Захист персональних даних

Мета обробки персональних даних у банку відповідає цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.

Банк здійснює обробку персональних даних з метою:

  • здійснення Банком своєї фінансового-господарської діяльності;
  • пропонування та надання повного кола послуг Банком, у тому числі шляхом здійснення контактів із суб’єктом персональних даних за допомогою засобів зв’язку;
  • забезпечення реалізації трудових та пов’язаних із ними відносин;
  • укладення, зміни, припинення договорів, виконання договорів, а також для здійснення дій, пов’язаних із укладенням, зміною, припиненням та виконанням договорів, у тому числі шляхом здійснення контактів із суб’єктом персональних даних за допомогою засобів зв’язку.

Для обслуговування клієнтів Банку мета обробки персональних даних визначається забезпеченням реалізації відносин з клієнтами Банку у сфері економічних, фінансових послуг, страхування, інших відносин, що вимагають обробки персональних даних, відповідно до законів України.

Принципи обробки персональних даних

  • Принцип законності: персональні дані повинні оброблятись лише на законних підставах.
  • Принцип сумісності: персональні дані повинні отримуватись із конкретними законними цілями та оброблятися відповідно до них.
  • Принцип адекватності і ненадлишковості: персональні дані повинні бути адекватними, ненадлишковими, відповідати цілям обробки.
  • Принцип точності: персональні дані повинні бути точними та актуальними.
  • Принцип строковості зберігання: персональні дані не повинні зберігатися довше, ніж це необхідно.
  • Принцип дотримання прав фізичної особи: персональні данні повинні оброблятись з дотриманням прав суб’єкта персональних даних, включаючи право на доступ до даних.
  • Принцип захищеності: персональні дані повинні оброблятись з дотриманням вимог щодо захисту даних.
  • Принцип транскордонної захищеності: персональні дані не повинні передаватись іноземним суб’єктам відносин, пов’язаних із персональними даними, без належного захисту.

Загальні підстави виникнення права на обробку персональних даних

1. Згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних, а Банк – обмежити перелік послуг, які можуть бути надані із застосуванням таких даних.

Згода суб’єкта персональних даних має бути документованим, зокрема письмовим, добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої цілі їх обробки.

Згода суб’єкта персональних даних має бути надана шляхом підписання суб’єктом персональних даних тексту згоди-повідомлення.

Згода-повідомлення складається у двох примірниках, один з яких після підписання суб’єктом персональних даних залишається у нього, а інший зберігається у Банку на протязі всього часу обробки персональних даних вказаного суб’єкта персональних даних.

Згода суб’єкта персональних даних клієнта Банку надається під час підписання договору про відкриття рахунку.

Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя (особливі категорії даних) забороняється.

2. Формами надання згоди суб’єкта персональних даних є:

  • документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;
  • електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;
  • відмітка на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:

-    не дозволяють обробку персональних даних до того часу, поки суб’єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;

-    забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.

3. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.

4. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом "Про захист персональних даних", мету збору персональних даних та осіб, яким передаються його персональні дані:

  • в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
  • в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Бази персональних даних, володільцем та розпорядником яких є Банк

Відомості про суб’єкта персональних даних, пов’язаних з ними осіб, членів сім’ї, родичів, поручителів, контактних осіб та представників суб’єкта персональних даних, відображені в правочинах, документах юридичних справ та інформаційних (автоматизованих) системах Банку, є персональними даними, які обробляються в базах персональних даних.

Банк з метою здійснення банківської діяльності та на виконання вимог чинного законодавства України здійснює обробку персональних даних фізичних осіб.

Зміст персональних даних, що обробляється Банком, відповідає інформації, отриманій від фізичних осіб або від їх представників чи третіх осіб, а також включає інформацію, що відома Банку у зв’язку із реалізацією договірних та інших правовідносин із такими фізичними особами або була отримана із загальнодоступних джерел.

Банк складає будь-яку інформацію про фізичну особу, в тому числі, однак не виключно:

  • паспортні дані (включаючи громадянські та закордонні паспорти, посвідки на постійне чи тимчасове проживання та інші документи, які посвідчують особу);
  • громадянство (підданство) або відсутність відношення до громадянства (підданства);
  • резидентність суб’єкта;
  • зразок особистого підпису;
  • дані про реєстрацію суб’єкта в якості особи, яка займається незалежною професійною діяльністю, або фізичної особи-підприємця;
  • вік;
  • стать;
  • дата і місце народження;
  • місце постійного проживання або тимчасового перебування, строк проживання;
  • місце реєстрації;
  • реєстраційний номер облікової картки платника податків (в тих випадках, коли він є у особи) або дані про відмову в отриманні такого номеру;
  • стать, вік, місце реєстрації та проживання, контактні дані;
  • номери телефонів, адреса електронної поштової скриньки;
  • кредитної історії, а також будь-яку інформацію про стан виконання фізичною особою обов’язків за договорами, які укладені з Банком або іншими установами;
  • інші відомості, мета обробки яких співпадає з метою обробки персональних даних, та які будуть надані суб’єктом самостійно або отримані Банком в процесі обслуговування.

В будь-якому випадку, конкретний склад та зміст зібраних Банком персональних даних суб’єкта міститься у первинних джерелах відомостей про суб’єкта, в тому числі, але не виключно, у виданих на його ім’я документах, підписаних ним документах, відомостях, які суб’єкт надав Банку про себе.

Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.

Банк відповідно до чинного законодавства України має право витребувати від клієнта інші документи та відомості, які містять персональні дані, виключно з метою виконання Банком вимог чинного законодавства України, яке регулює відносини у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

Права суб’єктів персональних даних

Суб’єкт персональних даних має право:

  • знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених Законом "Про захист персональних даних";
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
  • на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом "Про захист персональних даних", відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
  • пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
  • пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
  • на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
  • звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
  • застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
  • відкликати згоду на обробку персональних даних.

Порядок та підстави обробки персональних даних

Обробка персональних даних здійснюється Банком за згодою суб’єкта персональних даних, а також в інших випадках, передбачених статтею 11 Закону України "Про захист персональних даних".
Банк здійснює обробку персональних даних, отриманих із загальнодоступних джерел, без згоди суб’єкта персональних даних.

Звернення фізичної особи до Банку або користування послугами Банку свідчить про згоду такої особи на обробку Банком її персональних даних у зв’язку із таким зверненням чи користуванням послугами Банку.

Банк здійснює обробку персональних даних до закінчення строків зберігання інформації, визначених законодавством України або внутрішніми документами Банку.

У разі відкликання фізичною особою згоди на обробку персональних даних без виконання нею процедур, необхідних для припинення договірних або інших відносин з Банком, Банк продовжуватиме обробку персональних даних в межах та обсягах, обумовлених реалізацією існуючих правовідносин та законодавством України, зокрема для захисту Банком своїх прав та законних інтересів за договорами.

Заперечення особи щодо обробки персональних даних, необхідних Банку для виконання своїх зобов’язань, зокрема відкликання особою згоди на обробку даних, можуть стати підставою для припинення виконання Банком умов укладених договорів.

Порядок доступу до персональних даних визначається Банком самостійно відповідно до вимог Закону України "Про захист персональних даних".

Підставами обробки персональних даних відповідно до законодавства є:

  • згода суб’єкта персональних даних на обробку його персональних даних;
  • дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
  • укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
  • захист життєво важливих інтересів суб’єкта персональних даних;
  • необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
  • необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

В разі пред’явлення Банку (як володільцю бази персональних даних) суб’єктом персональних даних вмотивованої вимоги, передбаченої підпунктом 6) пункту 2 статті 8 Закону щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними, Банк, при отриманні заяви від суб’єкта персональних даних зобов’язаний перевірити інформацію, яка заперечується, протягом п’яти робочих днів з дня отримання заяви.

Передача персональних даних

За наявності підстав Банк має право поширювати (передавати) персональні дані, зокрема:

  • Національному банку України, державним, судовим, правоохоронним, контролюючим, податковим та іншим органам та особам, органам державної виконавчої служби, нотаріусам у випадках, передбачених чинним законодавством України, а також з метою захисту Банком своїх прав та інтересів та/або недопущення їх порушення;
  • іншим банкам у разі надходження до Банку запиту щодо надання інформації, необхідної для забезпечення ідентифікації ним свого клієнта, з’ясування суті та мети проведення клієнтом фінансової операції (операцій) або перевірки наданої клієнтом інформації, банк, що отримав такий запит, протягом 10 робочих днів з дня отримання запиту зобов’язаний безоплатно надати банку, що зробив такий запит, відповідну інформацію;
  • для забезпечення виконання третіми особами своїх функцій або надання послуг Банку, зокрема, аудиторам, страховим компаніям, оцінювачам, платіжним системам, установам, що здійснюють ідентифікацію, авторизацію та процесинг операцій, іншим банкам-контрагентам та іншим особам, якщо такі функції та послуги стосуються діяльності Банку, здійснюваних ним операцій, випущених ним платіжних та інших інструментів, або є необхідними для укладання та виконання Банком договорів (правочинів), надання відповідних послуг Клієнту Банку, а також партнерам Банку;
  • при настанні підстав для передачі третім особам банківської таємниці згідно з законодавством України або відповідно до умов укладених договорів;
  • особам, які надають Банку послуги з перевірки якості обслуговування, з організації аудіо-запису, фото/відео-зйомки, поштових відправлень, телефонних дзвінків, відправлень SMS-повідомлень, відправлень електронною поштою;
  • до бюро кредитних історій, у зв’язку зі стягненням простроченої заборгованості перед Банком, а також особам, що надають Банку послуги зі стягнення заборгованості;
  • особам, які здійснюють представництво інтересів Банку або надають послуги чи забезпечують іншу діяльність Банку, що не суперечить чинному законодавству України;
  • в інших випадках, передбачених чинним законодавством України та умовами укладених Банком договорів, та коли поширення (передача) персональних даних є необхідними з огляду на функції, повноваження та зобов’язання Банку у відповідних правовідносинах.

Передача персональних даних третім особам здійснюється Банком у зазначених випадках без отримання додаткової письмової згоди та окремого повідомлення фізичної особи-суб’єкта персональних даних, а також за умови, що сторона, якій передаються персональні дані, вжила заходів щодо забезпечення вимог Закону України "Про захист персональних даних".

Повідомлення про порядок обробки персональних даних та права суб’єктів персональних даних

Заява згоди на обробку персональних даних