ПОЛОЖЕННЯ ПРО ОБРОБКУ І ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
Дане положення про обробку і захист персональних даних, що отримуються Кредитодавцем на веб-сайті www.kredytor.com.ua є обов’язковим для застосування відповідальною особою та співробітниками Кредитодавця, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків.
1. Визначення термінів
База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Відповідальна особа
— визначена особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону.
Згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди (в тому числі надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних).
Знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу.
Загальнодоступні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб’єкта персональних даних.
Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа.
Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця. Не є розпорядником бази персональних даних особа, якій володільцем та/або розпорядником бази персональних даних доручено здійснювати роботи технічного характеру з базою персональних даних без доступу до змісту персональних даних.
Суб’єкт персональних даних - фізична особа, персональні дані якої обробляються.
Третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
2. Мета обробки персональних даних
2.1. Метою обробки персональних даних є накопичення та зберігання даних Суб’єктів персональних даних – Позичальників, які користуються послугами відокремлених підрозділів фінансової установи, що використовують знак для товарів і послуг «КРЕДИТОР®» на законних підставах для реалізації цивільно-правових відносин, надання/повернення кредитів, здійснення розрахунків за надані послуги, надання інформації про товари/послуги Володільця персональних даних.
2.2. Володілець персональних даних має право передавати персональні дані Суб’єкта персональних даних третім особам в межах договорів про співробітництво або надання послуг, які укладені Володільцем персональних даних з такими третіми особами.
3. Порядок обробки персональних даних
3.1. Згода на обробку персональних даних є добровільним волевиявленням Суб’єкта персональних даних щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки.
3.2. Згода Суб’єкта персональних даних може бути надана у одній з наступних форм:
● документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ і фізичну особу;
● електронний документ, який має містити обов’язкові реквізити, що дають змогу ідентифікувати цей документ та фізичну особу, який може бути підписаний електронним цифровим підписом.
● відмітка на електронній сторінці документа чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень.
3.3. Згода Суб’єкта персональних даних надається:
3.3.1. під час оформлення цивільно-правових відносин відповідно до чинного законодавства.
3.3.2. шляхом подання окремого документа Володільцю персональних даних без оформлення цивільно-правових відносин.
3.4. Повідомлення Суб’єкта персональних даних про мету збору та обробки персональних даних, про включення його персональних даних до бази персональних даних, а також про права, визначені Законом України «Про захист персональних даних» та осіб, яким передаються його персональні дані здійснюється під час оформлення цивільно-правових відносин відповідно до чинного законодавства або під час подання Володільцю персональних даних документу, визначеного п. 3.3.2. даного Положення.
3.5. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних забороняється.
3.6. Підстави для обробки персональних даних:
3.6.1. згода суб’єкта персональних даних на обробку його персональних даних;
3.6.2. дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3.6.3. укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
3.6.4. захист життєво важливих інтересів суб’єкта персональних даних;
3.6.5. необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
3.6.6. необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
3.7. Зміни і доповнення до персональних даних
3.7.1. Володільці чи розпорядники персональних даних зобов'язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб'єкта персональних даних.
3.7.2. Володільці чи розпорядники персональних даних зобов’язані вносити зміни до персональних даних також за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних чи відповідна зміна здійснюється згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.
3.7.3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.
3.8. Повідомлення про дії з персональними даними
3.8.1. Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.
3.8.2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:
- передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
- виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
- здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
- повідомлення суб’єкта персональних даних про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних або в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
3.8.3. Про зміну, видалення чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
4. Умови розкриття інформації про персональні дані третім особам
4.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.
4.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.
4.3. Усі працівники володільця бази персональних даних зобов’язані додержуватися вимог конфіденційності щодо персональних даних та інформації.
4.4. Розкриття інформації про персональні дані третім особам здійснюється на підставі запиту.
4.4.1. Запит про розкриття інформації повинен містити:
- прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
- найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
- прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
- відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
- перелік персональних даних, що запитуються;
- мета запиту.
4.4.2. Допускається відмова у доступі до персональних даних, якщо доступ до них заборонено згідно із законом.
4.4.3. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
4.4.4. Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
4.4.5. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
5. Захист персональних даних
5.1. Відповідальна особа організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону. Відповідальна особа визначається наказом Володільця бази персональних даних.
5.2. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, щодо обробки і захисту персональних даних у базах персональних даних.
5.3. Працівники, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.
5.4. Особи, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно законодавства України.
6. Права суб’єкта персональних даних
6.1. Суб’єкт персональних даних має право:
6.1.1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
6.1.2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
6.1.3. на доступ до своїх персональних даних;
6.1.4. отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
6.1.5. пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6.1.6. пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
6.1.7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
6.1.8. звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
6.1.9. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
6.1.10. вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
6.1.11. відкликати згоду на обробку персональних даних;
6.1.12. знати механізм автоматичної обробки персональних даних;
6.1.13. на захист від автоматизованого рішення, яке має для нього правові наслідки.
7. Порядок роботи з запитами суб’єкта персональних даних
7.1. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.
7.2. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.
7.3. Суб’єкт персональних даних подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.
У запиті зазначаються:
• прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує особу суб’єкта персональних даних;
• інші відомості, що дають змогу ідентифікувати особу суб’єкта персональних даних;
• відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
• перелік персональних даних, що запитуються.
7.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
7.5. Протягом цього строку володілець бази персональних даних доводить до відома суб’єкта персональних даних, що запит буде задоволене або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
7.6. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.