Защита персональных данных

Цель обработки персональных данных в банке соответствует целям деятельности владельца базы персональных данных, которые зафиксированы в их учредительных документах и/или предусмотрены законодательством Украины, регулирующим их деятельность.

Банк осуществляет обработку персональных данных с целью:

  • осуществления Банком своей финансово-хозяйственной деятельности;
  • предложения и предоставления полного круга услуг Банком, в том числе путем осуществления контактов с субъектом персональных данных с помощью средств связи;
  • обеспечение реализации трудовых и связанных с ними отношений;
  • заключения, изменения, прекращения договоров, исполнения договоров, а также для осуществления действий, связанных с заключением, изменением, прекращением и исполнением договоров, в том числе путем осуществления контактов с субъектом персональных данных с помощью средств связи.

Для обслуживания клиентов Банка цель обработки персональных данных определяется обеспечением реализации отношений с клиентами Банка в сфере экономических, финансовых услуг, страхования, других отношений, требующих обработки персональных данных, в соответствии с законами Украины.

Принципы обработки персональных данных

  • Принцип законности: персональные данные должны обрабатываться только на законных основаниях.
  • Принцип совместимости: персональные данные должны быть получены с конкретными законными целями и обрабатываться в соответствии с ними.
  • Принцип адекватности и избыточности: персональные данные должны быть адекватными, не избыточными, соответствовать целям обработки.
  • Принцип точности: персональные данные должны быть точными и актуальными.
  • Принцип срочности хранения: персональные данные не должны храниться дольше, чем это необходимо.
  • Принцип соблюдения прав физического лица: персональные данные должны обрабатываться с соблюдением прав субъекта персональных данных, включая право на доступ к данным.
  • Принцип защищенности: персональные данные должны обрабатываться с соблюдением требований по защите данных.
  • Принцип трансграничной защищенности: персональные данные не должны передаваться иностранным субъектам отношений, связанных с персональными данными, без надлежащей защиты.

Общие основания возникновения права на обработку персональных данных

1. Согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку относительно ограничения права на обработку своих персональных данных, а Банк - ограничить перечень услуг, которые могут быть предоставлены с применением таких данных.

Согласие субъекта персональных данных должно быть документированным, в частности письменным, добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки.

Согласие субъекта персональных данных должно быть предоставлено путем подписания субъектом персональных данных текста согласия-сообщения.

Согласие-сообщение составляется в двух экземплярах, один из которых после подписания субъектом персональных данных остается у него, а другой хранится в Банке в течение всего времени обработки персональных данных указанного субъекта персональных данных.

Согласие субъекта персональных данных клиента Банка предоставляется при подписании договора об открытии счета.

Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных) запрещается.

2. Формами предоставления согласия субъекта персональных данных являются

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо. Добровольное волеизъявление субъекта персональных данных удостоверяется его подписью;
  • электронный документ, включая обязательные реквизиты документа, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных удостоверяется электронной подписью субъекта персональных данных;
  • отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений, которые, в свою очередь:

- не позволяют обработку персональных данных до тех пор, пока субъект персональных данных не выполнит действия, подтверждающие предоставление им соответствующего согласия;

- обеспечивают регистрацию действий субъекта персональных данных и целостность протоколов регистрации таких действий.

3. Согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта, в соответствии с правоотношениями на основе свободного волеизъявления физического лица, которые возникли до вступления в силу Закона.

4. Субъект персональных данных сообщается о владельце персональных данных, состав и содержание собранных персональных данных, свои права, определенные Законом «О защите персональных данных», цель сбора персональных данных и лиц, которым передаются его персональные данные:

  • в момент сбора персональных данных, если персональные данные собираются у субъекта персональных данных;
  • в других случаях в течение тридцати рабочих дней со дня сбора персональных данных.

Базы персональных данных, владельцем и распорядителем которых является Банк

Сведения о субъекте персональных данных, связанных с ними лиц, членов семьи, родственников, поручителей, контактных лиц и представителей субъекта персональных данных, отраженные в сделках, документах юридических дел и информационных (автоматизированных) системах Банка, являются персональными данными, которые обрабатываются в базах персональных данных.

