Кабмин определил механизм обработки персональных данных и комплекс мероприятий по их защите при осуществлении Минфином верификации и мониторинга пенсий, пособий, льгот, субсидий, других социальных выплат.
Соответствующий Порядок обработки и защиты персональных данных при верификации социальных выплат утвержден постановлением Кабмина от 3 апреля 2019 № 405.
Определено, что персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются. Сбор и накопление персональных данных осуществляется путем подбора, благоустройство, сочетание и систематизации сведений о реципиентов средствами информационно-аналитической платформы.
Персональные данные в информационно-аналитической платформе сохраняются в течение срока, предусмотренного законодательством.
Доступ к персональным данным предоставляется пользователям информационно-аналитической платформы в объемах, необходимых для выполнения служебных обязанностей.
Порядок доступа к персональным данным лиц, уполномоченных на обработку и защиту персональных данных при осуществлении верификации и мониторинга государственных выплат, и их обязанности устанавливаются Минфином.
Средствами информационно-аналитической платформы осуществляется ведение учета работников, имеющих доступ к персональным данным, и разграничение уровней доступа указанных работников к персональным данным в соответствии с их должностных обязанностей.
Пользователи информационно-аналитической платформы допускаются к обработке персональных данных после их идентификации. Доступ пользователю, который не прошел процедуры идентификации, не предоставляется и блокируется.
Работа работника с персональными данными фиксируется в электронных протоколах доступа к персональным данным.
Информационно-аналитическая платформа автоматически фиксирует информацию об операциях, связанных с обработкой персональных данных и доступ к ним, и сохраняет информацию о:
1) дату, время и источник информации, содержащей персональные данные;
2) изменение информации, содержащей персональные данные;
3) просмотр информации, содержащей персональные данные;
4) любую передачу (копирование) информации, содержащей персональные данные;
5) дату и время удаления или уничтожения информации, содержащей персональные данные;
6) наименование должности и фамилия, имя, отчество работника, совершил одно из указанных в этом пункте операций.
Работники, которым предоставляется доступ к персональным данным, дают письменное обязательство о неразглашении персональных данных, которые им доверено или стали известны при исполнении служебных обязанностей.