1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
2. ПРИНЦИПИ І УМОВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Принципи обробки персональних даних
Умови обробки персональних даних
Конфіденційність персональних даних
Загальнодоступні джерела персональних даних
Спеціальні категорії персональних даних
Біометричні персональні дані
Доручення обробки персональних даних іншій особі
Обробка персональних даних громадян України
Транскордонна передача персональних даних
3.ПРАВА СУБ'ЄКТУ ПЕРСОНАЛЬНИХ ДАНИХ
Згода суб'єкта персональних даних на обробку його персональних даних
Права суб'єкта персональних даних
4. ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ПЕРСОНАЛЬНИХ ДАНИХ
5. ЗАКЛЮЧНІ ПОЛОЖЕННЯ
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
Політика обробки персональних даних (далі – Політика) розроблена відповідно до закону від 27.07.2006. №152-ЗУ «Про персональні дані» (далі – ЗУ-152).
Ця Політика визначає порядок обробки персональних даних та заходи щодо забезпечення безпеки персональних даних з метою захисту прав і свобод людини та громадянина при обробці його персональних даних, у тому числі захисту прав на недоторканність приватного життя, особисту та сімейну таємницю.
У Політиці використовуються такі основні поняття:
автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки;
блокування персональних даних - тимчасове припинення обробки персональних даних (крім випадків, якщо обробка необхідна уточнення персональних даних);
інформаційна система персональних даних - сукупність персональних даних, що містяться в базах даних, і забезпечують їх обробку інформаційних технологій і технічних засобів;
знеособлення персональних даних - дії, внаслідок яких неможливо визначити без використання додаткової інформації належність персональних даних конкретному суб'єкту персональних даних;
обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;
оператор — державний орган, муніципальний орган, юридична або фізична особа, які самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються із персональними даними;
персональні дані – будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних);
надання персональних даних – дії, спрямовані на розкриття персональних даних певній особі чи певному колу осіб;
розповсюдження персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, у тому числі оприлюднення персональних даних у засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональним даним будь-яким іншим способом;
транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичної чи іноземної юридичної особи;
знищення персональних даних - дії, внаслідок яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних та (або) внаслідок яких знищуються матеріальні носії персональних даних.
Компанія зобов'язана опублікувати чи іншим чином забезпечити необмежений доступ до цієї Політики обробки персональних даних відповідно до ч. 2 ст. 18.1. ЗУ152.
2. ПРИНЦИПИ І УМОВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
1.Принципи обробки персональних даних
Обробка персональних даних у Оператора здійснюється на основі наступних принципів:
законності та справедливої основи; обмеження обробки персональних даних досягненням конкретних, заздалегідь визначених та законних цілей; недопущення обробки персональних даних, несумісної з метою збору персональних даних; недопущення об'єднання баз даних, що містять персональні дані, обробка яких здійснюється в цілях, несумісних між собою; обробки лише тих персональних даних, які відповідають цілям їхньої обробки; відповідності змісту та обсягу оброблюваних персональних даних заявленим цілям обробки; недопущення обробки персональних даних, надлишкових стосовно заявлених цілей їх обробки; забезпечення точності, достатності та актуальності персональних даних по відношенню до цілей обробки персональних даних; знищення чи знеособлення персональних даних щодо досягнення цілей їх обробки або у разі втрати необхідності у досягненні цих цілей, за неможливості усунення Оператором допущених порушень персональних даних, якщо інше не передбачено федеральним законом.
2.Умови обробки персональних даних
Оператор здійснює обробку персональних даних за наявності хоча б однієї з наступних умов:
обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних; обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором України або законом, для здійснення та виконання покладених законодавством України на оператора функцій, повноважень та обов'язків; обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу чи посадової особи, які підлягають виконанню відповідно до законодавства України про виконавче провадження; обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем; обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних; здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - загальнодоступні персональні дані); здійснюється обробка персональних даних, що підлягають опублікуванню чи обов'язковому розкриттю відповідно до федерального закону.
3. Конфіденційність персональних даних
Оператор та інші особи, які отримали доступ до персональних даних, зобов'язані не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом.
4.Загальнодоступні джерела персональних даних
З метою інформаційного забезпечення Оператор може створювати загальнодоступні джерела персональних даних суб'єктів персональних даних, у тому числі довідники та адресні книги. До загальнодоступних джерел персональних даних за письмовою згодою суб'єкта персональних даних можуть включатися його прізвище, ім'я, по батькові, дата та місце народження, посада, номери контактних телефонів, адреса електронної пошти та інші персональні дані, що повідомляються суб'єктом персональних даних.
Відомості про суб'єкт персональних даних повинні бути у будь-який час виключені із загальнодоступних джерел персональних даних на вимогу суб'єкта персональних даних даних, уповноваженого органу захисту прав суб'єктів персональних даних або за рішенням суду.
5. Спеціальні категорії персональних даних
Обробка Оператором спеціальних категорій персональних даних, що стосуються расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя допускається у випадках, якщо:
суб'єкт персональних даних дав згоду у письмовій формі на обробку своїх персональних даних; персональні дані зроблено загальнодоступними суб'єктом персональних даних; обробка персональних даних здійснюється відповідно до законодавства про державну соціальну допомогу, трудового законодавства, законодавства України про пенсії з державного пенсійного забезпечення, трудових пенсій; обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних або життя, здоров'я або інших життєво важливих інтересів інших осіб та отримання згоди суб'єкта персональних даних неможливе; обробка персональних даних здійснюється у медико-профілактичних цілях, з метою встановлення медичного діагнозу, надання медичних та медико-соціальних послуг за умови, що обробка персональних даних здійснюється особою, яка професійно займається медичною діяльністю та зобов'язаною відповідно до законодавства України зберігати лікарську таємницю; обробка персональних даних необхідна для встановлення або здійснення прав суб'єкта персональних даних або третіх осіб, а також у зв'язку із здійсненням правосуддя; обробка персональних даних здійснюється відповідно до законодавства про обов'язкові види страхування зі страховим законодавством. Обробка спеціальних категорій персональних даних, що здійснювалася у випадках, передбачених пунктом 4 статті 10 ЗУ-152, повинна бути негайно припинена, якщо усунуті причини, внаслідок яких здійснювалася їх обробка, якщо інше не встановлено законом.
Обробка персональних даних про судимість може здійснюватися Оператором виключно у випадках та у порядку, що визначаються відповідно до законів.
6.Біометричні персональні дані Відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особистість – біометричні персональні дані – можуть оброблятися Оператором лише за наявності згоди суб'єкта персональних даних у письмовій формі.
7.Доручення обробки персональних даних іншій особі
Оператор вправі доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено федеральним законом, на підставі договору, що укладається з цією особою. Особа, яка здійснює обробку персональних даних за дорученням Оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених ЗУ-152 та цією Політикою
8.Обробка персональних даних громадян України
Відповідно до статті 2 закону від 21 липня 2014 року N 242- ЗУ «Про внесення змін до окремих законодавчих актів України щодо уточнення порядку обробки персональних даних в інформаційно-телекомунікаційних мережах» при зборі персональних даних, у тому числі за допомогою інформаційно-телекомунікаційної мережі "Інтернет", оператор зобов'язаний забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення персональних даних громадян України з використанням баз даних, що знаходяться на території України, за винятком випадків:
обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором України або законом, для здійснення та виконання покладених законодавством України на оператора функцій, повноважень та обов'язків; обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, які підлягають виконанню відповідно до законодавства України про виконавче провадження (далі виконання судового акта); обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної влади суб'єктів України, органів місцевого самоврядування та функцій організацій, які беруть участь у наданні відповідно державних та муніципальних послуг, передбачених законом від 27 липня 2010 року N 210- ЗУ«Про організацію надання державних та муніципальних послуг», включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг та (або) регіональних порталах державних та муніципальних послуг; обробка персональних даних необхідна для здійснення професійної діяльності журналіста та (або) законної діяльності засобу масової інформації чи наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних.
9.Транскордонна передача персональних даних
Оператор зобов'язаний у тому, що іноземним державою, територію якого передбачається здійснювати передачу персональних даних, забезпечується адекватна захист прав суб'єктів персональних даних, на початок здійснення такий передачи.
Транскордонна передача персональних даних на території іноземних держав, які не забезпечують адекватного захисту прав суб'єктів персональних даних, може здійснюватися у випадках:
наявності згоди у письмовій формі суб'єкта персональних даних на транскордонну передачу його персональних даних; виконання договору, стороною якого є суб'єкт персональних даних.
3.ПРАВА СУБ'ЄКТУ ПЕРСОНАЛЬНИХ ДАНИХ
1.Згода суб'єкта персональних даних на обробку його персональних даних
Суб'єкт персональних даних приймає рішення про надання його персональних даних та дає згоду на їх обробку вільно, своєю волею та у своєму інтересі. Згода на обробку персональних даних може бути надана суб'єктом персональних даних або його представником у будь-якій формі, що дозволяє підтвердити факт її отримання, якщо інше не встановлено законом.
2.Права суб'єкта персональних даних
Суб'єкт персональних даних має право на отримання у Оператора інформації щодо обробки його персональних даних, якщо таке право не обмежене відповідно до законів. Суб'єкт персональних даних має право вимагати від Оператора уточнення його персональних даних, їх блокування чи знищення у разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими чи не є необхідними для заявленої мети опрацювання, а також вживати передбачених законом заходів щодо захисту своїх прав.
Обробка персональних даних з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів із суб'єктом персональних даних (потенційним споживачем) за допомогою засобів зв'язку, а також з метою політичної агітації допускається лише за умови попередньої згоди суб'єкта персональних даних.
Оператор зобов'язаний негайно припинити на вимогу суб'єкта персональних даних обробку його персональних даних у зазначених цілях.
Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином торкаються його прав та законних інтересів, за винятком випадків, передбачених законами, або за наявності згоди в письмовій формі суб'єкта персональних даних.
Якщо суб'єкт персональних даних вважає, що Оператор здійснює обробку його персональних даних з порушенням вимог ЗУ-152 або іншим чином порушує його права та свободи, суб'єкт персональних даних має право оскаржити дії або бездіяльність Оператора до Уповноваженого органу захисту прав суб'єктів персональних даних або в судовому порядку. .
Суб'єкт персональних даних має право на захист своїх прав та законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкоди.
4. ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ПЕРСОНАЛЬНИХ ДАНИХ
Безпека персональних даних, оброблюваних Оператором, забезпечується реалізацією правових, організаційних і технічних заходів, необхідні забезпечення вимог законодавства у сфері захисту персональних даних.
Для запобігання несанкціонованому доступу до персональних даних Оператором застосовуються такі організаційно-технічні заходи:
призначення посадових осіб, відповідальних за організацію обробки та захисту персональних даних; обмеження складу осіб, допущених до опрацювання персональних даних; ознайомлення суб'єктів з вимогами законодавства та нормативних документів Оператора з обробки та захисту персональних даних; організація обліку, зберігання та обігу носіїв, що містять інформацію з персональними даними; визначення загроз безпеці персональних даних під час їх обробки, формування на їх основі моделей загроз; розробка з урахуванням моделі загроз системи захисту персональних даних; перевірка готовності та ефективності використання засобів захисту інформації; розмежування доступу користувачів до інформаційних ресурсів та програмно-апаратних засобів обробки інформації; реєстрація та облік дій користувачів інформаційних систем персональних даних; використання антивірусних засобів та засобів відновлення системи захисту персональних даних; застосування у необхідних випадках засобів міжмережевого екранування, виявлення вторгнень, аналізу захищеності та засобів криптографічного захисту інформації; організація пропускного режиму на територію Оператора, охорони приміщень із технічними засобами обробки персональних даних.
5. ЗАКЛЮЧНІ ПОЛОЖЕННЯ
Інші права та обов'язки Оператора у зв'язку з обробкою персональних даних визначаються законодавством України у сфері персональних даних.