ПОЛОЖЕННЯ ПРО ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Київ – 2020

ЗМІСТ

РОЗДІЛ 1. Загальні положення

1.1. Загальні вимоги та сфера застосування

1.2. Визначення термінів

1.3. Мета обробки персональних даних

1.4. Бази персональних даних, володільцем та розпорядником яких є Товариство

1.5. Склад персональних даних, які обробляються Товариством

1.6. Про права суб’єктів персональних даних

РОЗДІЛ 2. Порядок обробки персональних даних володільцем та/або розпорядником яких є Товариство

2.1. Підстави для обробки персональних даних

2.2. Спосіб збору та накопичення персональних даних

2.3. Обробка персональних даних

2.4. Особливі вимоги до обробки персональних даних

2.5. Повідомлення про обробку персональних даних

РОЗДІЛ 3. Строк, умови зберігання та знищення персональних даних Товариством

РОЗДІЛ 4. Порядок доступу до персональних даних

4.1. Доступ працівників Товариства

4.2. Доступ суб’єктів персональних даних

4.3. Доступ третіх осіб

РОЗДІЛ 5. Захист персональних даних

1. Загальні положення

1.1. Загальні вимоги та сфера застосування

Це Положення про порядок обробки персональних даних (надалі – «Положення») є публічним оголошенням, що адресується невизначеному колу суб’єктів персональних даних, які тим чи іншим чином вступають у відносини з Товариством з обмеженою відповідальністю «БОССОМ ГРУП» (надалі – «Товариство»), про мету, підстави, основні принципи, правила та застереження при обробці їх персональних даних Товариством.

Це Положення розроблено відповідно до Закону України «Про захист персональних даних» (надалі – «Основний Закон»), Закону України «Про інформацію», Закону України «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних», Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08.01.2014 № 1/02-14, а також інших нормативно-правових актів, які регулюють відносини у сфері захисту персональних даних. 

Метою цього Положення є виконання вимог законодавства в галузі інформації в цілому та зокрема Основного Закону, здійснення врегулювання відносини з суб’єктами персональних даних. 

Товариство здійснюватиме посилання на це Положення в правочинах, які укладатимуться його представниками від імені Товариства, в своїх офіційних зверненнях та оголошеннях, при наданні послуг та очікує, що клієнти Товариства, представники клієнтів та контрагентів Товариства, користувачі інтернет-ресурсів Товариства, на яких розміщене дане Положення, інші зацікавлені особи також будуть ознайомлюватися з ним. 

Товариство також залишає за собою право трактувати відсутність офіційно виражених заперечень відносно предмету та змісту Положення з боку суб’єктів персональних даних, як підтвердження того, що вони ознайомилися з ним, Положення їм зрозуміле та вони приймають закріплений у Положенні порядок обробки своїх персональних даних Товариством. 

Поряд з врегулюванням відносин з суб’єктами персональних даних із застосуванням цього Положення у правочинах, що вчиняються Товариством з його клієнтами та контрагентами, можуть передбачатися інші механізми регулювання, без посилання на це Положення. 

Положення дає визначення основним поняттям, що стосуються персональних даних, містить мету обробки персональних даних, права суб’єктів персональних даних, порядок захисту персональних даних, інші вимоги законодавства України із захисту персональних даних. 

1.2. Визначення термінів

У цьому Положенні нижченаведені терміни вживаються в такому значенні: 

База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Бази персональних даних, в яких Товариством здійснюється обробка персональних даних, мають назви «Учасники», «Контрагенти», «Клієнти» та «Працівники». 

Товариство – володілець персональних даних, яке посилається на дане Положення, якому за законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, який цим Положенням затверджує мету обробки персональних даних, встановлює склад цих даних та порядок їх обробки.

Згода – добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання безумовної згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки. 

Клієнт – суб’єкт персональних даних, який взаємодіє у відносинах з Товариством як представник юридичної особи, фізичної особи-підприємця, фізичної особи, яка здійснює незалежну професійну діяльність, або фізичної особи без статусу суб’єкта господарювання, або самостійно з метою отримання послуг, які надає Товариство (як платних так і безоплатних), та персональні дані якого обробляються Товариством в базі персональних даних «Клієнти» з метою, що визначається цим Положенням. 

