Веб-Конференція - Асоціація «Українські Фондові Торговці»

Конференція

Інтернет-конференція для членів СРО АУФТ на тему: « Вимоги законодавства у сфері захисту персональних даних»

Дата початку: 06.12.2011 16:00:00
Дата закінчення:06.12.2011 18:00:00

Задати запитання.

Номер запитання: 1
Ім'я: Наталія
Дата та час: 06.12.2011 11:33:05
Запитання: Запитання: Чи є базою персональних даних юридичної особи- ТЦП наступні дані: 1/База "Доверителі"- фізичні особи, з якими укладені договора "доручення". 2/База "Контрагенти"- фізичні особи, з якими укладені договора "на виконання договорів доручення". 3/База "Засновники", якщо засновник юридична особа, а ідентифікуються керівники цих юридичних особ. 4/База "Сертифіковані фахівці"- працівники підприємства, які проходять обов'язкове навчання і отримують "сертифікати" (наприклад "фахівця по торг. цінними паперами"). 5/База "Клієнти"- фізичні особи, керівники юридичних осіб.

СРО АУФТ: Доброго дня, дякуємо за запитання.

Чинне законодавство, наразі, не містить критеріїв щодо створення баз даних. Об’єктом таких баз є інформація про фізичних осіб. Таким чином можна зробити висновок, що Володілець самостійно приймає рішення про те, чи являється та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його володінні, базою персональних даних. Градація таких баз даних також залишається в рамках чинного правового поля на розсуд ТЦБ.

Ст.2 ЗУ «Про захист персональних даних» чітко зазначає, що такою базою є іменована сукупність персональних даних. При цьому – ці персональні дані повинні бути упорядкованими, та утримуватись у формі картотеки чи електронній формі. Абзац 8 цієї же статті встановлює, що персональні дані – це відомості (або їх сукупність) про фізичну особу. Ці відомості дозволяють певних чином ідентифікувати особу. Існування бази також передбачає обробку даних, що в ній містяться, а саме: збирання, реєстрація, накопичення, зберігання, адаптування, зміну, поновлення, використання та поширення тощо відомостей про фізичну особу.
Отже, персональні дані – це дані виключно про фізичну особу, за умов, що ці дані перебувають в обробці. Тобто, на нашу думку, з вище перерахованих баз реєстрацію повинні пройти 1/, 2/, 4/, 5/. База 3/ має не вірну кваліфікацію для реєстрації, оскільки назва бази не відповідає суті, за умов, якщо б це була база під назвою керівники засновників – це була б інша справа.

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах

ТЦП як юридична особа має, як мінімум, 2 Бази, які містять персональні дані: перша – База «Робітники підприємства», друга – База «Контрагенти». Виходячи з цього, у вашому випадку можливо й наступне об’єднання ваших Баз: База "Засновники" + База "Сертифіковані фахівці" = База «Робітники підприємства», База "Доверителі"+ База "Контрагенти"+ База "Клієнти"= База «Контрагенти».

Номер запитання: 2
Ім'я: Саша
Дата та час: 06.12.2011 15:07:03
Запитання: відповідно до ст 9 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом" суб'єкт фінансового моніторингу проводить ідентифікацію клієнтів. Чи є опитувальник вільним волевиявленням? (наприклад ідентифікація проводилась до набрання чинності Закону "Про захист персональних даних". Можливо в заяве на реєстрацію персональних даних - правові підстави написати Дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до вимог Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом" виключно для здійснення його повноважень

СРО АУФТ:
Відповідно до Закону «Про захист персональних даних» дозвіл суб’єкта не потребується за умов, коли збирання даних про фізичну особу прямо обумовлено законом та передбачено під час реалізації повноважень власника бази даних (ч.6 ст.6 Закону «Про захист персональних даних»). Також у п.1 п.п. 2) ст. 11 Закону «Про захист персональних даних» встановлено, що підставою для виникнення права на використання ПД є вимоги закону.
Наприклад – ч. 1 ст. 6 Закону про захист персональних даних – мета обробки даних має бути в законах, інших н.- пр. актах, положеннях, установчих документах. Ч. 5 вищезгаданої статті також акцентує увагу на тому, що обробка ПД здійснюється для конкретних цілей, передбачених законами України.
Безумовно, краще зазначити, що надання та обробка персональних даних здійснюється у відповідності до вимог Закону «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом", що повністю відповідатиме вимогам ч. 2 п.3 ст.6 Закону – де обсяг персональних даних визначається умовами згоди суб’єкта ПД або відповідно до закону.

Номер запитання: 3
Ім'я: Марія
Дата та час: 06.12.2011 15:24:47
Запитання: Якщо бази ПД зберігаються як у формі картотек (папки з договорами, що містять дані Контрагентів-фізичних осіб). так і в електронній формі (1С, де зазначені лише персональні дані Сторін) чи можна це вважати 1ю базою данних?

СРО АУФТ:

Згідно до Закону України «Про захист персональних даних» абзац 2 ст.2 базою персональних даних є сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Отже, законодавець визначив, що одна база персональних даних може одночасно існувати у електронній та паперовій формі, але дані електронної бази повинні відповідати даним паперової бази. Якщо ж бази мають різне за об’ємом наповнення, то, відповідно – це різні бази. Наприклад картки будуть містити інформацію «а», «б», «с», а електронна база – лише інформацію «а», - тобто, ідентифікація клієнта буде відбуватись по різному.

Згідно Закону України «Про захист персональних даних» база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Виходячи з вищевикладеного, це одна база персональних даних, яка зберігається в електронній формі ТА у формі картотек.

Так, можливо. Згідно Закону України «Про захист персональних даних», стаття 2, у цьому Законі нижченаведені терміни вживаються в такому значенні:

база персональних даних - іменована сукупність упорядкованих
персональних даних в електронній формі та/або у формі картотек
персональних даних;

Номер запитання: 4
Ім'я: Марія
Дата та час: 06.12.2011 15:28:58
Запитання: Законом України "Про цінні папери та фондовий ринок" торговцям ЦП надані повноваження укладати з фізичними особами договори комісії/доручення. Вказані договори завжди містять персональні дані Клієнтів в частині реквізитів. Чи можно в такому випадку вважати підставою для обробки торговцями ПД надані законом повноваження? Чи все одно необхідно отримувати згоду власника ПД?

СРО АУФТ
Здійснюючи професійну діяльність, торговці отримують від клієнтів – фізичних осіб інформацію, яка являє собою персональні дані (ПД) та складає в подальшому базу персональних даних (БПД). Отримання ПД пов’язано з необхідністю здійснювати ідентифікацію клієнтів, як фізичних, так і юридичних осіб на виконання вимог ч. 3 ст. 18 Закону України «Про фінансові послуги та державне регулювання ринків фінансових послуг». Обсяг ПД, які можуть збиратися фінансовою установою (торговцем) для ідентифікації, визначено ст. 18 згаданого закону, а також ст. 9 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму». Таким чином, згідно п. п. 3, 5, 6 ст. 6 Закону України «Про захист персональних даних», згода суб’єкта ПД на збір та обробку ПД під час укладення торговцями договорів з клієнтами – фізичними особами не потребується. Проте застерігаємо, що обсяг ПД має та порядок їх отримання має відповідати зазначеним вище нормам закону.

Номер запитання: 5
Ім'я: Андрій
Дата та час: 06.12.2011 15:37:03
Запитання: Чи можна вважати Базою ПД інформацію про акціонерів акціонерного товариства або учасників товариства з обмеженою відповідальністю. Якщо так, то де вказана мета обробки персональних даних акціонерів/учасників?

Відповідь на запитання буде надана пізніше

Номер запитання: 6
Ім'я: Евгений
Дата та час: 06.12.2011 15:55:20
Запитання: Чи може бути власником бази даних юридична особа, а розпорядником - директор цієї юридичної особи який також є відповідальною особою за організацією роботи пов`язаної із захистом персональних даних?

Відповідно до Закону України «Про захист персональних даних» (далі – Закон) володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі.

Розпорядник бази персональних даних - фізична чи юридична особа, якій володільцем бази персональних даних, на підставі договору в письмовій формі, або законом надано право обробляти ці дані.

СРО АУФТ:
Юридична особа безумовно може бути власником ПБД (ст. 2 Закону про захист персональних даних). Рішенням загальних зборів учасників можна призначити директора розпорядником БПД.

В той же час звертаємо Вашу увагу, що відповідно до термінів, значення яких викладено в ст. 2 Закону розпорядником може бути як фізична, так і юридична особа.

Відповідно до п. 6 ст.9 Закону про кожну зміну відомостей, необхідних для реєстрації бази Володілець зобов’язаний повідомляти не пізніш як протягом 10 днів з настання такої зміни. На наш погляд визначення безпосередньо юридичної особи як володільця та як розпорядника дозволить уникнути ризиків, які можуть виникнути при кадрових ротаціях. Тим більш, що відповідно до закону України від 2 червня 2011 року N 3454-VI неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних тягне за собою адміністративну відповідальність.

Номер запитання: 7
Ім'я: Виктория
Дата та час: 06.12.2011 16:28:50
Запитання: 1)Подскажите, база сертифицированных сотрудников и база всех сотрудников в 1С может быть единой и называться "Сотрудники"? Или надо регистрировать 2 базы? 2)База "Клиенты и контрагенты" также может быть единой учитывая что данные используются как для бухгалтерии, для отчетности в НКЦБФР, так и для идентификации, согласно З-на "Про протидію..."?

СРО АУФТ
Маємо наступне бачення з цього питання.
Згідно до Закону України «Про захист персональних даних» абзац 2 ст.2 базою персональних даних є сукупність персональних даних, які є упорядкованими. Тобто, ця база повинна формуватись за однакових ознак та переліку інформації.
Відомості про працівників, відображені в кадрових документах (картки Т – 2, особові справи, трудові книжки тощо), зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо), з точки зору Закону вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.
Документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною.

Номер запитання: 8
Ім'я: Сережа
Дата та час: 06.12.2011 16:40:27
Запитання: Нужно ли создавать базу на одного человека (например учредитель общества физ.лицо). Один человек это уже база?

Згідно Закону України «Про захист персональних даних» персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; В свою чергу, база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Виходячи з вищевикладеного, відомості про одну фізичну особу є базою персональних даних.

СРО АУФТ:
Ч.1 статті 13 Закону про захист персональних даних встановлює, що допускається накопичення інформації про фізичну особу (поєднання та систематизація відомостей) чи групу фізичних осіб, з наступним внесенням таких даних до Бази ПД. Таким чином Закон не робить виключень відповідно до кількості осіб.

