Відповідно до статті 6 Закону України "Про захист персональних даних", частини шостої статті 24-2 Закону України "Основи законодавства України про охорону здоров’я", пункту 1.2 розділу 1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14, підпункту 24-3 пункту 4 Положення про Міністерство фінансів України, затвердженого постановою Кабінету Міністрів України від 20 серпня 2014 року № 375, Порядку проведення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров’я (крім інформації про стан здоров’я людини) , на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби, затвердженого постановою Кабінету Міністрів України від 19 липня 2022 року № 807, НАКАЗУЮ:

1. Затвердити Порядок обробки та захисту отриманих від суб’єктів надання інформації персональних даних під час здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров’я (крім інформації про стан здоров’я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби, що додається.

2. Департаменту забезпечення координаційно-моніторингової роботи в установленому порядку забезпечити:

подання цього наказу на державну реєстрацію до Міністерства юстиції України;

оприлюднення цього наказу.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на першого заступника Міністра Улютіна Д.В.

1. Цей Порядок визначає механізм обробки персональних даних та комплекс заходів щодо їх захисту від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, під час здійснення Мінфіном перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров’я (крім інформації про стан здоров’я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби.

2. У цьому Порядку терміни вживаються у значеннях, наведених у Законах України "Основи законодавства України про охорону здоров’я", "Про захист персональних даних", "Про захист інформації в інформаційно-комунікаційних системах", "Про електронну ідентифікацію та електронні довірчі послуги", "Про державні фінансові гарантії медичного обслуговування населення", Порядку адміністрування Інформаційно-аналітичної платформи електронної верифікації та моніторингу, затвердженому постановою Кабінету Міністрів України від 18 лютого 2016 року № 137 (у редакції постанови Кабінету Міністрів України від 11 жовтня 2017 року № 771).

3. Персональні дані, що обробляються, є інформацією з обмеженим доступом, крім випадків, передбачених статтею 5 Закону України "Про захист персональних даних".

4. Отримані від суб’єктів надання інформації персональні дані обробляються засобами автоматизованої системи "Інформаційно-аналітична платформа електронної верифікації та моніторингу" (далі - інформаційно-аналітична платформа), яка розміщується на програмно-апаратному комплексі Мінфіну, із застосуванням апаратних засобів мережевого захисту від несанкціонованого доступу під час обробки цих даних.

5. Володільцем персональних даних є Мінфін.

6. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються.

1. Метою обробки персональних даних є:

здійснення перевірки достовірності інформації та документів;

надання рекомендацій НСЗУ для проведення додаткової перевірки інформації, що містить невідповідності;

моніторинг інформації, отриманої під час перевірки достовірності інформації та документів, результатів такої перевірки, а також результатів опрацювання та врахування НСЗУ рекомендацій.

2. Обробка та захист персональних даних здійснюється на підставі та відповідно до Конституції України, Законів України "Про захист персональних даних", "Основи законодавства України про охорону здоров’я", "Про захист інформації в інформаційно-комунікаційних системах" та інших законів України з метою здійснення повноважень Мінфіну.

1. Мінфін здійснює обробку персональних даних таких категорій суб’єктів:

надавачів медичних послуг (фізичних осіб - підприємців);

працівників надавачів медичних послуг;

суб’єктів господарювання, які провадять діяльність з роздрібної торгівлі лікарськими засобами та медичними виробами (фізичних осіб - підприємців);

пацієнтів.

2. Склад персональних даних, які обробляються Мінфіном, залежить від категорії суб’єкта персональних даних і визначений пунктом 6 Порядку проведення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров’я (крім інформації про стан здоров’я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби, затвердженого постановою Кабінету Міністрів України від 19 липня 2022 року № 807.

1. Збирання та накопичення персональних даних здійснюється шляхом підбору, впорядкування, поєднання та систематизації відомостей про суб’єктів персональних даних засобами інформаційно-аналітичної платформи.

2. Персональні дані в інформаційно-аналітичній платформі зберігаються протягом строку, необхідного для цілей перевірки достовірності інформації та документів, але не довше 5 років.

3. Забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.

1. Персональні дані видаляються або знищуються в порядку, встановленому Законом України "Про захист персональних даних". Знищення персональних даних здійснюється з використанням засобів інформаційно-аналітичної платформи у спосіб, що виключає подальшу можливість поновлення таких даних.

2. Персональні дані підлягають видаленню або знищенню у разі:

закінчення строку зберігання даних;

видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини;

набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

3. Знищення електронних носіїв інформації, які містять персональні дані, після обробки таких даних у разі відсутності потреби у їх використанні здійснюється шляхом фізичного руйнування або пошкодження електронного носія інформації до стану, коли відтворення інформації з нього неможливе, про що складається акт знищення електронних носіїв інформації, які містять персональні дані (додаток 1).

Передача персональних даних третім особам здійснюється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини з дотриманням вимог Закону України "Про захист персональних даних".

1. Відповідальним за організацію роботи з отримання, накопичення, зберігання, використання та захисту персональних даних під час обробки є структурний підрозділ Мінфіну, на який покладено функції зі здійснення перевірки достовірності інформації та документів, що внесені до електронної системи охорони здоров’я (крім інформації про стан здоров’я людини), на підставі яких формуються звіти, що є підставою для оплати наданих медичних послуг, лікарських засобів та медичних виробів за програмою медичних гарантій, або які містять персональні дані пацієнтів, медичних працівників, яким (якими) надано відповідні медичні послуги, лікарські засоби та медичні вироби (далі - відповідальний структурний підрозділ).

2. Доступ до персональних даних в інформаційно-аналітичній платформі надається працівникам відповідального структурного підрозділу, на яких відповідно до їх службових обов’язків покладено функції зі здійснення обробки та/або захисту персональних даних.

3. Надання доступу до персональних даних, які обробляються в інформаційно-аналітичній платформі з використанням програмно-технічних засобів, розмежування режимів доступу до персональних даних здійснює адміністратор.