НАЦІОНАЛЬНА КОМІСІЯ З ЦІННИХ ПАПЕРІВ ТА ФОНДОВОГО РИНКУ
РІШЕННЯ
27.06.2025 № 17/21/2490/К03
Зареєстровано в Міністерстві
юстиції України
09 липня 2025 року
за № 1055/44461
Про затвердження Порядку захисту та обробки персональних даних, які обробляються Національною комісією з цінних паперів та фондового ринку у зв’язку з виконанням покладених на неї завдань
Відповідно до пунктів 1 та 28 частини першої
статті 7 Закону України "Про державне регулювання ринків капіталу та організованих товарних ринків",
Закону України "Про захист персональних даних" Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:
1. Затвердити Порядок захисту та обробки персональних даних, які обробляються Національною комісією з цінних паперів та фондового ринку у зв’язку з виконанням покладених на неї завдань, що додається.
2. Департаменту інформаційних технологій забезпечити подання цього рішення на державну реєстрацію до Міністерства юстиції України.
3. Управлінню адміністративної діяльності забезпечити оприлюднення цього рішення на офіційному вебсайті Національної комісії з цінних паперів та фондового ринку.
4. Департаменту правового забезпечення та внутрішнього комплаєнс контролю, після державної реєстрації до Міністерстві юстиції України, забезпечити оприлюднення цього рішення на офіційному вебсайті Національної комісії з цінних паперів та фондового ринку.
5. Контроль за виконанням цього рішення покласти на члена Національної комісії з цінних паперів та фондового ринку Ю. Шаповала.
Голова Комісії | Руслан МАГОМЕДОВ |
Протокол засідання Комісії
від 27.06.2025 року № 69
ЗАТВЕРДЖЕНО
Рішення Національної комісії
з цінних паперів
та фондового ринку
27 червня 2025 року
№ 17/21/2490/К03
Зареєстровано в Міністерстві
юстиції України
09 липня 2025 року
за № 1055/44461
ПОРЯДОК
захисту та обробки персональних даних, які обробляються Національною комісією з цінних паперів та фондового ринку у зв’язку з виконанням покладених на неї завдань
I. Загальні положення
1. Цей Порядок встановлює загальні вимоги до організаційних і технічних заходів обробки та захисту персональних даних, володільцем та розпорядником яких є Національна комісія з цінних паперів та фондового ринку (далі – НКЦПФР), під час їх обробки в інформаційно-комунікаційних системах НКЦПФР та на паперових носіях.
2. Цей Порядок є обов’язковим до виконання працівниками НКЦПФР, підприємств, установ та організацій, що входять до сфери управління НКЦПФР, яким надано доступ до інформації, що містить персональні дані, у межах виконання ними своїх повноважень.
3. До персональних даних належать будь-які відомості чи сукупність відомостей про особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
4. Персональні дані, володільцем яких є НКЦПФР (крім знеособлених персональних даних), є інформацією з обмеженим доступом, крім випадків, передбачених
статтею 5 Закону України "Про захист персональних даних".
5. Персональні дані в інформаційних системах НКЦПФР обробляються автоматизовано в електронній формі за допомогою програмних засобів та у паперовій формі (зберігання звернень, запитів на інформацію, запитів про перевірку відомостей щодо претендента на посаду, які надійшли у паперовій формі; документів, що містять персональні дані працівників НКЦПФР або кандидатів на зайняття вакантних посад, призначення на які здійснюється НКЦПФР).
6. НКЦПФР є володільцем та/або розпорядником персональних даних, які надходять та обробляються в НКЦПФР відповідно до законодавства.
7. НКЦПФР може визначити розпорядником персональних даних, володільцем яких вона є, підприємство (установу) державної форми власності, що належить до сфери управління НКЦПФР.
II. Мета та підстави обробки персональних даних
9. Обробка персональних даних здійснюється з метою:
1) виконання покладених на НКЦПФР завдань, визначених пунктом 2
статті 2 Закону України "Про державне регулювання ринків капіталу та організованих товарних ринків", та реалізації вимог профільного законодавства;
2) забезпечення трудових відносин, військового обліку, бронювання та податкового обліку працівників НКЦПФР, проведення спеціальної перевірки;
4) ведення діловодства у сфері управління персоналом, діяльності з внутрішнього аудиту, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку та іншої інформації з питань, що належать до компетенції НКЦПФР;
5) формування складу комітетів НКЦПФР, Консультаційно-експертної ради при НКЦПФР, Бюджетної ради НКЦПФР та інших робочих органів, які створюються НКЦПФР та Консультаційно-експертною радою при НКЦПФР.
10. Підставами для обробки персональних даних можуть бути:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) необхідність виконання обов’язку володільця та/або розпорядника персональних даних, який передбачений законодавством.
11. Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Можливість надання згоди може бути реалізована автоматизованими засобами обробки даних у підсистемах комплексної інформаційно-комунікаційної системи НКЦПФР (далі – КІС), зокрема засобами електронного кабінету користувача КІС.
III. Категорії суб’єктів та склад персональних даних
12. НКЦПФР здійснює обробку персональних даних таких категорій суб’єктів:
1) учасників ринків капіталу та організованих товарних ринків, отриманих за результатами подання звітних даних та іншої інформації, відповідно до нормативно-правових актів НКЦПФР (далі – регламентовані дані) або надання адміністративних послуг;
2) працівників НКЦПФР (членів їх сімей) та кандидатів на зайняття вакантних посад, призначення на які здійснюється НКЦПФР;
4) осіб, обробка персональних даних яких здійснюється під час проведення спеціальної перевірки відповідно до
Закону України "Про запобігання корупції" та в процесі перевірок учасників ринків капіталу та організованих товарних ринків;
5) делегованих представників державних органів або інститутів громадянського суспільства, які є кандидатами на включення до складу комітетів НКЦПФР, Консультаційно-експертної ради при НКЦПФР, Бюджетної ради НКЦПФР та інших робочих органів, які створюються НКЦПФР та Консультаційно-експертною радою при НКЦПФР.
13. Склад персональних даних, які обробляються НКЦПФР, залежить від категорії суб’єкта персональних даних.
14. НКЦПФР здійснює обробку таких персональних даних учасників ринків капіталу та організованих товарних ринків, отриманих за результатами подання регламентованих даних або надання адміністративних послуг: прізвище, власне ім’я, по батькові (за наявності); дата і місце народження; реквізити паспорта громадянина України (назва документа, серія (за наявності), номер, дата видачі та уповноважений суб’єкт, що видав документ); реєстраційний номер облікової картки платника податків (крім осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті); реквізити паспорта громадянина України для виїзду за кордон (назва документа, серія (за наявності), номер, дата видачі та уповноважений суб’єкт, що видав документ); відомості про адресу задекларованого / зареєстрованого місця проживання (перебування); контактний номер телефону, електронна адреса (адреса електронної пошти); інформація про освіту; інші персональні дані, необхідність обробки яких пов’язана з вимогами законодавства до посади та/або виконання функціональних повноважень.
15. НКЦПФР здійснює обробку таких персональних даних працівників (членів їх сімей), кандидатів на зайняття вакантних посад, призначення на які здійснюється НКЦПФР, та осіб, звільнених з НКЦПФР (у межах строку зберігання, передбаченого законодавством): прізвище, власне ім’я, по батькові (за наявності); дата і місце народження; реквізити паспорта громадянина України (назва документа, серія (за наявності), номер, дата видачі та уповноважений суб’єкт, що видав документ); реєстраційний номер облікової картки платника податків (крім осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку у паспорті); реквізити паспорта громадянина України для виїзду за кордон (назва документа, серія (за наявності), номер, дата видачі та уповноважений суб’єкт, що видав документ); відомості про адресу задекларованого / зареєстрованого місця проживання (перебування); відомості про засоби зв’язку; відомості про трудову діяльність; відомості про освіту, наявність спеціальних знань або підготовки; відомості, що містяться у державному сертифікаті про рівень володіння державною мовою, виданому Національною комісією зі стандартів державної мови; відомості про сімейний стан та склад сім’ї; відомості про відсутність судимості; військово-облікові дані; біографічні дані; відомості про наявність прав на пільги та компенсації; фотографічні зображення; інші персональні дані, необхідність обробки яких визначена законодавством.
16. НКЦПФР здійснює обробку таких персональних даних осіб, які звертаються в порядку, визначеному Законами України
"Про звернення громадян",
"Про доступ до публічної інформації": дані, які стосуються особи та надаються нею у заявах, судових запитах (дорученнях, клопотаннях), запитах, зверненнях, адвокатських запитах.
17. НКЦПФР здійснює обробку персональних даних під час проведення спеціальної перевірки у обсягах та у порядку визначених
Законом України "Про запобігання корупції".
18. НКЦПФР здійснює обробку персональних даних під час проведення перевірок учасників ринків капіталу та організованих товарних ринків, зокрема: прізвище, власне ім’я, по батькові (за наявності), дата та місце народження, відомості про освіту, наявність спеціальних знань або підготовки, періоди роботи і займані посади, реєстраційний номер облікової картки платника податків (крім осіб, які через свої релігійні переконання відмовляється від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відповідну відмітку у паспорті), відомості про засоби зв’язку.
19. НКЦПФР здійснює обробку таких персональних даних делегованих представників державних органів або інститутів громадянського суспільства, які є кандидатами на включення до складу комітетів НКЦПФР, Консультаційно-експертної ради при НКЦПФР, Бюджетної ради НКЦПФР та інших робочих органів, які створюються НКЦПФР та Консультаційно-експертною радою при НКЦПФР: прізвище, власне ім’я, по батькові (за наявності), дата і місце народження, відомості про освіту, відомості щодо трудової та/або громадської діяльності, засоби зв’язку, біографічні дані, фотографічні зображення.
IV. Порядок обробки персональних даних
20. Спосіб збирання, накопичення та зберігання персональних даних:
1) збирання персональних даних учасників ринків капіталу та організованих товарних ринків, здійснюється за результатами подання регламентованих даних та надання адміністративних послуг, які надає НКЦПФР.
Накопичення та зберігання таких персональних даних здійснюється в підсистемах КІС;
2) збирання персональних даних працівників НКЦПФР та кандидатів на зайняття вакантних посад, призначення на які здійснюється НКЦПФР, здійснюється шляхом надання ними відповідних документів, визначених законодавством, зокрема, законодавством про працю, з питань ведення військового обліку та антикорупційним законодавством.
Накопичення таких персональних даних здійснюється згідно з вимогами законодавства про працю.
Накопичення та зберігання персональних даних здійснюється в підсистемах КІС та/або в паперовій формі;
3) персональні дані осіб, які звертаються до НКЦПФР відповідно до Законів України
"Про звернення громадян",
"Про доступ до публічної інформації", збираються шляхом використання відомостей про таких осіб, зазначених ними у заявах, запитах, зверненнях, адвокатських запитах, та інформації в паперовій та/або електронній формах, що надходить від підприємств, установ і організацій, у відповідь на подані відповідно до законодавства запити.
Накопичення та зберігання персональних даних вказаної категорії суб’єктів здійснюється за допомогою системи електронного документообігу та/або в паперовій формі;
4) збирання персональних даних делегованих представників державних органів або інститутів громадянського суспільства, які є кандидатами на включення до складу комітетів НКЦПФР, Консультаційно-експертної ради при НКЦПФР, Бюджетної ради НКЦПФР та інших робочих органів, які створюються НКЦПФР та Консультаційно-експертною радою при НКЦПФР, здійснюється шляхом їх подання делегованими представниками та відповідними інститутами громадянського суспільства.
Накопичення та зберігання персональних даних вказаної категорії суб’єктів здійснюється за допомогою системи електронного документообігу та/або в паперовій формі;
5) суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені
Законом України "Про захист персональних даних", мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних у письмовій (електронній або паперовій) формі у повідомленні про обробку персональних даних (додаток 1);
в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних. Персональні дані збираються шляхом заповнення у письмовій (електронній або паперовій) формі згоди на обробку персональних даних (додаток 2);
в інших випадках протягом тридцяти робочих днів з дня збору персональних даних, крім випадків, встановлених законом;
6) повідомлення про обробку персональних даних (у паперовому вигляді) оформлюється тим самостійним структурним підрозділом НКЦПФР, у якому здійснюється накопичення цих персональних даних.
21. Строки та умови зберігання персональних даних:
1) персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством;
2) персональні дані працівників НКЦПФР та кандидатів на зайняття вакантних посад, призначення на які здійснюється НКЦПФР, зберігаються протягом строку, визначеного законодавством;
3) персональні дані осіб, які звертаються до НКЦПФР в порядку, визначеному Законами України
"Про звернення громадян" та
"Про доступ до публічної інформації" та осіб, обробка персональних даних яких здійснюється під час проведення спеціальної перевірки, зберігаються протягом 5 років з дня звернення або проведення спеціальної перевірки;
4) персональні дані делегованих представників державних органів або інститутів громадянського суспільства, які є кандидатами на включення до складу комітетів НКЦПФР, Консультаційно-експертної ради при НКЦПФР, Бюджетної ради НКЦПФР та інших робочих органів, які створюються НКЦПФР та Консультаційно-експертною радою при НКЦПФР, зберігаються в НКЦПФР протягом двох років з дня затвердження складу відповідного органу;
5) забезпечення збереженості та цілісності персональних даних здійснюється відповідно до вимог розділу V цього Порядку.
22. Внесення змін, видалення або знищення персональних даних:
1) працівники структурних підрозділів НКЦПФР, які здійснюють обробку персональних даних в обсягах, визначених їх посадовими інструкціями, переглядають персональні дані на предмет їх актуальності та достовірності відповідно до законодавства;
2) зміни до персональних даних вносяться на підставі:
актуалізованих даних, отриманих у складі поданих учасниками ринків капіталу та організованих товарних ринків регламентованих даних;
актуалізованих даних, отриманих в ході надання адміністративних послуг;
вмотивованої письмової вимоги суб’єкта персональних даних;
припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
рішення суду, що набрало законної сили;
звернення інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних;
3) персональні дані видаляються або знищуються у спосіб, що виключає подальшу можливість поновлення таких персональних даних;
4) у разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені (актуалізовані) або знищені;
5) персональні дані підлягають видаленню (знищенню) у разі:
закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
припинення правовідносин між суб’єктом персональних даних та НКЦПФР, якщо інше не передбачено законом або визначено строком зберігання документів, в яких містяться такі персональні дані;
видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини;
набрання законної сили рішенням суду щодо видалення або знищення персональних даних;
6) персональні дані, зібрані з порушенням вимог
Закону України "Про захист персональних даних", підлягають видаленню або знищенню у встановленому законодавством порядку;
7) суб’єкт персональних даних має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
8) якщо за результатами розгляду такої вимоги, зазначеної к підпункті 7 цього пункту, виявлено, що персональні дані суб’єкта обробляються незаконно або є недостовірними, НКЦПФР припиняє обробку персональних даних суб’єкта та інформує про це суб’єкта персональних даних.
23. Доступ до персональних даних:
1) працівники НКЦПФР, які мають доступ до персональних даних, мають бути ознайомлені з вимогами
Закону України "Про захист персональних даних" та інших нормативно-правових актів у сфері захисту персональних даних;
2) працівники НКЦПФР, які мають доступ до персональних даних, зобов’язані:
запобігати втраті персональних даних та їх неправомірному використанню;
не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків (таке зобов’язання залишається чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених
Законом України "Про захист персональних даних");
3) працівники, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних (додаток 3) та передають на зберігання до департаменту управління персоналом НКЦПФР.
Кожен із цих працівників користується доступом лише до тих персональних даних (їх частин) суб’єктів, які необхідні у зв’язку з виконанням ними своїх професійних, службових або трудових обов’язків;
4) відомості про працівників НКЦПФР, які надали письмове зобов’язання про нерозголошення персональних даних, заносяться до Журналу реєстрації зобов’язань про нерозголошення персональних даних (додаток4), який ведеться департаментом управління персоналом НКЦПФР;
5) суб’єкт персональних даних має право на одержання від НКЦПФР будь-яких відомостей про себе без зазначення мети запиту, крім випадків, установлених законом.
24. Умови передачі персональних даних третім особам:
1) передача персональних даних третім особам здійснюється у випадках, передбачених законодавством;
2) передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародними договорами України.
V. Заходи забезпечення захисту персональних даних
25. Обробка персональних даних в самостійних структурних підрозділах НКЦПФР здійснюється відповідно до законодавства у сфері захисту персональних даних.
26. Обробка персональних даних здійснюється у спосіб, що унеможливлює доступ до них сторонніх осіб.
Працівники, які відповідно до посадових обов’язків здійснюють обробку персональних даних, допускаються до обробки лише після їх авторизації у відповідних системах.
27. Обробка персональних даних в інформаційно-комунікаційних системах НКЦПФР здійснюється відповідно до законодавства у сфері захисту інформації в інформаційно-комунікаційних системах.
З метою забезпечення безпеки обробки персональних даних вживаються програмні, технічні та організаційні заходи захисту, у тому числі щодо унеможливлення несанкціонованого доступу до персональних даних та технічного й програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
28. Під час обробки персональних даних повинен забезпечуватися їхній захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення. Запобігання інцидентам інформаційної безпеки, пов’язаним з несанкціонованим доступом до персональних даних, здійснюється відповідно до норм політики інформаційної безпеки, прийнятої в НКЦПФР.
29. Організація роботи, пов’язаної з обробкою та захистом персональних даних у самостійних структурних підрозділах офісу НКЦПФР, покладається на їх керівників.
30. Керівники самостійних структурних підрозділів НКЦПФР у межах своїх повноважень забезпечують:
1) контроль за виконанням встановлених законодавством вимог із забезпечення захисту персональних даних;
2) збереженість персональних даних, обмеженість доступу до них інших осіб;
3) організацію обробки персональних даних працівниками відповідного самостійного структурного підрозділу відповідно до службових обов’язків в обсязі, необхідному для виконання таких обов’язків та доручень керівництва НКЦПФР.
31. Організація та координація діяльності, пов’язаної з обробкою та захистом персональних даних у НКЦПФР, покладається на відповідальну особу, визначену наказом Керівника офісу НКЦПФР (далі – відповідальна особа).
32. Відповідальна особа зобов’язана:
1) організовувати роботу в НКЦПФР, пов’язану із захистом персональних даних при їх обробці;
2) знати законодавство України у сфері захисту персональних даних;
3) взаємодіяти з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами з питань запобігання та усунення порушень законодавства про захист персональних даних;
4) інформувати Голову НКЦПФР, Керівника офісу НКЦПФР або осіб, які виконують їх обов’язки, з питань додержання законодавства про захист персональних даних, у тому числі про виявлені порушення (чи наявну інформацію щодо можливих порушень) законодавства про захист персональних даних та/або цього Порядку з метою вжиття необхідних заходів;
5) інформувати та консультувати працівників НКЦПФР з питань додержання законодавства про захист персональних даних;
6) регулярно проводити навчання працівників НКЦПФР щодо впровадження норм, змін та доповнень до законодавства, що регулює правові відносини, пов’язані із захистом і обробкою персональних даних;
7) аналізувати загрози безпеці персональних даних.
33. Відповідальна особа має право:
1) отримувати необхідні документи, пов’язані з обробкою персональних даних;
2) користуватися доступом до будь-якої інформації, яка обробляється НКЦПФР, пов’язаної з обробкою персональних даних, якщо це не суперечить законодавству.
Директор департаменту інформаційних технологій | Андрій ЗАЇКА |
Додаток 1
до Порядку захисту
та обробки персональних даних,
які обробляються Національною комісією
з цінних паперів та фондового ринку
у зв’язку з виконанням
покладених на неї завдань
(підпункт 5 пункту 20 розділу IV)
Повідомлення
про обробку персональних даних
Додаток 2
до Порядку захисту
та обробки персональних даних,
які обробляються Національною комісією
з цінних паперів та фондового ринку
у зв’язку з виконанням
покладених на неї завдань
(підпункт 5 пункту 20 розділу IV)
Згода
на збір та обробку персональних даних
Додаток 3
до Порядку захисту
та обробки персональних даних,
які обробляються Національною комісією
з цінних паперів та фондового ринку
у зв’язку з виконанням
покладених на неї завдань
(підпункт 3 пункту 23 розділу IV)
Зобов’язання
про нерозголошення персональних даних
Додаток 4
до Порядку захисту
та обробки персональних даних,
які обробляються Національною комісією
з цінних паперів та фондового ринку
у зв’язку з виконанням
покладених на неї завдань
(підпункт 4 пункту 23 розділу IV)
Журнал
реєстрації зобов’язань про нерозголошення персональних даних
( Текст Рішення доданий до листа Національної комісії з цінних паперів та фондового ринку від 11.07.2025 № 15/01/11751 )