Окремі аспекти правового регулювання захисту персональних даних у фінансовому секторі в умовах європейської інтеграції України

Размещено на http://www.allbest.ru/

Окремі аспекти правового регулювання захисту персональних даних у фінансовому секторі в умовах європейської інтеграції України

Пальчик Максим Леонідович кандидат юридичних наук, доцент кафедри цивільно-правових дисциплін, Національна академія Служби безпеки України

Полонська Олена Іванівна викладач кафедри цивільно-правових дисциплін, Національна академія Служби безпеки України

Анотація

Правове регулювання захисту персональних даних є важливою складовою будь-якого суспільства, яке прагне забезпечити права та свободи людини, зокрема право на приватність. У сфері банківських та фінансових послуг це питання є особливо актуальним, оскільки надавачі таких послуг часто обробляють значні обсяги персональних даних своїх клієнтів. На етапі стрімкого розвитку та поширення інформаційних і цифрових відносин, в умовах світових тенденцій до глобалізації, інформатизації та діджиталізації, "абсолютність" та захищеність персональних даних людини піддається новим викликам та загрозам. фінансовий правовий захист

Для нашої держави вказані виклики та загрози актуалізувались з розв'язанням рф повномасштабної війни проти України та проведенням масованих кібератак на банківську та фінансову систему нашої держави. У рамках європейської інтеграції Україна взяла на себе зобов'язання привести своє законодавство у відповідність до законодавства Європейського Союзу, зокрема нормативних актів у сфері захисту персональних даних та правових документів, що регулюють діяльність фінансового сектору.

У статті досліджено окремі аспекти правового регулювання захисту персональних даних у фінансовому секторі, зокрема при наданні платіжних, банківських та фінансових послуг в Україні в умовах європейської інтеграції. На основі аналізу чинного законодавства та міжнародних актів у сфері захисту персональних даних було встановлено, що українське законодавство поступово адаптується до європейських та міжнародних стандартів у сфері захисту інформації та персональних даних при наданні платіжних, банківських та фінансових послуг. З'ясовано, що за останній час, поряд з вже існуючою банківською таємницею, в національне законодавство введено додаткові види "таємниць", що безпосередньо стосуються обробки персональних даних у фінансовому секторі, зокрема "таємницю надавача платіжних послуг", "таємницю фінансової послуги". Встановлено, що унормування нововведених категорій інформації з обмеженим доступом, на подзаконному рівні уповноважено здійснювати державних регуляторів фінансового сектору та на сьогодні вказаний процес не завершено.

Ключові слова: захист персональних даних, фінансовий сектор, банківські послуги, платіжні послуги, фінансові послуги, діджиталізація, інформаційна безпека, європейська інтеграція.

Palchyk Maksym Leonidovych Candidate of Legal Sciences, associate professor of the Department of Civil Law, National Academy of the Security Service of Ukraine

Polonska Olena Ivanivna Lecturer of the Department of Civil Law, National Academy of the Security Service of Ukraine

CERTAIN ASPECTS OF THE PERSONAL DATA PROTECTION LEGAL REGULATION IN THE FINANCIAL SECTOR IN THE CONDITIONS OF EUROPEAN INTEGRATION OF UKRAINE

Legal regulation of personal data protection is an important component of any society that seeks to ensure human rights and freedoms, in particular the right to privacy. In the field of banking and financial services, this issue is particularly relevant, as the providers of such services often process large amounts of personal data of their customers. At the stage of rapid development and spread of information and digital relations, in the conditions of global trends towards globalization, informatization and digitalization, the "absoluteness" and security of personal data of a person is exposed to new challenges and threats.

Those specified challenges and threats for our country became actual after the russian federation started a full-scale war against Ukraine and carrying out massive cyber attacks on the banking and financial system of our country. In the framework of European integration, Ukraine undertook to bring its legislation into line with the legislation of the European Union, in particular regulatory acts in the field of personal data protection and legal documents regulating the activities of the financial sector.