Номер запитання: 9
Ім'я: Анна
Дата та час: 06.12.2011 16:42:50
Запитання: Відповідно до законодавства з питань фінансового моніторингу Торговці зобов'язані ідентифікувати керівників, власників істотної участі, контролерів юридичної особи - клієнта Торговця. Чи достатньо буде включити в договір з юридичною особою наступний пункт: "Клієнт засвідчує та гарантує, що будь-які персональні дані про будь-яких фізичних осіб (у т.ч. керівників, учасників, акціонерів, власників істотної участі та контролерів Клієнта), які були або будуть передані Торговцю у зв'язку або на виконання цього Договору та Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму", були отримані та знаходяться у користуванні Клієнта правомірно, відповідно до вимог Закону України "Про захист персональних даних". Чи повинні ми брати окремо згоду на обробку персональних даних від керівників юридичних осіб, з якими Торговцем укладаються договори? Чи повинні ми окремо повідомляти керівників юридичних осіб про включення до бази персональних даних?

Номер запитання: 10
Ім'я: Марія
Дата та час: 06.12.2011 16:42:53
Запитання: Законом України "Про цінні папери та фондовий ринок" торговцям ЦП надані повноваження укладати з фізичними особами договори комісії/доручення. Вказані договори завжди містять персональні дані Клієнтів в частині реквізитів. Чи можно в такому випадку вважати підставою для обробки торговцями ПД надані законом повноваження? Чи все одно необхідно отримувати згоду власника ПД?

Номер запитання: 11
Ім'я: Саша
Дата та час: 06.12.2011 16:45:11
Запитання: 1. Цитата перша: "база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних". Цитата друга: "КАРТОТЕ?КА, -и, ж. Систематизированное собрание карточек с какими-н. сведениями, материалами.(Толковый словарь русского языка С.И. Ожегов, Н.Ю. Шведова)" Питання: чи вірно відносити до даних у формі картотек тількі документи що мають назву "картка"? (а документи з назвою Договір, опитувальник та інші в паперовому вгляді не підпадають під визначення - персональних даних у формі картотек)?

Номер запитання: 12
Ім'я: Сережа
Дата та час: 06.12.2011 16:45:34
Запитання: Нужно ли создавать базу на одного человека (например учредитель общества физ.лицо). Один человек это уже база?

Див. відповідь на запитання №8

Номер запитання: 13
Ім'я: Анна
Дата та час: 06.12.2011 16:48:20
Запитання: Яким чином Торговець повинен повідомляти повідомляти суб'єкта персональних даних - фізичну особу про включення до бази персональних даних? Це може бути лист, відправлений поштою, окремий пункт у договорі чи повідомлення, з яким ознайомлюється фізична особа, підтверджуючи це своїм підписом. Який варіант краще вибрати?

СРО АУФТ:

Згідно до ч.2 ст. 12 Закону про захист персональних даних Торговець повинен письмово повідомити суб’єкта персональних даних протягом 10 робочих днів про:

- права суб’єкта ПД;

- мета збору ПД;

- коло осіб, яким передаються ПД.
Щодо форми то Закон передбачає виключно письмову форму для повідомлення. На наш погляд краще вибрати той варіант, якій буде містити в собі докази належного та своєчасного повідомлення. Щодо визначення інформації окремим пунктом договору – то питання суперечливе, у випадку, якщо договір укладається з фізичною особою, вважаємо, що можливий і такий варіант. У випадку якщо договір укладається між юридичними особами включення пунктів щодо захист персональних даних, можливо, не буде розглядатись як виконання п.2 ст.12 Закону.

Номер запитання: 14
Ім'я: Марія
Дата та час: 06.12.2011 16:50:09
Запитання: Товариством розроблено Положення про обробку та захист ПД, в якому зазначено, що відповідальною особою за організацію захисту ПД за є адміністратор. При цьому, також зазначено, що кожен працівник (який має доступ до бази ПД) несе персональну відповідальність за порушення уимог щодо захисту ПД. Питання: хто нестиме адмін. відповідальність у разі "Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них" - директор, адміністратор (відповідальна особа) чи конкретний працівник?

Відповідь на запитання буде надана пізніше

Номер запитання: 15
Ім'я: Анна
Дата та час: 06.12.2011 16:51:54
Запитання: Чи повинен Торговець отримати згоду на обробку персональних даних та повідомити про включення до бази персональних даних усіх старих клієнтів, з якими вже укладені договори?

СРО АУФТ:
Оскільки законодавство передбачає умови при яких право на використання (складова обробки) даних не виникає без згоди особи (окрім випадків, передбачених законами, наприклад законодавство про запобігання легалізації) вважаємо, що повідомлення про включення до бази даних та про права, передбачені ст.8 Закону здійснити потрібно. Тим не менш тільки наступна практика дозволить визначитися з цього питання остаточно.

Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.

Номер запитання: 16
Ім'я: Саша
Дата та час: 06.12.2011 16:53:17
Запитання: Чи відносяться до бази даних Документація з персоналу дані працівників, які вже звільнені?

Якщо роботодавець зберігає цю документацію, в якій є персональні дані фізичних осіб, то це є базою персональних даних.

Номер запитання: 17
Ім'я: Виталий
Дата та час: 06.12.2011 16:57:37
Запитання: В результате дематериализации хранитель открыл свыше 10000 счетов физ. лицам до 01.01.2011. Т.е. договоров с физ. лицами нет. Необходимо ли хранителю сейчас получать от них «згоду власника ПД»? Если да, то каким способом это можно сделать?

Номер запитання: 18
Ім'я: Глеб
Дата та час: 06.12.2011 17:12:38
Запитання: У нас на предприятии есть база лиц без определенного места жительства (бомжы). Вопрос: как их уведомлять о работе с их ПД, в частности о передаче их ПД третьим лицам!?

СРО АУФТ
Закон передбачає виключно письмову форму повідомлення. Інше питання з якою метою на Вашому підприємстві створена така база. Якщо обробка даних здійснюється на вимогу закону то права щодо обробки виникаєть в силу закону а не з підстав надання згоди.
Щодо баз, створених до 01.01.2011 - див. відповідь на запитання № 15

Номер запитання: 19
Ім'я: Людмила
Дата та час: 06.12.2011 17:14:26
Запитання: Які основні помилки роблять заявники під час заповнення заяви про реєстрацію бази ПД, що призводить до відмови у її реєстрації?

Найбільш розповсюджені помилки трапляються із-за того, що деякі поля в заяві про реєстрацію бази персональних даних не заповнюються заявниками, немає посилань на нормативно-правові акти, а також не вказуються категорії персональних даних, які необхідно вказувати в заяві.

Номер запитання: 20
Ім'я: Глеб
Дата та час: 06.12.2011 17:16:29
Запитання: Можно ли считать "визитницу" базой ПД, у меня там более 200 физ лиц. Если да, то как корректно сформировать "мету" хранения БПД, и необходимо ли уведомлять физ. лицо о передаче визитной карточки другому физическому лицу?

Якщо персональні дані у Вашій візитниці використовуються Вами для Ваших службових потреб то це буде базою персональних даних, а якщо Ви використовуєте ці дані виключно для непрофесійних особистих чи побутових потреб, тоді це не підпадає під дію Закону України «Про захист персональних даних»

Номер запитання: 21
Ім'я: Наталія
Дата та час: 06.12.2011 17:18:45
Запитання: Чи потрібно створювати базу персональних даних і чи відноситься документація до персональних даних, яка стосується фізичної особи, якщо вона при укладенні договору між двома юридичними особами представляє за довіреністю одну із сторін і не є співробітником цієї юридичної особи?

Номер запитання: 22
Ім'я: Ольга
Дата та час: 06.12.2011 17:20:24
Запитання: Чи повинна відповідати кількість заяв про реєстрацію бази ПД з кількістю баз, створених у заявника, чи одна заява на всі бази персональних даних? Скільки примірників заяви про реєстрацію бази ПД необхідно подавати до ДСПЗД?

На кожну базу персональних даних потрібно заповнити одну заяву, отже заяв Ви подаєте стільки, скільки у Вас існує баз персональних даних. До ДСЗПД потрібно подати один примірник заяви.

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах

Оформлення заяви має відповідати вимогам Порядку подання заяв про реєстрацію бази персональних даних та про внесення відомостей Державного реєстру баз персональних даних (затверджено Наказам Міністерства юстиції України від 08.07.2011 №1824/5):
1.      На заяві обов’язково зазначається вихідний номер та дата.
2.      Заяви заповнюються державною мовою, розбірливими друкованими літерами.
3.      Заяви не повинні містити помарок, закреслень і виправлень.
4.      Сторінки заяв нумеруються, на кожній сторінці заяви зазначаються номер сторінки та загальна кількість сторінок.
5.      Кожна сторінка заяви має бути підписана та скріплена печаткою (за наявності).

Заповнення заяви має відповідати Положення про порядок ведення Державного реєстру персональних баз даних та порядок його ведення (затверджене Постановою КМУ від 25.05.2011 №616):

1.      Розділ І – Інформація про володільця бази персональних даних.
Тип особи (фізична або юридична), статут особи (резидент або нерезидент), найменування або ПІБ володільця, ЄДРПОУ або РНОКПП (ІДН), паспортні дані у разі якщо володільцем є фізична особа, адреса володільця.
2.      Розділ ІІ – Інформація про найменування і місцезнаходження бази персональних даних. Зазначається фактичне місцезнаходження БПД.
3.      Розділ ІІІ – Мета обробки персональних даних.

Мету розробки необхідно зазначати з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, та визначенням категорії обробки персональних даних (Наприклад: дані загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання тощо) та вразливі персональні дані (дані про стан здоров’я – історія хвороби, етнічна та релігійна належність, кредитна історія, ідентифікаційний код тощо).

4. Розділ IV – Інформація про розпорядників бази персональних даних.

Розділ IV заповнюється у випадку, якщо ви доручаєте обробку персональних даних ІНШІЙ юридичній особі, якщо володілець обробляє їх самостійно, то заповнювати цей розділ не потрібно.

5. Підтверджую зобов’язання стосовно виконання вимог законодавства щодо захисту персональних даних – обов’язково повинна бути позначка «Х», якщо її немає, то заява до розгляду не приймається.

6. Блок «Відомості про заявника» - підлягає обов’язковому заповненню.

Номер запитання: 23
Ім'я: Тамара
Дата та час: 06.12.2011 17:27:30
Запитання: Наведь приклад заповнення розділу ІІІ Заяви про реєстрацію бази ПД для ТЦП, наприклад для бази:"клієнти" та/або "сертифіковані працівники"

Зразки заповнення заяв є на сайті ДСЗПД zpd.gov.ua в розділі-Реєстрація баз персональних даних.

