Загальні засади

Нормативно-правове регулювання у сфері захисту персональних даних

  • Конституція України;
  • Закон України «Про захист персональних даних» (від 01.06.2010, набрання чинності — 01.01.2011);
  • Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;
  • Закон України «Про інформацію»;
  • Міжнародні договори, згоду на обов’язковість яких надано Верховною Радою України, зокрема:

— Конвенція «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28 січня 1981 року та Додатковий протокол до неї (ратифіковано 06.07.2010, дата вступу в силу для України — 1.01.2011);

— Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»;

— Директива 97/66/ЄС Європейського Парламенту і Ради «Стосовно обробки персональних даних і захисту права а невтручання в особисте життя в телекомунікаційному секторі» від 15 грудня 1997 року.

Внутрішні акти Української міжбанківської Асоціації членів платіжних систем «ЄМА» (обов’язкові до виконання усіма її членами) у сфері захисту персональних даних:

— Кодекс корпоративної поведінки з обробки персональних даних Української міжбанківської асоціації членів платіжних систем «ЄМА», рекомендований до використання Державною службою України з питань захисту персональних даних (лист від 19.1.2012 № 09/5410-12 на лист від 14.11.2012 № 14/10-2012/ДСЗПД);

— Типовий договір про приєднання до спільного використання єдиної інформаційної системи «Exchange-оnline» (рекомендовано до використання Державною службою України з питань захисту персональних даних в якості Додатку до Кодексу);

— Типова форма «Звіт про стан виконання вимог захищеності ПД, що обробляються у БПД та дотримання політики інформаційної безпеки за _____звітний рік» (Додаток 1 до Договору);

— Положення про обробку та захист персональних даних, що містяться у системі «Exchange-оnline»;

— Керівництво користувача. Сервіс міжбанківського обміну інформацією «InterBankExchange». Версія 1.3 (U247.3004.00.00.34)

Основні терміни:

база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

відповідальна особа — особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових або професійних обов’язків, цивільно-правового договору покладена організація роботи, пов’язаної з контролем за відповідності процедури обробки персональних даних та захистом персональних даних при їх обробці.

володілець бази персональних даних — юридична особа (ЄМА), якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних;

єдина інформаційна система «Exchange-online» — міжбанківська система обігу інформації, необхідної для належної ідентифікації суб’єктів помилкових та неналежних переказів та вжиття заходів щодо запобігання або припинення зазначених переказів;

згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

знеособлення (деперсоналізація) персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;

користувач — це будь-яка фізична особа, яка користується загальнодоступною телекомунікаційною послугою для особистих чи ділових цілей;

обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій)системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;

Згідно з нормами Закону України «Про захист персональних даних», у момент передачі БАНКОМ до АСОЦІАЦІЇ інформації, що містить персональні дані, БАНК виступає ВОЛОДІЛЬЦЕМ баз персональних даних, а АСОЦІАЦІЯ — ТРЕТЬОЮ ОСОБОЮ. Після фактичного отримання інформації та в подальшому, АСОЦІАЦІЯ є ВОЛОДІЛЬЦЕМ баз персональних даних, а БАНКИ — ТРЕТЬОЮ ОСОБОЮ. Договором про приєднання до спільного використання єдиної інформаційної системи «Exchange-online» врегульовано правовідносини між АСОЦІАЦІЄЮ як ВОЛОДІЛЬЦЕМ і БАНКОМ як ТРЕТЬОЮ ОСОБОЮ.

Метою обробки персональних даних ЄМА є забезпечення реалізації:

— відносин у сфері належної ідентифікації членами платіжної системи суб’єктів помилкових та неналежних переказів та вжиття заходів щодо запобігання або припинення зазначених переказів та інших відносин в сфері банківської діяльності, що вимагають обробки персональних даних. При цьому:

Члени платіжної системи — юридичні особи, діяльність яких з питань переказу коштів та участі в платіжній системі регулюється Національним банком України, а платіжна системи включена в порядку встановленому законодавством в Перелік платіжних систем (систем розрахунків), правила яких узгоджені Національним банком України або участь юридичної особи в такій системі є обов’язковою чи дозволеною відповідно до законодавства.

Належна ідентифікація — ідентифікація, що є (обов’язковою) стадією фінансового моніторингу, запобігає або припиняє суспільно небезпечне діяння*, що передує легалізації (відмиванню) доходів, одержаних злочинним шляхом та може включати дії з ідентифікації, передбачені Законами України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму», «Про фінансові послуги та державне регулювання ринків фінансових послуг», «Про банки та банківську діяльність».

*діяння, за яке Кримінальним кодексом України передбачено основне покарання у виді позбавлення волі або штрафу понад три тисячі неоподатковуваних мінімумів доходів громадян.

Переказ коштів на банківський рахунок (переказ) — рух певної суми коштів здійснюваний згідно з розпорядженнями клієнтів або в результаті будь-яких дій, які в рамках закону призвели до зміни права власності на активи з метою її зарахування на рахунок на якому обліковуються власні кошти, вимоги, зобов’язання банку стосовно його клієнтів і контрагентів або видачі отримувачу (клієнту, контрагенту) коштів у готівковій формі.

Запобігання або припинення неналежному переказу, переказу здійсненному неналежним платником (особою, яка не є платником) — сукупність взаємно узгоджених дій членів платіжних систем та МВС з унеможливлення одержання особою доходів злочинним шляхом.

Принципами обробки персональних даних є:

1) принцип законності: персональні дані повинні оброблятись лише на законних підставах;

2) принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями та оброблятися відповідно до них;

3) принцип адекватності і ненадмірності: персональні дані повинні бути адекватними, ненадмірними, відповідати цілям обробки;

4) принцип точності: персональні дані повинні бути точними та актуальними;

5) принцип строковості зберігання: персональні дані не повинні зберігатися довше ніж це передбачено згодою суб’єкта персональних даних чи вимогами законодавства;

6) принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних

7) принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних;

8) принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб’єктам відносин, пов’язаним із персональними даними, без належного захисту.