The article examines the legal regulation of personal data protection in the provision of payment, banking and financial services in Ukraine under the conditions of European integration. Based on the analysis of current legislation and international acts in the field of personal data protection, it was established that Ukrainian legislation is gradually adapting to European and international standards in the field of information and personal data protection when providing payment, banking and financial services.

It has been found that recently, along with the already existing banking secrecy, additional types of "secrets" directly related to the processing of personal data in the financial sector have been introduced into the national legislation, in particular, "the secrecy of the payment service provider", "the secrecy of the financial service". It was established that the regulation of the newly introduced categories of information with limited access, at the sub-legal level, is authorized to be carried out by the state regulators of the financial sector, and to date the specified process has not been completed.

Keywords: personal data protection, financial sector, banking services, payment services, financial services, digitalization, information security, European integration.

Постановка проблеми. На етапі стрімкого розвитку та поширення інформаційних і цифрових відносин, в умовах світових тенденцій до глобалізації, інформатизації та діджиталізації, "абсолютність" та захищеність персональних даних людини піддається новим викликам та загрозам. Для нашої держави вказані виклики та загрози актуалізувались з розв'язанням рф повномасштабної війни проти України. Об'єднавшись проти ворога та отримавши підтримку від міжнародних партнерів, Україна активно продовжила рух до Європейського ринку товарів, послуг, капіталу, робочої сили та зрештою до повноцінного членства в Європейському Союзі. В умовах прискорених євроінтеграційних процесів, з новою силою постали питання наближення національного законодавства до європейських та міжнародних стандартів, у тому числі, щодо захисту персональних даних у фінансовому секторі. Адже як фінансовий сектор загалом, так і банківська система України зокрема, перебуваючи у нерозривному зв'язку з міжнародними фінансовими організаціями та фінансовими установами інших держав, все більше інтегрується в європейський та міжнародний фінансовий простір. Відповідно впровадження високих європейських та міжнародних стандартів щодо захисту персональних даних в національну правову систему потребує аналізу стану виконання взятих Україною міжнародних зобов'язань та відповідності національних нормативно-правових актів європейським регуляторним положенням у сфері захисту персональних даних.

Варто зауважити, що проблеми захисту персональних даних при наданні банківських, платіжних та фінансових послуг, набули особливої актуальності у зв'язку з повномасштабним вторгненням рф в Україну та проведенням масованих кібератак на банківську та фінансову систему нашої держави.

Аналіз останніх досліджень і публікацій. Проблемам правового регулювання захисту персональних даних приділяли увагу в своїх роботах такі науковці як Ю. Бєлова, С. Биченко, В. Брижко, А. Головченко, П. Діхтієвський, О. Дмитренко, Є. Захаров, О. Кохановська, О. Кулініч, О. Легка, А. Марущак, К. Мельник, Т. Обуховська, О. Підопригора, В. Пилипчук, І. Романюк, Н. Устименко, С. Шевчук, Р. Шишка та інші. Водночас варто звернути увагу, що незважаючи на значний масив наукових напрацювань за вказаним напрямом, правове регулювання захисту персональних даних потребує подальшого вивчення та нормативного удосконалення, особливо в частині оброки персональних даних в фінансовому секторі в умовах європейської інтеграції України.

Метою статті є аналіз впливу європейських регуляторних положень щодо захисту персональних даних, зокрема у фінансовому секторі, на національну систему правового регулювання у цій сфері, в умовах європейської інтеграції України.

Виклад основного матеріалу. Гармонізація національного законодавства у сфері обробки персональних даних із загальновизнаними європейськими стандартами є доволі складним та тривалим процесом. Відповідно до статті 15 Угоди про асоціацію між Україною з одного боку, та Європейським Союзом, Європейським співтовариством з атомної енергії та їх державами-членами з іншого (далі - Угода) закріплено, що сторони домовились співпрацювати з метою забезпечення належного рівня захисту персональних даних у відповідності до найвищих європейських і міжнародних стандартів, зокрема, відповідних документів Ради Європи. Поряд з цим статтею 133 Угоди визнано важливість наближення чинного українського законодавства у сфері платіжних послуг до законодавства ЄС [1].

На національному рівні базовими документами у сфері захисту персональних даних є Конституція України, Закони України "Про інформацію", "Про доступ до публічної інформації", "Про захист персональних даних", документи у сфері захисту персональних даних, прийняті Уповноваженим Верховної Ради України з прав людини. Водночас механізми реалізації прав та обов'язків суб'єктів правовідносин щодо опрацювання персональних даних безпосередньо в тій чи іншій сфері суспільних відносин, розкриваються у галузевих законах та підзаконних нормативно-правових актах.

Ключовим орієнтиром національної системи захисту персональних даних до 2016 року була рамкова Директива 95/46/ЄС Європейського Парламенту та Ради Європи "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" від 24 жовтня 1995 року, яку замінив регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (далі - Регламент, GDPR). Регламент є обов'язковим для застосування у всіх державах-членах ЄС нормативно-правовим актом прямої дії, яким встановлено основні вимоги щодо захисту персональних даних фізичних осіб. Цей Регламент спрямовано на сприяння формуванню простору свободи, безпеки і правосуддя ЄС, соціально-економічному прогресу, зміцненню та конвергенції економік у межах внутрішнього ринку, підтриманню добробуту фізичних осіб. Документ закріплює цілі, принципи, загальні правила та процедури захисту фізичних осіб у відношенні персональних даних, їх вільного переміщення у межах Євросоюзу, враховуючи й транскордонне переміщення даних [2].

Закріплені у GDPR ключові засади і механізми захисту прав людини в процесі обробки персональних даних ґрунтуються на необхідності дотримання фундаментальних прав та свобод фізичної особи, зокрема права на недоторканість приватного життя, незалежно від її громадянства або місця проживання. Вказаний акт є актом прямої дії та має екстериторіальний вплив, зокрема, незалежно від територіальної приналежності суб'єктів персональних даних. Незважаючи на те, що Регламент не є частиною національного українського законодавства, його положення, у визначених випадках, є обов'язковими для виконання, зокрема фінансовими та банківськими установами.

Діяльність національних банків та інших фінансових установ, що проводиться на території Європейського Союзу, в контексті обробки персональних даних підпадає під вимоги GDPR, а отже викликає необхідність розробити та впровадити ними комплекс організаційних та технічних заходів відповідно до європейських вимог захисту персональної інформації про особу. Поряд з Регламентом, окремі аспекти захисту персональних даних у фінансовому секторі знайшли свої відображення в низці нормативних актів Європейського Союзу, зокрема: "Першій платіжній Директиві" 2007 року з подальшою деталізацією у Директиві про електронні гроші; Директиві 2002/58/ЄС Європейського парламенту та Ради ЄС щодо обробки персональних даних та захисту конфіденційності у секторі електронних засобів зв'язку; Директиві Європейського Парламенту та Ради 2002/65/ЄС від 23 вересня 2002 року про дистанційну реалізацію споживчих фінансових послуг та про внесення змін в Директиву Ради 90/619/ЄС та Директиви 97/7/ЄС та 98/27/ЄС; Регламенті Європейського Парламенту та Ради № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій в межах внутрішнього ринку.

Також варто звернути увагу, що Україна є стороною Конвенції про захист фізичних осіб у зв'язку з автоматизованою обробкою персональних даних (Конвенція 108), до якої Протоколом CETS № 223, прийнятим Радою Європи у травні 2018 року, було внесено зміни. Модернізована Конвенція 108+ враховує більшість викликів, спричинених розвитком інформаційних і комунікаційних технологій та посилює вимоги щодо її імплементації. Відповідно, перед Україною постало питання ратифікації вказаного Протоколу та приведення законодавства у відповідність до вимог оновленої Конвенції 108+, зокрема в частині створення контролюючого органу у сфері захисту персональних даних [3].

На окрему увагу, у межах нашого дослідження, заслуговує Директива Європейського союзу 2015/2366/ЄС від 25 листопада 2015 року про платіжні послуги на внутрішньому ринку, про внесення змін до Директив 2002/65ЄС, 2009/110/ЄС та 2013/36ЄС і Регламенту (ЄС) №1093/2010 та про скасування Директиви 2007/64ЄС (далі - Директива 2015/2366/ЄС, PSD2). Дія вказаної Директиви 2015/2366/ЄС охоплює не лише внутрішні, а й міждержавні платіжно-розрахункові системи, регулює порядок надання платіжних послуг, визначає основні засади взаємодії учасників фінансових послуг, значно розширює перелік традиційних електронних платіжних послуг, надає гарантії доступу на європейський ринок крім класичних банківських платіжних систем також небанківським платіжним сервісам, які здійснюватимуть грошові перекази за допомогою платіжних агентів, через телекомунікаційні мережі та операторів систем інформаційних технологій. Відповідно до положень Директиви, зовнішні оператори в ході проведення платіжної операції отримують доступ до платіжного рахунку клієнта, тобто до конфіденційної інформації про суб'єкта, яка за своєю природою є банківською таємницею. Підкреслюється необхідність удосконалення єдиного внутрішнього ринку безпечних електронних платежів та забезпечення гарантованості високого рівня захисту прав споживачів при використанні платіжних послуг з метою укріплення довіри клієнтів в межах єдиного ринку платежів. Стаття 89 PSD2 акцентує увагу на необхідності дотримання основних принципів обробки персональних даних, зокрема, необхідності, пропорційності, визначеності цілей обробки та співмірності строків зберігання конфіденційної інформації споживача електронних платіжних послуг. Усі системи обробки даних, які використовуються в цілях Директиви мають бути розроблені з урахуванням вимог захисту інформації, а також беззастережно надавати найвищий рівень захисту персональних даних [4]. Крім того, безпечне використання захищених персоніфікованих облікових записів є необхідним задля мінімізації ризиків, пов'язаних з фішингом та іншими шахрайськими діями.

Обробка персональних даних як операторами платіжних послуг, так і в фінансовому секторі загалом є важливим аспектом фінансової діяльності та врегульовується низкою законодавчих та підзаконних нормативно-правових актів, а також локальних положень, призначених забезпечити їх конфіденційність, цілісність та захист. Банківські та фінансові установи, виступаючи володільцями/розпорядниками персональних даних, беруть на себе зобов'язання щодо належної обробки та захисту конфіденційної інформації клієнтів з дотриманням стандартів інформаційної безпеки. При цьому, вивчаючи особливості обробки персональних даних в фінансовому секторі в умовах європейської інтеграції України варто звернути увагу, що в межах гармонізації національного законодавства до європейського, поряд з банківською таємницею виникли нові категорії "таємниць", які також потребують додаткового вивчення крізь призму співвідношення з персональними даними клієнтів.

Так, у межах імплементації положень Директиви 2015/2366/ЄС, на національному рівні було прийнято Закон України "Про платіжні послуги" від 30 червня 2021 року № 1591-IX, яким запроваджено види платіжних послуг, які стають поширеними в державах Європейського Союзу. Серед новацій цього Закону, поміж іншим, закріплено вимоги до управління операційними ризиками, ризиками безпеки та аутентифікації користувача, встановлено вимоги до захисту інформації під час виконання платіжних операцій; унормовано питання отримання, обробки та зберігання персональних даних користувачів платіжних послуг (ст. 69), визначено таємницю надавача платіжних послуг (ст. 70). Фактично вперше в національну правову систему введено поняття "таємниця надавача платіжних послуг", під якою розуміється інформація про діяльність та фінансовий стан користувача, що стала відома небанківському надавачу платіжних послуг в ході обслуговування користувача та взаємовідносин з ним чи третіми особами під час надання платіжних послуг (ч.1, ст.70). Відповідно до ч. 3 ст. 70 вказаного Закону, уповноважено Національний банк України як державного регулятора платіжного ринку на прийняття нормативно-правових актів з питань зберігання, захисту, використання та порядку розкриття інформації, що становить таємницю надавача платіжних послуг [5].

На виконання вимог статті 70 Закону України "Про платіжні послуги" та з метою впорядкування зберігання, захисту, використання та порядку розкриття інформації, що становить таємницю надавача платіжних послуг, Правлінням Національного банку України схвалено постанову Правління НБУ від 14 липня 2022 року № 147 "Про затвердження Правил зберігання, захисту, використання та розкриття таємниці надавача платіжних послуг" [6].

Ще одним новим видом "таємниці", який з'явився в національному законодавстві, в межах адаптації нормативно -правової бази є "таємниця фінансової послуги". Вказаний вид таємниці запроваджено Законом України "Про фінансові послуги і фінансові компанії" від 14 грудня 2021 р. № 1953-IX (введення в дію відбудеться 01.01.2024 р.). Відповідно до ч.1 статті 10 вказаного Закону таємницею фінансової послуги є інформація про діяльність та фінансовий стан клієнта, яка стала відома надавачу фінансових послуг та/або посереднику у процесі обслуговування клієнта та/або взаємовідносин з ним або стала відома третім особам під час надання послуг надавача фінансових послуг та/або посередника або під час виконання функцій, визначених законом, а також визначена цією статтею інформація про надавача фінансових послуг та/або посередника. Згідно з п.4 статті 10 Закону регулятор видає нормативно-правові акти з питань встановлення строків та порядку оброблення, зберігання, захисту, використання, передавання, розкриття, знищення та оприлюднення інформації, що становить таємницю фінансової послуги, та надає роз'яснення щодо застосування таких актів. При цьому, відповідно до положень статті 22 вказаного Закону державне регулювання та нагляд за діяльністю з надання фінансових послуг здійснюють Національна комісія з цінних паперів та фондового ринку (щодо діяльності з надання фінансових послуг, визначених п.9 ч.1 статті 4 цього Закону, та супровідних до них послуг) та Національний банк України (щодо діяльності з надання фінансових послуг, визначених пунктами 1-8 частини першої статті 4 цього Закону, та супровідних до них послуг) [7]. Водночас на рівні державних регуляторів вказане питання залишається поки не врегульованим.

Ще одним видом "таємниці", якою оперують банківські установи є "банківська таємниця". Розглядаючи юридичну категорію "банківська таємниця" у декількох аспектах, як інститут права, як певне зобов'язання уповноваженої особи, як різновид інформації, переважна більшість науковців дотримується позиції необхідності реалізовувати цю дефініцію, в першу чергу, через поняття інформації. Зокрема Т. Вислоцька вказує, що для банківської таємниці притаманний специфічний характер, що ввібрав у себе ознаки як комерційних, так і професійних секретів, а також таємниці приватного життя, і являє собою конгломерат публічних і приватних інтересів [8, с. 118]. На думку окремих дослідників система захисту персональних даних в банківській сфері полягає в єдності й погодженості сукупності правових норм та інститутів, спрямованих на забезпечення захисту персональних даних при здійсненні банківської діяльності [9].

На сьогоднішній день актуальним залишається нормативне визначення персональних даних, закріплене у ст. 2 Закону України "Про захист персональних даних" (майже ідентичне визначення міститься і в проєкті Закону "Про захист персональних даних" №8153 від 25.10.2022 р.), та банківської таємниці в ст. 60 Закону України "Про банки і банківську діяльність" [10].

При цьому варто акцентувати увагу, що відповідно до ст. 27 Закону України "Про захист персональних даних" положення щодо захисту персональних даних, викладені в цьому Законі, можуть доповнюватися чи уточнюватися іншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону [11].

Варто звернути увагу, що відповідно до національного законодавства та Регламенту, суб'єктом персональних даних є виключно фізична особа, відповідно юридичні особи не підпадають під дію законодавства про захист персональних даних. Натомість, захист прав користувачів платіжних, банківських та фінансових послуг, що є юридичними особами можливий в межах інститутів таємниці надавача платіжних послуг, банківської таємниці, таємниці фінансової послуги відповідно. Проаналізувавши положення вказаних нормативних актів можемо погодитись з думкою про те, що введення інформації про споживача платіжних, банківських, фінансових послуг, включно з персональними даними до відповідних категорій "таємниць" не тягне за собою зміни дії принципів підстав та умов обробки персональних даних, передбачених Законом України "Про захист персональних даних" [12].

В опублікованому Європейським Союзом щорічному звіті про виконання Україною Угоди про асоціацію зазначається, що попри об'єктивні труднощі, спричинені збройною агресією рф, Україна досягає значних успіхів у визначених напрямках реформування, зокрема у галузі цифрової трансформації, у сфері правосуддя, верховенства права. Прийняття низки важливих законів у кредитно-фінансовій сфері, зокрема ЗУ "Про платіжні послуги", "Про фінансові послуги і фінансові компанії" є важливим кроком для приведення законодавства України у відповідність до нормативно- правової бази країн ЄС [13].

Водночас, незважаючи на поступові кроки у напрямку адаптації правового регулювання до європейських та міжнародних стандартів, українськими нормотворцями визнано, що національне законодавство у сфері захисту персональних даних не повною мірою забезпечує захист цих даних. Саме тому у Верховній Раді України зареєстровано законопроєкт "Про захист персональних даних" від 25.10.2022 № 8153. Вказаний нормативний акт покликаний виправити цю проблему та привести правове регулювання у сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері, а також врегулювати правові відносини, пов'язані з обробкою персональних даних, які залишаються неврегульованими чинним законом. Крім того, законопроєкт має на меті посилити стандарти обробки персональних даних та надати більше прав суб'єкту персональних даних для забезпечення можливості здійснення повноцінного контролю за їх обробкою [14].

Законопроєктом, серед іншого, пропонується вдосконалити захист суб'єктів персональних даних від автоматизованого рішення під час автоматизованої обробки персональних даних, яка досить часто застосовується фінансовими установами під час оцінювання кредитоспроможності потенційного позичальника, або опрацювання інформації про потенційного страхувальника. Статтею 8 ЗУ "Про захист персональних даних" визначено право суб'єкта персональних даних на захист від автоматизованого рішення, яке має для нього правові наслідки, натомість законопроєкт "Про захист персональних даних" передбачає введення категорії профілювання як форми автоматизованої обробки персональних даних та передбачає встановлення жорстких вимог щодо підстав його застосування, обмеження кола суб'єктів щодо яких може бути проведена дана процедура із закріпленням додаткових права суб'єкта у зв'язку з таким механізмом обробки. Варто зауважити, що в процесі автоматизованої обробки персональних даних та автоматичного прийняття рішень, в тому числі через створення профілю суб'єкта даних, може здійснюватися обробка чутливих персональних даних як в первісному вигляді, так і в похідній формі.

Враховуючи вимоги міжнародних стандартів захисту персональних даних та необхідність адаптації національного законодавства до вимог Європейського Союзу Національним банком України посилено захист даних, в тому числі персональних даних клієнтів-фізичних осіб, які є користувачами системи BankID. За для забезпечення ефективного функціонування і подальшого розвитку вказаної системи визначені та уточнені вимоги до здійснення багатофакторної автентифікації користувачів, закріплені вимоги щодо обов'язкового використання двох або більше факторів автентифікації, кожен із яких має належати до різних категорій (знання, володіння, притаманність) та бути незалежними один від одного, що унеможливить їх одночасну компрометацію. Багатофакторна автентифікація є дієвим механізмом захисту конфіденційної інформації, сприяє мінімізації ризиків вчинення шахрайських дій з персональними даними в банківській сфері [15].

Персоналізованими засобами безпеки, тобто елементами, що надані банком користувачеві в цілях автентифікації є пін-код, логін, статичний пароль до електронного підпису, статичний пароль до системи дистанційного обслуговування, електронного гаманця, мобільного платіжного додатку. Реквізити платіжних карток (номер платіжної картки, ПІН-код, CCV2, термін дії картки) та інші дані необхідні для здійснення зокрема безготівкових операцій клієнтами банку слід розглядати як особливий вид персональних даних. Положеннями GDPR зазначається, що принципи захисту даних необхідно застосовувати до будь-якої інформації про фізичну особу, яку ідентифіковано або можна ідентифікувати, в будь-який можливий спосіб, із врахуванням об'єктивних факторів.

З метою забезпечення безпечної обробки персональних даних володілець передбачає, планує і здійснює сукупність адекватних заходів захисту, що належним чином забезпечить режим опрацювання приватної інформації. Такі заходи повинні враховувати ціль обробки, специфіку, масштаби та ризики для прав і свобод суб'єкта персональних даних. Адекватною реакцією на ризики, спричинені збройною агресією рф, щодо мінімізації загроз інформаційній безпеці та з метою оптимального функціонування інформаційних та комунікаційних систем, для володільців в публічній сфері передбачена можливість розміщення державних інформаційних ресурсів, електронних реєстрів на хмарних ресурсах та/або в центрах обробки даних, розташованих за межами України.

Зокрема щодо персональних даних, та іншої інформації, що містить банківську таємницю, вказане питання унормовано у відповідь на віськове вторгнення рф постановою Правління Національного банку України № 42 "Про використання банками хмарних послуг в умовах воєнного стану в Україні", якою дозволено на період дії воєнного стану та протягом двох років після скасування воєнного стану здійснювати їх обробку із використанням хмарних сервісів, що надаються з використанням обладнання, яке розташовано в державах-учасницях Європейського Союзу, Європейського співтовариства, Великій Британії, Сполучених Штатах Америки або Канаді. При цьому дозволено здійснювати процесинг за операціями з використанням електронних платіжних засобів як установами резидентами, так і установами - нерезидентами, які розташовані у відповідних державах. Надано право банкам використовувати засоби криптографічного захисту інформації, що відповідають як законодавству України, так і законодавству держави, на території якої розташовано обладнання для надання хмарних сервісів [16].

Висновки

Підсумовуючи викладене варто зауважити, що в умовах європейської інтеграції України, гармонізація національного законодавства з нормами права Європейського Союзу є невід'ємною частиною повноцінного членства України в ньому. При цьому, аналіз положень європейських регуляторних актів, щодо захисту персональних даних, зокрема у фінансовому секторі та їх впливу на національну правову систему, дозволяє дійти висновку про дієві кроки України у напрямку адаптації законодавства України до європейських та міжнародних стандартів у сфері захисту інформації, в тому числі конфіденційної інформації про особу, при наданні платіжних, банківських та фінансових послуг. З'ясовано, що за останній час, поряд з вже існуючою банківською таємницею, в національне законодавство введено додаткові види "таємниць", що безпосередньо стосуються обробки персональних даних у фінансовому секторі, зокрема "таємницю надавача платіжних послуг", "таємницю фінансової послуги".

З огляду на вищезазначене, необхідність приведення у відповідність та узгодження між собою нових видів "таємниць" з урахування правових положень про захист персональних даних, вбачається обґрунтованою. Встановлено, що унормування нововведених категорій інформації з обмеженим доступом, на підзаконному рівні уповноважено здійснювати державних регуляторів фінансового сектору. Вказаний процес не є завершеним та потребує подальшої нормотворчої роботи, у тому числі щодо законодавчої регламентації порядку та строків обробки, зберігання, захисту, використання, передавання, розкриття, знищення та оприлюднення інформації, що становить таємницю фінансової послуги.

При цьому визначені спеціальними законами режими банківської таємниці, таємниці надавача платіжних послуг, таємниці фінансової послуги як і персональних даних, не носять абсолютного характеру, з огляду на те, що законодавством встановленні правомірні підстави, умови та порядок розкриття такого виду інформації. Порядок і процедури мають бути конкретно визначені у нормативно-правовому акті в сфері тих чи інших правовідносин та не можуть мати узагальнений вигляд і єдиний механізм застосування у всіх сферах життя.

Встановлено, що перспективними напрямами подальшого наукового пошуку, поряд з дослідженням сутності та змісту нововведених "таємниць" у фінансовому секторі, можуть бути дослідження правових основ використання хмарних сервісів з метою ефективного захисту персональних даних користувачів відповідних послуг та мінімізації загроз інформаційній та кібербезпеці спричинених збройною агресією рф.

Література