Номер запитання: 24
Ім'я: Марія
Дата та час: 06.12.2011 17:27:35
Запитання: Товариством розроблено Положення про обробку та захист ПД, в якому зазначено, що відповідальною особою за організацію захисту ПД за є адміністратор. При цьому, також зазначено, що кожен працівник (який має доступ до бази ПД) несе персональну відповідальність за порушення уимог щодо захисту ПД. Питання: хто нестиме адмін. відповідальність у разі "Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них" - директор, адміністратор (відповідальна особа) чи конкретний працівник?

Номер запитання: 25
Ім'я: Алексей
Дата та час: 06.12.2011 17:34:18
Запитання: В результате дематериализации хранитель открывал счета для акционеров нескольких предприятий, а так же хранитель ведет учет прав собственности в цб для своих депонентов юридических и физических лиц. Каким образом регистрировать БПД? Счета открытые при дематериализации разных преприятий регистрировать как общую БПД или каждое предприятие со своей БПД отдельно? Каким образом регистрировать БПД депонентов физлиц и юрлиц, которые открывают счета в обычном порядке?

Номер запитання: 26
Ім'я: Алексей
Дата та час: 06.12.2011 17:47:12
Запитання: В результате дематериализации хранитель открывал счета для акционеров нескольких предприятий, а так же хранитель ведет учет прав собственности в цб для своих депонентов юридических и физических лиц. Каким образом регистрировать БПД? Счета открытые при дематериализации разных преприятий регистрировать как общую БПД или каждое предприятие со своей БПД отдельно? Каким образом регистрировать БПД депонентов физлиц и юрлиц, которые открывают счета в обычном порядке?

Номер запитання: 27
Ім'я: Игорь
Дата та час: 06.12.2011 17:53:06
Запитання: Можно ли базу "Кадры" и базу "Власники" если 1 засновник (физ.лицо) объединить в одну базу "Персонал"

Бази персональних даних, в першу чергу поділяються за метою обробки персональних даних. Якщо під мету бази персональних даних «Кадри» підпадає база даних «Власники» то це буде однією базою даних. Якщо мета обробки персональних даних у цих базах різна, то це буде дві бази персональних даних.

Номер запитання: 28
Ім'я: Марія
Дата та час: 06.12.2011 17:56:25
Запитання: Товариством розроблено Положення про обробку та захист ПД, в якому зазначено, що відповідальною особою за організацію захисту ПД за є адміністратор. При цьому, також зазначено, що кожен працівник (який має доступ до бази ПД) несе персональну відповідальність за порушення уимог щодо захисту ПД. Питання: хто нестиме адмін. відповідальність у разі "Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них" - директор, адміністратор (відповідальна особа) чи конкретний працівник?

Номер запитання: 29
Ім'я: Алексей
Дата та час: 06.12.2011 17:57:54
Запитання: В результате дематериализации хранитель открыл несколько десятков тысяч счетов после 01.01.2011 и не брал у акционеров предприятия "згоди власника" так как с ними не подписывались договора на открытие счета. Необходимо ли брать "згоду власника" теперь и если да то каким способом (кроме почты, т.к. простое письмо стоит 2,00 грн и все тысячи акционеров не пришлют обратно "згоду")? К тому же, может быть и такое, что многих акционеров нет в живых и от них просто не возможно получить "згоду".

Номер запитання: 30
Ім'я: Євген
Дата та час: 06.12.2011 18:30:37
Запитання: Хто є володільцем БПД акціонерів конкретного АТ? Зберігач, депозитарій чи само АТ?

Володільцем бази персональних даних, згідно Закону України «Про захист персональних даних», є фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Номер запитання: 31
Ім'я: Глеб
Дата та час: 06.12.2011 18:33:53
Запитання: Можно ли считать "визитницу" базой ПД, у меня там более 200 физ лиц. Если да, то как корректно сформировать "мету" хранения БПД, и необходимо ли уведомлять физ. лицо о передаче визитной карточки другому физическому лицу?

Див. відповідь на питання № 20

Номер запитання: 32
Ім'я: Глеб
Дата та час: 06.12.2011 18:34:47
Запитання: Можно ли считать "визитницу" базой ПД, у меня там более 200 физ лиц. Если да, то как корректно сформировать "мету" хранения БПД, и необходимо ли уведомлять физ. лицо о передаче визитной карточки другому физическому лицу?

Див. відповідь на питання № 20

Номер запитання: 33
Ім'я: Глеб
Дата та час: 06.12.2011 18:35:00
Запитання: Можно ли считать "визитницу" базой ПД, у меня там более 200 физ лиц. Если да, то как корректно сформировать "мету" хранения БПД, и необходимо ли уведомлять физ. лицо о передаче визитной карточки другому физическому лицу?

Див. відповідь на питання № 20

Номер запитання: 34
Ім'я: Глеб
Дата та час: 06.12.2011 18:35:42
Запитання: У нас на предприятии есть база лиц без определенного места жительства (бомжы). Вопрос: как их уведомлять о работе с их ПД, в частности о передаче их ПД третьим лицам!?

Номер запитання: 35
Ім'я: Глеб
Дата та час: 06.12.2011 18:36:21
Запитання: извените спам какой-то это не по моему желанию...

Розуміємо та вибачаємо :)

Номер запитання: 36
Ім'я: Світлана
Дата та час: 06.12.2011 19:11:15
Запитання: Хто є володільцем бази персональних даних (БПД) акціонерів після переходу на бездокументарну форму випуску акцій, а хто користувачем відповідної бази даних : Депозитарій, Зберігач або Емітент?

Номер запитання: 37
Ім'я: Світлана
Дата та час: 06.12.2011 19:13:33
Запитання: Емітент здійснює нарахування дивідендів та як наслідок формує Відомість нарахування дивідендів у Паперовій та Електронній формі, яка містить сукупність відомостей про фізичних та юридичних осіб, взятих з Реєстру, що надається Депозитарієм. Чи необхідно вважати цю Відомість окремою БПД, яка підлягає державній реєстрації? Емітент здійснює виплату дивідендів на підставі первинних документів, що надаються акціонерами з метою забезпечення ідентифікації фізичної особи відповідно до Реєстру, складеного Депозитарієм. Чи необхідно вважати первинні документи, що надаються акціонерами для виплати дивідендів окремою БПД, яка підлягає державній реєстрації? Як правильно здійснити реєстрацію цієї БПД (якщо це необхідно) щоб не було ототожнювання її з Реєстром, який складає Депозитарій?

Номер запитання: 38
Ім'я: Світлана
Дата та час: 06.12.2011 19:16:45
Запитання: Відповідно до статті 21 Закону України «Про захист персональних даних» «1. Про передачу персональних даних третій особі володілець бази персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.». У зв’язку з цим, чи необхідно повідомляти акціонерів у разі подання звітності за формою 1 ДФ до ДПА та хто це повинен робити, особливо коли кількість акціонерів становить близько 9 тис.осіб?

Ні, повідомляти не потрібно, тому що передача даних до ДПА передбачена законодавством.

Номер запитання: 39
Ім'я: Світлана
Дата та час: 06.12.2011 19:19:06
Запитання: Відповідно до статті 14 Закону України «Про захист персональних даних» «1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.» У зв’язку з цим виникають питання: 1 Що слід розуміти у даному випадку під поширенням (використанням) персональних даних у разі передачі відомостей Третій особі у складі звітності? Чи є в даному разі ДПА, ДКЦПФР третьою особою? 2. Які дії необхідно вчиняти Емітенту у разі надходження від ДПА запитів щодо закритих, відсутніх, помилково наданих ідентифікаційних кодів, наданих у складі звітності за формою 1 ДФ при нарахуванні дивідендів, на підставі Реєстру, отриманого від Депозитарія? 3. Чи необхідно отримувати Емітенту від кожного акціонера заяву про дозвіл на використання їх персональних даних, якщо вони подаються в ДПА, ДКЦПФР, на біржу в складі передбаченої законодавством обов’язкової звітності? 4. Чи має право Емітент надавати до ДПА таку інформацію (про нарахування/виплату дивідендів), не маючи згоди акціонера-фізичної особи? 5. Як подавати звітність до ДПА якщо згоди акціонера не отримано? 6. Що робити з померлими акціонерами, які значаться в Реєстрі, на акції яких не оформлено спадщину? Що вважатиметься дозволом щодо таких акціонерів?

Див. відповідь на питання № 38

Номер запитання: 40
Ім'я: Світлана
Дата та час: 06.12.2011 19:22:03
Запитання: Відповідно до статті 12 Закону України «Про захист персональних даних» «2. Суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі.» Емітент може користуватися Реєстром на певну дату, який надається Депозитарієм. Емітент навіть не знає коли суб’єкт персональних даних став акціонером та внесений до БПД акціонерів. Як наслідок Емітент не має можливості виконати цю норму закону. У зв`язку з цим, виникає питання: Хто повинен повідомляти акціонера про включення його до БПД: Депозитарій, Зберігач чи Емітент?

СРО АУФТ:
В контексті Закону "Про захист персональних даних" має місце створення БПД відповідно до мети обробки даних, визначеної безпосереднью юридичною особою. Тобто не йде мова про створення бази даних акціонерів (посадових осіб акціонерів) єдиної для використання. Відповідно, якщо відбулось внесення персональних даних до бази, Володільцем якої є зберігач - повідомлення має бути здійснено зберігачем.
Відповідно до Закону, повідомлення має бути здійснено протягом 10 робочих днів з дня включення персональних даних особи у БПД.
Якщо Емітен має намір створити власну БПД то, оскільки законом не передбачені випадки необхідності ведення такої бази, Емітен має отримати згоду фізичної особи.

Номер запитання: 41
Ім'я: Світлана
Дата та час: 07.12.2011 9:11:42
Запитання: Прошу пояснити, чи підпадає під дію Закону України «Про захист персональних даних» використання інформації про фізичних осіб(паспортні дані та ІПН), з якими укладались угоди з купівлі-продажу ЦП, при складанні нерегулрної та регулярної звітності з використанням програмного забезпечення АФР-ТЦП.

Згідно Закону України «Про захист персональних даних» обробка персональних даних це будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Якщо укладалися угоди з купівлі-продажу, в яких є персональні дані фізичних осіб, і ці угоди зберігаються у Володільця, то це буде базою персональних даних.

Номер запитання: 42
Ім'я: Сергій
Дата та час: 07.12.2011 9:14:57
Запитання: Чи будуть підготовлені методичні рекомендації щодо дій торговців ЦП у зв'язку зі набуттям чинності ЗУ "Про захист персональних даних". Тобто дій, які необхідно здійснити всім торговцям, незалежно від конкретних ситуацій.

СРО АУФТ:
Так. Сподіваємось, що частина питань найде своє висвітлення під час цього заходу. Питання, які були надіслані Торговцями раніше, та питання, які направлені під час інтернет-конференціі будуть узагальнені та опрацьовані з урахуванням вимог чинного законодавства про захист персональних даних. Наступного тижня буде направлено методичні рекомендації.

