Відповідно до пунктів 1 і 2 частини другої статті 8, частини другої статті 12 Закону України «Про захист персональних даних» Міністерство цифрової трансформації України повідомляє про володільця, розпорядника, місцезнаходження, склад і мету збору персональних даних, що обробляються за допомогою програмних засобів в мобільному додатку Єдиного державного веб-порталу електронних послуг «Портал Дія» (мобільному додатку Порталу Дія (Дія)), третіх осіб, яким передаються такі персональні дані, та права суб’єкта персональних даних.
Єдиний державний веб-портал електронних послуг «Портал Дія» створено та впроваджено в експлуатацію Міністерством цифрової трансформації України на виконання постанови Кабінету Міністрів України від 04 грудня 2019 року № 1137.
1. Володільцем персональних даних, що обробляються за допомогою програмних засобів мобільного додатку Порталу Дія (Дія), є держатель Єдиного державного веб-порталу електронних послуг «Портал Дія» (далі - Портал Дія) – Міністерство цифрової трансформації України (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – 43220851).
2. Розпорядником персональних даних є державне підприємство «Дія» (ідентифікаційний код юридичної особи в Єдиному державному реєстрі підприємств і організацій України – 43395033).
3. Місцезнаходження персональних даних: інформаційно-комунікаційна система базових сервісів державного підприємства "ДІЯ" (DIIA.Enterprise.Cloud).
4. До складу персональних даних можуть включатися:
1) дані, необхідні для авторизації:
ім’я, прізвище, по батькові (за наявності);
реєстраційний номер облікової картки платника податків з Державного реєстру фізичних осіб - платників податків;
номер телефону;
адреса електронної пошти;
адреса зареєстрованого місця проживання (область, район, місто, вулиця, номер будинку, номер квартири);
дата народження;
стать;
тип, серія, номер, строк дії, дата видачі документу, що посвідчує особу, а також уповноважений суб’єкт, що видав документ і країна, де документ був виданий.
2) дані, необхідні для відображення інформації про притягнення до адміністративної відповідальності:
номер та дата постанови;
статус;
пільговий період;
вид правопорушення;
сума штрафу;
марка і номер транспортного засобу;
адреса місця, де було здійснене правопорушення.
3) дані, необхідні для відображення інформації про виконавчі провадження:
номер та дата відкриття виконавчого провадження;
сума боргу;
стан виконавчого провадження;
найменування органу державної виконавчої служби (приватного виконавця);
стягувач.
4) дані, необхідні для відображення цифрових копій документів:
ID-картки і закордонного паспорта:
назва паспорта;
прізвище, ім’я, по батькові (за наявності) особи українською мовою та латинськими літерами;
стать;
дата народження;
місце народження;
відцифрований підпис особи;
відцифрований образ обличчя особи;
унікальний номер запису в Єдиному державному демографічному реєстрі;
дата видачі та закінчення строку дії паспорта;
серія (за наявності) та/або номер паспорта;
орган, що видав паспорт;
реєстраційний номер облікової картки платника податків;
адреса зареєстрованого місця проживання та дата реєстрації.
Реєстраційного номеру облікової картки платника податків (окремого):
назва документу;
прізвище, ім’я, по батькові (за наявності) особи;
дата народження;
податковий номер.
Водійського посвідчення:
прізвище, ім’я, по батькові (за наявності) особи;
дата народження;
дата закінчення строку дії;
назва (код) установи, яка видала посвідчення;
серія і номер посвідчення;
категорія прав;
відцифрований образ обличчя особи.
Свідоцтва про реєстрацію транспортного засобу:
номер автомобіля;
номер документа;
дата першої реєстрації;
дата реєстрації;
VIN;
марка;
модель;
колір;
тип;
рік випуску;
особливі відмітки;
номер шассі;
повна маса;
маса без навантаження;
об'єм двигуна;
тип пального;
категорія;
кількість сидячих місць;
кількість стоячих місць;
власник (Власне ім’я та прізвище);
власність;
адреса.
Довідки внутрішньо переміщеної особи:
прізвище, ім’я, по батькові (за наявності) особи;
дата народження;
місце народження;
стать;
серія (за наявності) та номер паспорта громадянина України або документа, що посвідчує особу та підтверджує її спеціальний статус;
найменування органу, який видав паспорт громадянина України або документ, що посвідчує особу та підтверджує її спеціальний статус, дата видачі паспорта або документів;
відомості про зареєстроване та фактичне місце проживання;
номер та дата видачі довідки про взяття на облік внутрішньо переміщеної особи;
найменування органу, який видав довідку про взяття на облік внутрішньо переміщеної особи.
Свідоцтва про народження:
прізвище, ім’я, по батькові (за наявності);
дата народження;
місце народження;
номер і дата складення актового запису;
відомості про батька та матір (прізвище, ім’я, по батькові (за наявності) та громадянство);
місце державної реєстрації акта цивільного стану (найменування органу державної реєстрації актів цивільного стану);
найменування органу державної реєстрації актів цивільного стану, що видав свідоцтво;
дата видачі свідоцтва;
унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);
реєстраційний номер облікової картки платника податків (за наявності);
серія та номер свідоцтва;
громадянство/підданство (за наявності в інформаційно-телекомунікаційній системі ДМС);
адреса зареєстрованого місця проживання та дата його реєстрації
(за наявності в інформаційно-телекомунікаційній системі ДМС).