Контрагент – суб’єкт персональних даних, який взаємодіє у відносинах з Товариством як представник юридичної особи, фізичної особи-підприємця, фізичної особи, яка здійснює незалежну професійну діяльність, або фізичної особи без статусу суб’єкта господарювання, або самостійно з метою надання Товариству послуг (як платних так і безоплатних), чи поставку товарів, та персональні дані якого обробляються Товариством в базі персональних даних «Контрагенти» з метою, що визначається цим Положенням. 

Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем. 

Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Правочин – будь-який цивільно-правовий або господарсько-правовий договір, стороною якого є Товариство, незалежно від його форми та предмету, в тому числі, доповнення до таких договорів, угоди про внесення змін, документи, що підтверджують дії, спрямовані на укладення, виконання, зміну та припинення будь-яких з цих договорів. 

Розпорядник персональних даних та/або Комерційний представник – фізична особа чи юридична особа, якій Товариством або законом надано право обробляти персональні дані від імені Товариства на підставі укладеного договору. 

Строк обробки персональних даних – період часу, протягом якого Товариство здійснює обробку персональних даних суб’єкта персональних даних, який обчислюється з моменту отримання Товариством персональних даних та згоди на обробку персональних даних та не перевищує гранично можливого строку, визначеного законодавством України у сфері архівної справи та діловодства. 

Суб’єкт персональних даних – фізична особа, персональні дані якої обробляються.

Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, Товариства чи Розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій Товариством чи Розпорядником персональних даних здійснюється передача персональних даних.

Учасник (засновник) Товариства – суб’єкт персональних даних, представник юридичної особи, фізичної особи, яка здійснює незалежну професійну діяльність, або фізичної особи без статусу суб’єкта господарювання, або самостійно, який діє у відносинах з Товариством як особа яка брала участь у створенні Товариства, наділена правами та обов’язками відповідно до чинного законодавства України та статутних документів Товариства, та персональні дані якого обробляються Товариством в базі персональних даних «Учасники» з метою, що визначається цим Положенням. 

Уповноважений представник державної влади з питань захисту персональних даних – Уповноважений Верховної Ради України з прав людини (надалі – «Уповноважений»).

1.3. Мета обробки персональних даних

Метою обробки персональних даних Товариством є:

  • забезпечення захисту та реалізації конституційних, цивільно-правових, трудових відносин, адміністративно-правових та інших відносин, що вимагають обробки персональних даних, податкових відносин та відносин в сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
  • здійснення господарської діяльності, в тому числі, надання послуг Товариством, здійснення пов’язаних із цим операцій, укладання договорів на правову допомогу тощо, отримання Товариством послуг;
  • ділового листування, в тому числі, надання відповідей на запити державних органів;
  • підготовки відповідно до вимог законодавства та внутрішньої документації Товариства статистичної, адміністративної та іншої звітної інформації з питань діяльності Товариства;
  • дотримання вимог законодавства в сфері оподаткування;
  • забезпечення комунікацій з контрагентами та їх представниками, забезпечення посередницьких правовідносин;
  • проведення маркетингових заходів, досліджень та компаній, аналізу споживчих настроїв;
  • встановлення та підтримання правовідносин в галузі праці, працевлаштування, стажування, зайнятості у випадках комунікацій з суб’єктами, які зв’язуються загальнодоступними каналами комунікацій з Товариством з метою надати інформацію про себе, яка містить персональні дані таких суб’єктів та покликана зацікавити Товариство у встановленні з такими суб’єктами трудових відносин;
  • забезпечення прав та законних інтересів Товариства та зацікавлених осіб.

Окремими застереженнями, зробленими Товариством та його контрагентом в правочинах між ними, може бути передбачена також інша, не зазначена в цьому Положенні мета обробки.

У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.

1.4 Бази персональних даних, володільцем та розпорядником яких є Товариство

Товариство обробляє персональні дані Суб’єктів в базі персональних даних «Контрагенти», «Клієнти», «Учасники» та «Працівники», персональні дані суб’єктів, які самостійно звертаються до Товариства та надають йому свої персональні дані. Товариство обробляє такі персональні дані: 

  • в базі «Контрагенти» з метою, що визначається цим Положенням, у випадках комунікацій з суб’єктами, які є працівниками, представляють чи діють в інтересах осіб, що є контрагентами Товариства, та в обсязі, якому такі суб’єкти надають інформацію про себе (ділове спілкування, комунікації, пов’язані з укладенням та виконанням правочинів);
  • в базі «Клієнти» з метою, що визначається цим Положенням, у випадках комунікацій з суб’єктами, які виявили намір отримати послуги, які надає Товариство, або виступають в якості офіційних представників суб’єктів або осіб, що є клієнтами Товариства (включаючи співробітників, агентів, засновників), та в обсязі, в якому такі суб’єкти надають Товариству інформацію про себе;
  • в базі «Учасники» з метою, що визначається цим Положенням, у випадках комунікацій з суб’єктами, які є працівниками, представляють чи діють в інтересах осіб, що є учасником (засновником) Товариства, та в обсязі, якому такі суб’єкти надають інформацію про себе;
  • в базі «Працівники» з метою встановлення та підтримання правовідносин в галузі праці, працевлаштування, стажування, зайнятості у випадках комунікацій з суб’єктами, які зв’язуються загальнодоступними каналами комунікацій з Товариством з метою надати інформацію про себе, яка містить персональні дані таких суб’єктів, покликана зацікавити Товариство у встановленні з такими суб’єктами трудових відносин (здобувачі вакантних посад, особи, які бажають пройти виробничу практику тощо).

В усіх цих випадках Товариство виходить з того, що, звертаючись до Товариства, такі суб’єкти персональних даних автоматично надали згоду на обробку своїх персональних даних протягом необхідного для цього строку та відповідно до зазначеної в цьому Положенні мети, оскільки в іншому випадку вони б не звернулися до Товариства.

1.5. Склад персональних даних, які обробляються Товариством

Відомості про суб’єкта персональних даних, пов’язаних з ними осіб, членів сім’ї, родичів, поручителів, контактних осіб та представників суб’єкта персональних даних, відображені в правочинах, документах юридичних справ та інформаційних (автоматизованих) системах, базах Товариства, є персональними даними, які обробляються в базах персональних даних «Контрагенти», «Клієнти», «Учасники» та «Працівники». Зокрема, в таких базах персональних даних обробляються відомості про: 

  • прізвище, ім’я та по батькові (за наявності) суб’єкта; 
  • паспортні дані (включаючи громадянські та закордонні паспорти, посвідки на постійне чи тимчасове проживання та інші документи, які посвідчують особу); 
  • реєстраційний номер облікової картки платника податків (в тих випадках, коли він є у особи) або дані про відмову в отриманні такого номеру; 
  • особисті відомості (вік, стать, дата і місце народження, сімейний стан, склад сім`ї та кількість утриманців, прізвища, ім’я, по батькові таких осіб, їх стать, вік, місце реєстрації та проживання, контактні дані тощо)
  • громадянство (підданство) або відсутність відношення до громадянства (підданства); 
  • резидентність суб’єкта; 
  • зразок особистого підпису; 
  • дані про реєстрацію суб’єкта в якості особи, яка займається незалежною професійною діяльністю, або фізичної особи-підприємця; 
  • автобіографію, резюме; 
  • місце постійного проживання або тимчасового перебування, строк проживання, місце реєстрації; 
  • контактних осіб (прізвища, ім’я, по батькові таких осіб, їх дата народження, номери телефонів, адреса електронної поштової скриньки); 
  • професію, спеціалізацію, кваліфікаційний клас; 
  • робочий стаж та місця роботи; 
  • відношення до військового обов’язку; 
  • стан здоров’я в обсязі, який суб’єкт надасть добровільно; 
  • дані про звинувачення у скоєнні злочину або засудження до кримінального покарання, однозначну згоду на обробку яких надав суб’єкт; 
  • освіту (включаючи вчені звання, курси підвищення кваліфікації тощо), володіння мовами; 
  • наявність прав керування транспортними засобами та стаж керування; 
  • займані посади; 
  • запис зображення (фото, відео) та звукозапис; 
  • номери телефонів (робочих та особистих стаціонарних та мобільних), адреси електронної поштової скриньки (корпоративної та особистої), skype, факс тощо; 
  • реквізити банківських рахунків; 
  • ідентифікуючі дані контрагентів клієнта, які стали відомі Товариству, в зв’язку з наданням клієнту послуг; 
  • дані, які вимагаються законодавством в сфері здійснення фінансового моніторингу, з тих, що не зазначені вище; 
  • інші відомості, мета обробки яких співпадає з метою обробки персональних даних, та які будуть надані суб’єктом самостійно або отримані Товариством в процесі ведення Товариством своєї діяльності, в тому числі, але не виключно шляхом надання послуг. 

