Порядок  і процедура захисту персональних даних споживачів

(Витяг з Порядку обробки персональних даних в кредитній спілці «Буковинський Альянс»)

Керуючись положеннями Закону України «Про захист персональних даних» Кредитна спілка «Буковинський Альянс» (далі по тексту – кредитна спілка) повідомляє Вас про порядок обробки персональних даних та права суб’єктів персональних даних. Кредитна спілка здійснює свою діяльність виключно у відповідності до вимог чинного законодавства України та вживає всіх необхідних заходів з метою дотримання Конституції України, Закону України «Про кредитні спілки», Закону України «Про захист персональних даних», Закону України «Про споживче кредитування», інших законів та інших нормативно-правових актів України.

Основні терміни у сфері захисту персональних даних споживачів фінансових послуг:

база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець персональних даних - юридична особа (кредитна спілка), яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди;

знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

суб'єкт персональних даних - фізична особа, персональні дані якої обробляються;

третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.

Мета обробки персональних даних:

Кредитна спілка здійснює обробку персональних даних у Базі даних «Фізичні особи: контрагенти, члени кредитної спілки, треті особи (фізичні)», визначених внутрішніми документами кредитної спілки, з метою: виконання кредитною спілкою статутних завдань, вимог законодавства та внутрішніх положень, а саме: забезпечення реалізації економічних відносин, відносин у сфері фінансових послуг, господарської діяльності, управління, бухгалтерського обліку, управління людськими ресурсами, відповідно до Закону України «Про фінансові послуги та державне регулювання ринків фінансових послуг», Закону України «Про кредитні спілки», Закону України «Про споживче кредитування», Статуту кредитної спілки, інших законів, нормативно-правових актів та внутрішніх положень кредитної спілки.

Попередження про обробку персональних даних:

1) Споживачів фінансових послуг

З метою забезпечення високого рівня обслуговування споживачів та дотримання вимог законодавства, споживач, підписуючи будь-який договір з кредитною спілкою або документи за операціями, без будь-яких застережень надає згоду кредитній спілці:

• на обробку його персональних даних - на збір, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання і поширення (розповсюдження, реалізацію, передачу), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем, з метою запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, надання фінансових послуг та забезпечення реалізації прав та виконання обов’язків у сфері фінансових, економічних, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку, відносин у сфері безпеки, управління кредитними ризиками, відносин, що виникають з установами, які згідно з законодавством та/або укладеними з кредитною спілкою угодами можуть проводити перевірку діяльності кредитної спілки, відносин, що виникають у випадку невиконання споживачем своїх зобов’язань за договорами, укладеними між споживачем та кредитною спілкою, у т.ч. пов’язаних з примусовим стягненням боргу, відносин у випадках укладення кредитною спілкою договорів про відступлення права вимоги, інших відносин, що вимагають обробки персональних даних, передбачених положеннями Конституції України, законами України, нормативно-правовими актами, договорами, укладеними з споживачем тощо; на включення та обробку його персональних даних у базах персональних даних, володільцем яких є кредитна спілка, а саме даних у Базі даних «Фізичні особи контрагенти та члени кредитної спілки «Буковинський Альянс»;
• на доступ до своїх персональних даних уповноваженому державному органу з питань захисту персональних даних, розпорядникам баз персональних даних, а також Третій Стороні, яким відповідно до Законодавства та/або письмового дозволу/згоди споживачаа та/або договору, укладеному між кредитною спілкою та Третьою Стороною, надано право отримання та/або обробку персональних даних споживача, у т.ч. у випадках відновлення порушеного права кредитної спілки, якщо споживач допустив таке порушення невиконанням або неналежним виконанням умов договорів, укладених з кредитною спілкою та/або укладення кредитною спілкою договорів про відступлення права вимоги тощо;
• на особистий доступ до своїх персональних даних за місцезнаходженням бази персональних даних за адресою: м. Чернівці, вул. Марії Заньковецької, буд. 15.

2) Близьких осіб позичальника, представника, спадкоємця, поручителя, майнового поручителя або третіх осіб:

Кредитна спілка попереджає близьких осіб позичальника, представника, спадкоємця, поручителя, майнового поручителя або третіх осіб, взаємодія з якими передбачена договором про споживчий кредит:

про надання згоди (усної чи письмової) на взаємодію цих осіб з кредитною спілкою на випадок необхідності врегулювання простроченої заборгованості позичальника за укладеним договором про споживчий кредит, яка передбачає передачу їх персональних даних позичальником до кредитної спілки та обробку їх персональних даних відповідно до законодавства та внутрішніх положень кредитної спілки.

Згідно ч.5 ст. 25 Закону України «Про споживче кредитування» Позичальник зобов’язаний:

• до моменту передачі кредитній спілці персональних даних третіх осіб, отримати згоду на обробку їхніх персональних даних від близьких осіб, представника, спадкоємця, поручителя, майнового поручителя або третіх осіб, взаємодія з якими передбачена договором про споживчий кредит та які надали згоду на таку взаємодію, -передати вказані персональні дані кредитній спілці – кредитодавцю/ новому кредитору/ колекторській компанії, на випадок необхідності врегулювання простроченої заборгованості позичальника за укладеним договором про споживчий кредит.

3) Позичальника:

Кредитна спілка попереджає позичальника про передбачену статтею 182 Кримінального кодексу України відповідальність за незаконне збирання, зберігання, використання, поширення позичальником конфіденційної інформації про третіх осіб, персональні дані яких передаються кредитній спілці-кредитодавцю:

Стаття 182. Порушення недоторканності приватного життя

1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, - караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п'яти років, або позбавленням волі на той самий строк.

Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.

Публічне, у тому числі через засоби масової інформації, журналістів, громадські об’єднання, професійні спілки, повідомлення особою інформації про вчинення кримінального або іншого правопорушення, здійснене з дотриманням вимог закону, не є діями, передбаченими цією статтею, і не тягне за собою кримінальну відповідальність.

{Стаття 182 в редакції Закону № 3454-VI від 02.06.2011; із змінами, внесеними згідно із Законом № 198-IX від 17.10.2019}

Підстави обробки персональних даних

Підставою виникнення права кредитної спілки на обробку персональних даних, а також персональних даних, що містяться у матеріалах та даних, зібраних у процесі взаємодії при врегулюванні простроченої заборгованості, є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданого володільцю персональних даних (кредитній спілці) відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) необхідність виконання обов'язку володільця персональних даних, який передбачений законом;

5) необхідність захисту законних інтересів володільців персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси.

Звертаємо Вашу увагу, що обробка персональних даних здійснюється володільцем персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.

Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.

Порядок доступу до персональних даних визначається кредитною спілкою самостійно відповідно до вимог Закону України «Про захист персональних даних».

Для отримання доступу до персональних даних, а також з інших питань щодо обробки персональних даних у кредитній спілці необхідно письмово звертатися за адресою:м. Чернівці, вул. Марії Заньковецької, буд. 15.

Склад персональних даних, що обробляються кредитною спілкою

До персональних даних, що обробляються кредитною спілкою належать відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Кредитна спілка здійснює обробку персональних даних згідно з вимогами законодавства: До загальних персональних даних фізичної особи, що обробляються в кредитній спілці, відносяться:

• прізвище, ім'я та по батькові, дату народження, серію і номер паспорта (або іншого документа, що посвідчує особу), дату видачі та орган, що його видав; місце проживання фізичної особи, реєстраційних номер облікової картки платника податків або серію та номер паспорта, в якому проставлено відмітку органів державної податкової служби про відмову від одержання ідентифікаційного номера; інформація про місце роботи та займану посаду, інформація щодо освіти та сімейного стану, дані про економічне і фінансове становище, дані про майно, банківські дані, підпис, дані з актів цивільного стану, дані пенсійної справи, професійну підготовку, електронні ідентифікаційні дані, номери телефонів, фотозбереження тощо.

Для фізичної особи – підприємця додатково місце проживання або місце перебування фізичної особи - підприємця, реквізити документу що підтверджує державну реєстрацію та інформація щодо органу державної влади, що його видав, реквізити банку, в якому відкрито рахунок, і номер банківського рахунку (за наявності).

Кредитна спілка здійснює обробку персональних даних, отриманих від третіх осіб, якщо це передбачено законодавством України або за умови надання ними гарантії, що така передача здійснюється третьою особою з дотриманням вимог законодавства України і не порушує права осіб, персональні дані яких передаються кредитній спілці.

Кредитна спілка відповідно до чинного законодавства України має право витребувати від споживача інші документи та відомості, які містять персональні дані, виключно з метою виконання кредитною спілкою вимог чинного законодавства України, яке регулює відносини у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

Обробка кредитною спілкою персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних не здійснюється.

Права та обов’язки суб’єктів персональних даних

Відповідно до ЗАКОНУ фізична особа, щодо якої кредитною спілкою здійснюється обробка персональних даних

Має право:

• знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
• отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані; – на доступ до своїх персональних даних;
• отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються її персональні дані у базі персональних даних кредитної спілки, а також отримувати зміст персональних даних;
• пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних; –пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
• звертатися із скаргами на обробку своїх персональних даних до Уповноваженого, або до суду;
• застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;
• вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди; - відкликати згоду на обробку персональних даних;
• знати механізм автоматичної обробки персональних даних;
• на захист від автоматизованого рішення, яке має для нього правові наслідки.

Зобов’язана:

• повідомляти кредитну спілку про зміну своїх персональних даних, що підлягають обробці у базі персональних даних.

Передача персональних даних:

Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої кредитній спілці на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України "Про доступ до публічної інформації".

Без згоди фізичної особи персональні дані можуть передаватися у випадках:

• коли передача персональних даних про фізичну особу, які є конфіденційною інформацією, прямо передбачена законодавством України, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини;

Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.

Повідомлення, не здійснюються у разі:

1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;

4) повідомлення суб'єкта персональних даних відповідно до вимог частини другої статті 12 ЗАКОНУ.

Перелік третіх осіб, яким можуть передаватися персональні дані:

1. Суд
2. Прокуратура
3. Адвокат
4. Нотаріус
5. Служба безпеки України
6. Міністерство внутрішніх справ
7. Національний банк України
8. Держфінмоніторинг
9. Державна податкова служба
10. Приватні виконавці
11. Державна виконавча служба
12. Державна екологічна інспекція України
13. Державна служба України з надзвичайних ситуацій
14. Державна інспекція енергетичного нагляду України
15. Органи місцевого самоврядування
16. Антимонопольний комітет
17. Бюро кредитних історій
18. Аудиторська фірма
19. Новий кредитор
20. Колекторська компанія

Доступ до персональних даних

Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю персональних даних. У запиті зазначаються:

• прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
• найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
• прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
• відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
• перелік персональних даних, що запитуються;
• мета та/або правові підстави для запиту.

Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволене або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

Нормативно-правові акти у сфері захисту персональних даних:

Конституція України

Закон України «Про кредитні спілки»

Закон України «Про захист персональних даних»

Закон України «Про споживче кредитування»

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних

Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних

Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законодавством України, здійснює: Уповноважений Верховної Ради з прав людини Україна, 01008, м. Київ, вул. Інститутська, 2/8, тел.: (044) 253-75-89; 0800-50-17-20.