Студентського квитка:
тип;
серія;
номер;
статус;
ким виданий;
найменування факультету (відділення);
структурного підрозділу;
форма навчання;
дата видачі;
строк дії;
цифрова фотографія;
код (унікальний ідентифікатор) згідно з Єдиною державною електронною базою з питань освіти.
Обов'язкового полісу страхування на транспортний засіб:
серія страхового полісу;
номер страхового полісу;
статус страхового полісу;
інформація про страховика.
5) дані, необхідні для подачі заяви до списку очікування на проведення вакцинації від COVID-19:
унікальний ідентифікатор в Електронній базі даних (математична похідна від реєстраційного номера облікової картки платника податків (у разі наявності) або серії (за наявності) та номера паспорта громадянина України (для фізичних осіб, які через релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідному контролюючому органу і мають відмітку у паспорті);
власне ім’я;
місяць і рік народження;
номер телефону;
електронна адреса;
код Класифікатора об’єктів адміністративно-територіального устрою України (КОАТУУ) бажаного місця щеплення.
6) дані, необхідні для формування віддаленого кваліфікованого електронного підпису Дія.Підпис:
ID-картки або закордонного паспорта;
реєстраційний номер облікової картки платника податків
відцифрований образ обличчя, особи, що міститься в Єдиному державному демографічному реєстрі;
фото з використанням фронтальної камери мобільного пристрою.
7) дані, необхідні для формування сертифікату, що підтверджує вакцинацію від гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2, негативний результат тестування або одужання особи від зазначеної хвороби:
прізвище, ім’я власника українською мовою та латинськими літерами;
дата народження власника;
інформація про хворобу;
наявність вакцинації від COVID-19 (інформація про вакцину, кількість доз вакцини відповідно до інструкції для медичного застосування лікарського засобу, порядковий номер отриманої дози вакцини та дата введення останньої дози, країна вакцинації);
наявність негативного результату тестування на COVID-19 (інформація про тест, дата і час забору зразка біологічного матеріалу та отримання результату дослідження, інформація про суб’єкта господарювання, що має ліцензію на провадження господарської діяльності з медичної практики та провів дослідження);
наявність факту одужання особи від COVID-19 (дата першого позитивного результату тестування на COVID-19);
відцифрований образ обличчя особи, що міститься в Єдиному державному демографічному реєстрі (за наявності).
Збір прізвища, ім’я, по батькові (за наявності), адреси електронної пошти, дати народження, серії (за наявності) та номера паспорта, місця реєстрації та реєстраційного номеру облікової картки платника податків здійснюється під час авторизації (електронної ідентифікації) шляхом використання технології BankID.
Інші персональні дані збираються шляхом електронної взаємодії з відповідними реєстрами.
Відображення інформації про особу здійснюється шляхом отримання через мобільний додаток Порталу Дія (Дія) інформації із відповідних інформаційних систем, зокрема, з Єдиної інформаційної системи Міністерства внутрішніх справ України, Державного реєстру актів цивільного стану громадян, Єдиної інформаційної бази даних про внутрішньо переміщених осіб, Державного реєстру фізичних осіб - платників податків, автоматизованої системи виконавчого провадження, Єдиної державної електронної бази з питань освіти Міністерства освіти та науки України та інформаційної системи Моторного (транспортного) страхового бюро України, Електронної системи охорони здоров’я. Порядок інформаційного обміну між зазначеними інформаційними системами визначається законодавством України. Під час перевірки документів чи даних особи за допомогою згенерованого QR-коду, здійснюється його зчитування за допомогою камери камери та QR-рідера мобільного додатку Дія користувача та веріфікація даних в реєстрах та системах, вказаних в цьому пункті.
Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, що здійснюються за допомогою програмних засобів мобільного додатку Порталу Дія (Дія).
5. Мета обробки персональних даних визначена в нормативно-правових актах, зокрема, Положенні про Єдиний державний веб-портал електронних послуг, затвердженому постановою Кабінету Міністрів України від 04 грудня 2019 року, Положенні про Міністерство цифрової трансформації, затвердженому постановою Кабінету Міністрів України від 18 вересня 2019 року № 856.
Мета обробки даних, стосовно вакцинації від гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2, негативний результат тестування або одужання особи від зазначеної хвороби визначена Постановою Кабінету Міністрів України №677 від 29 червня 2021 року “Деякі питання формування та використання сертифіката, що підтверджує вакцинацію від гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2, негативний результат тестування або одужання особи від зазначеної хвороби”.
Обробка даних, зібраних за допомогою фронтальної камери мобільного телефону користувача (Photo ID) здійснюється на підставі Постанови Кабінету Міністрів України від 2 вересня 2020 року №785 “Про реалізацію експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису”.
