ПОВІДОМЛЕННЯ ПРО ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ ТА ПРАВА СУБ'ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИX
Шановні працівники, клієнти, потенційні клієнти, контрагенти та акціонери (учасники) АТ «КОМІНВЕСТБАНК» (далі по тексту - Банк), керівники (засновники/учасники/власники) юридичних осіб, представники юридичних осіб та фізичних осіб та інші фізичні особи (включаючи фізичних осіб-підприємців), з якими Банк має ділові відносини, на виконання вимог Закону України «Про захист персональних даних» Банк повідомляє Вас, про порядок обробки персональних даних та права суб’єктів персональних даних.
Банк здійснює банківську діяльність, в тому числі в сфері захисту банківської таємниці та персональних даних, виключно у відповідності до вимог чинного законодавства України та вживає всіх необхідних заходів з метою дотримання Конституції України, Закону України «Про банки і банківську діяльність», Закону України «Про захист персональних даних», інших законів та нормативно-правових актів України, Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та міжнародних договорів України.
Володілець персональних даних – АКЦІОНЕРНЕ ТОВАРИСТВО «КОМІНВЕСТБАНК», код ЄДРПОУ 19355562, місцезнаходження: Україна, 88000, м. Ужгород, вул. Гойди, 10
Основні терміни у сфері захисту персональних даних
Відповідно до ст.2 Закону України «Про захист персональних даних»:
- База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
- Банківська таємниця – інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку;
- Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
- Згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки;
- Знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
- Картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
- Клієнт банку - будь-яка фізична чи юридична особа, що користується послугами банку;
- Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
- Одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
- Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
- Розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
- Суб'єкт персональних даних - фізична особа, персональні дані якої обробляються;
- Третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
Мета обробки персональних даних
Банк здійснює обробку персональних даних із метою:
- надання Банком банківських, фінансових та інших послуг, які регулюються чинним законодавством України;
- виконання умов договорів, що були/будуть укладені Банком (у т.ч.: реалізації та захисту прав сторін за укладеними договорами);
- профілювання (здійснення автоматизованої обробки даних клієнтів, інших контрагентів з метою оцінки побудови стратегій розвитку, розробки та пропозиції продуктів та послуг Банку);
- забезпечення якості банківського обслуговування та безпеки в діяльності Банку;
- захисту законних інтересів Банку або третьої особи, якій Банком передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод фізичних осіб у зв’язку з обробкою їх даних переважають такі інтереси;
- запобігання використанню банківської системи для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення відповідно до вимог Законів України «Про банки і банківську діяльність» (далі - Закон про банки), «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» (далі - Закон про запобігання), а також Положення про здійснення банками фінансового моніторингу;
- дотримання Банком вимог чинного законодавства, зокрема з метою підготовки та подання статистичної, адміністративної та іншої звітності, а також з метою внесення зазначених даних до реєстрів позичальників та вкладників, до бюро кредитних історій, до реєстру обтяження майна, напрямки різного роду інформаційних повідомлень і т.д.;
- здійснення Банком прав та виконання обов’язків за іншими відносинами між Банком та суб’єктом персональних даних;
- реалізації інших повноважень, виконання функцій, обов’язків Банку, що передбачені законодавством України або не суперечать йому, зокрема для виконання рішень органів державної влади та органів нагляду за діяльністю Банку, судових рішень, рішень органів управління Банку.
Мета обробки Банком персональних даних суб’єктів персональних даних може змінюватися внаслідок зміни умов укладених з ними договорів або ділових відносин, змісту діяльності Банку, у тому числі у зв’язку із зміною законодавства України.
Обробка персональних даних з метою надання інформації/пропозиції про послуги Банку, зберігання персональних даних з метою виконання вимог законодавства України щодо порядку зберігання документів, не вважається несумісною обробкою та здійснюється Банком за умови забезпечення належного захисту персональних даних.
