушень режиму захисту персональних даних у ДРФО.

5. Відповідальний структурний підрозділ має право перевіряти стан виконання вимог цього Порядку, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних у ДРФО.

1. Відповідно до Закону № 2297 фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІКС ДРФО, є суб’єктом персональних даних.

2. Фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІКС ДРФО, має право:

знати про мету обробки персональних даних у базі персональних даних ДРФО та про їх місцезнаходження;

на доступ до своїх персональних даних, що містяться у базі персональних даних ДРФО, відповідно до статті 16 Закону № 2297;

отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються її персональні дані у базі персональних даних ДРФО, а також отримувати зміст таких персональних даних;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;

на інші права, передбачені статтею 8 Закону № 2297.

3. Фізична особа - платник податків, стосовно якої здійснюється обробка її персональних даних у ІКС ДРФО, зобов’язана подавати контролюючим органам відомості про зміну даних, які вносяться до облікової картки або повідомлення (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків і мають відмітку у паспорті), протягом місяця з дня виникнення таких змін шляхом подання відповідної заяви.

1. ІКС ДРФО - окрема складова частина всієї інформаційно-комунікаційної системи ДПС, що забезпечує функціонування та щоденне оновлення ДРФО.

2. Збирання персональних даних.

Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

Спосіб збору, накопичення персональних даних, що включаються до ДРФО, умови та процедури внесення змін до персональних даних визначаються відповідними нормами Кодексу та Положенням про реєстрацію фізичних осіб у Державному реєстрі фізичних осіб - платників податків, затвердженим наказом Міністерства фінансів України від 29 вересня 2017 року № 822, зареєстрованим в Міністерстві юстиції України 25 жовтня 2017 року за № 1306/31174 (далі - Положення).