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах
Практичні кроки з виконання Закону України "Про захист персональних даних" полягають у наступному:
1) Скласти список даних, які відповідно до бізнес-процесами підприємства, а також відповідно до вимог нормативних документів регулятора необхідно реєструвати та вести облік як в паперовому, так і в електронному вигляді.
2) Визначити - які з описаних даних можна віднести до персональних даних громадянина Україна.
3) Визначити - які з персональних даних враховуються (реєструються) на підставі вимог нормативних документів різних регуляторів. Визначити - облік яких персональних даних не регламентується нормами регулятора.
4) Скласти список персональних даних, які не регламентується нормами інших (будь-яких) законів України.
5) Створити на підприємстві систему ідентифікаторів персональних даних по п.4. Таким чином, вести облік персональних даних в одному місці, а у всіх інших місцях / документах / облікових системах застосовувати ідентифікатори ПД. Захищати ПД необхідно в одній базі, яка є першоджерелом і зберігає первинні дані.
6) Затвердити наказом по підприємству список персональних даних, облік яких необхідно вести на підприємстві. Встановити в наказі, що всі персональні дані відносяться до категорії відкритих даних. Призначити відповідального за облік ПД. Визначити в наказі перелік організаційних заходів щодо захисту відкритих персональних даних.
7) Затвердити наказом по підприємству форму згоди на обробку персональних даних, які підлягають обліку на підприємстві (окремо виділити згоду на облік домашнього телефону, мобільного телефону, банківських даних приватної особи, та ін.), а також згода громадянина на публікацію його персональних даних з інформаційних довідниках та облікових системах, які експлуатуються на підприємстві відповідно до бізнес-процесами. Згода повинна бути добровільна і конкретне.
8) Заповнити заявку на реєстрацію бази персональних даних. Типова форма заявки наведена на сайті Держ.службі - http://zpd.gov.ua/.
9) надіслати рекомендованим листом з повідомленням від вручення заявку про реєстрацію ПД.
10) отримати від Державної службі свідоцтво про реєстрацію бази ПД.

Номер запитання: 43
Ім'я: Ірина
Дата та час: 07.12.2011 9:30:00
Запитання: Чи потрібно отримувати згоди суб'єктів ПД на обробку їх ПД, якщо така обробка здійснювалась до набранні чинності ЗУ "Про захист персональних даних" і продовжує здійснюватись після набрання чинності вищезазначеним законом?

Номер запитання: 44
Ім'я: Ірина
Дата та час: 07.12.2011 9:49:40
Запитання: Чи потрібно реєструвати ВДЦП я розпорядника бази ПД для бази ПД "Депоненти", володільцем якої є зберігач ЦП?

Курочкіна Ірина Юріївна
Начальник відділу регулювання діяльності торговців цінними паперами
Департаменту методології та регулювання ринку цінних паперів ДКЦПФР

На мій погляд ВДЦП не може вважатись розпорядником БПД «Депоненти», володільцем якої є зберігач ЦП, виходячи з визначень наведених у Законі України «Про захист персональних даних»

Номер запитання: 45
Ім'я: Оксана
Дата та час: 07.12.2011 10:12:21
Запитання: Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом", наказує до здійснення фінансової операції здійснити ідентифікацію фізичної особи, в разі відмови Клієнту в здійсненні фінансової, Торговець зобов’язан повідомити до Держфінмоніторингу про відмову, та зберігати не меньш ніж 5 років ідентифікаційні дані такої особи. Більш того «Працівникам суб'єкта первинного фінансового моніторингу, які подали Спеціально уповноваженому органу інформацію про фінансову операцію, забороняється повідомляти про це осіб, які брали (беруть) участь у її проведенні, та будь-яких третіх осіб.» Закон України «Про захист персональних даних» наказує повідомляти суб’єкта персональних даних про включення його даних до Бази Торговця, та брати в суб’єкта згоду на включення його даних до Бази. Питання: Як задовільними вимоги обох Законів не порушуючи їх?

СРО АУФТ
Відповідно до ст. 11 Закону "Про захист персональних даних" підставою виникнення права на використання права є згода фізичної особо або дозвіл на обробку персональних даних, наданий Володільцю відповідно до закону.

Номер запитання: 46
Ім'я: Катя
Дата та час: 07.12.2011 10:23:42
Запитання: Если сотрудник или клиент отказывается давать согласие на обработку его данных и внесение данных в базу ПД, как быть? Не брать сотрудника на работу, а с клиентом не заключать договора?

В даному випадку необхідно обробляти персональні дані фізичних осіб лише в межах, визначеному законодавством.

Номер запитання: 47
Ім'я: Оксана
Дата та час: 07.12.2011 10:25:42
Запитання: Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом", наказує до здійснення фінансової операції здійснити ідентифікацію фізичної особи, в разі відмови Клієнту в здійсненні фінансової, Торговець зобов’язан повідомити до Держфінмоніторингу про відмову, та зберігати не меньш ніж 5 років ідентифікаційні дані такої особи. Більш того «Працівникам суб'єкта первинного фінансового моніторингу, які подали Спеціально уповноваженому органу інформацію про фінансову операцію, забороняється повідомляти про це осіб, які брали (беруть) участь у її проведенні, та будь-яких третіх осіб.» Закон України «Про захист персональних даних» наказує повідомляти суб’єкта персональних даних про включення його даних до Бази Торговця, та брати в суб’єкта згоду на включення його даних до Бази. Питання: Як задовільними вимоги обох Законів не порушуючи їх?

Номер запитання: 48
Ім'я: Катя
Дата та час: 07.12.2011 10:27:21
Запитання: Если сотрудник предприятия до вступления в силу уволился с работы, нужно ли ему посылать по почте согласие, что его данные внесены в базу данных, а также уведомление, о том, что его данные могут быть переданы третьим лицам? Если уволенный сотрудник отказывается давать согласие на обработку его данных и внесение данных в базу данных, что делать с документами сотрудника...по закону я должна их хранить?

Номер запитання: 49
Ім'я: Наталія
Дата та час: 07.12.2011 10:30:13
Запитання: Чи готуються НКЦПФР нові нормативні акти та зміни до існуючих нормативних актів щодо конкретних дій проф. учасників для виконання Закону "Про захист персональних даних" у випадку укладення договорів щодо цінних паперів, договорів про відкриття рахунків у цінних паперах, ідентифікації клієнтів, надання звітності та інше?

Курочкіна Ірина Юріївна
Начальник відділу регулювання діяльності торговців цінними паперами
Департаменту методології та регулювання ринку цінних паперів

Цього року ДКЦПФР не планувала вносити зміни до своїх нормативно-правових актів з метою виконання норм цього закону.
Після створення НКЦПФР питання щодо внесення відповідних змін з метою виконання норм цього закону професійними учасниками фондового ринку буде включено до плану підготовки регуляторних актів.

Номер запитання: 50
Ім'я: Марина
Дата та час: 07.12.2011 10:40:00
Запитання: Можно ли в заявке в разделе 3 (это касается базы "Клиенты" )Правові підстави обробки персональних даних - только ссылаться на закон про протидію....(на згоду - повідомлення ) не ссылаться. Когда Клиент заключает договора, я должна их проидентифицировать согласно закону про протидію...єто уже ведь является согласием?

Володілець самостійно визначає правові підстави.
Якщо Володілець обробляє персональні дані, лише на підставі дозволу, наданого законом, тоді посилаєтесь на один закон, якщо існують інші правові підстави, вказуйте ще й інші правові підстави.

Номер запитання: 51
Ім'я: Наталья
Дата та час: 07.12.2011 10:41:47
Запитання: Подскажите пожалуйста, 1.алгоритм действий ТЦБ при приведении своей деятельности в соответствии с Законом о защите ПД? 2.необходимо ли вносить какие-либо дополнения/изменения во внутр.документы ТЦБ и что то дополнительно разрабатывать? 3.необходимо ли как то документально оформить ознакомление сотрудников с Законом, с санкциями о его нарушении и документами ТЦБ, если их надо будет разрабатывать?

Див. відповідь на питання № 22 та № 42

Номер запитання: 52
Ім'я: Наталья
Дата та час: 07.12.2011 10:52:06
Запитання: Кто будет осуществлять контроль за выполнением Закона, если ТЦБ находится не в Киеве? С какой периодичность будут проходить проверки? По какому принципу будет составляться график проверок?

З метою забезпечення вивчення та врахування думки громадськості, на сайті ДСЗПД у підрозділі «Громадське обговорення» розділу «Документи» розміщено проект наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних»

Будь ласка, можете ознайомитися з даним проектом наказу та знайти там відповіді на Ваші запитання.

Номер запитання: 53
Ім'я: Євгенія
Дата та час: 07.12.2011 10:54:11
Запитання: Закон України «Про захист персональних даних» зворотньої сили не має, таким чином, що робити з даними, які були зібрані підприємством до набрання сили даного закону та зберігаються до тепер? Чи необхідно брати згоду таких фізичних осіб, тобто, у фізичних осіб, дані на яких були зібрані до набрання сили закону, якщо так, то яким чином отримувати цю згоду, за умови, що таких фізичних осіб десятки тисяч?

Номер запитання: 54
Ім'я: Євгенія
Дата та час: 07.12.2011 10:57:53
Запитання: Хто є власником бази даних корпоративного інвестиційного фонду, сам фонд чи компанія з управління активами і чи є розпорядники бази?

Номер запитання: 55
Ім'я: Володимир
Дата та час: 07.12.2011 11:01:05
Запитання: Якщо на підприємстві існує БПД, створена ще до вступу в дію ЗУ «Про захист ПД». Позиція Державної служби з питань ЗПД щодо необхідності отримання згоди від суб’єктів ПД про внесення їхніх ПД в нашу базу така, що не потрібно отримувати від них згоду. Але чи потрібно таких суб’єктів ПД повідомляти про їхні права, визначені Законом, про мету збору ПД та про осіб, яким передаються їхні ПД, відповідно до ч.2 ст.12. Як узгодити це із тим, що таке повідомлення мало бути зроблено протягом 10 днів з дня включення ПД в БПД? Як бути з тими суб’єктами ПД, яких вже неможливо знайти фізично, щоб повідомити їх? В той же час, в ч. 1 ст.21 Закону ідеться мова про те, що про передачу ПД третій особі володілець БПД повідомляє суб’єкта ПД, якщо цього вимагають умови його згоди (або інше не передбачено законом). Чи правильно я розумію, що якщо в письмовій згоді суб’єкта ПД на передачу своїх ПД немає оговорки про необхідність повідомляти його про передачу його ПД третій особі, володілець БПД може НЕ повідомляти про це суб’єкта ПД?

