Національний банк України довів до відома свою позицію про недопущення неправомірного використання персональних даних (Лист НБУ от 26.02.2018 року № 25-0007/11290)
У наведеному вище Листі НБУ зазначає наступне.
Правові відносини, пов'язані із захистом і обробкою персональних даних, регулюються Законом України «Про захист персональних даних» (далі - Закон), який спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних.
Відповідно до статті 2 Закону, персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
Так, метою обробки персональних даних, які обробляються у зв'язку зі здійсненням банками ідентифікації та верифікації клієнтів/представника клієнта відповідно до вимог Законів України «Про банки і банківську діяльність» (далі - Закон про банки), «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» (далі - Закон про запобігання), а також Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 26.06.2015 № 417, є запобігання використанню банківської системи для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення.
Згідно з частиною п'ятою статті 6 Закону обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Слід зазначити, що відповідно до статті 24 Закону володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
При цьому, згідно з частиною третьою статті 10 Закону використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, крім випадків передбачених законом. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
У відповідності зі статтею 60 Закону про банки інформацію щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку, віднесено до банківської таємниці.
Статтею 61 Закону про банки передбачено обов'язок банків щодо збереження банківської таємниці. Відповідно до частини 2 зазначеної статті службовці банку при вступі на посаду підписують зобов'язання щодо збереження банківської таємниці.
Керівники та службовці банків зобов'язані не розголошувати та не використовувати з вигодою для себе чи для третіх осіб конфіденційну інформацію, яка стала відома їм при виконанні своїх службових обов'язків.
Згідно з частиною одинадцятою статті 12 Закону про запобігання обмін інформацією, що є таємницею фінансового моніторингу, її розкриття та захист здійснюються відповідно до закону. Працівникам суб'єктів первинного фінансового моніторингу, державного фінансового моніторингу та інших державних органів, які подали спеціально уповноваженому органу інформацію про фінансову операцію та її учасників, забороняється повідомляти про це особам, які брали (беруть) участь у її здійсненні, та будь-яким третім особам.
Відповідно до статті 28 Закону порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
Так, статтею 188-39 Кодексу України про адміністративні правопорушення передбачена адміністративна відповідальність за порушення законодавства у сфері захисту персональних даних, статтею 182 Кримінального кодексу України передбачена кримінальна відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації