Положение об обработке и защите персональных данных

Данное положение об обработке и защите персональных данных, получаемых Кредитодателем на сайте www.kredytor.com.ua является обязательным для применения ответственным лицом и сотрудниками Кредитодателя, непосредственно осуществляющих обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

1. Определение терминов

База персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Владелец персональных данных - физическое или юридическое лицо, определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом.
Ответственное лицо - определенное лицо, которое организовывает работу, связанную с защитой персональных данных при их обработке в соответствии с законом.
Согласие субъекта персональных данных - добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки, высказанное в письменной форме или в форме, что позволяет сделать вывод о предоставлении согласия (в том числе предоставлена при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных).
Обезличивание персональных данных - изъятие сведений, которые позволяют прямо или косвенно идентифицировать личность.
Общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги, другие систематизированы сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с согласия субъекта персональных данных.
Обработка персональных данных - любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем.
Получатель - физическое или юридическое лицо, которому предоставляются персональные данные, в том числе третьего лица.
Персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Распорядитель персональных данных - физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца. Не является распорядителем базы персональных данных лицо, которому владельцем и/или распорядителем базы персональных данных поручено осуществлять работы технического характера с базой персональных данных без доступа к содержанию персональных данных.
Субъект персональных данных - физическое лицо, персональные данные которого обрабатываются.
Третье лицо - любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.

2. Цель обработки персональных данных

2.1. Целью обработки персональных данных является накопление и хранение данных субъектов персональных данных - Заемщиков, которые пользуются услугами обособленных подразделений финансового учреждения, использующих товарный знак «КРЕДИТОР®» на законных основаниях для реализации гражданско-правовых отношений, предоставление/возврате кредитов, осуществления расчетов за предоставленные услуги, предоставление информации о товарах/услугах владельцев персональных данных.
2.2. Владелец персональных данных имеет право передавать персональные данные Субъекта персональных данных третьим лицам в рамках договоров о сотрудничестве или оказании услуг, заключенным Владельцем персональных данных с такими третьими лицами.

3. Порядок обработки персональных данных

3.1. Согласие на обработку персональных данных является добровольным волеизъявлением субъекта персональных данных о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки.
3.2. Согласие субъекта персональных данных может быть предоставлено в одной из следующих форм:

  • документа на бумажном носителе с реквизитами, позволяет идентифицировать этот документ и физическое лицо;
  • электронного документа, который должен содержать обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо, который может быть подписан электронной цифровой подписью.
  • отметке на электронной странице документа или в электронном файле, обрабатываемой в информационной системе на основе документированных программно-технических решений.

3.3. Согласие субъекта персональных данных предоставляется:
3.3.1. при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
3.3.2. путем подачи отдельного документа владельцам персональных данных без оформления гражданско-правовых отношений.
3.4. Сообщение Субъекта персональных данных о цели сбора и обработки персональных данных, о включении его персональных данных в базу персональных данных, а также о правах, определенных Законом Украины «О защите персональных данных» и лиц, которым передаются его персональные данные осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством или при подаче владельцев персональных данных документа, определенного п. 3.3.2. настоящего Положения.
3.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, осуждения к уголовному наказанию, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных запрещается.
3.6. Основания для обработки персональных данных:
3.6.1. согласие субъекта персональных данных на обработку его персональных данных;
3.6.2. разрешение на обработку персональных данных, предоставленных владельцу персональных данных в соответствии с законом исключительно для осуществления его полномочий;
3.6.3. заключения и исполнения сделки, стороной которого является субъект персональных данных или который заключен в пользу субъекта персональных данных или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных;
3.6.4. защита жизненно важных интересов субъекта персональных данных;
3.6.5. необходимость исполнения обязанности владельца персональных данных, которая предусмотрена законом;
3.6.6. необходимость защиты законных интересов владельца персональных данных или третьего лица, которому передаются персональные данные, кроме случаев, когда необходимости защиты основных прав и свобод субъекта персональных данных в связи с обработкой его данных преобладают такие интересы.
3.7. Изменения и дополнения к персональным данным
3.7.1. Владельцы или распорядители персональных данных обязаны вносить изменения в персональные данные на основании мотивированного письменного требования субъекта персональных данных.
3.7.2. Владельцы или распорядители персональных данных обязаны вносить изменения в персональные данные также по обращению других субъектов отношений, связанных с персональными данными, если на это есть согласие субъекта персональных данных или соответствующее изменение осуществляется согласно предписанию Уполномоченного или определенных им должностных лиц секретариата Уполномоченного или по решению суда, вступившим в законную силу.
3.7.3. Изменение персональных данных, которые не соответствуют действительности, проводится безотлагательно с момента установления несоответствия.
3.8. Сообщение о действиях с персональными данными
3.8.1. О передаче персональных данных третьему лицу владелец персональных данных в течение десяти рабочих дней уведомляет субъекта персональных данных, если этого требуют условия его согласия или иное не предусмотрено законом.
3.8.2. Сообщения, указанные в части первой настоящей статьи, не производятся в случае:
- передачи персональных данных по запросам при выполнении задач оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом
- выполнение органами государственной власти и органами местного самоуправления своих полномочий, предусмотренных законом;
- осуществление обработки персональных данных в исторических, статистических или научных целях;
- уведомление субъекта персональных данных о владельце персональных данных, составе и содержание собранных персональных данных, свои права, определенные этим Законом, цель сбора персональных данных и лицах, которым передаются его персональные данные в момент сбора персональных данных, если персональные данные собираются в субъекта персональных данных или в других случаях в течение тридцати рабочих дней со дня сбора персональных данных.
3.8.3. Об изменении, удалении или уничтожении персональных данных или ограничение доступа к ним владелец персональных данных в течение десяти рабочих дней уведомляет субъекта персональных данных, а также субъектов отношений, связанных с персональными данными, которым эти данные были переданы.

4. Условия раскрытия информации о персональных данных третьим лицам

4.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленными владельцу базы персональных данных на обработку этих данных, или в соответствии с требованиями закона.
4.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не может их обеспечить.
4.3. Все работники владельца базы персональных данных обязаны соблюдать требования конфиденциальности в отношении персональных данных и информации.
4.4. Раскрытие информации о персональных данных третьим лицам осуществляется на основании запроса.
4.4.1. Запрос о раскрытии информации должен содержать:
- фамилию, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица - заявителя);
- наименование, местонахождение юридического лица, подающего запрос, должность, фамилию, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);
- фамилию, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;
- сведения о базе персональных данных, в отношении которого подается запрос, сведения о владельце или распорядителе персональных данных;
- перечень персональных данных, запрашиваемых;
- цель запроса.
4.4.2. Допускается отказ в доступе к персональным данным, если доступ к ним запрещен по закону.
4.4.3. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления.
4.4.4. В течение этого срока владелец персональных данных доводит до сведения лица, подающего запрос, запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.
4.4.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

5. Защита персональных данных

5.1. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом. Ответственное лицо определяется приказом владельца базы персональных данных.
5.2. Работники, непосредственно осуществляющие обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов, по обработке и защите персональных данных в базах персональных данных.
5.3. Работники, имеющие доступ к персональным данным, в том числе, осуществляют их обработку, обязаны не допускать разглашения, в любой способ, персональных данных, которые им было доверено или которые стали известны в связи с исполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действующее после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.
5.4. Лица, имеющие доступ к персональным данным, в том числе, осуществляют их обработку в случае нарушения ими требований Закона Украины «О защите персональных данных» несут ответственность согласно законодательству Украины.

6. Права субъекта персональных данных

6.1. Субъект персональных данных имеет право:
6.1.1. знать об источниках сбора, местонахождение своих персональных данных, цели их обработки, местонахождение или место жительства (пребывания) владельца или распорядителя персональных данных или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;
6.1.2. получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные;
6.1.3. на доступ к своим персональным данным;
6.1.4. получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются его персональные данные, а также получать содержание таких персональных данных;
6.1.5. предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
6.1.6. предъявлять мотивированное требование об изменении или уничтожение своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
6.1.7. на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочащих честь, достоинство и деловую репутацию физического лица ;
6.1.8. обращаться с жалобами на обработку своих персональных данных к Уполномоченному или в суд;
6.1.9. применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
6.1.10. вносить оговорки об ограничении права на обработку своих персональных данных при предоставлении согласия;
6.1.11. отозвать согласие на обработку персональных данных;
6.1.12. знать механизм автоматической обработки персональных данных;
6.1.13. на защиту от автоматизированного решения, которое имеет для него правовые последствия.

7. Порядок работы с запросами субъекта персональных данных

7.1. Субъект персональных данных имеет право на получение любых сведений о себе в любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.
7.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.
7.3. Субъект персональных данных подает запрос о доступе (далее - запрос) к персональным данным владельцу базы персональных данных.
В запросе указываются:
• Фамилию, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
• Другие сведения, позволяющие идентифицировать личность субъекта персональных данных;
• Сведения о базе персональных данных, в отношении которого подается запрос, сведения о владельце или распорядителе этой базы;
• Перечень персональных данных, запрашиваемых.
7.4. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления.
7.5. В течение этого срока владелец базы персональных данных доводит до сведения субъекта персональных данных, что запрос будет выполнен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.
7.6. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.