Банк с целью осуществления банковской деятельности и во исполнение требований действующего законодательства Украины осуществляет обработку персональных данных физических лиц.

Содержание персональных данных, обрабатываемых Банком, соответствует информации, полученной от физических лиц или от их представителей или третьих лиц, а также включает информацию, которая известна Банку в связи с реализацией договорных и иных правоотношений с такими физическими лицами или была получена из общедоступных источников.

Банк составляет любую информацию о физическом лице, в том числе, но не исключительно:

  • паспортные данные (включая гражданские и заграничные паспорта, виды на постоянное или временное проживание и другие документы, удостоверяющие личность);
  • гражданство (подданство) или отсутствие отношения к гражданству (подданству);
  • резидентность субъекта;
  • образец личной подписи;
  • данные о регистрации субъекта в качестве лица, занимающегося независимой профессиональной деятельностью, или физического лица-предпринимателя;
  • возраст;
  • пол;
  • дата и место рождения;
  • место постоянного проживания или временного пребывания, срок проживания;
  • место регистрации;
  • регистрационный номер учетной карточки налогоплательщика (в тех случаях, когда он есть у лица) или данные об отказе в получении такого номера;
  • пол, возраст, место регистрации и проживания, контактные данные;
  • номера телефонов, адрес электронного почтового ящика;
  • кредитной истории, а также любую информацию о состоянии выполнения физическим лицом обязанностей по договорам, заключенным с Банком или другими учреждениями;
  • другие сведения, цель обработки которых совпадает с целью обработки персональных данных, и которые будут предоставлены субъектом самостоятельно или получены Банком в процессе обслуживания.

В любом случае, конкретный состав и содержание собранных Банком персональных данных субъекта содержится в первичных источниках сведений о субъекте, в том числе, но не исключительно, в выданных на его имя документах, подписанных им документах, сведениях, которые субъект предоставил Банку о себе.

Распоряжение персональными данными физического лица, ограниченного в гражданской дееспособности или признанного недееспособным, осуществляет его законный представитель.

Банк в соответствии с действующим законодательством Украины имеет право истребовать от клиента другие документы и сведения, содержащие персональные данные, исключительно с целью выполнения Банком требований действующего законодательства Украины, которое регулирует отношения в сфере предотвращения и противодействия легализации (отмыванию) доходов, полученных преступным путем, или финансированию терроризма и финансированию распространения оружия массового уничтожения.

Права субъектов персональных данных

Субъект персональных данных имеет право:

  • знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначение и наименование, местонахождение и/или место жительства (пребывания) владельца или распорядителя этой базы или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных Законом «О защите персональных данных»;
  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
  • на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
  • получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных Законом «О защите персональных данных», ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся;
  • предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
  • предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;  
  • на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочат честь, достоинство и деловую репутацию физического лица;  
  • обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;  
  • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
  • отозвать согласие на обработку персональных данных.

Порядок и основания обработки персональных данных

Обработка персональных данных осуществляется Банком с согласия субъекта персональных данных, а также в других случаях, предусмотренных статьей 11 Закона Украины "О защите персональных данных".  
Банк осуществляет обработку персональных данных, полученных из общедоступных источников, без согласия субъекта персональных данных.

Обращение физического лица в Банк или пользование услугами Банка свидетельствует о согласии такого лица на обработку Банком его персональных данных в связи с таким обращением или пользованием услугами Банка.  

Банк осуществляет обработку персональных данных до истечения сроков хранения информации, определенных законодательством Украины или внутренними документами Банка.

В случае отзыва физическим лицом согласия на обработку персональных данных без выполнения им процедур, необходимых для прекращения договорных или иных отношений с Банком, Банк будет продолжать обработку персональных данных в пределах и объемах, обусловленных реализацией существующих правоотношений и законодательством Украины, в частности для защиты Банком своих прав и законных интересов по договорам.  

Возражение лица относительно обработки персональных данных, необходимых Банку для выполнения своих обязательств, в частности отзыв лицом согласия на обработку данных, могут стать основанием для прекращения выполнения Банком условий заключенных договоров.

Порядок доступа к персональным данным определяется Банком самостоятельно в соответствии с требованиями Закона Украины "О защите персональных данных".

Основания обработки персональных данных в соответствии с законодательством:

  • согласие субъекта персональных данных на обработку его персональных данных;
  • разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с законом исключительно для осуществления его полномочий;  
  • заключение и исполнение сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных или для осуществления мер, предшествующих заключению сделки по требованию субъекта персональных данных;  
  • защита жизненно важных интересов субъекта персональных данных;
  • необходимость исполнения обязанности владельца персональных данных, предусмотренной законом;  
  • необходимость защиты законных интересов владельца персональных данных или третьего лица, которому передаются персональные данные, кроме случаев, когда потребности защиты основополагающих прав и свобод субъекта персональных данных в связи с обработкой его данных преобладают такие интересы.  

В случае предъявления Банку (как владельцу базы персональных данных) субъектом персональных данных мотивированного требования, предусмотренного подпунктом 6) пункта 2 статьи 8 Закона об изменении или уничтожении своих персональных данных, если эти данные обрабатываются незаконно или являются недостоверными, Банк, при получении заявления от субъекта персональных данных обязан проверить информацию, которая оспаривается, в течение пяти рабочих дней со дня получения заявления.

Передача персональных данных

При наличии оснований Банк имеет право распространять (передавать) персональные данные, в частности:

  • Национальному банку Украины, государственным, судебным, правоохранительным, контролирующим, налоговым и другим органам и лицам, органам государственной исполнительной службы, нотариусам в случаях, предусмотренных действующим законодательством Украины, а также с целью защиты Банком своих прав и интересов и/или недопущения их нарушения;
  • другим банкам в случае поступления в Банк запроса о предоставлении информации, необходимой для обеспечения идентификации им своего клиента, выяснения сути и цели проведения клиентом финансовой операции (операций) или проверки предоставленной клиентом информации, банк, получивший такой запрос, в течение 10 рабочих дней со дня получения запроса обязан безвозмездно предоставить банку, сделавшему такой запрос, соответствующую информацию;  
  • для обеспечения выполнения третьими лицами своих функций или предоставления услуг Банку, в частности, аудиторам, страховым компаниям, оценщикам, платежным системам, учреждениям, осуществляющим идентификацию, авторизацию и процессинг операций, другим банкам-контрагентам и другим лицам, если такие функции и услуги касаются деятельности Банка, осуществляемых им операций, выпущенных им платежных и других инструментов, или необходимы для заключения и исполнения Банком договоров (сделок), предоставления соответствующих услуг Клиенту Банка, а также партнерам Банка;
  • при наступлении оснований для передачи третьим лицам банковской тайны в соответствии с законодательством Украины или в соответствии с условиями заключенных договоров;
  • лицам, предоставляющим Банку услуги по проверке качества обслуживания, по организации аудиозаписи, фото/видеосъемки, почтовых отправлений, телефонных звонков, отправлений SMS-сообщений, отправлений по электронной почте;  
  • в бюро кредитных историй, в связи с взысканием просроченной задолженности перед Банком, а также лицам, предоставляющим Банку услуги по взысканию задолженности;  
  • лицам, осуществляющим представительство интересов Банка или предоставляющим услуги или обеспечивающим иную деятельность Банка, не противоречащую действующему законодательству Украины;
  • в других случаях, предусмотренных действующим законодательством Украины и условиями заключенных Банком договоров, и когда распространение (передача) персональных данных необходимо, учитывая функции, полномочия и обязательства Банка в соответствующих правоотношениях.  

Передача персональных данных третьим лицам осуществляется Банком в указанных случаях без получения дополнительного письменного согласия и отдельного уведомления физического лица-субъекта персональных данных, а также при условии, что сторона, которой передаются персональные данные, приняла меры по обеспечению требований Закона Украины "О защите персональных данных".

Уведомление о порядке обработки персональных данных и правах субъектов персональных данных

Заявление согласия на обработку персональных данных