Номер запитання: 56
Ім'я: Сережа
Дата та час: 07.12.2011 11:07:13
Запитання: Кто есть собственником базы пайового фонда КУА или КУА распорядитель базы?

СРО АУФТ
Відповідно до Закону "Про захист персональних даних" розпорядником БПД є фізична чи юридична особа, якій Володільцем БПД або законо надано право обробляти ці дані. Володільцем БПД є юридична особа, якій законом або за згодою фізичної особи надано право на обробку персональних даних.
Відповідно до ст. 54 Закону України "Про інститути спільного інвестування (пайові та корпоративні інвестиційні фонди)"
Реєстр власників іменних цінних паперів ІСІ, випущених у документарній формі, веде реєстратор за договором з корпоративним інвестиційним фондом або компанією з управління активами пайового інвестиційного фонду з урахуванням вимог законодавства. Реєстр власників іменних цінних паперів ІСІ може вести зберігач активів ІСІ без отримання ліцензії Комісії.
У разі, якщо кількість акціонерів (учасників пайового інвестиційного фонду) ІСІ не перевищує 500 осіб, ведення реєстру власників іменних цінних паперів ІСІ може здійснювати компанія з управління активами такого фонду без отримання ліцензії Комісії.
Облік прав власності на цінні папери ІСІ, що існують у бездокументарній формі, здійснюється згідно із законодавством.

Номер запитання: 57
Ім'я: Михаил
Дата та час: 07.12.2011 11:10:53
Запитання: Есть КУА есть фонды. Можно Клиентов (Контрагентов) КУА и Клиентов Фондов объединить в одну базу "Клиенты" или "Контрагенты"?

Визначайте мету обробки бази персональних даних, і визначайте кількість у Вас баз. В першу чергу, бази персональних даних поділяються за метою їх обробки.

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах

Конечно можно

Номер запитання: 58
Ім'я: Ірина
Дата та час: 07.12.2011 11:15:05
Запитання: В ст. 2 закону України Про захист персональних даних є визначення терміну: «Володілець бази персональних даних - фізична або юридична особа, якій ЗАКОНОМ АБО за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. В ст. 9 п. 1 закону України Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, зазначено що «суб’єкт первинного фінансового моніторингу відповідно до законодавства ЗОБОВ’ЯЗАНИЙ на підставі поданих офіційних документів або засвідчених в установленому порядку їх копій ЗДІЙСНЮВАТИ ІДЕНТИФІКАЦІЮ КЛІЄНТІВ, які проводять фінансові операції». Питання: чи означає це те, що не є обов’язковим отримувати згоду суб'єкта персональних даних на обробку цих даних, якщо згідно закону України Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, ми, як суб’єкт первинного фінансового моніторингу, ЗОБОВ’ЯЗАНІ здійснювати ідентифікацію клієнтів (суб'єкта персональних даних).

СРО АУФТ
Якщо володілець обробляє персональні дані в межах, визначених законом, в такому випадку, згода на обробку персональних даних не потрібна.

Номер запитання: 59
Ім'я: Михайло
Дата та час: 07.12.2011 11:28:57
Запитання: Должны ли регистрироваться отдельные базы данних у торговца - хранителя: база сотрудников база лицензированных сотрудников база программы НДУ база программы ВДЦП база клиентов торговца база по финмониторингу

СРО АУФТ
На наш погляд немає необхідності реєструвати таку кількість баз.Відповідно до закону володільцем та розпорядником баз є юридична особа, проводити аналогію за розділенням видів професійної діяльності тут не має сенсу. Ситуація ближче до дій професійного учасника як субїєкта фінансового моніторингу.
Як вже зазначалось під час відповідей - необхідно визначити мету обробки даних. Відповідно - інформацію можна поєднувати (поєднувати кілька складових) в одну базу персональних даних.

Номер запитання: 60
Ім'я: Александр
Дата та час: 07.12.2011 11:29:08
Запитання: Торговцу с брокерской и дилерской деятельностью, согласно ЗУ «О защите персональных данных», при заключении договоров в рамках своей деятельности, предприятие получает персональные данные от физ.лиц. С-но пункту 1 ст.6 «Закона» согласие на обработку ПД требуется только в случае изменения целей обработки ПД. Если в перспективе не планируется использовать полученные данные в иных целях, кроме как для заключения договоров на покупку ЦБ, следует ли брать у физлиц согласие об использование их персоналдьных данных? Если такое согласие все же необходимо, можно ли включить соответствующий пункт в текст договора купли-продажи, комисии?

Номер запитання: 61
Ім'я: Вася
Дата та час: 07.12.2011 11:33:00
Запитання: Чи потрібно вносити в базу даних відомості про юридичних осіб-клієнтів/контрагентів? Вкажіть будь-ласка, які конкретно дії (всі кроки!)повинен вчинити ТЦП у зв'язку з цим нововведенням? Де взяти зразки: Відповідних внутрішніх положень для ТЦП? Дозволу суб?єкта на обробку? Зразок самої бази даних?

Відповідно до вимог Закону обробка персональних даних повинна здійснюватися для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку встановленому законодавством.

Крім того, володілець бази/баз персональних даних повинен:
- визначити та затвердити мету обробки персональних даних у базах персональних даних,
- встановити склад персональних даних,
- встановити процедуру обробки персональних даних,
- визначити відповідальну особу/структурний підрозділ, відповідальний за організацію процесів з обробки персональних даних,
- здійснити реєстрацію баз персональних даних.

Номер запитання: 62
Ім'я: Ірина
Дата та час: 07.12.2011 11:37:41
Запитання: Згідно ст. 6 п. 5 закону України Про захист персональних даних, обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Якщо обробка персональних даних здійснюється для ідентифікації клієнтів на виконання законодавства України в сфері фінансового моніторингу (тому що ми, як суб’єкти первинного фінансового моніторингу, зобов’язані здійснити ідентифікацію клієнтів згідно із законом Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму), чи означає це те, що в даному випадку, отримання згоди від суб’єкта персональних даних для обробки його персональних даних НЕ Є ОБОВ’ЯЗКОВОЮ?

СРО АУФТ
На нашу думку, обробка ПД на виконання вимог законодавства з фінансового моніторингу не потребує отримання згоди власників ПД.
Додатково див. відповідь на питання № 60

Номер запитання: 63
Ім'я: Наталія
Дата та час: 07.12.2011 11:39:03
Запитання: Чи готуються НКЦПФР нові нормативні акти та зміни до існуючих нормативних актів щодо конкретних дій проф. учасників для виконання Закону "Про захист персональних даних" у випадку укладення договорів щодо цінних паперів, договорів про відкриття рахунків у цінних паперах, ідентифікації клієнтів, надання звітності та інше?

СРО АУФТ
Див. відповідь на питання № 49

Номер запитання: 64
Ім'я: Юлия
Дата та час: 07.12.2011 11:51:49
Запитання: Учредителями Торговца являются два физ. лица, они же являются и сотрудниками Торговца. Можно ли объединить две базы ПД ("владельцы" и "сотрудники") в одну базу данных и подать одно заявление на регистрацию этой БПД?

Знову ж, питання повторюється. Бази діляться, в першу чергу, за метою обробки персональних даних.

Номер запитання: 65
Ім'я: Ірина
Дата та час: 07.12.2011 12:00:36
Запитання: 1. Що представляє собою картотека персональних даних? 2. Що представляє собою електронна форма персональних даних? 3. Чи можна назвати базу персональних даних сукупність копій паспортів та ідентифікаційних кодів фізичних осіб, зібраних в процесі ідентифікації клієнтів у відповідності до вимог законодавства в сфері фінансового моніторингу?

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах
База персональных данных - это часть бизнес-процесса предприятия с четко прописанными правилами обработки, однозначно определенной целью обработки, составом персональных данных и процедурой обработки.
Таким образом, с точки зрения технической реализации базой ПД может быть признано: бумажная копия реестра клиентов предприятия, программная система по обработке данных клиентов, и тд. В случае, когда персональные данные клиентов, контрагентов, учредителей и тд. - учитываются в единой технической реализации как части бизнес-процесса предприятия, то можно регистрировать одну базу ПД, но следует помнить, что при проверке будет необходимо доказать правильность принятого решения.
Додатково див. відповідь на запитання №7

Номер запитання: 66
Ім'я: Юлия
Дата та час: 07.12.2011 12:04:11
Запитання: Является ли персональные данные: 1)клиентов - физ. лиц, 2) контрагентов - физ. лиц., 3)руководителей, учредителей и контролеров клиентов - юридических лиц, одной базой данных или эти базы регистрируются как отдельные?

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах
База персональных данных - это часть бизнес-процесса предприятия с четко прописанными правилами обработки, однозначно определенной целью обработки, составом персональных данных и процедурой обработки.
Таким образом, с точки зрения технической реализации базой ПД может быть признано: бумажная копия реестра клиентов предприятия, программная система по обработке данных клиентов, и тд. В случае, когда персональные данные клиентов, контрагентов, учредителей и тд. - учитываются в единой технической реализации как части бизнес-процесса предприятия, то можно регистрировать одну базу ПД, но следует помнить, что при проверке будет необходимо доказать правильность принятого решения.

Номер запитання: 67
Ім'я: Ірина
Дата та час: 07.12.2011 12:05:38
Запитання: 1.Необходимо ли получать согласие субъекта персональных данных на сбор и обработку его персональных данных? 2. Как быть, если субъект персональных данных не дал такого согласия, а сбор таких данных является для нас обязательным (идентификация клиентов по требованию законодательства в сфере финмониторинга)?

Якщо законом надано дозвіл на обробку персональних даних, згода на обробку не потрібна, і володілець повинен обробляти персональні дані фізичної особи лише в межах, наданих законом.

Номер запитання: 68
Ім'я: Олександра
Дата та час: 07.12.2011 12:08:02
Запитання: Надайте, будь-ласка, приблизний перелік баз ПД з урахуванням специфіки торговця/зберігача ЦП, а також мету та категорії обробки.

СРО АУФТ
Додатково див відповідь на запитання № 22, № 42
До приблизного переліку БПД торговця можна віднести:
-         БПД власних працівників, мета обробки – кадровий облік та забезпечення виконання адміністративно-правових відносин в сфері трудового законодавства, здійснення обов’язкової звітності до державних органів ;
-         БПД засновників (власників), мета обробки – забезпечення виконання адміністративно-правових відносин;
-         БПД клієнтів – фізичних осіб, мета обробки – виконання вимог законодавства щодо здійснення ідентифікації при наданні фінансових послуг.
Торговець може бути власником і інших БПД.

Номер запитання: 69
Ім'я: Саша
Дата та час: 07.12.2011 12:09:28
Запитання: Считаются ли НКЦБФР и Биржи третьими лицами при передаче им отчетности торговца/хранителя? Можно ли в тексте согласия указать, что субъект ПД не требует уведомлять его о передаче его данных третьим лицам?

