Про затвердження Порядку обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб
Відповідно до підпункту 12 пункту 9 розділу Х «Прикінцеві та перехідні положення» Закону України «Про систему гарантування вкладів фізичних осіб», Закону України «Про захист персональних даних» виконавча дирекція Фонду гарантування вкладів фізичних осіб ВИРІШИЛА:
1. Затвердити Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб, що додається.
2. Відділу інформаційних технологій разом з юридичним відділом забезпечити подання цього рішення до Міністерства юстиції України для державної реєстрації.
3. Це рішення набирає чинності одночасно з набранням чинності Законом України «Про систему гарантування вкладів фізичних осіб», але не раніше дня його офіційного опублікування.
4. Відділу зв‘язків з громадськістю та міжнародними організаціями забезпечити розміщення цього рішення на офіційній сторінці Фонду гарантування вкладів фізичних осіб в мережі Інтернет після його державної реєстрації.
ПОРЯДОК
обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб
1. Цей Порядок розроблений відповідно до підпункту 12 пункту 9 розділу Х «Прикінцеві та перехідні положення» Закону України «Про систему гарантування вкладів фізичних осіб», Закону України «Про захист персональних даних» (далі - Закон), Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованого в Міністерстві юстиції України 03 січня 2012 року за № 1/20314, з метою встановлення загальних вимог до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних вкладників - фізичних осіб у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб.
2. Обробка персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб може здійснюватися повністю або частково в інформаційній (автоматизованій) системі персональних даних.
3. У цьому Порядку терміни вживаються у такому значенні:
автентифікація - процедура встановлення належності працівникові володільця або розпорядника бази персональних даних вкладників - фізичних осіб пред'явленого ним ідентифікатора;
авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних вкладників - фізичних осіб у складі інформаційної (автоматизованої) системи;
база персональних даних вкладників-фізичних осіб (далі - база персональних даних) - іменована сукупність упорядкованих персональних даних вкладників - фізичних осіб банків - учасників Фонду гарантування вкладів фізичних осіб (далі - Фонд) в електронній формі та/або у формі картотек персональних даних;
банк-агент - банк, через який Фонд здійснює виплату гарантованої суми відшкодування за вкладами згідно із Законом України «Про систему гарантування вкладів фізичних осіб»;
відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов'язків покладена організація роботи, пов'язаної із захистом персональних даних при їх обробці;
володілець бази персональних даних - банк або уповноважена особа Фонду, яким законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, встановлення складу цих даних та процедури їх обробки і в разі потреби передачі до Фонду;
згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
персональні дані - відомості чи сукупність відомостей про фізичну особу - вкладника учасника Фонду, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник бази персональних даних - Фонд, якому володільцем бази персональних даних або законом надано право обробляти ці дані;
структурний підрозділ - структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов’язків на підставі положення про нього здійснює організацію роботи, пов'язаної із захистом персональних даних при їх обробці;
суб’єкт персональних даних - фізична особа - вкладник учасника Фонду, стосовно якої відповідно до Закону здійснюється обробка її персональних даних;
третя особа - банк-агент, якому розпорядник бази персональних даних надає право її використання для організації виплат відшкодувань за вкладами;
уповноважена особа Фонду - працівник Фонду, який від імені Фонду та в межах повноважень, передбачених Законом України «Про систему гарантування вкладів фізичних осіб», виконує дії із забезпечення виведення банку з ринку під час здійснення тимчасової адміністрації неплатоспроможного банку та/або ліквідації банку.
4. Захист персональних даних покладається на володільця бази персональних даних.
Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до законодавства України з метою і в обсязі, визначеними в цьому Порядку.
На дії володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
5. Володілець бази персональних даних надає суб’єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб’єкта персональних даних.
6. Володілець або розпорядник бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством України.
7. Володілець бази персональних даних визначає:
мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
відповідальну особу або структурний підрозділ;
порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.
8. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
забезпечує ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
забезпечує організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов’язків;
організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов'язаних з обробкою персональних даних;
забезпечує доступ суб’єктів персональних даних до власних персональних даних;
інформує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону;
інформує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.
9. Володілець або розпорядник бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов’язків.
ІІ. Обробка персональних даних в складі інформаційної (автоматизованої) системи
1. Володілець або розпорядник бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог Закону.
2. Обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
3. Працівники володільця або розпорядника бази персональних даних допускаються до обробки персональних даних лише після їх авторизації.
4. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, повинен блокуватись.
5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
результатів ідентифікації та/або автентифікації працівників володільця бази персональних даних;
дій з обробки персональних даних;
результатів перевірки цілісності засобів захисту персональних даних.
Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб’єктам відносин, пов'язаним із персональними даними.
6. Володілець або розпорядник бази персональних даних забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
ІІІ. Обробка персональних даних розпорядником бази персональних даних
Обробка персональних даних розпорядником бази персональних даних здійснюється відповідно до Законів України «Про систему гарантування вкладів фізичних осіб», «Про захист персональних даних» і включає:
забезпечення функціонування системи гарантування вкладів фізичних осіб;
захист прав і законних інтересів вкладників банків шляхом гарантування кожному вкладнику банку відшкодування коштів за його вкладом;
організацію виплат відшкодувань за вкладами.
1. База персональних даних формується володільцем бази персональних даних відповідно до нормативно-правового акта Фонду з питань щодо формування та ведення баз даних про вкладників.
2. Суб’єкт персональних даних може звертатись до розпорядника бази персональних даних з метою організації виплат відшкодувань за його вкладом і надавати розпоряднику бази персональних даних для уточнення свої персональні дані.
У цьому разі база персональних даних для уточнення персональних даних вкладників банку ведеться у Фонді в базі даних звернень громадян в електронному вигляді в Журналі реєстрації пропозицій, заяв і скарг громадян відповідно до Інструкції з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації, затвердженої постановою Кабінету Міністрів України від 14 квітня 1997 року № 348.
3. Персональні дані вкладників банку, що звертаються до Фонду, є інформацією з обмеженим доступом, яка використовується відповідальними особами чи структурними підрозділами Фонду лише в межах їх посадових обов’язків чи положень про діяльність.
V. Поширення персональних даних
1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу володільцем бази персональних даних розпоряднику бази персональних даних, а також розпорядником бази персональних даних третій особі відповідно до Закону України «Про систему гарантування вкладів фізичних осіб» та Закону.
2. Виконання вимог встановленого режиму захисту персональних даних, передбаченого нормативно-правовим актом Фонду з питань формування та ведення баз даних про вкладників, забезпечує сторона, що поширює ці дані.
3. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог Закону.
4. Передача володільцем бази персональних даних розпоряднику бази персональних даних чи третій особі здійснюється з метою забезпечення економічного добробуту та прав людини з урахуванням частини шостої статті 6, частини другої статті 14 Закону.
VI. Знищення та зміна персональних даних
1. Персональні дані в базах персональних даних підлягають знищенню в разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних;
надходження вмотивованої вимоги суб’єкта персональних даних про припинення обробки/знищення його даних у випадках та в порядку, встановлених Законом.
2. При знищенні персональних даних вживаються заходи, що виключають можливість подальшого поновлення таких персональних даних у відповідній базі.
3. Володілець або розпорядник бази персональних даних зобов’язаний внести зміни до даних на вимогу суб’єкта персональних даних, якщо ці дані є недостовірними або неточними.