Порядок обробки персональних даних в банківській діяльності І. Загальні положення
Вид материала | Документы |
- Вердити Положення про обробку І захист персональних даних у базах персональних даних,, 151.66kb.
- Ради Європейського Союзу от 24 жовтня 1995 року, Конституції України, закон, 298.89kb.
- Відповідальність за порушення законодавства у сфері захисту персональних даних, 26.54kb.
- Рефера т, 90.13kb.
- Закон україни №2297-vі, 191.53kb.
- Начальникам уіаз (віаз) гумвс, умвс україни в Автономній Республіці Крим, областях,, 8.53kb.
- «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності, 332.54kb.
- 1. загальні положення, 153.05kb.
- Здійснення контролю І забезпечення якості іс. Загальний І додатковий контроль, 42.87kb.
- В. Брижко, Ю. Базанов, М. Швець Електронний банкінг у контексті захисту персональних, 117.31kb.
ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
В БАНКІВСЬКІЙ ДІЯЛЬНОСТІ
І. Загальні положення
1.1. Порядок обробки персональних даних в банківській діяльності (далі - Порядок) розроблено на виконання частини 10 статті 6 Закону України «Про захист персональних даних» (далі - Закон).
- Цей Порядок визначає загальні вимоги до обробки персональних даних в банківській діяльності .
- Терміни, що вживаються у Порядку, відповідають їх визначенню відповідно до Закону.
Система управління персональними даними - це сукупність взаємопов'язаних та взаємодіючих елементів організаційної структури, механізмів відповідальності, повноважень та процедур організації обробки персональних даних, а також процесів і ресурсів, які забезпечують її відповідність встановленим законодавством вимогам щодо захисту персональних даних.
ІІ. Персональні дані, принципи та цілі їх обробки
2.1. До персональних даних належать свідчення про особу: відомості, що ідентифікують або дають змогу ідентифікувати особу, відомості про грошові зобов'язання суб'єкта інформації, документована інформації про особу з державних реєстрів, інших баз даних публічного користування, відкритих для загального користування джерел.
2.2. Принципами обробки персональних даних є:
- принцип законності: персональні дані повинні оброблятись лише на підставах передбачених для фінансових інститутів;
- принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями, згідно із видами діяльності банку, передбаченими Законом України «Про банки та банківську діяльність» та оброблятися відповідно до них;
- принцип адекватності і ненадлишковості: персональні дані повинні бути адекватними, не надлишковими (але в обсязі не менше, ніж передбачено фінансовим законодавством та банківським правилами), відповідати цілям обробки ;
- принцип точності: персональні дані повинні бути точними та актуальними;
- принцип строковості зберігання: персональні дані не повинні зберігатися довше, ніж це необхідно (але не менше, ніж передбачено фінансовим законодавством та банківськими правилами);
- принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб'єкта персональних даних, включаючи право на доступ до даних;
7) принцип захищеності: персональні дані повинні оброблятись з дотриманням
вимог щодо захисту даних;
8) принцип транскордонної захищеності: персональні дані не повинні
передаватись іноземним суб'єктам відносин, пов'язаних із персональними даними, без
належного захисту.
2.3. Підставами виникнення права на обробку персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних.
Суб'єкт персональних даних має право при наданні згоди внести застереження
стосовно обмеження права на обробку своїх персональних даних, а банк – обмежити перелік послуг, які можуть бути надані із застосуванням таких даних);
2) надане Банку, як володільцю бази персональних даних право на обробку персональних даних відповідно до прав та обов’язків банку передбачених Законом України «Про Національний банк України», «Про банки та банківську діяльність», «Про платіжні системи та переказ коштів в Україні», «Про організацію формування та обігу кредитних історій» та прийнятих у відповідності до них актів Національного банку України і виключно в інтересах економічного добробуту людини та суспільства і прав людини на отримання фінансових послуг;
3) необхідність захисту життєво важливих інтересів суб'єкта персональних даних, яка виникала при виконанні банком своїх обов’язків передбачених законодавством до часу, коли отримання згоди на обробку персональних даних від суб'єкта персональних даних стане можливим.
