ЗАТВЕРДЖЕНО
наказом Директора
ТОВ «ГОУ КЕШ»
Від 04.01.2021 №01/04.01
ПОРЯДОК
ОБРОБКИ І ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ В
ТОВ «ГОУ КЕШ» (НОВА РЕДАКЦІЯ)
ЗМІСТ
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ ..............................................................................................................................3
1.1. ЗАГАЛЬНА ІНФОРМАЦІЯ:.....................................................................................................................3
1.2. ТЕРМІНИ ТА ВИЗНАЧЕННЯ ................................................................................................................. 4
1.3. СУБ’ЄКТИ ВІДНОСИН , ПОВ’ЯЗАНИХ З ПЕРСОНАЛЬНИМИ ДАНИМИ ТА ОБ’ЄКТИ ЗАХИСТУ ... 4
2. ПОРЯДОК, МЕТА ТА КАТЕГОРІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ .................................................5
2.1. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ ................................................................................ 5
2.2. МЕТА, КАТЕГОРІЯ СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ТА КАТЕГОРІЯ ОБРОБКИ
ПЕРСОНАЛЬНИХ ДАНИХ В КОЖНІЙ СИСТЕМІ ОБЛІКУ ТОВАРИСТВА 6
3. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ: ОТРИМАННЯ ЗГОДИ, ПОВІДОМЛЕННЯ ПРО ПРАВА
ТА ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ .................................................7
4. УМОВИ РОЗКРИТТЯ ІНФОРМАЦІЇ ПРО ПЕРСОНАЛЬНІ ДАНІ ТРЕТІМ ОСОБАМ ..................................8
5. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: СПОСОБИ ЗАХИСТУ, ВІДПОВІДАЛЬНІ ОСОБИ, ПРАЦІВНИКИ, ЯКІ
БЕЗПОСЕРЕДНЬО ЗДІЙСНЮЮТЬ ОБРОБКУ ТА/АБО МАЮТЬ ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ У
ЗВ’ЯЗКУ З ВИКОНАННЯМ СВОЇХ СЛУЖБОВИХ ОБОВ’ЯЗКІВ, СТРОК ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ
ДАНИХ ....................................................................................................................................................................9
6. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ............................................................................................11
7. ПОРЯДОК РОБОТИ З ЗАПИТАМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ..............................................12
8. ВІДПОВІДАЛЬНІСТЬ ....................................................................................................................................12
9. ПРИКІНЦЕВІ ПОЛОЖЕННЯ........................................................................................................................12
2
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. ЗАГАЛЬНА ІНФОРМАЦІЯ:
1.1.1. Порядок обробки і захисту персональних даних в ТОВ «ГОУ КЕШ» (далі – Порядок)
розроблено відповідно до вимог чинного законодавства України, зокрема Законів України «Про
інформацію» від 02.10.1992 № 2657-XII, «Про захист персональних даних» від 01.06.2010 №
2297-VI, «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом,
фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» від 06.12.2019 №
361-IX, «Типового порядку обробки персональних даних», затвердженого наказом Уповноваженого
Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, та враховують вимоги Регламенту
Європейського Парламенту та Ради 2016/679 від 27.04.2016 «Щодо захисту фізичних осіб при обробці
персональних даних та про вільний рух таких даних» (Genеral Data Protection Regulation).
1.1.2. Порядок визначає порядок організації роботи щодо захисту персональних даних фізичних
осіб у ТОВ «ГОУ КЕШ» (далі – Товариство); порядок впровадження та ефективне функціонування
організаційних та технічних заходів захисту персональних даних у Товаристві і є обов’язковим до
виконання підрозділами Товариства, які задіяні в функціонуванні процесу обслуговування
клієнтів/контрагентів та управління персоналом.
1.1.3. Порядок визначає порядок впровадження та ефективне функціонування організаційних та
технічних заходів захисту персональних даних у Товаристві; порядок організації роботи щодо захисту
персональних даних своїх клієнтів, контрагентів, власників, працівників, пов’язаних з ними осіб, а також
інших фізичних осіб, дані яких отримуються Товариством під час здійснення діяльності (далі – Клієнти),
надання фінансових послуг та здійснення ним іншої діяльності відповідно до законодавства України.
1.1.4. Обробка персональних даних повинна здійснюватися для конкретних і законних цілей,
визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України та у
порядку, встановленому законодавством. Склад та зміст персональних даних повинні бути відповідними,
адекватними та не надмірними стосовно визначеної мети їх обробки.
1.1.5. Вимоги, викладені в Порядку, вимагають безумовного виконання та розповсюджуються на
всіх працівників Товариства і є обов’язковим до виконання всіма працівниками Товариства.
1.2. ТЕРМІНИ ТА ВИЗНАЧЕННЯ
автентифікація – процедура встановлення належності працівникові володільця або розпорядника
бази персональних даних пред'явленого ним ідентифікатора;
авторизація – процедура отримання дозволу на проведення дій з обробки персональних даних у
базі персональних даних у складі інформаційної (автоматизованої) системи;
база персональних даних – іменована сукупність упорядкованих персональних даних в
електронній формі та/або у документарній формі персональних даних;
відповідальна особа – визначена наказом Директора Товариства особа(-и), яка(-і) здійснює(-ють)
заходи, пов'язані із збереженням, конфіденційністю та доступністю персональних даних при їх обробці;
відповідальний виконавець – особа, яка відповідно до внутрішніх документів Товариства
безпосередньо здійснює обробку персональних даних, в тому числі, формує та веде відповідні бази
персональних даних, отримує та зберігає згоди суб'єктів персональних даних на обробку персональних
даних тощо.
володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою
суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки
персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не
визначено законом;
документарна форма персональних даних – структуровані персональні дані на паперових носіях,
доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані
або розділені за функціональними чи географічними принципами;
загальнодоступні джерела персональних даних – друковані засоби масової інформації, засоби
телерадіомовлення, Інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та
юридичні особи мають вільний, необмежений чинним законодавством, доступ.
3
згода суб'єкта персональних даних – добровільне волевиявлення фізичної о соби щодо
надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки,
висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Клієнтом
така згода надається під час реєстрації на сайті dengidozp.com.ua шляхом проставлення відповідної
відмітки про надання дозволу на обробку персональних даних відповідно до сформульованої мети їх
обробки згідно із Згодою на обробку, зберігання та передачу даних та доступ до кредитної історії та
погодження із Політикою конфіденційності,та цим Порядком;
знеособлення персональних даних – вилучення відомостей, які дають змогу ідентифікувати особу;
ідентифікація – процедура розпізнавання користувача в системі, як правило, за допомогою наперед
визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною
(автоматизованою) системою;
категорія персональних даних – конкретний вид персональних даних, що дозволяється обробляти
суб’єктом персональних даних (наприклад, прізвище, ім’я, по батькові, ІПН (дані облікової картки
платника податків));
клієнт – будь-яка фізична особа, що користується послугами Товариства.
контрагент – фізична особа - підприємець або юридична особа, організація, які не асоціюються з
Товариством та залучаються Товариством до виконання робіт, надання послуг, постачання товарів на
підставі договорів цивільно-правового (господарського) характеру.
обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в
інформаційній (автоматизованій) системі та/або в документарній формі персональних даних, які
пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням,
використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням
відомостей про фізичну о собу;
особливі категорії обробки персональних даних – персональні дані про расове або етнічне
походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та
профе сійних спілках, а також дані, що стосуються здоров'я чи статевого життя.
працівник Товариства – особа, що уклала з Товариством трудовий договір (в тому числі, в
письмовій формі);
персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або
може бути конкретно ідентифікована;
розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази
персональних даних або законом надано право обробляти ці дані.
Не є розпорядником бази персональних даних о соба, якій володільцем та/або розпорядником бази
персональних даних доручено здійснювати роботи технічного характеру з базою персональних даних без
доступу до змісту персона льних даних;
структурний підрозділ – структурна одиниця, що діє у складі володільця або розпорядника
персональних даних та відповідно до його прав та обов'язків на підставі положення про нього здійснює
організацію роботи, пов'язаної із захистом персональних даних при їх обробці;
суб'єкт персональних даних – фізична особа, персональні дані якої обробляються;
третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи
розпорядника бази персональних даних та Уповноваженого Верховної Ради України з прав людини, якій
володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних
відповідно до закону;
транскордонна передача персональних даних – передача персональних даних на територію
іноземної держави органу влади іноземної держави, іноземній фізичній або іноземній юридичній о собі.
1.3. СУБ’ЄКТИ ВІДНОСИН , ПОВ’ЯЗАНИХ З ПЕРСОНАЛЬНИМИ ДАНИМИ ТА ОБ’ЄКТИ
ЗАХИСТУ
1.3.1. Суб'єктами відносин, пов'язаних із персональними даними, є:
- суб'єкт персональних даних;
- володілець бази персональних даних;
- розпорядник бази персональних даних;
- третя особа;
- Уповноважений Верховної Ради України з прав людини (далі – Уповноважений).
4
1.3.2. Збирання, накопичення, обробка, зберігання, використання, розпорядження, поширення та
знищення персональних даних суб’єктів персональних даних здійснюються Товариством за умови, що
особисті немайнові права на персональні дані, які має кожна фізична особа, забезпечуються Товариством у
повному обсязі згідно з законодавчими вимогами.
1.3.3. Товариство є володільцем персональних даних Клієнтів Товариства, які містяться на паперових
носіях та/або в електронному вигляді в операційних системах Товариства.
1.3.4. Мета зберігання та обробки персональних даних може змінюватися відповідно до змін у
законодавстві та інших нормативних документів України.
1.3.5. Персональні дані суб’єктів персональних даних згруповані у бази персональних даних Товариства.
1.3.6. Товариство є володільцем наступних баз персона льних даних:
− база персональних даних Товариства з найменуванням – «База персональних даних працівників
ТОВ «ГОУ КЕШ» – в електронній формі та у документарній формі;
− база персональних даних клієнтів Товариства з найменуванням – «Клієнти» - в електронній формі
та/або у документарній формі;
− база персональних даних контрагентів Товариства з найменуванням – «Контрагенти» - в електронній
формі та у документарній формі.
1.3.7. Товариство як володілець персональних даних може доручити обробку персональних даних
розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
2. ПОРЯДОК, МЕТА ТА КАТЕГОРІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
2.1. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
2.1.1.Обробка персональних даних здійснюється Товариством відповідно до мети та правових
підстав.
2.1.2. Обробка персональних даних передбачає такі дії:
− Збирання інформації є складовою процесу їх обробки, що передбачає дії з підбору та/чи
впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.
Первинними джерелами відомостей про фізичну особу – суб’єкта персональних даних є: ✓ видані
на її ім’я документи;
✓ підписані нею документи;
✓ відомості, які особа надає про себе.
− Накопичення та зберігання. Накопичення персональних даних передбачає дії щодо поєднання та
систематизації відомостей про фізичну особу. Зберігання персональних даних передбачає дії щодо
забезпечення їх цілісності та відповідного режиму доступу до них;
− Адаптування, зміна та поновлення. Внесення змін до особової справи та у базу даних операційних
систем Товариства здійснюється у випадку, якщо у процесі надання фінансових послуг у Клієнтів
Товариства або у його працівників виникають певні зміни у відомостях щодо фізичної особи
(зміна прізвища у зв'язку із вступом у шлюб, зміна працевлаштування/посади, зміна місця
реєстрації тощо);
− Використання. Використання персональних даних передбачає будь-які дії Товариства щодо обробки
цих даних, дії щодо їх захисту. Використання персональних даних працівниками Товариства,
пов'язаних з персональними даними, здійснюється лише відповідно до їхніх функціональних
обов'язків. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник,
що підтверджує чи спростовує її ділові якості;
− Поширення. Поширення персональних даних передбачає дії щодо передачі, в т.ч. транскордонної,
відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.
Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним
особи дозволяється у випадках, визначених законом, і лише в
5
інтере сах національної безпеки, економічного добробуту та прав людини. Сторона, які
передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог
Закону припинення правовідносин між суб'єктом персональних даних та власником чи
розпорядником бази, якщо інше не передбачено Законом «Про захист персональних даних»;
- Знео соблення. Це вилучення відомостей, які дають змогу ідентифікувати особу;
- Знищення відомостей про фізичну особу. Персональні дані в базах персональних даних підлягають
знищенню у разі: закінчення строку зберігання даних, визначеного згодою суб'єкта персональних
даних на обробку цих даних, припинення правовідносин між суб'єктом персональних даних та
Товариством, якщо інше не передбачено Законом «Про захист персональних даних» та Законом
України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним
шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» (п.
18 розділу 2 статті 8 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів,
одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї
масового знищення»).
2.1.2. Обробка персональних даних на паперових носіях у документарній формі передбачає наступне:
− документи, що містять персональні дані, формуються у справи;
− справи з документами, що містять персональні дані, мають внутрішні описи документів; −
персональні дані у документарній формі зберігаються у приміщеннях (шафах, сейфах), захищених
від не санкціонованого доступу;
2.1.3. Обробка персональних даних в операційних системах Товариства передбачає наступне:
− обробка персональних даних в операційних системах Товариства здійснюється із застосуванням
засобів захисту від несанкціонованого доступу;
− працівники Товариства допускаються до обробки персональних даних лише після їх ідентифікації;
− до ступ осіб, які не пройшли процедуру ідентифікації, повинен блокуватись; − в інформаційній
(автоматизованій) системі, де обробляються персональні дані, здійснюється реєстрація результатів
ідентифікації працівників Товариства, дій з обробки персональних даних, факту встановлення
ознаки «Підтвердження надання згоди на обробку персональних даних у базі персональних даних»,
результатів перевірки цілісності засобів захисту персональних даних;
− персональні дані захищаються від модифікації та знищення;
− Товариство забезпечує антивірусний захист в інформаційній системі.
2.2. МЕТА, КАТЕГОРІЯ СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ТА КАТЕГОРІЯ ОБРОБКИ
ПЕРСОНАЛЬНИХ ДАНИХ В КОЖНІЙ СИСТЕМІ ОБЛІКУ ТОВАРИСТВА
В Товаристві існують наступні бази персональних даних:
- База персональних даних працівників Товариства;
- База персональних даних Клієнтів Товариства;
- База персональних даних контрагентів Товариства.
2.2.1. Метою обробки персональних даних працівників ТОВ «ГОУ КЕШ» з найменуванням – «База
персональних даних працівників ТОВ «ГОУ КЕШ»» – є ведення кадрового діловодства щодо даних
працівників, які входять до штатної чисельності Товариства, архіву звільнених працівників та даних
кандидатів, яким було запропоновано обійняти ту, чи іншу посаду в Товаристві, але які, на даний час, не є
працівниками Товариства. Також обробка персональних даних здійснюється під час підготовки відповідно
до вимог законодавства статистичної, адміністративної та іншої інформації з питань персоналу, а також
внутрішніх документів підприємства з питань реалізації визначених законодавством прав та обов’язків у
сфері трудових правовідносин і соціального захисту. Згода надається за формою, визначеною в Додатку
№1 до цього Порядку.
Категорія суб’єктів персональних даних – фізичні особи, які вступають (-ли) та/або перебувають
(-ли) у трудових відносинах із Товариством.
Категорії персональних даних, які обробляються: (зокрема відомості про освіту, професію,
спеціальність та кваліфікацію, науковий ступінь, вчене звання, підвищення кваліфікації, паспортні
6
дані, дані про нагороди; автобіографічні дані, відомості про трудову діяльність, особисті відомості(вік,
стать, родинний стан, склад сім’ї тощо), відомості щодо місця проживання: фактичне та за державною
реєстрацією, відомості про перебування на військовому обліку, дані, що стосуються стану здоров’я в
межах, визначених законодавством, дані щодо періоду надання відпусток, дані,
що підтверджують право працівника на пільги, встановлені законодавством, дані про присвоєння
ідентифікаційного номера платника податків, електронні ідентифікаційні дані (біографічні довідки,
номери телефонів), запис зображення (фото);
Метою обробки персональних даних клієнтів Товариства з найменуванням – «Клієнти» – є
виконання Товариством вимог Закону України «Про запобігання та протидію легалізації (відмиванню)
доходів, здобутих злочинним шляхом, або фінансування тероризму», та інших нормативно-правових актів
України стосовно необхідності ідентифікації клієнтів, а також:
- аналіз наданих Позичальником даних для прийняття Позикодавцем рішення щодо
укладення Договору позики;
- здійснення Позикодавцем своєї фінансово-господарської діяльності, виконання умов
укладених договорів;
- пропонування повного переліку послуг Позикодавця;
- інформування Позича льника про діючі умови програми лояльно сті, бонуси, промокоди, акції
спеціальні пропозиції;
- надання фінансової інформації;
- інформування Позича льника (у т.ч. шляхом залучення третіх осіб) про наявність
заборгованості, необхідність та порядок її погашення відповідно до умов укладеного
Договору позики;
- передачі даних з метою відступлення права вимоги;
- здійснення Позичальником самозахисту свого цивільного права та права іншої особи від
порушень і протиправних посягань;
- передача персональних даних Позичальника в бюро кредитних історій для передачі та
формування кредитної історії Позичальника;
- інша мета, що не суперечить Закону України «Про захист персональних даних». Згода надається за
формою, визначеною в Додатку №2 до цього Порядку. Категорія суб’єктів персональних даних – фізичні
особи, які мають намір укласти, укладають (-ли) та/або укладали раніше із Товариством Договір (-и)
позики.
Категорія персональних даних, що обробляються: прізвище, ім’я, по батькові, ІПН (реєстраційний
номер облікової картки платника податків), дані паспорта (іншого документа, що посвідчує особу), стать,
дата, місце і рік народження, громадянство, місце реєстрації та місце фактичного проживання, відомості
про освіту, відомості про сімейний, соціальний, майновий стан, інформація про звички, інтереси,
задоволеність чи незадоволеність наданими послугами, унікальний номер запису в демографічному
реєстрі, фотографії документу, що посвідчує особу, фотографії та/або відео-запису особи (в тому числі,
але не виключно з документом, що посвідчує особу), громадянства, місця знаходження, професії, займаної
посади, найменування та реквізитів роботодавця або навчального закладу, доходів, номерів конт актних
осіб (в т.ч. отримані Позикодавцем від третіх осіб), адреси електронної пошти, номери контактних
телефонів, голосових записів, дані банківської карти, інформація про кредитні та інші зобов’язання,
інформація про послуги, що надаються, інформація про виконання або невиконання договірних
зобов’язань, інформація з баз даних публічного користування, з відкритих державних реєстрів т а інших
відкритих джерел інформації, інформація, отримана зі списків санкцій, інформація, щодо наявності або
відсутності статусу політично значимої особи, дані щодо державної реєстрації фізичною
особою-підприємцем, дані щодо провадження незалежної професійної діяльності, інформація, отримана в
ході комплексної перевірки ділових зв'язків, грошових потоків, достовірність наданої особою інформації,
інформації в соціальних мережах та з відкритих джерел, інформація, отримана за допомогою національної
системи електронної дистанційної ідентифікації BankID Національного банку України шляхом
передавання персональних даних Товариству, інформація, пов’язана з проведення конкурсів, розіграшів,
промо-акцій, в тому числі оголошення переможців і вручення призів переможцям.
2.2.2. Метою обробки персональних даних в базі контрагентів Товариства з найменуванням –
«Контрагенти» є: ведення господарської діяльності Товариства, проведення ідентифікації фізичних осіб та
фізичних осіб-підприємців (далі – фізична особа), які поставляють товари, виконують
7
роботи чи надають Товариству послуги в межах його господарської діяльності, відповідно Закону України
«Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом,
фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»; здійснення у
зв’язку з проведенням Товариством господарської діяльності нарахування та сплати податку з доходів
фізичних осіб та єдиного внеску на загальнообов’язкове державне соціальне страхування, подання
відповідної звітності згідно до вимог Податкового кодексу України, Закону України «Про збір та облік
єдиного внеску на загальнообов’язкове державне соціальне страхування» від 08.07.2010 № 2464-VI тощо.
Згода надається шляхом включення відповідного формулювання до правочинів.
Категорія суб’єктів персональних даних – фізичні особи-підприємці, самозайняті особи, представники
та/або уповноважені особи юридичних о сіб, які вступають (-ли) та/або перебувають (-ли) у договірних
відно синах із Товариством.
Категорія обробки персональних даних: дані паспорта чи іншого документа, що посвідчує особу;
ідентифікаційний код фізичної особи (реєстраційний номер облікової картки платника податків), адреса
місця фактичного проживання, номер особистого поточного, в тому числі, карткового рахунку, податковий
статус фізичної особи.
3. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ: ОТРИМАННЯ ЗГОДИ, ПОВІДОМЛЕННЯ
ПРО ПРАВА ТА ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
3.1. Правовими підставами для обробки персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних (наприклад, з метою надання
Клієнту інформації про маркетингові пропозиції, послуги Товариства та її партнерів; Контрагенту або
Працівнику з метою вступу у правовідносини);
2) укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який
укладено на користь суб'єкта персона льних даних чи для здійснення заходів, що передують укладенню
правочину на вимогу суб'єкта персона льних даних (з метою надання Клієнту коштів у позику, у томі числі
і на умовах фінансового кредиту);
3) необхідність виконання обов’язку володільця бази персона льних даних, який передбачений
законодавством (наприклад, з метою здійснення ідентифікації та верифікації відповідно до Закону
України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом,
фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» тощо);
4) інші підстави, передбачені ст.11 Закону України «Про захист персональних даних». 3.2.
Персональні дані обробляються у формі, що допускає ідентифікацію фізичної о соби, якої вони
стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, але у будь-якому випадку
на строк не менше ніж 5 (п’ять) років з дати завершення договірних та або переддоговірних відносин між
Товариством та Позичальником (п. 18 розділу 2 статті 8 Закону України «Про запобігання та протидію
легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та
фінансуванню розповсюдження зброї масового знищення»).
3.3. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають
бути невідкладно змінені або знищені.
3.4. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу
можливість поновлення таких персональних даних.
3.5. Згода суб'єкта персональних даних має бути документованою, добровільним волевиявленням
фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних
відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу
зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних
може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної
комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних
відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для
обробки персональних даних до моменту проставлення відмітки.
3.6. Не допускається обробка Товариством даних про фізичну о собу без її згоди, крім випадків,
визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Згода суб'єкта на обробку його персональних даних повинна бути добровільною
8
та інформованою. Згода може надаватися суб'єктом у письмовій (паперовій) або електронній формі,
що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання
суб'єктом згоди на обробку його персональних даних, зберігаються Товариством впродовж часу обробки
таких даних.
3.7. Згода суб’єкта персональних даних (клієнта тощо) надається до або під час укладання з ним
відповідного договору з Товариством, а кандидата на штатну посаду Товариства – до або під час
оформлення з ним трудових відносин відповідно до законодавства про працю.
3.8. Володілець бази персональних даних, крім випадків, передбачених законодавством України,
повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права,
визначені Законом «Про захист персональних даних», мету збору персональних даних та третіх осіб, яким
передаються його персональні дані:
- в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персона льних
даних;
- в інших випадках протягом тридцяти робочих днів з дня збору персональних даних. 3.9. Товариство
зберігає інформацію (документи), які підтверджують надання заявнику вищезазначеної інформації
протягом усього періоду обробки персональних даних. 3.10. У разі зміни визначеної мети обробки
персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних
володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати
згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.
3.11. Персональні дані в базах персональних даних знищуються в порядку, вст ановленому
відповідно до вимог Закону України «Про захист персональних даних» (далі – Закон). 3.12. Персональні
дані в базах персональних даних підлягають знищенню у разі: − закінчення строку зберігання даних,
визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
− припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником
бази персональних даних, якщо інше не передбачено законом; − видання відповідного припису
Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
− набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази
персональних даних.
3.13. Персональні дані, зібрані з порушенням вимог Закону, підлягають знищенню в базах
персональних даних у встановленому законодавством порядку.
3.14. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість
поновлення таких персональних даних.
3.15. Відповідальними підрозділами Товариства в межах їх компетенцій забезпечується збереження
персональних даних, у тому числі згоди суб’єктів персональних даних, отримані працівниками Товариства
під час виконання своїх службових обов’язків, у відповідальних підрозділах
3.16. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або
світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до
кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або
генетичних даних (особливі категорії обробки персональних даних) забороняється, крім випадків,
передбачених пунктом 2 статті 7 Закону.
4. УМОВИ РОЗКРИТТЯ ІНФОРМАЦІЇ ПРО ПЕРСОНАЛЬНІ ДАНІ ТРЕТІМ ОСОБАМ
4.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта
персональних даних на обробку цих даних, наданий володільцю бази персональних даних, або відповідно
до вимог законодавства.
4.2. Про передачу персональних даних третій особі Товариство протягом десяти робочих днів
повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди. 4.3. Без згоди суб’єкта
персональних даних його персональні дані можуть передаватися у випадках:
− якщо передача персональних даних передбачена законодавством України, і лише в інтересах
національної безпеки, економічного добробуту та прав людини;
− отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах
повноважень, наданих законодавством України.
9
4.4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо
забезпечення вимог Закону України «Про захист персональних даних».
4.5. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється
взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
4.6. До ступ суб’єкта персональних даних та третіх осіб здійснюється шляхом подання запиту до
Товариства щодо доступу (далі – запит) до персональних даних.
4.7. У запиті зазначаються:
− прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа,
що по свідчує фізичну особу, яка подає запит (для фізичної особи – заявника);
− найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я
та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту
відповідає повноваженням юридичної особи (для юридичної особи – заявника);
− прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну
особу, стосовно якої робиться запит;
− відомості про базу персональних даних, стосовно якої подається запит, чи відомості про
володільця чи розпорядника цієї бази;
− перелік персональних даних, що запитується;
− мета запиту.
4.8. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих
днів з дня його надходження.
Протягом цього строку Товариство доводить до відома особи, яка подає запит, що запит буде
задоволений або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної
у відповідному нормативно-правовому акті.
4.9. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше
не передбачено законодавством.
4.10. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні
дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому
загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти
календарних днів.
4.11. Повідомлення про відстрочення доводиться до відома т ретьої особи, яка подала запит, у
письмовій формі з роз'ясненням порядку оскарження такого рішення.
4.12. У повідомленні про відстрочення зазначаються:
− прізвище, ім'я та по батькові посадової особи;
− дата відправлення повідомлення;
− причина відстрочення;
− строк, протягом якого буде задоволене запит.
4.13. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено
згідно із законом.
4.14. У повідомленні про відмову зазначаються:
− прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі; − дата
відправлення повідомлення;
− причина відмови.
4.15. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено
до Уповноваженого Верховної Ради України з прав людини або суду.
4.16. Товариство здійснює транскордонну передачу персональних даних заявників із дотриманням
усіх необхідних вимог захисту таких даних відповідно до вимог чинного законодавства України та
міжнародних стандартів, та не передає персональні дані до країн, які не дотримуються вимог та
стандартів щодо захисту персональних даних
5. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: СПОСОБИ ЗАХИСТУ, ВІДПОВІДАЛЬНІ ОСОБИ,
ПРАЦІВНИКИ, ЯКІ БЕЗПОСЕРЕДНЬО ЗДІЙСНЮЮТЬ ОБРОБКУ ТА/АБО МАЮТЬ ДОСТУП
ДО ПЕРСОНАЛЬНИХ ДАНИХ У ЗВ’ЯЗКУ З ВИКОНАННЯМ СВОЇХ СЛУЖБОВИХ ОБОВ’ЯЗКІВ,
СТРОК ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ ДАНИХ
5.1. Приміщення Товариства, в яких обробляються персональні дані, відносяться до приміщень з
обмеженим доступом та охороняються і контролюються охороною Товариства.
10
Перебування сторонніх осіб у даних приміщеннях без супроводу працівників Товариства не допускається.
5.2. Товариство обладнано системними і програмно-технічними засобами та засобами зв'язку, які
запобігають втратам, крадіжкам, нес анкціонованому знищенню, викривленню, підробленню, копіюванню,
відтворенню і поширенню інформації, зокрема, і в сфері захисту персональних даних та відповідають
вимогам міжнародних та національних стандартів.
5.3. Відповіда льними підрозділами Товариства в межах їх компетенцій обробляються персональні
дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних
відповідно до вимог законодавства. Норми технічного захисту інформації у Товариства відповідають
вимогам законодавства України щодо захисту інформації.
5.4. Програмні продукти, що використовуються Товариством у процесі обробки персональних
даних для до сягнення мети їх обробки, мають вбудовані механізми захисту інформації від
несанкціонованого доступу для забезпечення ідентифікації та аутентифікації користувачів, цілісності
електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та
окремих функцій, що надаються продуктом, та/або мають
змогу використовувати зазначені механізми захисту системного програмного забезпечення, а також
можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей
продукт використовується.
5.5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може
здійснюватися реєстрація, зокрема:
- результатів ідентифікації та/або автентифікації працівників Товариства;
- дій з обробки персональних даних;
- факту вст ановлення ознаки «Підтвердження надання згоди на обробку персональних даних у базі
персональних даних» за допомогою управляючих елементів веб-ресурсів Товариства, інтерфейсів
користувача програмного забезпечення;
- результатів перевірки цілісності засобів захисту персональних даних.
5.6. Вимоги щодо обліку та збереження інформації про перегляд персональних даних не
поширюється на володільців/розпорядників баз персональних даних, які здійснюють обробку
персональних даних в реєстрі, який є відкритим для населення в цілому.
5.7. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) обробляються у
такий спосіб, що унеможливлює доступ до них сторонніх осіб. 5.8. З метою забезпечення безпеки обробки
персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення
несанкціонованого доступу до:
−роботи технічного та програмного комплексу, за допомогою якого здійснюється обробка
персональних даних.
5.9. До роботи з персональними даними допускаються лише працівники, у посадових інструкціях,
яких передбачено відповідні функції, та які надали письмове зобов’язання про нерозголошення
персональних даних, які їм було довірено, або які ста ли їм відомі у зв’язку з виконанням професійних чи
посадових обов’язків.
5.10. Працівники, які безпосередньо здійснюють обробку персональних даних та/або працівники
Товариства, які мають доступ до персональних даних у зв’язку з виконанням своїх функцій та посадових
обов’язків, зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних
та внутрішніх документів, що регулюють діяльність Товариства
щодо обробки і захисту персональних даних у базах персональних даних.
5.11. Працівники, які безпосередньо здійснюють обробку персональних даних та/або працівники
Товариства, які мають доступ до персональних даних у зв’язку з виконанням своїх посадових обов’язків,
зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено, або які
стали відомі у зв'язку з виконанням професійних чи посадових обов'язків.
5.12. Особи/працівники, що мають доступ до персональних даних, у тому числі, здійснюють їх
обробку, у разі порушення ними вимог законодавства стосовно персональних даних не суть
відповідальність згідно діючого законодавства України.
5.13. Датою надання права доступу до персональних даних вважається дата укладення кожним
працівником Товариства Договору про нерозголошення комерційної таємниці/конфіденційної інформації.
11
5.14. Датою позбавлення права доступу до персональних даних вважається дата звільнення
працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою
персональних даних.
5.15. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його
на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо
унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять
персональні дані суб’єктів, передаються іншому працівнику у
відповідності до вимог внутрішніх нормативних документів.
5.16. Відповідальні особи, які організовують роботу, пов'язану із захистом персональних даних при
їх обробці, призначаються Наказом Директора Товариства.
Обов’язки відповідальних осіб щодо організації роботи, пов'язаної із захистом персональних даних
при їх обробці, визначаються у посадових інструкціях відповідальних осіб або у відповідних внутрішніх
документах, у тому числі Наказах/Розпорядженнях Директора Товариства, цьому Порядку тощо.
5.17. Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних
даних.
5.18. Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб'єктам
відно син, пов'язаним із персона льними даними.
5.19. Товариство забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
5.20. Товариство забезпечує використання технічних засобів безперебійного живлення елементів
інформаційної (автоматизованої) системи.
5.21.Відповідальна особа зобов’язана:
− знати законодавство України в сфері захисту персональних даних;
− забезпечити виконання працівниками Товариства вимог законодавства України в сфері
захисту персональних даних та внутрішніх документів, що регулюють діяльність Товариства
щодо обробки і захисту персональних даних у базах персональних даних;
− безпосередньо здійснювати та координувати інші дії, що покладаються на Товариство як на
володільця бази персональних даних.
5.22.З метою виконання своїх обов’язків Відповідальна особа має право:
− отримувати від працівників Товариства необхідні документи, пов’язані з обробкою
персональних даних;
− брати участь в обговоренні питань, пов'язаних із захистом персональних даних, та подавати
відповідні пропозицію керівництву Товариства стосовно удосконалення обробки та захисту
персональних даних;
− здійснювати взаємодію з іншими працівниками Товариства при виконанні своїх обов’язків з
організації роботи, пов'язаної із захистом персональних даних при їх обробці;
− одержувати від працівників Товариства незалежно від займаних ним посад пояснення з
питань здійснення обробки персональних даних;
− підписувати та візувати документи в межах своєї компетенції.
− інші права, передбачені діючим законодавством України.
5.23.Відповідальна особа або структурний підрозділ відповідно до покладених завдань: −
організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин,
пов'язаних з обробкою персональних даних;
− забезпечує доступ суб'єктів персональних даних до власних персональних даних згідно п. 4.6. цього
Порядку;
− інформує керівника володільця та розпорядника бази персональних даних про заходи, яких
необхідно вжити для приведення складу персональних даних та процедур їх обробки у
відповідність до вимог законодавства;
− інформує керівника володільця та розпорядника бази персональних даних про порушення
встановлених процедур з обробки персональних даних;
− взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним
посадовими о собами його С екретаріату з питань запобігання та усунення порушень
законодавства про захист персональних даних.
5.24. Товариство може розмежувати режими доступу працівників до обробки персональних 12
даних у базі персональних даних відповідно до їх службового функціоналу та їх посадових
обов'язків.
6. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
6.1. Суб'єкт персональних даних має право:
− знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її
призначення та найменування, місцезнаходження та юридичну адресу Товариства як
володільця / розпорядника цієї бази або дати відповідне доручення щодо отримання цієї
інформації уповноваженим ним особам, крім випадків, встановлених
законодавством;
− отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію
про т ретіх осіб, яким передаються його персональні дані, що містяться у відповідній базі
персональних даних у відповідно сті до умов, зазначених в розділі 4 цього Порядку;
− на до ступ до своїх персональних даних, що містяться у відповідній базі персональних даних згідно
з умовами п. 4.6 цього Порядку;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків,
передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі
персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
− пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь- яким
володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є
недостовірними;
− на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення,
пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а
також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність т а
ділову репутацію фізичної особи;
− звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади,
органів місцевого самоврядування, до повноважень яких належить здійснення захисту
персональних даних або до суду;
− застосовувати засоби правового захисту в разі порушення законодавства про захист персональних
даних;
− вно сити застереження стосовно обмеження права на обробку своїх персональних даних під час
надання згоди;
− відкликати згоду на обробку персональних даних;
7. ПОРЯДОК РОБОТИ З ЗАПИТАМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
7.1. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе
у будь- якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім
випадків, установлених законодавством.
7.2. До ступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
7.3. Суб’єкт персональних даних подає запит до Товариства щодо доступу (далі – запит) до своїх
персональних даних.
У запиті зазначаються:
− прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа,
що по свідчує особу суб’єкта персональних даних;
− інші відомості, що дають змогу ідентифікувати особу суб’єкта персональних даних; − відомості про
базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи
розпорядника цієї бази;
− перелік персональних даних, що запитується.
7.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих
днів з дня його надходження.
Протягом цього строку Товариство доводить до відома суб’єкта персональних даних, що запит буде
задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у
відповідному нормативно-правовому акті.
13
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщоінше не
передбачено законодавством.
7.5. Запитувана інформація надається суб’єкту персональних даних у письмовій формі шляхом
надсилання листа.
8. ВІДПОВІДАЛЬНІСТЬ
8.1. Відповідальність за використання та збереження (нерозголошення) персональних даних при
роботі з персональними даними покладається на Відповідальних виконавців, в т.ч. але не виключно, з
урахуванням вимог пункту 3.15. цього Порядку.
Контроль за діяльністю Відповідальних виконавців при роботі з персональними даними здійснюють
керівники структурних підрозділів.
8.2. Контроль за дотриманням працівниками Товариства вимог цього Порядку покладається на
керівників структурних підрозділів Товариства.
8.3. Працівники, які допустили неправомірне використання персональних даних, залежно від
ступеня порушення т а тяжкості наслідків від нього притягуються до дисциплінарної, адмініст ративної або
кримінальної відповідальності, передбаченої законодавством України.
9. ПРИКІНЦЕВІ ПОЛОЖЕННЯ
9.1. з моменту набрання чинності цим порядком, порядок обробки і захисту персональних
даних в ТОВ «ГОУ КЕШ», затверджений наказом Директора №01/04.01 від 1 січня 2021 року втрачає
чинність.
9.2. Цей Порядок є безстроковим, затверджується наказом Директора і набуває чинності з дати,
зазначеної в наказі. Якщо в наказі не зазначено дату набрання чинності цим Порядком, Порядок набирає
чинно сті з наступного робочого дня з дати затвердження.
9.3. Зміни та доповнення до цього Порядку затверджуються наказом і оформлюються у
письмовій формі шляхом викладення Порядку у новій редакції. Прийняття нової редакції Порядку
автоматично припиняє дію попередньої версії/редакції документа.
9.4. У разі невідповідності будь-якої частини цього Порядку чинному законодавству
України, у тому числі у зв’язку з прийняттям нових актів законодавства України, цей Порядок діятиме
лише у тій частині, що не суперечить чинному законодавству України
9.5. Надання Порядку зовнішнім органам, третім особам відбувається за обов’язковим
погодженням з Юридичним департаментом відповідно до чинного законодавства України.
9.6. У разі зміни назв структурних підрозділів, що задіяні в процедурах, що описані в цьому
Порядку, при незмінності функцій цей Порядок вважається дійсним щодо їхніх нових назв.
14
Додаток 1
до ПОРЯДКУ
ОБРОБКИ І ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
В ТОВ «ГОУ КЕШ»
ЗГОДА
на обробку персональних даних
Я,
____________________________________________________________________________________, (прізвище, ім'я та по батькові)
(народився "___"____________ ______ року, паспорт серія ___ № ______________________________ )
виданий
_______________________________________________________________________________ відповідно до Закону України “Про захист
персональних даних” з ціллю ведення бази персональних даних та з метою забезпечення кадрового
діловодства, підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої інформації
з питань персоналу, а також з питань реалізації визначених законодавством прав та обов’язків у сфері т рудових
правовідносин даю згоду на:
- обробку моїх персональних даних з первинних джерел у такому обсязі (зокрема відомості про освіту,
профе сію, спеціальність та кваліфікацію, науковий ступінь, вчене звання, підвищення кваліфікації, паспортні
дані, дані про нагороди; автобіографічні дані, відомості про трудову діяльність, особисті відомості (вік, стать,
родинний стан, склад сім’ї тощо), відомості щодо місця проживання: фактичне та за державною реєстрацією,
відомості про перебування на військовому обліку, дані, що стосуються ст ану здоров’я в межах, визначених
законодавством, дані щодо періоду надання відпусток, дані, що підтверджують право працівника на пільги,
встановлені законодавством, дані про присвоєння ідентифікаційного номера платника податків, електронні
ідентифікаційні дані (біографічні довідки, номери телефонів), запис зображення (фото);
- використання персональних даних, що передбачає дії володільця бази щодо обробки цих даних, в тому
числі використання персональних даних відповідно до їх професійних чи службових або трудових обов'язків,
дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних
іншим суб'єктам відносин, пов'язаних із персональними даними (стаття 10 цього Закону);
- Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою
суб'єкта персональних даних. (стаття 14 цього Закону);
- доступ до персональних даних третіх осіб, себе відповідно до вимог чинного законодавства (стаття 16
цього Закону).
Зобов’язуюсь у разі зміни моїх персональних даних надавати у найкоротший строк уточнену, достовірну
інформацію та оригінали відповідних документів для оновлення моїх персональних даних.
Підписуючи дану згоду,
Я,____________________________________________________________________________________ надав дозвіл на обробку
персональних даних, наданих ТОВ «ГОУ КЕШ» відповідно до закону виключно з вище викладеною метою.
___ ________________ _________ ___________/_________________/ (підпис)
15
Додаток 2
до ПОРЯДКУ
ОБРОБКИ І ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
В ТОВ «ГОУ КЕШ»
ЗГОДА НА ОБРОБКУ, ЗБЕРІГАННЯ ТА ПЕРЕДАЧУ ПЕРСОНАЛЬНИХ ДАНИХ
ТА ДОСТУП ДО КРЕДИТНОЇ ІСТОРІЇ
Я (далі - Позичальник), користувач сайту Позикодавця dengidozp.com.ua без обмеження рівнів
ієрархії, а також у мобільних додатках Позикодавця (разом далі – «додаток»), заповнюючи форми, добавляючи
документи та іншу інформацію щодо себе в додатку, з метою отримання грошових коштів у позику, у томі
числі і на умовах фінансового кредиту, та розставляючи відповідну відмітку/натискаючи клавішу, що виражає
надання цієї згоди в додатку, надаю ТОВ «ГОУ КЕШ» (далі – Позикодавець) свою однозначну, беззастережну і
необмежену згоду на:
1.1. Обробку персональних даних у тому числі, на їх збір, систематизацію, накопичення, зберігання,
уточнення (оновлення та зміну), використання, розповсюдження, передачу, знеособлення, блокування та
знищення будь-якої інформації, що стосується мене, зокрема, але не виключно, інформації щодо: прізвище,
ім’я, по батькові, ІПН (реєстраційний номер облікової картки платника податків), дані паспорта (іншого
документа, що посвідчує особу), стать, дата, місце і рік народження, громадянство, місце реєстрації та місце
фактичного проживання, відомості про освіту, відомості про сімейний, соціальний, майновий стан,
інформація про звички, інтереси, задоволеність чи незадоволеність наданими послугами, унікальний номер
запису в демографічному реєстрі, фотографії документу, що посвідчує особу, фотографії та/або відео-запису
особи (в тому числі, але не виключно з документом, що посвідчує о собу), громадянства, місця знаходження,
профе сії, займаної посади, найменування та реквізитів роботодавця або навчального закладу, доходів,
номерів контактних осіб (в т.ч. отримані Позикодавцем від третіх осіб), адреси електронної пошти, номери
контактних теле фонів, голосових записів, дані банківської карти, інформація про кредитні та інші
зобов’язання, інформація про послуги, що надаються, інформація про виконання або невиконання договірних
зобов’язань, інформація з баз даних публічного користування, з відкритих державних реєстрів та інших
відкритих джерел інформації, інформація, отримана зі списків санкцій, інформація, щодо наявності або
відсутності статусу політично значимої особи, дані щодо державної реєстрації фізичною
особою-підприємцем, дані щодо провадження не залежної професійної діяльності, інформація, отримана в
ході комплексної перевірки ділових зв'язків, грошових потоків, достовірність наданої особою інформації,
інформації в соціальних мережах та з відкритих джерел, інформація, отримана за допомогою націона льної
системи електронної дистанційної ідентифікації BankID Національного банку України шляхом передавання
персональних даних Товариству, інформація, пов’язана з проведення конкурсів, розіграшів, промо-акцій, в
тому числі оголошення переможців і вручення призів переможцям (далі – «Персональні дані»).
1.2. Доступ Позикодавця до моєї кредитної історії, збір, зберігання, використання та розповсюдження через
бюро кредитних історій інформації про мене (в тому числі інформації, що міститься у державних реєстрах та
інших базах публічного використання) у порядку, визначеному Законом України «Про організацію
формування та обігу кредитних історій».
1.3. Метою обробки Позикодавцем Персональних даних Позичальника є:
- аналіз наданих Позичальником даних для прийняття Позикодавцем рішення щодо укладення
Договору позики;
- виконання Позикодавцем вимог Закону України "Про запобігання та протидію легалізації
(відмиванню) доходів, здобутих злочинним шляхом, або фінансування тероризму", та інших
нормативно-правових актів України стосовно необхідності ідентифікації клієнтів
- здійснення Позикодавцем своєї фінансово-господарської діяльності, виконання умов укладених
договорів;
- пропонування повного переліку послуг Позикодавця;
- інформування Позича льника про діючі умови програми лояльно сті, бонуси, промокоди, акції,
спеціальні пропозиції;
- надання фінансової інформації;
- інформування Позича льника (у т.ч. шляхом залучення третіх осіб) про наявність заборгованості,
необхідність та порядок її погашення відповідно до умов укладеного
16
Договору позики;
- передачі даних з метою відступлення права вимоги;
- здійснення Позичальником самозахисту свого цивільного права та права іншої особи від порушень і
протиправних посягань;
- передача персональних даних Позичальника в бюро кредитних історій для доступу формування
кредитної історії Позичальника;
- інша мета, що не суперечить Закону України «Про захист персональних даних». 1.4. На
виконання поставленої мети, надаю свою згоду на:
- Передачу, поширення та надання своїх даних органам державної влади та їх ст руктурним
підрозділам, банкам та небанківським фінансовим установам, компаніям що надають аутсорсингові послуги,
факторинговим компаніям (у зв’язку із відступленням права вимоги або укладенням договору
купівлі-продажу прав вимоги за договорами позики, інших договорів), усім бюро кредитних історій, які
створені та здійснюють свою діяльність відповідно до законодавства України (в тому числі, але не
обмежуючись, ТОВ «Українське бюро кредитних історій» (місцезнаходження юридичної особи: 01001, м.
Київ, Печерський район, вул. Грушевського, будинок 1-Д), ПАТ «Міжнародне бюро кредитних історій»
(місцезнаходження юридичної особи: 03062, Україна, м. Київ, пр. Перемоги, б. 65, оф. 306), ПрАТ «Перше
всеукраїнське бюро кредитних історій» (місцезнаходження юридичної особи: 02002, м. Київ, Дніпровський
район, вул. Євгена Сверстюка, буд. 11) (далі – «Бюро кредитних історій») та іншим установам, організаціям,
юридичним та фізичним особам;
- Транскордонну передачу персональних даних за винятком держав, що не забезпечують належний
захист прав суб'єктів персональних даних;
- Здійснення запитів з використанням Персональних даних до Бюро кредитних історій, сервісів
дистанційної верифікації та інших сервісів, що у порядку, передбаченому законодавством України, надають
інформацію про мене та отримання додаткових даних щодо мене з наступною обробкою таких даних;
- Обробку телекомунікаційних даних Споживача, отриманих під час користування Сайтом та
додатком Позичальника, що включають: файли cookie, IP- адреси, параметри та на лаштування інтернет
браузерів технічних пристроїв Позичальника та іншу технічну інформацію;
- Обробку та передачу Позикодавцю операторами мобільного зв’язку телекомунікаційних даних,
зібраних стосовно номерів телефонів, вказаних Позичальником при заповненні форм на Сайті та/або
отриманих Позикодавцем від т ретіх осіб (в тому числі, але не виключно, банків, установ, що забезпечують
переказ коштів, Бюро кредитних історій);
- Фіксацію телефонних розмов, їх обробку та подальше зберігання.
1.5. Підтверджую, що здійснення дій, зазначених у п.п. 1.3.-1.4. цієї Згоди не потребує додаткового
інформування мене.
2. Підтверджую, що мають законне право на надання усіх без виключення даних, зазначених мною при
реєстрації, заповненні форм, наданні документів та іншої інформації на Сайті Позикодавця та переданих
Позикодавцю.
3. Я погоджуюсь на використання Позикодавцем з метою комунікації зі мною контактних даних, що були
зазначені мною на Сайті т а/або окремо повідомлені мною Позикодавцю у будь-який спосіб та/або зазначені
в укладеному між мною та Позикодавцем договорі та/або отримані Позикодавцем від третіх осіб (в тому
числі, але не виключно, банків, установ, що забезпечують переказ коштів, Бюро кредитних історій) та/або
законно отримані Позикодавцем з інших джерел. Така комунікація може здійснюватися поштовим зв’язком,
електронною поштою, телефонним зв’язком, спеціальними засобами програмного забезпечення, які пов’язані
з телефонними номерами (Viber, WhatsApp та інше), засобами зв’язку у соціальних мережах (Facebookта
інше) та іншими електронними засобами зв’язку.
4. Згода надається на строк, необхідний для досягнення Товариством мети обробки Персональних даних, але
у будь-якому випадку на строк не менше ніж 5 (п’ять) років з дати завершення договірних та або
переддоговірних відносин між мною та Позикодавцем (п. 18 розділу 2 статті 8 Закону України «Про
запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню
тероризму та фінансуванню розповсюдження зброї масового знищення»).
5. Здійснюючи реєстрацію, заповнюючи форми, надаючи документи та іншу інформацію щодо себе на Сайті,
підтверджую, що я:
- повідомлений про володільця персональних даних;
- про склад та зміст зібраних Позикодавцем моїх Персональних даних;
- про включення моїх Персональних даних до відповідної бази персональних даних
17
Позикодавця;
- про свої права, передбачені законом України «Про захист персональних даних» та Законом
України «Про організацію формування та обігу кредитних історій»;
- про мету збору Персональних даних та третіх осіб, яким передаються Персональні дані;
- засвідчую, що склад та зміст Персональних даних в повній мірі є відповідними, адекватними
та не надмірними стосовно визначеної циєю Згодою мети їх обробки.
6. Я обізнаний та ознайомлений із тим, що Позикодавець забезпечує на лежний захист моїх Персональних
даних у спосіб, визначений чинним законодавством України. Захист Персональних даних передбачає заходи,
спрямовані на запобігання випадковій втраті, знищенню, незаконній обробці, у тому числі незаконному
доступу чи знищенню Персональних даних.
7. Я обізнаний та ознайомлений із тим, що Позикодавець веде облік операцій, пов’язаних з обробкою
Персональних даних Позичальника та доступом до них відповідно до вимог законодавства.
8. Я обізнаний та ознайомлений із Порядком обробки і захисту персональних даних в ТОВ «ГОУ КЕШ».
18