Обробка даних, зібраних за допомогою технології розпізнавання обличчя особи шляхом порівняння фотозображення особи, створеного нею за допомогою мобільного додатка Порталу Дія, з відцифрованим образом обличчя відповідної особи Єдиного державного демографічного реєстру (Photo ID).
Метою обробки (збору) персональних даних є:
- створення та забезпечення функціонування електронного кабінету суб’єкта персональних даних мобільного додатку Порталу Дія (Дія);
- надання з використанням мобільного додатку Порталу Дія (Дія) електронних послуг, за отриманням яких звертається суб’єкт персональних даних;
- забезпечення доступу суб’єкта персональних даних через його електронний кабінет в мобільному додатку Порталу Дія (Дія) до інформації з інших національних електронних інформаційних ресурсів, зокрема доступу до даних про себе;
- забезпечення сплати суб’єктом персональних даних адміністративного збору за надання адміністративних послуг, штрафів за адміністративні правопорушення, державного мита, інших платежів, а також здійснення розрахунків за інші публічні послуги (зокрема житлово-комунальні) з використанням мобільного додатку Порталу Дія (Дія);
- забезпечення реалізації права суб’єкта персональних даних на оскарження з використанням мобільного додатку Порталу Дія (Дія);
- забезпечення участі суб’єкта персональних даних в опитуваннях щодо ініціатив і проектів у різних сферах суспільного життя, які проводяться з використанням мобільного додатку Порталу Дія (Дія), а також залишення відгуків, запитань чи коментарів суб’єктом персональних даних;
- забезпечення запису до списку очікування на проведення вакцинації від COVID-19;
-
можливість формування віддаленого кваліфікованого електронного підпису ДіяІД за допомогою технології розпізнавання обличчя особи (photo ID);
-
формування, засвідчення, видача, використання та підтвердження чинності COVID-сертифіката.
6. Третіми особами, яким передаються персональні дані, що обробляються, є:
- державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування, підприємства, установи та організації, що належать до сфери їх управління, виконавці житлово-комунальних послуг, яким персональні дані, що обробляються, передаються згідно з визначеним законодавством порядком взаємодії між мобільним додатком Порталу Дія (Дія) та іншими електронними інформаційними ресурсами;
- учасники/члени платіжних систем в Україні, що забезпечують авторизацію та проведення суб’єктами персональних даних переказу коштів з використанням мобільного додатку Порталу Дія (Дія) та яким персональні дані, що обробляються, передаються для забезпечення проведення такого переказу;
- інші особи, що звертаються до Міністерства цифрової трансформації України, та мають право отримати персональні дані виключно на підставах, визначених законом.
Передача персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними (транскордонна передача персональних даних) не здійснюється.
Доступ до інформації про особу (персональних даних), що формується за допомогою мобільного додатку Порталу Дія (Дія), має лише користувач (суб’єкт персональних даних), який авторизувався у вказаному мобільному додатку у визначеному законодавством порядку, і виключно до тієї інформації, яка стосується такого користувача.
Суб’єкт персональних даних за власним бажанням може передавати електронну копію та/або підтвердження інформації, що міститься у е-паспорті та/або е-паспорті для виїзду за кордон, до інформаційних систем визначених ним юридичних осіб та фізичних осіб – підприємців, підключених до Порталу Дія.
7. Персональні дані, зазначені в пункті 4 цього повідомлення, зберігаються Міністерством цифрової трансформації України протягом строку функціонування електронного кабінету суб’єкта персональних даних в мобільному додатку Порталу Дія (Дія), але не довше 5 років, якщо законодавством не визначено інший строк їх зберігання.
Персональні дані користувачів мобільного додатку Порталу Дія (Дія), які отримуються ними з реєстрів, не зберігаються, застосовується підхід data-in-transition, згідно з яким дані з реєстрів передаються та зберігаються на мобільному телефоні користувача, а не на сервері. Мінцифри не має доступу до даних, переданих з реєстрів. Такі персональні дані видаляються разом з видаленням цього додатку з мобільного пристрою.
Мінцифри не зберігає дані, необхідні для подачі заяви до списку очікування на проведення вакцинації від COVID-19 та зазначені в пункті 4.5 цього повідомлення.
Дані, які містяться в сертифікаті, що підтверджує вакцинацію від гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2, негативний результат тестування або одужання особи від зазначеної хвороби, передаються з Електронної системи охорони здоров’я та Єдиного державного демографічного реєстру, та зберігаються на особистому мобільному телефоні користувача. Мінцифри не має доступу до даних, переданих з реєстрів. Такі персональні дані передаються за згодою особи, яка засвідчена електронним підписом на кваліфікованому сертифікаті електронного підпису та видаляються разом з видаленням мобільного додатку з мобільного пристрою.
8. Документи та інші дані, що можуть бути збережені з мобільного застосунку Дія на пристрий користувача, розміщуються в сховищі на особистому мобільному пристрої користувача, доступ до якого здійснюється виключно за дозволом користувача.
9. Згідно з частиною другою статті 8 Закону України «Про захист персональних даних» суб’єкт персональних даних має право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) знати механізм автоматичної обробки персональних даних;
11) на захист від автоматизованого рішення, яке має для нього правові наслідки.