2.4. Формами надання згоди суб'єкта персональних даних є:
а) документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей
документ та фізичну особу. Добровільне волевиявлення суб'єкта персональних даних
засвідчується його підписом;
б) електронний документ, включаючи обов'язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб'єкта персональних даних;
в) відмітка на електронній сторінці документу чи у електронному файлі, що
обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
- не дозволяють обробку персональних даних до того часу, поки суб'єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;
- забезпечують реєстрацію дій суб'єкта персональних даних та цілісність протоколів реєстрації таких дій.
Текст надання згоди має включати всі цілі обробки персональних даних для яких вони будуть використовуватися, підтвердження, що суб'єкт персональних даних повідомлений Банком про включення його персональних даних до бази персональних даних, про доступ до персональних даних суб’єкта розпорядників та третіх осіб, про права суб'єкта персональних даних відповідно до Закону та може бути викладений як цілісний документ, в анкеті для укладення правочину, в тексті договору про укладення правочину або іншим прийнятним для сторін шляхом в письмовій формі.
- Згода суб'єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб'єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.
- Цілі обробки персональних даних повинні відповідати цілям діяльності банка, володільця бази персональних даних, що передбачені Законом України «Про банки та банківську діяльність»;
- Основними цілями обробки персональних даних в банківській діяльності є забезпечення реалізації:
відносин у сфері економічних, фінансових послуг;
відносин у сфері безпеки, управління кредитними ризиками, включаючи страхування суб’єктів кредитних правовідносин та їх майна;
адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
інших відносин, що вимагають обробки персональних даних та мають на меті реалізацію положень Закону України «Про банки та банківську діяльність»;
- . Додатковими цілями обробки персональних даних в банківській діяльності є забезпечення реалізації:
трудових відносин;
відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
- . Банк використовує одну основну та одну додаткову базу персональних даних для реалізації цілей обробки персональних даних передбачених п.2.7 -2.8 цього Порядку.
- Банк реєструє основну та додаткову базу персональних даних у Державному реєстрі баз персональних даних відповідно до процедури передбаченої Законом.
ІII. Обробка персональних даних (нормативні питання)
3.1. Банк зобов’язаний забезпечувати суб'єкту персональних даних реалізацію прав, передбачених підпунктами 1) - 5) та 7) – 9) пункту 2 статті 8 Закону.
3.2. В разі пред'явлення банку (як володільцю бази персональних даних) суб'єктом персональних даних вмотивованої вимоги, передбаченої підпунктом 6) пункту 2 статті 8 Закону щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними, банк:
при отриманні заяви від суб'єкта персональних даних зобов'язаний перевірити інформацію, яка заперечується, протягом п'яти робочих днів з дня отримання заяви. На час перевірки інформації слід позначити персональні дані такого суб'єкта відповідною позначкою.
Банк залишає персональні дані суб'єкта без змін та знімає з персональних даних позначку в разі підтвердження інформації, що заперечується..
Банк вносить зміни до інформації, що міститься в персональних даних суб'єкта, та знімає з персональних даних позначку в разі зміни інформації, що заперечувалася суб'єктом персональних даних.
Банк вилучає з персональних даних суб'єкта інформацію, що заперечується суб'єктом, а також знімає відповідну позначку, якщо у п'ятнадцятиденний термін з моменту звернення до нього Банк не отримав інформації, що підтверджувала б або заперечувала інформацію з інших джерел.
Банк зобов'язаний повідомити суб'єкта персональних даних, а також усіх розпорядників та третіх осіб, які на законних підставах зверталися до персональних даних цього суб'єкта впродовж одного року, про зміну інформації, що заперечувалась або була вилучена з персональних даних, цього суб’єкта, не пізніше двох днів з моменту внесення таких змін до персональних даних суб'єкта.
Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду,що набрало законної сили.
3.3. Якщо вмотивована вимога щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними, пред'явлена суб'єктом персональних даних банку, який є розпорядником бази персональних даних, банк має повідомити суб’єкту персональних даних контактну інформацію володільця бази персональних даних та діяти згідно п.3.2. цього Порядку, в частині яка його може стосуватися
3.4. Суб'єкт персональних даних має право оскаржити в судовому порядку дії Банку, які порушують його права.
3.5. Збирання, накопичення, зберігання та поширення персональних даних банками здійснюється у відповідності до Закону, Закону України «Про банки та банківську діяльність», «Про платіжні системи та переказ коштів в Україні», «Про організацію формування та обігу кредитних історій» та прийнятих у відповідності до них актів Національного банку України і включає право розпорядників та третіх осіб обробляти персональні дані із баз персональних даних, що належать банкам та право банків, як розпорядників, обробляти персональні дані із баз персональних даних, що не належать банкам.
Банк має право у відповідності до Закону відстрочити або відмовити у доступу до персональних даних третім особам і не має права відстрочити або відмовити у доступу до персональних даних суб’єкту персональних даних.
Суб’єкти персональних даних та треті особи мають право оскаржувати відстрочення або відмову у доступу до персональних даних відповідно до Закону.
3.6. Знищення персональних даних
Персональні дані в базах персональних даних підлягають знищенню банком у разі:
- закінчення строку зберігання даних, визначеного фінансовим законодавством та банківськими правилами;
- припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено фінансовим законодавством та банківськими правилами;
- набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
Персональні дані, зібрані з порушенням вимог Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку.
В разі знищення персональних даних суб'єкта персональних даних в базах персональних даних, якщо правовідносини між суб'єктом персональних даних та банком не припинені – банк має право обмежити перелік послуг, які можуть бути надані суб’єкту або припинити правовідносини з суб'єктом персональних даних.
ІV. Обробка персональних даних (організаційні питання)
4.1. Організація обробки персональних даних включає такі етапи:
- первинна оцінка стану обробки персональних даних;
- планування та впровадження системи управління персональними даними;
- забезпечення поточного функціонування системи управління персональними даними;
- періодична та поточна оцінка ефективності системи управління персональними даними;
- удосконалення системи управління персональними даними.
4.2. Первинна оцінка стану обробки персональних даних проводиться банками до 01.03.2012 року.
- Цілями первинної оцінки стану обробки персональних даних є визначення переліку процесів обробки персональних даних, а також визначення статусу банка, суб'єкта обробки персональних даних: володілець або розпорядник бази персональних даних та визначення розпорядників, які обробляють персональні дані з баз персональних даних, володільцем яких є банк.
- Метою первинної оцінки стану обробки персональних даних володільця є оцінка поточних процесів та процедур обробки персональних даних з метою приведення їх у відповідність до вимог законодавства України з питань захисту персональних даних.
