При работе государственного сервиса контроля доступа к персональным данным автоматизированы следующие процессы:
- информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом и уполномоченным органом при доступе к персональным данным, содержащимся в цифровых объектах государственных органов и (или) государственных юридических лиц, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам;
- предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных, содержащихся в цифровых объектах государственных органов и (или) государственных юридических лиц;
- отзыв субъектом или его законным представителем согласия (отказ) на сбор и (или) обработку персональных данных, содержащихся в цифровых объектах государственных органов и (или) государственных юридических лиц;
- уведомление субъекта о действиях с его персональными данными, содержащимися в цифровых объектах государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);
- представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку его персональных данных, содержащихся в цифровых объектах государственных органов и (или) государственных юридических лиц.
Также говорится, что при отсутствии абонентского номера сети сотовой связи субъекта в БМГ субъект осуществляет регистрацию на веб-портале "цифрового правительства".
Процесс получения доступа к персональным данным посредством запроса/ответа в государственный сервис осуществляются посредством sms-сообщений, отправленных через цифровую систему "мобильное правительство".
Процесс состоит из:
- отправки инициатором или оператором запроса на доступ к персональным данным к государственному сервису;
- проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;
- при наличии запроса на доступ к персональным данным в процессе обработки государственный сервис отправляет статус "ожидание ответа от субъекта";
- при отсутствии запроса на доступ к персональным данным в процессе обработки государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к БМГ;
- при отсутствии абонентского номера сети сотовой связи субъекта в БМГ субъект осуществляет регистрацию на веб-портале "цифрового правительства";
- после получения абонентского номера сети сотовой связи субъекта от БМГ государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством sms-сообщения с буквенно-цифровым или цифровым одноразовым кодом через цифровую систему "мобильное правительство";
- после получения ответа от государственного сервиса статуса "ожидание ответа от субъекта" и идентификатора запроса, инициатор и (или) оператор отправляет повторный запрос с идентификатором запроса государственного сервиса;
- отправка токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором с буквенно-цифровым или цифровым одноразовым кодом, соответствующим отправленному коду через цифровую систему "мобильное правительство";
- отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
- проверки собственником токена безопасности на соответствие запросу и сроку действия;
- обработки запроса и отправление ответа собственником инициатору или оператору.
По процессам, предусмотренным подпунктами 1) и 2) настоящего пункта, получение согласия субъекта персональных данных и (или) предоставление доступа к персональным данным посредством одноразового пароля (OTP), направляемого через сотовые сети связи, не осуществляется.
Также говорится, что запрос на доступ к персональным данным направляется в формате согласно Единым требованиям и содержит, в частности:
- идентификационные данные работника (фамилия, имя, отчество (при его наличии), учетная запись, ИИН) инициатора или оператора или при запросе на доступ к персональным данным без участия работника инициатора или оператора указывается наименование организации или наименование цифровой системы.
Кроме того, установлено, что запрос на отзыв токена безопасности формируется субъектом посредством систем "цифрового правительства".
Приказ вводится в действие с 12 июля.