СРО АУФТ
На нашу думку, НКЦПФР та Біржі не є третіми особами в розумінні п. 2 ч. 2 ст. 8 Закону, оскільки торговець надає зазначеним органам ПД на виконання вимог Закону (ч. 5 ст. 6 Закону)

Номер запитання: 70
Ім'я: Ірина
Дата та час: 07.12.2011 12:13:03
Запитання: п. 3 ст. 21 Закона о защите персональных данных предусматривает необходимость уведомлять субъектов отношений, которым передавались персональные данные, об их изменениях или уничтожениях. Означает ли это, что теперь мы должны отслеживать кому, какие и чьи персональные данные мы передавали и не изменились ли они?

СРО АУФТ
Нажаль немає визначеності з цього питання. При буквальному читанні - так, повідомлення мають бути здійснені.
Проте, на наше переконання порядок застосування зазначеної норми має бути окремо розтлумачено регулятором, оскільки межі її застосування не визначені.

Номер запитання: 71
Ім'я: Олександра
Дата та час: 07.12.2011 12:14:14
Запитання: Надайте, будь-ласка, більш детальну інформацію про «Додаткова інформація щодо БПД». Не зрозуміло що обирати в пунктах 4, 10 з урахуванням специфіки торговця/зберігача. Інформація про суб’єкт ПД зберігається в базах торговця/зберігача навіть після виконання договорів та закриття рахунків (мінімальний строк 5 років), отже встає питання який період обрати. Що обрати в п. 14 та 14.1., якщо, припустимо, в організації є нормативний документ системи тех. захисту інформації (було б добре мати типову форму такого документу), доступ до баз ПД здійснюється за персональними паролями.

СРО АУФТ:

Відповідно до заповнення заявки:

Додаткові аркуші 4 та 5 заповнюються та подаються лише у разі необхідності, тобто розпорядників та/або місць знаходження баз даних більше одного. Якщо додаткові аркуші 4 та 5 не містять інформації, то їх прикладати до заяви не потрібно.

Номер запитання: 72
Ім'я: Олександра
Дата та час: 07.12.2011 12:16:35
Запитання: Надайте, будь-ласка, більш детальну інформацію про «Додаткова інформація щодо БПД». Не зрозуміло що обирати в пунктах 4, 10 з урахуванням специфіки торговця/зберігача. Інформація про суб’єкт ПД зберігається в базах торговця/зберігача навіть після виконання договорів та закриття рахунків (мінімальний строк 5 років), отже встає питання який період обрати. Що обрати в п. 14 та 14.1., якщо, припустимо, в організації є нормативний документ системи тех. захисту інформації (було б добре мати типову форму такого документу), доступ до баз ПД здійснюється за персональними паролями.

Номер запитання: 73
Ім'я: Ірина
Дата та час: 07.12.2011 12:17:05
Запитання: 1. Считается ли базой данных информация об акционерах, полученная в процессе дематериализации Хранителем ЦБ? 2. Каким образом получить согласие на сбор и обработку персональных данных от тысяч людей, среди которых много «мертвых душ»?

СРО АУФТ
Стосовно персональних даних, які були надані до набуття чинності Законом "Про захист персональних даних див. відповіді, які були надані раніше.
Стосовно згоди на обробку персональних даних, то Закон передбачає обробку даних за для конкретних і законих цілей, визначених за згодою фізичної особи, або у випадках, парадбачених законами України (наприклад ст. 18 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг ", ст. 9 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму")

Номер запитання: 74
Ім'я: Саша
Дата та час: 07.12.2011 12:20:50
Запитання: Каким образом торговец/хранитель сможет подтвердить уведомление всех лиц, чьи ПД содержатся у них в базе, в случае уведомления этих лиц путем отправки простых писем (стоимость почтовых услуг на другие виды писем велика, поэтому простые письма – оптимальный вариант для массовой рассылки уведомлений).

СРО АУФТ
Закон не містить чіткого порядку повідомлення, лише визначає, що таке повідомлення має бути здійснено в письмовій формі (ч. 2 ст. 12 Закону).

Номер запитання: 75
Ім'я: Ірина
Дата та час: 07.12.2011 12:26:35
Запитання: 1. Распространяется ли требование Закона о защите персональных данных на персональные данные, полученные предприятием в рамках своей деятельности, до вступления в силу этого Закона? 2. Что делать с персональными данными, полученными, например, в процессе идентификации (в соответствии с требованиями законодательства по финмониторингу), до вступления в силу данного Закона?

Див.відповідь на запитання № 53

Номер запитання: 76
Ім'я: Ірина
Дата та час: 07.12.2011 12:27:18
Запитання: Как поступать с имеющимися персональными данными, если, например, клиент Торговца не дает согласие на сбор и обработку его персональных данных? Отказать в обслуживании?

Номер запитання: 77
Ім'я: Ольга
Дата та час: 07.12.2011 12:39:27
Запитання: Что в ЗУ "О защите ПД" подразумевается под понятием "картотеки" и каковы критерии упорядоченности персональных данных для признания их базой ПД.

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах

База персональных данных - это часть бизнес-процесса предприятия с четко прописанными правилами обработки, однозначно определенной целью обработки, составом персональных данных и процедурой обработки.
Таким образом, с точки зрения технической реализации базой ПД может быть признано: бумажная копия (картотека) реестра клиентов предприятия, программная система по обработке данных клиентов, и тд.

Номер запитання: 78
Ім'я: Виктория
Дата та час: 07.12.2011 12:39:29
Запитання: Является ли обязательной "дополнительная информация" при подаче заявления на регистрацию БД?

Разгонов Сергій Адамович
Член Комітету з питань обробки персональних даних в сфері електронного документообігу, мережі Інтернет та галузі ІТ Громадської Ради з питань захисту персональних даних у інформаційних системах

См. ответ на вопрос № 22

Голік Наталія Анатоліївна
Провідний спеціаліст відділу нормативно-правового забезпечення Управління юридичного забезпечення Державної служби України з питань захисту персональних даних

Нет, не является.

Номер запитання: 79
Ім'я: Вася
Дата та час: 07.12.2011 12:40:32
Запитання: Чи потрібно вносити в базу даних відомості про юридичних осіб-клієнтів/контрагентів? Вкажіть будь-ласка, які конкретно дії (всі кроки!)повинен вчинити ТЦП у зв'язку з цим нововведенням? Де взяти зразки: Відповідних внутрішніх положень для ТЦП? Дозволу суб?єкта на обробку? Зразок самої бази даних?

Див. відповідь на питання № 42, № 61

Номер запитання: 80
Ім'я: Катаріна
Дата та час: 07.12.2011 12:41:39
Запитання: Проф. учасник має три ліцензії(реєстратор,зберігач,торговець). Дана юридична особа має подавати заяву на реєстрацію баз персональних даних з кожного виду діяльності окремо? Оскільки, як мінімум, база даних працівників у кожного професійного учасника різна.Чи всеж таки даний проф. учасник є однією юридичною особою і може в одній заяві перерахувати усі БПД якими він володіє? Також цікаве питання щодо документа, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних. Який вид повинне мати дане зобов'язання власника ПБД. Якщо звернутись до ЗУ "Про захист персональних даних", а саме ст.2, в ній вказується, що "персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована", опираючись на дане визначення виникає питання: Проф.учасник, що має 3 ліцензії повинен вказувати бази: співробітників, конрагентів, депонентів, власників ІЦП, засновників, клієнтів...тощо? Стосовно змін у базі даних...в яких випадках власник ПБД повинен сповіщати державний орган щодо змін у базах даних?

СРО АУФТ

БПД мають формуватися не стільки у залежності від напрямків професійної діяльності торговця, скільки залежно від мети обробки (збору) ПД. На приклад, з метою ідентифікації осіб в межах здійснення фінансового моніторингу, з метою кадрового обліку персоналу та подання обов’язкової звітності і т. д.
Щоб підтвердити зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних в розділі ІV заяви необхідно проставити «галочку» у відповідному полі.
Власник БПД повинен сповіщати державний орган у випадку зміни мети обробки та обсягу інформації (зміну категорій ПД), яка включається до такої БПД.

Номер запитання: 81
Ім'я: Марія
Дата та час: 07.12.2011 12:41:56
Запитання: Товариством розроблено Положення про обробку та захист ПД, в якому зазначено, що відповідальною особою за організацію захисту ПД за є адміністратор. При цьому, також зазначено, що кожен працівник (який має доступ до бази ПД) несе персональну відповідальність за порушення уимог щодо захисту ПД. Питання: хто нестиме адмін. відповідальність у разі "Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них" - директор, адміністратор (відповідальна особа) чи конкретний працівник?

Номер запитання: 82
Ім'я: Александр
Дата та час: 07.12.2011 13:01:34
Запитання: Торговцу с брокерской и дилерской деятельностью, согласно ЗУ «О защите персональных данных», при заключении договоров в рамках своей деятельности, предприятие получает персональные данные от физ.лиц. С-но пункту 1 ст.6 «Закона» согласие на обработку ПД требуется только в случае изменения целей обработки ПД. Если в перспективе не планируется использовать полученные данные в иных целях, кроме как для заключения договоров на покупку ЦБ, следует ли брать у физлиц согласие об использование их персоналдьных данных? Если такое согласие все же необходимо, можно ли включить соответствующий пункт в текст договора купли-продажи, комисии?

Див. відповідь на запитання № 60

Номер запитання: 83
Ім'я: Ольга
Дата та час: 07.12.2011 13:06:51
Запитання: Что в ЗУ "О защите ПД" подразумевается под понятием "картотеки" и каковы критерии упорядоченности персональных данных для признания их базой ПД.

Див. відповідь на запитання № 77

Номер запитання: 84
Ім'я: Саша
Дата та час: 07.12.2011 13:07:22
Запитання: Каким образом торговец/хранитель сможет подтвердить уведомление всех лиц, чьи ПД содержатся у них в базе, в случае уведомления этих лиц путем отправки простых писем (стоимость почтовых услуг на другие виды писем велика, поэтому простые письма – оптимальный вариант для массовой рассылки уведомлений).

Див. відповідь на питання № 60, № 74

Номер запитання: 85
Ім'я: Алла Т
Дата та час: 07.12.2011 13:13:24
Запитання: Подскажите, с какого периода необходимо получать согласия от физика относительно ПД? Достаточно будет включить пункт о согласии физика относительна сбора и обработки данных его торговцем или хранителем? Если торговец должен вести финмониторинг, то нужно ли отдельно регистрировать данную базу, как картотеку или будет достаточно зарегистрировать общую базу, например, контрагенты? По-возможности, объясните все возможные процедуры для ТЦБ и Хранителя. Спасибо

Див. відповідь на запитання №42, №60, №71

Номер запитання: 86
Ім'я: Ірина
Дата та час: 07.12.2011 13:23:13
Запитання: Как поступать с имеющимися персональными данными, если, например, клиент Торговца не дает согласие на сбор и обработку его персональных данных? Отказать в обслуживании?