- Завданнями первинної оцінки стану обробки персональних даних
банку є:
- встановлення цілей обробки персональних даних у ході поточної діяльності банку, як володільця та розпорядника баз персональних даних, а також інших розпорядників, які обробляють персональні дані з баз персональних даних, володільцем яких є банк;
- встановлення наявності чи відсутності підписаного договору у письмовій формі між розпорядником та володільцем щодо обробки персональних даних та перевірка виконання умов зазначеного договору;
- перевірка відповідності цілей обробки персональних даних у ході поточної діяльності банка, як володільця, розпорядника баз персональних даних та інших розпорядників, які обробляють персональні дані з баз персональних даних, володільцем яких є банк цілям, визначених законодавством України з питань захисту персональних даних, фінансовим законодавством та банківськими правилами;
- перевірка підстав для обробки персональних даних володільцем у визначених процесах обробки персональних даних відповідно до пунктів 2.3 цього Порядку;
- оцінка сумісності застосовуваних способів обробки персональних даних встановленим цілям їх обробки;
5) оцінка адекватності, ненадлишковості, відповідності оброблюваних
персональних даних встановленим цілям;
- оцінка точності, достовірності та процесів оновлення, у разі необхідності, персональних даних, що обробляються;
- оцінка термінів зберігання персональних даних, визначення наявності чи відсутності даних, які зберігаються довше, ніж це необхідно;
- оцінка поточних процедур, що забезпечують права фізичної особи, включаючи право на доступ до даних;
- оцінка стану дотримання вимог щодо захисту даних;
10) перевірка наявності чи відсутності процедур передачі персональних даних закордон;
11 ) перевірка наявності обробки персональних даних розпорядниками та відповідності законних підстав для передачі персональних даних розпорядникам фінансовому законодавству та банківським правилам;
12) перевірка наявності доступу до персональних даних третіх осіб та процедур передачі персональних даних третім особам. Перевірка відповідності законних підстав для доступу до персональних даних третіх осіб та для передачі персональних даних третім особам фінансовому законодавству та банківським правилам;.
4.2.4. Результати первинної оцінки стану обробки персональних даних
є підставою для планування заходів щодо створення системи управління персональними даними.
4.3. Планування та впровадження системи управління персональними даними володільцем включає в себе:
- визначення переліку баз персональних даних, які обробляються володільцем відповідно до Закону з урахуванням:
цілей обробки персональних даних, сформульованих відповідно до вимог законодавства України;
бізнес-процесів володільця, структури, місцезнаходження баз персональних даних, структури інформаційної системи тощо;
- коректування положень, установчих та інших документів, які регулюють діяльність володільця;
- найменування баз персональних даних та затвердження цілей обробки персональних даних у базах персональних даних;
- визначення законних підстав для обробки персональних даних у базах персональних даних відповідно до цього Порядку;
- визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці відповідно до Закону;
6) впровадження процедур доступу до персональних даних працівників
відповідно до їхніх професійних чи службових або трудових обов'язків та надання
ними зобов'язань (гарантій) не допускати розголошення у будь-який спосіб
персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням
професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після
припинення ними діяльності, пов'язаної з персональними даними, крім випадків,
установлених Законом;
- впровадження процедур, спрямованих на забезпечення дотримання принципів обробки персональних даних, що визначені цим Порядком;
- надання права часткової або повної обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюється за згодою суб'єкта персональних даних та/чи відповідно до Закону;
- забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них, відповідно до Закону;
10) обґрунтування необхідності передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними за наявності відповідного дозволу Національного банку України; обґрунтування відповідності мети поширення персональних даних меті, з якою вони були зібрані; впровадження відповідного захисту персональних даних.
11) оформлення інформаційної картки бази персональних даних (Додаток №1 до
Положення), яка містить відомості щодо найменування, місцезнаходження
бази персональних даних, володільця, розпорядника, цілей обробки персональних
даних, категорій персональних даних, які обробляються, обробки персональних даних,
стосовно яких Законом передбачені особливі вимоги, правових підстав обробки
персональних даних, передачі персональних даних за кордон, захисту бази даних, проведення періодичних та поточних оцінок стану обробки персональних даних;
- оформлення заяви про реєстрацію бази персональних даних. (Додаток №2 до
Положення), Форма заяви бази персональних даних та інструкція з її заповнення затверджуються Державною службою України з питань захисту персональних даних;
- реєстрація баз персональних даних, у порядку, визначеному Законом;
- навчання, підвищення кваліфікації та вжиття інших заходів, спрямованих на забезпечення компетентності персоналу володільця.
4.4. Забезпечення поточного функціонування системи управління персональними даними є обов'язковим при організації обробки персональних даних володільцем у базах персональних даних.
- З метою створення дієвої системи управління персональними даними Банком визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до законодавства України, яке регулює його діяльність, та/або його установчих документів.
- Володілець з метою належного функціонування системи управління персональними даними забезпечує:
- загальну відповідальність за дотримання законодавства України у сфері захисту персональних даних;
- затвердження необхідних процедур (методичних рекомендацій та правил тощо) стосовно вжиття заходів із забезпечення поточного функціонування системи управління персональними даними у базах персональних даних;
- забезпечення захисту персональних даних у базі персональних даних від незаконної обробки, а також від незаконного доступу до них;
- здійснення періодичної та поточної оцінки ефективності функціонування системи управління персональними даними у базах персональних даних;
- організацію внесення пропозицій керівництву володільця щодо удосконалення системи управління персональними даними у базах персональних даних;
- обов'язкову реєстрацію баз персональних даних в Державному реєстрі баз персональних даних.
- розробку, впровадження та забезпечення належного функціонування системи управління персональними даними;
- підтримку вимог бізнесу процедурами захисту персональних даних у базах персональних даних;
- реєстрацію інцидентів в системі управління персональними даними.
4.7. Перевірка відповідності системи управління персональними даними вимогам
законодавства здійснюється у ході:
- поточної перевірки ефективності системи управління персональними даними, що проводиться володільцем самостійно відповідно до затверджених ним процедур;
- періодичної перевірки ефективності системи управління персональними даними, що здійснюється:
у формі внутрішньої оцінки системи управління персональними даними, що проводиться володільцем самостійно, але не рідше одного разу на рік;
другою стороною (іншим володільцем) при передачі ним персональних даних відповідно до цілей обробки персональних даних у порядку визначеному договором;
третьою стороною (незалежною організацією) на добровільних засадах у порядку визначеному договором між володільцем та юридичною особою, компетентність якої документально засвідчена національним органом з акредитації у ході оцінки відповідності системи якості вимогам законодавства;
- контролю за додержанням законодавства про захист персональних даних, що проводиться уповноваженим органом з питань захисту персональних даних відповідно до законодавства. Уповноважений орган з питань захисту персональних даних інформує Національний банк України про результати контролю щорічно та в разі необхідності негайно.
4.8.У ході перевірки третьою стороною відповідності системи управління персональними даними вимогам законодавства здійснюється оцінка управлінських рішень володільця у сфері захисту персональних даних, відповідності технологічних рішень, прийнятих володільцем з метою виконання вимог стандартів та законодавства України про захист персональних даних.
- Звіти за результатами перевірок третьою стороною повинні містити (за наявності) інформацію про будь-які порушення управлінських рішень володільця у сфері захисту персональних даних та встановлених процедур, а також порушення технологічних вимог до захисту персональних даних та законодавства України про захист персональних даних та зберігатися для врахування та аналізу.
- Володілець зобов'язаний вживати заходів з удосконалення системи управління персональними даними у базах персональних даних шляхом застосування превентивних і коригувальних дій.
Усі пропоновані зміни та / або поліпшення повинні бути оцінені з метою удосконалення задокументованих управлінських рішень володільця у сфері захисту персональних даних.
- Зміни, що випливають з превентивних та коригувальних дій повинні бути належним чином документовані і збережені.
- Володілець вживає превентивних дій для забезпечення належного функціонування системи управління персональними даними у базах персональних даних шляхом:
- виявлення невідповідностей та їхніх причин;
- визначення ризиків;
- визначення та виконання необхідних превентивних заходів.
- У разі виявлення потенційних невідповідностей у системі управління персональними даними повинна бути створена процедура для розгляду кожної невідповідності і на основі оцінки ризиків для:
- усунення причин невідповідності;
- - зниження рівня невідповідності.
- Оцінка ризиків проводиться на регулярній основі для визначення чи змінилась ситуація і чи виправленні невідповідності.
- Планування, впровадження, забезпечення поточного функціонування, здійснення оцінки та удосконалення системи управління персональними даними розпорядником здійснюється відповідно до договору з володільцем баз персональних даних з урахуванням цього Порядку.