В будь-якому випадку, конкретний склад та зміст зібраних Товариством персональних даних суб’єкта міститься у первинних джерелах відомостей про суб’єкта, зокрема, у виданих на його ім’я документах, підписаних ним документах, відомостях, які суб’єкт надав Товариству про себе. 

1.6 Права суб’єктів персональних даних

Цим Положенням Товариство повідомляє суб’єктів персональних даних про включення їх персональних даних до баз персональних даних Товариства, а також про їх права як суб’єктів персональних даних, обумовлені ст. 8 Закону України «Про захист персональних даних», в тому числі: 

  • знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом; 
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються їх персональні дані; 
  • на доступ до своїх персональних даних; 
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються їх персональні дані, а також зміст таких персональних даних; 
  • пред’являти вмотивовану вимогу Товариства із запереченням проти обробки своїх персональних даних; 
  • пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними; 
  • на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи; 
  • звертатися із скаргами на обробку своїх персональних даних до Уповноваженого; 
  • застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних; 
  • вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди; 
  • відкликати згоду на обробку персональних даних; 
  • знати механізм автоматичної обробки їх персональних даних; 
  • на захист від автоматизованого рішення, яке має для них правові наслідки.

2. Порядок обробки персональних даних, володільцем та/або розпорядником яких є Товариство

2.1. Підстави для обробки персональних даних

Підставами для обробки персональних даних в базах персональних даних Товариства визначаються: 

  • згода суб’єкта персональних даних на обробку його персональних даних;
  • дозвіл на обробку персональних даних, наданий Товариству відповідно до закону, виключно для здійснення його повноважень;
  • укладення та виконання Правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
  • необхідність виконання обов’язку Товариства, який передбачений законом;
  • необхідність захисту законних інтересів Товариства або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

2.2. Спосіб збору та накопичення персональних даних

Збір персональних даних Товариством здійснюється шляхом:

  • отримання персональних даних безпосередньо від суб’єкта персональних даних;
  • отримання персональних даних від представників (за законом, за договором, за довіреністю) суб’єкта персональних даних;
  • отримання під час взаємодії Товариства з суб’єктом персональних даних;
  • отримання персональних даних від органів державної влади, місцевого самоврядування у випадках, передбачених чинним законодавством України.

Товариство накопичує персональні дані шляхом поєднання та систематизації персональних даних та їх зберігання в особових картках, особових справах, в інформаційних базах кадрових чи бухгалтерських програм.

2.3. Обробка персональних даних

Обробка персональних даних здійснюється Товариством лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається відповідно до діючого законовства. Згода суб’єкта персональних даних  на обробку персональних даних повинна бути добровільною та інформованою. Згода може надаватись у письмовій або в електронній формі, що дає змогу зробити висновок про її надання.

Суб’єкт персональних даних повідомляється Товариством про склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані: 

  • в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
  • в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більший, ніж це необхідно відповідно до мети їх обробки. В будь-якому випадку вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

У разі виявлення відомостей про особу,  які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

Суб’єкт персональних даних, який є представником Контрагента, надає Товариству дозвіл на обробку (в тому числі, збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання, поширення, розповсюдження, реалізацію, передачу будь-якій третій особі, знеособлення, видалення, знищення) та зберігання  його власних персональних даних з метою, яка співпадає з метою обробки персональних даних в базі «Контрагенти», володільцем якої є Товариство.

Клієнт надає Товариству дозвіл на обробку (в тому числі, збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання, поширення, розповсюдження, реалізацію, передачу будь-якій третій особі, знеособлення, видалення, знищення) та зберігання його власних персональних даних з метою отримання послуг Товариства та реалізації будь-якої співпраці між Товариством та Клієнтом. Також клієнт надає Товариству дозвіл передавати його персональні дані, в тому числі, але не виключно, розпорядникам (підприємствам, установам і організаціям усіх форм власності, органам державної влади чи органам місцевого самоврядування, фізичним особам-підприємцям, яким Товариством або чинним законодавством надано або буде надано право обробляти персональні дані), архівним установам та іншим особам, що надають Товариству послуги зберігання інформації та документів і пов’язані з цим послуги; учасникам та афілійованим особам Товариства та особам, що мають істотну участь в Товаристві і/або здійснюють контроль над Товариством; приватним особам та організаціям для забезпечення виконання останніми своїх функцій або надання послуг Товариству: відповідно до укладених між такими особами (організаціями) та Товариством договорів, у тому числі про відступлення права вимоги до клієнта; а також дозволяють зберігання персональних даних суб’єкта персональних даних протягом строку, визначеного внутрішніми документами Товариства з врахуванням вимог чинного законодавства України. Умови згоди клієнта не вимагають від Товариства повідомляти про передачу персональних даних клієнта третім особам. 

Працівник надає Товариству дозвіл на обробку (в тому числі, збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання, поширення, розповсюдження, реалізацію, передачу будь-якій третій особі, знеособлення, видалення, знищення) та збереження його власних персональних даних з метою реалізації правовідносин, що виникають між Товариством та його Працівниками. Також працівник надає Товариству дозвіл передавати його персональні дані, в тому числі, але не виключно, розпорядникам (підприємствам, установам і організаціям усіх форм власності, органам державної влади чи органам місцевого самоврядування, фізичним особам-підприємцям, яким Товариством або чинним законодавством надано або буде надано право обробляти персональні дані), архівним установам та іншим особам, що надають Товариству послуги зберігання інформації та документів і пов’язані з цим послуги; учасникам та афілійованим особам Товариства та особам, що мають істотну участь в Товаристві і/або здійснюють контроль над Товариством; приватним особам та організаціям для забезпечення виконання останніми своїх функцій або надання послуг Товариству: відповідно до укладених між такими особами (організаціями) та Товариством договорів, у тому числі про відступлення права вимоги до учасника; а також дозволяють зберігання персональних даних суб’єкта персональних даних протягом строку, визначеного внутрішніми документами Товариства з врахуванням вимог чинного законодавства України. Умови згоди працівника не вимагають від Товариства повідомляти про передачу персональних даних працівника третім особам. 

2.4. Особливі вимоги до обробки персональних даних

Товариством здійснюється обробка персональних даних, до яких застосовуються особливі вимоги обробки. До таких персональних даних відносяться: дані про засудження до кримінального покарання, дані, що стосуються здоров’я та біометричних даних суб’єкта персональних даних. 

Обробка персональних даних, до яких застосовуються особливі вимоги обробки, здійснюється Товариством на підставі надання суб’єктом персональних даних однозначної згоди на обробку таких даних та, в деяких випадках, на підставах передбачених Законом.

2.5. Повідомлення про обробку персональних даних

На вимогу дотримання положень Закону Товариство повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних упродовж 30 (тридцяти) робочих днів з дня початку такої обробки. 

Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим. 

Повідомлення про обробку персональних даних подається Товариства за формою та в порядку, визначеними Уповноваженим. 

Товариство на вимогу дотримання положень Закону також зобов’язується повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж 10 (десяти) робочих днів з дня настання такої зміни.

3. Строк, умови зберігання та знищення персональних даних Товариством

Персональні дані зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.

Персональні дані на паперових носіях зберігаються в наступних умовах:

  • кімната, в якій розміщені паперові носії з персональними даними, знаходиться у приміщенні, яке орендує Товариство та здійснює за вказаною адресою діяльність, чи у приміщенні особи, яка уповноважена на зберігання відповідних даних (адвокатські об’єднання, банківські чи архівні установи);
  • приміщення знаходиться у капітальній будівлі другого ступеню вогнестійкості;
  • дверні пройоми обладнані металевими дверима із закриваючим пристроєм;
  • віконні пройоми обладнані гратами;
  • приміщення обладнане камерами спостереження та пожежною сигналізацією.

Персональні дані у електронному вигляді зберігаються в наступних умовах:

  • в кадрових та бухгалтерських комп’ютерних програмах, які розміщені у приміщенні відповідного підрозділу;
  • комп’ютери, які містять персональні дані, захищені паролем, не мають з’єднань з міжнародною електронною мережею Інтернет, захищені антивірусним програмним забезпеченням;
  • доступ до комп’ютерів, які містять персональні дані, має лише співробітник, до посадових обов’язків якого входить обробка персональних даних відповідної категорії для виконання покладених на нього професійних чи службових або трудових обов’язків.

Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.

Відбір для знищення документів з персональними даними, терміни зберігання яких закінчилися, провадиться експертною комісією.

Знищення персональних даних проводиться у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

4. Порядок доступу до персональних даних

Усі персональні дані, крім знеособлених персональних даних, володільцем яких є Товариство, за режимом доступу є інформацією з обмеженим доступом.

4.1. Доступ працівників Товариства

Товариство веде облік працівників, які мають доступ до персональних даних суб’єктів. Товариство визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків. 

Усі інші працівники Товариства мають право на повну інформацію лише стосовно власних персональних даних. 

Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. 

Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником. 

Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних. 

У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

4.2. Доступ суб’єктів персональних даних

Доступ фізичної особи, чиї персональні дані обробляються Товариством, надається у порядку, передбаченому законодавством України та внутрішніми документами Товариства, на підставі письмового запиту фізичної особи – суб’єкта персональних даних. У запиті зазначаються: прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит. 

Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.

Клієнт, Контрагент мають право на отримання додаткової інформації, що стосується обробки персональних даних, у Товариства та/або Розпорядника персональних даних, шляхом відповідного письмового звернення до Товариства та/або Розпорядника персональних даних, у випадках встановлених чинним законодавством України.

4.3. Доступ третіх осіб

Даним положенням передбачається можливість доступу до персональних даних третіх осіб на підставі згоди суб’єкта персональних даних, наданої Товариству на обробку таких персональних даних, або (в деяких випадках) відповідно до вимог Закону. 

Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити. 

Для отримання доступу до персональних даних суб’єкт відносин, пов’язаних з персональними даними, подає Товариству запит, у якому зазначаються: 

  • прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи – заявника); 
  • найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника); 
  • прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит; 
  • відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних; 
  • перелік персональних даних, що запитуються; 
  • мета та/або правові підстави для запиту. 

Товариство вивчає запит на предмет його задоволення упродовж 10 (десяти) робочих днів з дня його надходження. 

Протягом цього строку Товариство доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави. 

Запит задовольняється протягом 30 (тридцяти) календарних днів з дня його надходження, якщо інше не передбачено Законом.

5. Захист персональних даних

Товариство вживає заходів щодо забезпечення захисту персональних даних на всіх етапах  їх обробки, у тому числі, за допомогою організаційних та технічних засобів.

Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

До організаційних заходів відносяться: 

  • визначення порядку доступу до персональних даних працівників Товариства; 
  • визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них; 
  • розробка плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій; 
  • регулярне навчання співробітників, які працюють з персональними даними. 

Товариством також визначається відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до Закону. Відповідальна особа призначається наказом керівника Товариства. Обов’язки відповідальної особи щодо організації роботи, пов’язаної із захистом персональних даних при їх обробці зазначаються у посадовій інструкції. Інформація про зазначену відповідальну особу повідомляється Уповноваженому, який забезпечує її оприлюднення. 

Товариство веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою Товариством зберігається інформація про: 

  • дату, час та джерело збирання персональних даних суб’єкта; 
  • зміну персональних даних; 
  • перегляд персональних даних; 
  • будь-яку передачу (копіювання) персональних даних суб’єкта; 
  • дату та час видалення або знищення персональних даних; 
  • працівника, який здійснив одну із указаних операцій; 
  • мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

Товариство самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних суб’єкта та доступу до них. У випадку обробки персональних даних суб’єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається Товариством упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України. 

З метою забезпечення безпеки обробки персональних даних Товариством також вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються, та роботи технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.