Підстави для обробки персональних даних
Обробка персональних даних здійснюється Банком з підстав, визначених статтею 11 Закону №2297, у тому числі:
- дозвіл на обробку персональних даних, що наданий Банку відповідно до закону і виключно для здійснення повноважень Банку;
- необхідність виконання обов’язку Банку, що передбачений законом України;
- укладення та виконання Банком правочину, стороною якого є також суб’єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;
- захист життєво важливих інтересів суб’єкта персональних даних;
- необхідність захисту законних інтересів Банку або третьої особи, якій Банком передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод фізичних осіб у зв'язку з обробкою його даних переважають такі інтереси;
- згода фізичної особи на обробку її персональних даних (у разі її надання).
Звернення фізичної особи до Банку або користування послугами Банку свідчить про згоду такої особи на обробку Банком її персональних даних у зв’язку із таким зверненням чи користуванням послугами Банку.
Банк обробляє персональні дані суб’єктів в тому числі, коли між такими суб’єктами та Банком не укладається окремих письмових правочинів, але вимоги нормативно-правових актів зобов’язують Банк при наданні окремих послуг обробляти персональні дані. Зокрема, у випадках здійснення касових операцій (оплата рахунків, грошові перекази без відкриття рахунків, валютно- обмінні операції тощо) або під час користування послугами банкоматів Банку (отримання готівки з використанням карток, емітентом яких не є Банк).
Обробка персональних даних в такий спосіб може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
Склад персональних даних, що обробляється, відповідає складу, що міститься в наданих Банку та підписаних суб’єктом касових платіжних документах або в чеках та квитанціях, які підтверджують здійснення операції.
Додатковими джерелами персональних даних таких суб’єктів можуть бути копії виданих на їх ім'я документів, якщо здійснення копіювання таких документів вимагається нормативно-правовими актами, які є обов’язковими для Банку.
В цих випадках згода суб’єкта на оброблення його персональних даних Банком вважається виявленою ним в зв’язку із здійсненням банківських операцій, отримання банківських послуг, яке супроводжується оформленням касових та/або первинних документів.
Заперечення особи щодо обробки персональних даних, необхідних Банку для виконання своїх зобов’язань, у т.ч. відкликання особою згоди на обробку даних, можуть стати підставою для припинення виконання Банком умов укладених договорів.
У разі відкликання фізичною особою згоди на обробку персональних даних без виконання нею процедур, необхідних для припинення договірних або інших відносин з Банком, Банк продовжуватиме обробку персональних даних в межах та обсягах, обумовлених реалізацією існуючих правовідносин та законодавством України, у т.ч. для захисту Банком своїх прав та законних інтересів за договорами.
Склад та зміст персональних даних, які обробляються Банком
- Відповідно до визначеної мети та підстав обробки, нормативно-правових актів, потреб діяльності Банку обробляються такі відомості суб’єкта персональних даних:
- прізвище, ім'я та по батькові (за наявності) суб’єкта;
- паспортні дані (включаючи громадянські та закордонні паспорти, посвідки на постійне чи тимчасове проживання та інші документи, які посвідчують особу);
- громадянство (підданство) або відсутність відношення до громадянства (підданства);
- резидентність суб’єкта;
- зразок особистого підпису;
- дані про реєстрацію суб’єкта в якості особи, яка займається незалежною професійною діяльністю, або фізичної особи-підприємця;
- вік;
- стать;
- дата і місце народження;
- місце постійного проживання або тимчасового перебування, строк проживання;
- місце реєстрації;
- реєстраційний номер облікової картки платника податків (в тих випадках, коли він є у особи) або дані про відмову в отриманні такого номеру;
- соціальний статус;
- сімейний стан;
- склад сім’ї та кількість утриманців, прізвища, ім’я, по батькові таких осіб, їх стать, вік, місце реєстрації та проживання, контактні дані;
- контактні особи (прізвища, ім’я, по батькові таких осіб, їх дата народження, номери телефонів, адреса електронної поштової скриньки);
- професію, спеціалізацію, кваліфікаційний клас;
- робочий стаж та місця роботи;
- відношення до військового обов’язку;
- стан здоров’я в обсязі, який суб’єкт надасть добровільно;
- дані про звинувачення у скоєнні злочину або засудження до кримінального покарання, однозначну згоду на обробку яких виявив суб’єкт;
- наявність прав керування транспортними засобами та стаж керування;
- зображення (фото, відео) та звукозапис;
- номера телефонів (робочих та особистих стаціонарних та мобільних), адресу електронної поштової скриньки (корпоративної та особистої), факс тощо;
- адресу розташування робочого місця;
- розмір основної та додаткової заробітної плати, премії, бонуси, інші доходи;
- реквізити банківських рахунків;
- ідентифікуючі дані контрагентів клієнта, які стали відомі Банку в зв’язку з наданням клієнту послуг;
- цінне майно, що знаходиться у власності (співвласності) суб’єкта, його характеристики та реєстраційні дані;
- матеріальне становище, інформація про заощадження;
- розмір частки в капіталі юридичних осіб, пов’язаних та афілійованих з ними осіб, інформація про кількість та реквізити цінних паперів, якими володіє суб’єкт;
- дані, які вимагаються законодавством в сфері здійснення фінансового моніторингу, з тих, що не наведені вище;
- інші відомості, мета обробки яких співпадає з метою обробки персональних даних, та які будуть надані суб’єктом самостійно або отримані Банком в процесі ведення Банком своєї діяльності, в тому числі, але не виключно шляхом надання послуг.
- Обробку персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних заборонено, за винятком випадків, передбачених ст. 7 Закону № 2297.
- Обробка персональних даних на виконання вимог Закону про запобігання, здійснюється без отримання згоди суб’єкта персональних даних та не є порушенням Закону № 2297.
- Банк здійснює обробку персональних даних, які є публічною та/або інформацією у формі відкритих даних (ст. 101 ЗУ «Про доступ до публічної інформації»), що отримана із загальнодоступних джерел, без одержання згоди суб’єкта персональних даних. Така інформація може Банком вільно копіюватись, поширюватись та використовуватись іншим чином, в тому числі в комерційних цілях, у поєднанні з іншою інформацією або шляхом включення до власного продукту Банку, виключно в обсягах відповідно до вказаної вище мети обробки та з обов’язковим посиланням на джерело отримання цієї інформації.
Права суб’єктів персональних даних
Відповідно до статті 8 Закону № 2297 суб’єкт персональних даних має право:
- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
- на доступ до своїх персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
- пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
- відкликати згоду на обробку персональних даних;
- знати механізм автоматичної обробки персональних даних;
- на захист від автоматизованого рішення, яке має для нього правові наслідки.
Доступ до персональних даних
Передбачається доступ до персональних даних третіх осіб на підставі згоди суб’єкта персональних даних, наданої Банку на обробку таких персональних даних, або (в деяких випадках) відповідно до вимог Закону № 2297.
Бази персональних даних, володільцем яких є Банк
Банк з метою здійснення банківської діяльності та на виконання вимог чинного законодавства України здійснює обробку персональних даних фізичних осіб, зокрема: працівників Банку, Клієнтів – фізичних осіб, уповноважених осіб Клієнтів – юридичних осіб, контрагентів та інших осіб. Відповідно, Банк обробляє персональні дані в наступних базах персональних даних:
- База персональних даних «Співробітники»;
- База персональних даних «Клієнти»;
- База персональних даних «Контрагенти».
Для отримання доступу до персональних даних, а також з інших питань щодо обробки персональних даних у Банку необхідно письмово звертатися за адресою: 88000, м. Ужгород, вул. Гойди, 10.
Нормативно-правові акти у сфері захисту персональних даних:
Закон України «Про захист персональних даних»
Закон України «Про банки і банківську діяльність»
Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних