Национальный банк Украины довел до сведения свою позицию о недопущении неправомерного использования персональных данных (Письмо НБУ от 26.02.2018 года № 25-0007/11290)
В приведенном выше Письме НБУ отмечает следующее.
Правовые отношения, связанные с защитой и обработкой персональных данных, регулируются Законом Украины «О защите персональных данных» (далее - Закон), который направлен на защиту основных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных.
Согласно статье 2 Закона, персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано; обработка персональных данных - любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем.
Согласно части первой статьи 6 Закона цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца персональных данных, и соответствовать законодательству о защите персональных данных.
Так, целью обработки персональных данных, обрабатываемых в связи с осуществлением банками идентификации и верификации клиентов / представителя клиента в соответствии с требованиями Законов Украины «О банках и банковской деятельности» (далее - Закон о банках), «О предотвращении и противодействии легализации ( отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения » (далее - Закон о предотвращении), а также Положения об осуществлении банками финансового мониторинга, утвержденного постановлением Правления Национального банка Украины от 26.06.2015 № 417, является предотвращение использования банковской системы для легализации (отмывания) доходов, полученных преступным путем, финансирование терроризма и финансирование распространения оружия массового уничтожения.
Согласно части пятой статьи 6 Закона обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.
Следует отметить, что согласно статье 24 Закона владельцы, распорядители персональных данных и третьи лица обязаны обеспечить защиту этих данных от случайных потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа к персональным данным.
При этом, согласно части третьей статьи 10 Закона использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональных или служебных или трудовых обязанностей. Эти работники обязаны не допускать разглашения в любой способ персональных данных, которые им было доверено или которые стали известны в связи с исполнением профессиональных или служебных или трудовых обязанностей, кроме случаев, предусмотренных законом. Такое обязательство действующее после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.
В соответствии со статьей 60 Закона о банках информацию о деятельности и финансового состояния клиента, которая стала известна банку в процессе обслуживания клиента и взаимоотношений с ним или третьим лицам при предоставлении услуг банка, отнесены к банковской тайне.
Статьей 61 Закона о банках предусмотрена обязанность банков по сохранению банковской тайны. Согласно части 2 указанной статьи служащие банка при вступлении в должность подписывают обязательства по сохранению банковской тайны.
Руководители и служащие банков обязаны не разглашать и не использовать с выгодой для себя или для третьих лиц конфиденциальную информацию, которая стала известна им при выполнении своих служебных обязанностей.
Согласно части одиннадцатой статьи 12 Закона о предотвращении обмен информацией, которая является секретом финансового мониторинга, ее раскрытие и защита осуществляются в соответствии с законом. Работникам субъектов первичного финансового мониторинга, государственного финансового мониторинга и других государственных органов, которые подали специально уполномоченному органу информацию о финансовой операции и ее участников, запрещается сообщать об этом лицам, принимавшим (берут) участие в ее осуществлении, и любым третьим лицам.
В соответствии со статьей 28 Закона нарушения законодательства о защите персональных данных влечет за собой ответственность, установленную законом.
Так, статьей 188-39 Кодекса Украины об административных правонарушениях предусмотрена административная ответственность за нарушение законодательства в сфере защиты персональных данных, статьей 182 Уголовного кодекса Украины предусмотрена уголовная ответственность за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице.