Захист персональних даних

ПОВІДОМЛЕННЯ

ПРО ПОРЯДОК ЗБОРУ, ОБРОБКИ, ВИКОРИСТАННЯ, ЗБЕРЕЖЕННЯ 

ПЕРСОНАЛЬНИХ ДАНИХ ТА ПРАВА СУБ'ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ

 

 

Шановні працівники, клієнти, потенційні клієнти, контрагенти та акціонери (учасники) АКЦІОНЕРНОГО ТОВАРИСТВА «БАНК ТРАСТ-КАПІТАЛ» (далі по тексту - Банк), керівники (засновники/учасники/власники) юридичних осіб, представники юридичних осіб та фізичних осіб та інші фізичні особи (включаючи фізичних осіб-підприємців), з якими Банк має ділові відносини!

На  виконання вимог Закону України «Про захист персональних даних» Банк інформує  Вас, про порядок збору, обробки, використання, збереження персональних даних та права суб’єктів персональних даних.

Банк здійснює банківську діяльність, в тому числі в сфері захисту банківської таємниці та персональних даних, виключно у відповідності до вимог Конституції України, Закону України «Про банки і банківську діяльність», Закону України «Про захист персональних даних», інших законів та нормативно-правових актів України, Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та міжнародних договорів України. 

Володілець персональних даних – АКЦІОНЕРНЕ ТОВАРИСТВО «БАНК ТРАСТ- КАПІТАЛ», код ЄДРПОУ 26519933, місцезнаходження: Україна, 01103, м. Київ, вул. Підвисоцького, 7.

 

Основні терміни у сфері захисту персональних даних

Відповідно до ст.2 Закону України «Про захист персональних даних»:

  • База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (далі по тексту – БПД);
  • Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
  • Згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб'єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб'єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки;
  • Знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
  •  Картотека – будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними  чи географічними  принципами;
  • Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
  •  Одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
  • Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (далі по тексту – ПД);
  • ·   Розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
  •  Суб'єкт персональних даних - фізична особа, персональні дані якої обробляються;
  •  Третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

 

Мета обробки персональних даних

 

            Метою обробки ПД Банком є забезпечення належного здійснення статутної діяльності Банку за видами діяльності та підтримки ефективного функціонування:

-  відносин у сфері економічних, фінансових послуг;

-  відносин у сфері безпеки, управління кредитними ризиками, включаючи страхування суб’єктів кредитних правовідносин та їх майна;

-  адміністративно-правових  (в тому  числі,  відносин   у  сфері   державного  управління, управління людськими ресурсами, зокрема кадровим потенціалом), податкових відносин та відносин у сфері бухгалтерського обліку;

-  організаційно-управлінських та трудових відносин;

-  інших  відносин,  що  вимагають  обробки  ПД  та  мають  на меті  реалізацію положень чинного законодавства, нормативно-правових актів НБУ та внутрішньобанківських документів.

           Склад та зміст ПД, що обробляються Банком, мають бути належними та не надмірними стосовно визначеної мети їх обробки.         

 

Підстави для обробки персональних даних

 

             Загальними підставами виникнення права Банку на обробку ПД є:

-  згода суб'єкта ПД на обробку його ПД;

-  дозвіл на обробку ПД, наданий Банку відповідно до Закону виключно для здійснення його повноважень;

-  для захисту життєво важливих інтересів суб'єктів ПД без їх згоди до часу, коли отримання такої згоди стане можливим;

- інші підстави, передбачені Законом.

 

Склад та зміст персональних даних, які обробляються Банком

 

Категорія ПД, що обробляється в БПД Банку:

         прізвище, ім’я, по-батькові;

         паспортні дані;

         реєстраційний номер облікової картки платника податків;

         особисті відомості (стать, громадянство, родинний стан, склад сім’ї тощо);

         місце реєстрації та фактичного проживання;

         номери контактних телефонів, адреса електронної пошти або іншого засобу зв’язку;

         відомості про роботу, щомісячні доходи;

         відомості про власність;

         відомості про рахунки в банках та кредитну історію;

    дані, що стосуються стану здоров’я, в межах, визначених законодавством про дієздатність фізичних осіб (зокрема, позичальників Банку);

         інші дані (за потреби).

Додатково, з метою ведення кадрового діловодства, а також підготовки відповідно до вимог законодавства статистичної, адміністративно-правової та іншої інформаційної звітності з питань персоналу, виконання вимог НБУ щодо регулювання банківської діяльності, внутрішніх документів Банку з питань реалізації, визначених законодавством про працю, в частині прав та обов’язків у сфері трудових правовідносин і соціального захисту, Банк обробляє наступні категорії ПД:

           прізвище, ім’я, по-батькові;

           паспортні дані;

           реєстраційний номер облікової картки платника податків;

           особисті відомості (вік, стать тощо);

           автобіографія, резюме;

           місце проживання за державною реєстрацією;

           сімейний стан (склад сім’ї, родичі тощо);

           дані про освіту (№ диплому, професія, спеціальність, кваліфікація);

           дані, що підтверджують право працівника на соціальні пільги, встановлені законодавством України;

           електронні ідентифікаційні дані (IP-адреса, телефони, адреси електронної пошти або іншого засобу зв’язку, фото для документів тощо);

           відомості про військовий облік;

           відомості про відомчі та державні нагороди;

           відомості про притягнення до адміністративної та/або кримінальної відповідальності (наявності/відсутності судимості, перебування під слідством), перебування закордоном;

           відомості про участь у виборчому процесі, членство в політичних партіях, громадських організаціях тощо;

         інші дані (за потреби).

 Банк здійснює обробку даних в автоматизованій системі за допомогою програмного забезпечення   (програма   «Операційний   день  банку»,    інформаційно-телекомунікаційна система розрахунків із використанням спеціальних платіжних засобів) та/або у формі картотеки, що зберігаються у паперовому вигляді (масив особових справ клієнтів/контрагентів та працівників Банку).

 

Права суб’єктів персональних даних

 

Суб'єкт персональних даних має право:

1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) відкликати згоду на обробку персональних даних;

12) знати механізм автоматичної обробки персональних даних;

13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

 

Порядок розкриття інформації про персональні дані третім особам

 

Порядок доступу до ПД третіх осіб визначається умовами згоди суб'єкта ПД, наданої володільцю БПД на обробку цих даних, або відповідно до вимог Закону.

Доступ до ПД третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення дотримання вимог Закону та цього Положення або неспроможна їх забезпечити.

 Суб'єкт відносин, пов'язаних з ПД, подає запит щодо доступу (далі - Запит) до ПД БПД Банку.

  У Запиті зазначаються:

         прізвище,  ім'я  та  по  батькові,  місце  проживання  (місце перебування)  і  реквізити

документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи – заявника);

         найменування, місцезнаходження юридичної особи, яка подає Запит, посада, прізвище, ім'я та по-батькові особи, яка засвідчує запит; підтвердження того, що зміст Запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника);

         прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться Запит;

         відомості  про  БПД   Банку,   стосовно   якої   подається   Запит,   чи   відомості   про володільця чи розпорядника цієї бази;

         перелік ПД, що запитуються;

         мета Запиту.

                Строк вивчення  Запиту на предмет його задоволення не може перевищувати 10-ти робочих днів з дня його надходження. Протягом цього строку володілець БПД доводить до відома особи, яка подає Запит, що Запит буде задоволений або відповідні ПД не  підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому  акті.  Запит  задовольняється  протягом  30-ти календарних  днів з  дня  його  надходження, якщо  інше не передбачено Законом.

   Усі працівники Банку зобов'язані додержуватися вимог конфіденційності щодо ПД та інформації щодо рахунків, у т.ч. рахунків у цінних паперах та обігу цінних паперів.

    Відстрочення  доступу до ПД третіх  осіб  допускається у разі, якщо  необхідні дані не можуть бути надані протягом 30-ти календарних днів з дня надходження Запиту. При цьому загальний термін вирішення питань, порушених у Запиті, не може перевищувати 45-ти календарних днів.

    Повідомлення про відстрочення доводиться до відома третьої особи, яка подала Запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

      У повідомленні про відстрочення Запиту зазначаються:

         прізвище, ім'я та по батькові посадової особи;

         дата відправлення повідомлення;

         причина відстрочення надання відповіді;

         строк, протягом якого буде задоволене Запит.

Відмова у доступі  до  ПД  допускається,  якщо  доступ  до  них  заборонено згідно із Законом.

     У повідомленні про відмову зазначаються:

         прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

         причина відмови.

Рішення  про  відстрочення  або  відмову  в  доступі  до  ПД може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту ПД, або до суду.

 

Бази персональних даних, володільцем яких є Банк

 

        Банк є володільцем наступних БПД:

-   База персональних даних контрагентів;

-   База персональних даних держателів платіжних засобів;

-   База персональних даних працівників.

 

       БПД Банку знаходяться за адресою: вул. Підвисоцького, 7, м. Київ, 01103.

 

 

Нормативно-правові акти у сфері захисту персональних даних:

Конституція України (https://zakon.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80)

Закон України «Про захист персональних даних» (https://zakon.rada.gov.ua/laws/show/2297-17)

Закон України «Про банки і банківську діяльність» (https://zakon.rada.gov.ua/laws/show/2121-14)

Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних (https://zakon.rada.gov.ua/laws/show/994_363)

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (https://zakon.rada.gov.ua/laws/show/994_326)

 

Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законодавством України, здійснює:

Уповноважений Верховної Ради з прав людини,

Україна, 01008, м. Київ, вул. Інститутська, 2/8,

тел.: (044) 253-75-89; 0800-50-17-20.

За додатковою інформацією про застосування спеціального законодавства у сфері захисту персональних даних можна ознайомитися на офіційному сайті Уповноваженого Верховної Ради з прав людини за адресою: http://www.ombudsman.gov.ua або на офіційному сайті Міністерства юстиції України за адресою: www.minjust.gov.ua

 



ПОЛОЖЕННЯ ПРО  ПОРЯДОК ОБРОБКИ ТА  ЗАХИСТУ  ПЕРСОНАЛЬНИХ  ДАНИХ
В   АКЦІОНЕРНОМУ ТОВАРИСТВІ «БАНК ТРАСТ-КАПІТАЛ», затверджене Рішенням Правління  АТ «БАНК ТРАСТ-КАПІТАЛ»
від 22.10.2021 року, Протокол № 2021-18.