Повідомлення про обробку персональних даних інформаційно-комунікаційна система центрального засвідчувального органу
Відповідно до пунктів 1 і 2 частини другої статті 8, частини другої статті 12 Закону України «Про захист персональних даних» Міністерство цифрової трансформації України повідомляє про володільця, розпорядника, місцезнаходження, склад і мету збору персональних даних, що обробляються в інформаційно-комунікаційній системі центрального засвідчувального органу (далі – ІКС ЦЗО), третіх осіб, яким передаються такі персональні дані, та права суб'єкта персональних даних.
Правові підстави функціонування ІКС ЦЗО, порядок зберігання документованої інформації та її передавання визначено Законом України «Про електронну ідентифікацію та електронні довірчі послуги» та постановою Кабінету Міністрів України від 10 грудня 2024 року № 1408 «Деякі питання зберігання документованої інформації та її передавання до центрального засвідчувального органу у разі припинення діяльності кваліфікованого надавача електронних довірчих послуг».
Обробка персональних даних здійснюється на підставі пункту 5 частини першої статті 11 Закону України «Про захист персональних даних» (виконання обов’язків володільця, що передбачені законом).
- Володільцем персональних даних, що обробляються в ІКС ЦЗО, є держатель системи – Міністерство цифрової трансформації України (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – 43220851, юридична адреса: Україна, 03150, м. Київ, вул. Ділова, буд. 24).
- Розпорядником персональних даних, що обробляються в ІКС ЦЗО, є технічний адміністратор – державне підприємство «ДІЯ» (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – 43395033, юридична адреса: Україна, 03150, м. Київ, вул. Ділова, буд. 24).
-
Місцезнаходження персональних даних:
● Персональні дані користувачів, які використовуються для автентифікації (через інтегровану систему електронної ідентифікації), безпосередньо в ІКС ЦЗО не зберігаються.
● Персональні дані користувачів електронних довірчих послуг, які отримували їх у кваліфікованих надавачів, що припинили свою діяльність, зберігаються на захищених електронних носіях інформації в електронному архіві ЦЗО на базі технічних потужностей технічного адміністратора. - Склад, зміст та джерела персональних даних
До складу персональних даних, що обробляються, включаються:
● Дані авторизації в програмному інтерфейсі ІКС ЦЗО: під час доступу користувача з використанням засобів електронної ідентифікації (зокрема, КЕП, Дія.Підпис, BankID тощо) через Інтегровану систему електронної ідентифікації автоматично фіксується інформація про його сесію:
○ дата та час здійснення входу;
○ найменування зареєстрованої організації (учасника) та ПІБ користувача;
○ відомості з сертифіката користувача (серійний номер тощо);
○ мережеві ідентифікатори (IP-адреса клієнта);
○ технічні дані (тип операційної системи та веб-браузера клієнта);
○ результат авторизації (підтвердження або спростування факту).
● Дані електронного архіву ЦЗО: відомості, що містяться в сертифікатах та реєстрах кваліфікованих надавачів електронних довірчих послуг, які припинили свою діяльність та передали інформацію на зберігання до ЦЗО (зокрема, РНОКПП, паспортні дані та інші ідентифікаційні відомості, передбачені законодавством на момент видачі сертифіката).
● Технічні дані веб-порталу (Cookies): дані, що автоматично збираються для підтримки, аналітики та покращення роботи веб-сторінки ІКС ЦЗО (інформація про сесію, cookies та схожі технології). Користувач може самостійно вимкнути файли cookie в налаштуваннях свого браузера в будь-який момент. -
Метою обробки персональних даних є виконання покладених на ЦЗО обов'язків у сфері електронної ідентифікації та електронних довірчих послуг, зокрема:
● Проведення ідентифікації та автентифікації користувачів для надання доступу до сервісів веб-порталу ЦЗО;
● Забезпечення пошуку чинних сертифікатів користувачів в електронних базах підключених надавачів (які надали згоду на публікацію своїх сертифікатів);
● Надання верифікованого доступу користувачам до інформації з електронного архіву надавачів, що припинили діяльність. Пошук по архіву здійснюється виключно за даними користувача (РНОКПП), а інформація надається тільки щодо особи, яка пройшла успішну верифікацію через Інтегровану систему електронної ідентифікації. -
Треті особи, яким передаються персональні дані
Передача персональних даних третім особам здійснюється виключно у випадках та в порядку, визначених Законом України «Про захист персональних даних», Законом України «Про електронну ідентифікацію та електронні довірчі послуги» та Постановою КМУ від 10 грудня 2024 р. № 1408.
Відомості з архіву надавачів, що припинили діяльність, надаються виключно самому суб'єкту персональних даних після його успішної електронної ідентифікації або іншим суб’єктам взаємодії (зокрема, судовим або правоохоронним органам) строго на підставах та в межах, визначених процесуальним законодавством України. - Права суб’єкта персональних даних
Згідно з частиною другою статті 8 Закону України «Про захист персональних даних» суб'єкт персональних даних має право: - знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
- на доступ до своїх персональних даних;
- отримувати не пізніше як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
- пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
- знати механізм автоматичної обробки персональних даних;
- на захист від автоматизованого рішення, яке має для нього правові наслідки.