Див. відповідь на запитання № 60
Також просимо що раз звернути увагу на вимоги законодавства про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, особливо в частині відмови надання інформації, необхідної для проведення ідентифікації фізичної особи.

Номер запитання: 87
Ім'я: Вася
Дата та час: 07.12.2011 13:32:44
Запитання: Чи потрібно вносити в базу даних відомості про юридичних осіб-клієнтів/контрагентів? Вкажіть будь-ласка, які конкретно дії (всі кроки!)повинен вчинити ТЦП у зв'язку з цим нововведенням? Де взяти зразки: Відповідних внутрішніх положень для ТЦП? Дозволу суб?єкта на обробку? Зразок самої бази даних?

Див. відповідь на питання № 42, № 61

Номер запитання: 88
Ім'я: Саша
Дата та час: 07.12.2011 13:51:25
Запитання: Каким образом торговец/хранитель сможет подтвердить уведомление всех лиц, чьи ПД содержатся у них в базе, в случае уведомления этих лиц путем отправки простых писем (стоимость почтовых услуг на другие виды писем велика, поэтому простые письма – оптимальный вариант для массовой рассылки уведомлений).

Див. відповідь на запитання № 60, №74

Номер запитання: 89
Ім'я: Юлия
Дата та час: 07.12.2011 13:59:58
Запитання: Необходимо ли,в каком гос. органе, в какие сроки регистрировать базу персональных данных Торговцу, Торговцу-Банку, Хранителю, Хранителю-Банку?

Голік Наталія Анатоліївна
Провідний спеціаліст відділу нормативно-правового забезпечення Управління юридичного забезпечення Державної служби України з питань захисту персональних даних
Згідно Закону України «Про захист персональних даних» база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства.
Згідно Указу Президента України № 390/2011, Державна служба України з питань захисту персональних даних (ДСЗПД України) є центральним органом виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних.

Виходячи з вищевикладеного, заяву про реєстрацію бази персональних даних необхідно подавати до ДСЗПД.

Номер запитання: 90
Ім'я: Ірина
Дата та час: 07.12.2011 14:07:05
Запитання: Как поступать с имеющимися персональными данными, если, например, клиент Торговца не дает согласие на сбор и обработку его персональных данных? Отказать в обслуживании?

Див. відповідь на запитання № 76, № 86

Номер запитання: 91
Ім'я: Партнерство
Дата та час: 07.12.2011 14:09:16
Запитання: Формую звітн. 1ДФ в програмі ДПАУ OPZ. Тоді автоматично створюється ще одна база осіб, яким виплачується дохід. Також підготовка для НКЦПФР адмінданих в АФР. Також звітність в БЕСТ плюс до Пенсійного фонду. І ще купа звітів, інформацію до яких я первісно накопичую в бухгалтерській програмі 1 С. То скільки в мене персональних баз даних?

СРО АУФТ

Звітність формується на підставі інформації, в тому числі - персональних даних, які включені до баз персональних даних персоналу торговця, клієнтів – фізичних осіб, фізичних осіб, щодо яких здійснюється ідентифікація в межах фінансового моніторингу та інших. Сформовані звіти не є БПД.

Номер запитання: 92
Ім'я: Ірина
Дата та час: 07.12.2011 14:26:08
Запитання: В ст. 9 закону України Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, зазначено, що для ідентифікації юридичної особи, в тому числі, необхідно встановити дані, які ідентифікують осіб, які мають право розпоряджатися рахунками і майном; відомості про власників істотної участі в юридичній особі; відомості про контролерів юридичної особи. 1. Яку назву дати базі персональних даних, до якої будуть належати вищезазначені суб’єкти персональних даних?

СРО АУФТ

Як варіант:

БПД фізичних осіб, ідентифікація яких здійснюється при наданні фінансових послуг

Номер запитання: 93
Ім'я: Светлана
Дата та час: 07.12.2011 14:26:47
Запитання: Как поступать с имеющимися персональными данными, если, например, клиент-депонент Хранителя не дает согласие на сбор и обработку его персональных данных, также он отказывается закрывать счет в ЦБ? Может ли хранитель закрывать счет в ЦБ без согласия депонента? Если да, тогда какие нужны для этого основания и какими нормативными документами при этом должен руководствоваться хранитель?

Див. відповідь на запитання №60, № 67 в частині ідентифікації вимоги розповсюджуються також і на зберігачів.

Номер запитання: 94
Ім'я: Ірина
Дата та час: 07.12.2011 14:32:21
Запитання: В ст. 9 закону України Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, зазначено, що для ідентифікації юридичної особи, в тому числі, необхідно встановити дані, які ідентифікують осіб, які мають право розпоряджатися рахунками і майном; відомості про власників істотної участі в юридичній особі; відомості про контролерів юридичної особи. 1. Яку назву дати базі персональних даних, до якої будуть належати вищезазначені суб’єкти персональних даних?

Див. відповідь на запитання № 92

Номер запитання: 95
Ім'я: Віта
Дата та час: 07.12.2011 14:42:01
Запитання: щодо внесення змін до зареєстрованої бази персональних даних-якщо такі зміни у активно торгуючого торговця(чи реєстроутримувача/зберігача) відбувається щоденно?і яким чином повідомляти які конкретно зміни подаються?тобто така база має бути у держреєстратора-щоб її постіно поновляти?

СРО АУФТ
Відповідно до ст. 9 закону "Про захист персональних даних" Володілець БПД має повідомляти державного реєстратора лише у випадку зміни мети обробки та/або обсягу (переліку, категорій) інформації, яка вноситься до БПД.

Номер запитання: 96
Ім'я: Євген
Дата та час: 07.12.2011 14:45:07
Запитання: На даний момент нормативними документами не вимагається заповнення новоприйнятими працівниками особових карток згідно з наказом Держстату "Про затвердження типових форм первинного обліку особового складу" (крім державних службовців,де це вимагається). Таким чином на підприємстві фактично є тільки заява про прийняття на роботу працівника та копія паспортних даних і диплому згідно КЗпП. Чи може це вважатися базою даних, в розумінні Закону, що підлягає реєстрації, тобто накази про прийняття на роботу, надання відпусток, тощо, де фактично не зазначається ніяких паспорних чи інших даних.

СРО АУФТ

Роботодавець має, принаймні, прізвище, ім’я, по-батькові та ідентифікаційний код працівника. Зазначеної інформації достатньо для ідентифікації особи, отже така інформація є ПД в розумінні ст. 2 Закону.

Номер запитання: 97
Ім'я: Ірина
Дата та час: 07.12.2011 14:45:54
Запитання: В ст. 9 закону України Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, зазначено, що для ідентифікації юридичної особи, в тому числі, необхідно встановити дані, які ідентифікують осіб, які мають право розпоряджатися рахунками і майном; відомості про власників істотної участі в юридичній особі; відомості про контролерів юридичної особи. 1. Яку назву дати базі персональних даних, до якої будуть належати вищезазначені суб’єкти персональних даних?

Див відповідь на питання № 92

Номер запитання: 98
Ім'я: Саша
Дата та час: 07.12.2011 14:50:01
Запитання: Каким образом торговец/хранитель сможет подтвердить уведомление всех лиц, чьи ПД содержатся у них в базе, в случае уведомления этих лиц путем отправки простых писем (стоимость почтовых услуг на другие виды писем велика, поэтому простые письма – оптимальный вариант для массовой рассылки уведомлений).

Див. відповідь на запитання № 60, № 74

Номер запитання: 99
Ім'я: Светлана
Дата та час: 07.12.2011 14:50:42
Запитання: Как поступать с имеющимися персональными данными, если, например, клиент-депонент Хранителя не дает согласие на сбор и обработку его персональных данных, также он отказывается закрывать счет в ЦБ? Может ли хранитель закрывать счет в ЦБ без согласия депонента? Если да, тогда какие нужны для этого основания и какими нормативными документами при этом должен руководствоваться хранитель?

Див. відповідь на питання № 93

Номер запитання: 100
Ім'я: Євген
Дата та час: 07.12.2011 14:52:26
Запитання: 1. Засновники товариства - фізичні особи. Чи зобов"язане підприєство вести якусь "Базу" по цим засновникам, якщо фактично цю базу веде Державний реєстратор. 2. На підпримстві працює одна людина - Керівник. Чи буде вважатися це базою, що підлягає реєстрації по позиції "персонал"

СРО АУФТ

В розумінні Закону, персональні дані засновників товариства – фізичних осіб складають БПД. Якщо безпосередньо на Товаристві здійснюється збор інформації щодо засновників - так, потрібно.

Згідно визначення в ст. 2 Закону, база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Персональні дані - відомості, чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути ідентифікована. На нашу думку, якщо працює одна людина - також реєструвати БПД потрібно.

Номер запитання: 101
Ім'я: Петя
Дата та час: 07.12.2011 15:00:28
Запитання: Являются ли хоз.договора, данные из которых не систематизировались и не вносились не в какие базы,самостоятельной базой данных?

СРО АУФТ
Базою персональних даних є не договори, а персональні дані фізичних осіб, які можуть бути сторонами таких договорів. В такому випадку, юридична особа стає власником БПД клієнтів/контрагентів – фізичних осіб.

Номер запитання: 102
Ім'я: Євгенія
Дата та час: 07.12.2011 15:09:41
Запитання: Що маэться на увазі під картотекою персональних даних у ТЦП? Що представляє собою електронна форма персональних даних?Чи відноситься до картотеки дані усіх працівників торговця? Можливо назвати базу персональних даних сукупність копій паспортів та ідентифікаційних кодів фізичних осіб, зібраних в процесі ідентифікації клієнтів у відповідності до вимог законодавства в сфері фінансового моніторингу? Чи потрібно подавати інформацію про зміни в картотеці, при ідентифікації нових клієнтів?

СРО АУФТ

На нашу думку, під картотекою ПД слід розглядати будь-яку упорядковану сукупність персональних даних в документальній формі. Електронна форма ПД - будь-яка упорядкована сукупність персональних даних в електронній формі. Дані персоналу торговця складають БПД працівників. Персональні дані фізичних осіб, зібрані в процесі ідентифікації на виконання законодавства у сфері фінансового моніторингу складають окрему БПД виходячи з мети обробки та обсягу інформації, яка може включатися до такої БПД. Інформацію про зміни БПД необхідно подавати у випадку зміни мети обробки та/або обсягу інформації, яка може включатися до такої БПД.

