Національний банк України (далі - Національний банк) доводить до вашого відома та застосування в роботі зміст листа Секретаріату Уповноваженого Верховної Ради України з прав людини з приводу виявлених фактів неправомірного використання персональних даних, які обробляються банківськими установами України (далі - лист).

Зазначене звернення Уповноваженого Верховної Ради України з прав людини обумовлене тим, що у провадженнях з цивільних та кримінальних справ виявляються факти використання копій паспортів та документів, що містять ідентифікаційні (реєстраційні) номери фізичних осіб, для проведення через банківські установи фінансових операцій з протиправною метою.

Так, у листі зокрема, зазначено, що відповідно до статті 32 Конституції України ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Правові відносини, пов'язані із захистом і обробкою персональних даних, регулюються Законом України "Про захист персональних даних" (далі - Закон), який спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних.

Відповідно до статті 2 Закону, персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

Так, метою обробки персональних даних, які обробляються у зв'язку зі здійсненням банками ідентифікації та верифікації клієнтів/представника клієнта відповідно до вимог Законів України "Про банки і банківську діяльність" (далі - Закон про банки), "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі - Закон про запобігання), а також Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 26.06.2015 N 417, є запобігання використанню банківської системи для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення.

Згідно з частиною п'ятою статті 6 Закону обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Слід зазначити, що відповідно до статті 24 Закону володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.