Номер запитання: 103
Ім'я: Наталія
Дата та час: 07.12.2011 15:13:55
Запитання: Чи підпадає під дію Закону України «Про захист персональних даних» використання інформації про фізичних осіб(паспортні дані та ІПН), з якими укладались угоди з купівлі-продажу ЦП, при складанні звітності з використанням програмного забезпечення АФР-ТЦП?

СРО АУФТ
Складання та надання звітності до державного регулятора передбачено вимогами чинного законодавства.
Обробку даних здійснює ТЦП за допомогою програмного забезпечення яким ТЦП володіє/користується, наприклад АФР-ТЦП.

Номер запитання: 104
Ім'я: Наталія
Дата та час: 07.12.2011 15:14:12
Запитання: Чи підпадає під дію Закону України «Про захист персональних даних» використання інформації про фізичних осіб(паспортні дані та ІПН), з якими укладались угоди з купівлі-продажу ЦП, при складанні звітності з використанням програмного забезпечення АФР-ТЦП?

Див. відповідь на питання № 103

Номер запитання: 105
Ім'я: Ольга
Дата та час: 07.12.2011 15:16:06
Запитання: Что в ЗУ "О защите ПД" подразумевается под понятием "картотеки" и каковы критерии упорядоченности персональных данных для признания их базой ПД.

СРО АУФТ

Законодавство не містить тлумачення понять «картотека персональних даних», тому слід виходити із загального лексичного значення. На нашу думку, під картотекою ПД слід розглядати будь-яку упорядковану сукупність персональних даних в документальній формі, критеріїв щодо впорядкованості інформації в таких картотеках не встановлено (тобто, немає «мінімального рівня впорядкованості»).

Номер запитання: 106
Ім'я: партнерство
Дата та час: 07.12.2011 15:22:57
Запитання: Чи можна подати заяву на реєстрацію бази перс.д в електронному вигляді, підписані тими спрощеними ЕЦП, які використ. для відправки звітів до Пенс. фонду і податкової

Заяви про реєстрацію БПД, які подаються в електронному вигляді, мають бути посвідченні електронними цифровими підписами центрів сертифікації ключів, які акредитовані в ДСЗПД. З переліком таких центрів можна ознайомитися за адресою http://www.zpd.gov.ua/indexServices.html

Номер запитання: 107
Ім'я: Мария
Дата та час: 07.12.2011 15:25:43
Запитання: Если участники ООО - физ. лица, нужно ли регистрировать БПД "Участники"?

Номер запитання: 108
Ім'я: Світлана
Дата та час: 07.12.2011 15:41:54
Запитання: Чи є Реєстри акціонерів, складені на певну дату окремими базами даних, чи складовими частинами однієї БПД акціонерів? Чи підлягає така БПД державній реєстрації? Що необхідно робити з інформацією, зазначеною в Реєстрах, Переліках наданих Емітенту з моменту створення Товариства до 01.01.11. Чи необхідно ці Реєстри, відомості, переліки реєструвати як БПД?

Номер запитання: 109
Ім'я: партнерство
Дата та час: 07.12.2011 15:42:29
Запитання: Яким критеріям має відповідати база даних, щоб вона підлягала державній реєстрації. Коли можна обійтись без державної реєстраціїї бази даних. Яка мета державної реєстрації баз даних? Фізична особа ідентифікована за ПІБ і кодом ЄДРФОУ, ця інформація має державну реєстрацію. Для чого реєструвати створені на підприємствах бази даних, які необхідні головним чином для зовнішної звітності

Номер запитання: 110
Ім'я: Наталя
Дата та час: 07.12.2011 15:42:36
Запитання: Хто є розпорядником БПД зберігача? Чи це мають бути сертифіковані фахівці, чи керівник зберігача?

Номер запитання: 111
Ім'я: Світлана
Дата та час: 07.12.2011 15:43:41
Запитання: Як розуміти термін «дані зібрані з порушенням»? Якщо не буде згоди акціонера на використання персональних даних інформацію про нього необхідно вилучити з БПД акціонерів та цим лишити його права власності на акції та отримання доходу за ними? Хто буде нести відповідальність за дії, що спричинять втрату інформації в системі Реєстру, у зв’язку з вилученням персональної інформації деяких акціонерів?

Номер запитання: 112
Ім'я: Світлана
Дата та час: 07.12.2011 15:44:36
Запитання: Чи можна вважати відсутність заперечення фізичної особи щодо обробки, використання та поширення її персональних даних згодою за замовчанням?

Голік Наталія Анатоліївна
Провідний спеціаліст відділу нормативно-правового забезпечення Управління юридичного забезпечення Державної служби України з питань захисту персональних даних

Згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо
надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Номер запитання: 113
Ім'я: Світлана
Дата та час: 07.12.2011 15:45:08
Запитання: Чи потрібна згода акціонерів, яких внесено до БПД до 01.01.11. та після 01.01.11. змінилися персональні дані акціонера, про що він надіслав повідомлення Емітенту?

Номер запитання: 114
Ім'я: Світлана
Дата та час: 07.12.2011 15:45:30
Запитання: Як отримати згоду померлого акціонера?

Номер запитання: 115
Ім'я: Світлана
Дата та час: 07.12.2011 15:45:51
Запитання: Чи необхідно отримувати дозвіл від фізичної особи, рахунок якої закрито, але стосовно якої зберігається інформація щодо нарахованих та сплачених (несплачених) дивідендів?

Номер запитання: 116
Ім'я: Світлана
Дата та час: 07.12.2011 15:46:51
Запитання: Чи підлягають реєстрації в державному реєстрі листи акціонерів, які надходять в адресу Товариства, як БПД?

Номер запитання: 117
Ім'я: Олена
Дата та час: 07.12.2011 15:47:32
Запитання: Чи потрібна згода акціонерів, яких внесено до системи Реєстру до 01.01.11.?

Див. відповідь на запитання № 43

Номер запитання: 118
Ім'я: Світлана
Дата та час: 07.12.2011 15:47:57
Запитання: Юридичній особі, яка є і торговцем і зберігачем одночасно, потрібно створити одну базу даних, яка буде включати всі дані з системи депозитаного обліку зберігача і з програми торговця (АФР-ТЦП) або дві бази даних(торговець і зберігач)окремо? 2. Чи потрібно профучаснику створювати окрему базу даних з реєстру фінансових операцій, що підлягають фінмоніторингу, адже у цих даних зовсім інший режим доступу.

Номер запитання: 119
Ім'я: Олена
Дата та час: 07.12.2011 15:48:09
Запитання: Чи є вимоги законодавства про акціонерні товариства, національну депозитарну систему, податкового законодавства необхідною і достатньою умовою згідно ст. 6, для обробки Емітентом персональних даних фізичних осіб і чи необхідно від них отримувати додатковий дозвіл?

СРО АУФТ
Закон про АТ не містить вимоги такого АТ мати базу ПД акціонерів-фізичних осіб. Як вже зазначалось, реєстр акціонерів веде депозитарій, який в рамках закону надає зведений обліковий реєстр акціонерів АТ-у за певних випадків (проведення ЗЗА тощо).

Номер запитання: 120
Ім'я: Наталія
Дата та час: 07.12.2011 15:51:36
Запитання: Чи готуються НКЦПФР нові нормативні акти та зміни до існуючих нормативних актів щодо конкретних дій проф. учасників для виконання Закону "Про захист персональних даних" у випадку укладення договорів щодо цінних паперів, договорів про відкриття рахунків у цінних паперах, ідентифікації клієнтів, надання звітності та інше?

СРО АУФТ
Див. відповідь на питання 49

Номер запитання: 121
Ім'я: Світлана
Дата та час: 07.12.2011 15:53:52
Запитання: Якщо є одна програма, в якій ведеться перелік контрагентів, яким одночасно користуються декілька юридичних осіб, то таку базу даних повинен реєструвати один користвач, або кожний користувач?

СРО АУФТ

В такому випадку слід зазначити, що з метою забезпечення збереження ПД фізичної особи та контрольованого їх розповсюдження, База ПД реєструється на конкретного володільця, який і нестиме відповідальність у разі порушення режиму розповсюдження ПД.

При реєстрації Бази ПД обов’язково надається інформація щодо володільця бази та розпорядника. А тому, виходячи із того, що є особа-розпорядник, якому надано право обробляти ПД у Базі ПД, іншим особам передача персональної інформації може надаватись виключно у рамках закону.

Номер запитання: 122
Ім'я: Марія
Дата та час: 07.12.2011 15:59:21
Запитання: Товариством розроблено Положення про обробку та захист ПД, в якому зазначено, що відповідальною особою за організацію захисту ПД за є адміністратор. При цьому, також зазначено, що кожен працівник (який має доступ до бази ПД) несе персональну відповідальність за порушення уимог щодо захисту ПД. Питання: хто нестиме адмін. відповідальність у разі "Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них" - директор, адміністратор (відповідальна особа) чи конкретний працівник?

Номер запитання: 123
Ім'я: партнерство
Дата та час: 07.12.2011 16:05:07
Запитання: Цей закон про захист перс.даних має рамковий характер. По ньому не можна працювати. Потрібні підзаконні акти. Чи є вони.

СРО АУФТ

На жаль, на сьогодні маємо не багато нормативних документів. Це, безумовно, сам Закон 2297, це Порядок подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей ДРБПД, затверджений Наказом Мінюсту № 1824/5 від 08.07.2011,

Це Постанова КМУ Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення від 25.05.2011 року за № 616. З 01.01.2012 року вступають в силу зміни до КК України та Кодексу про Адмін. правопорушення – Закон 3454.

Та на виконання вимоги п. 10 ст.. 6 Закону 2297 має бути розроблений Типовий порядок обробки персональних даних у базах персональних даних, який затверджується уповноваженим державним органом з питань захисту персональних даних.

Номер запитання: 124
Ім'я: Михайло
Дата та час: 07.12.2011 16:05:30
Запитання: Должны ли регистрироваться отдельные базы данних у торговца - хранителя: база сотрудников база лицензированных сотрудников база программы НДУ база программы ВДЦП база клиентов торговца база по финмониторингу

Номер запитання: 125
Ім'я: Наталя
Дата та час: 07.12.2011 16:09:01
Запитання: Хто є розпорядником БПД зберігача? Чи це мають бути сертифіковані фахівці, чи керівник зберігача?

Номер запитання: 126
Ім'я: партнерство
Дата та час: 07.12.2011 16:10:04
Запитання: Я не бачу відповідей! конференція йде?

Номер запитання: 127
Ім'я: Наталя
Дата та час: 07.12.2011 16:10:07
Запитання: Хто є розпорядником БПД зберігача? Чи це мають бути сертифіковані фахівці, чи керівник зберігача?