Найближча каса

Порядок обробки персональних даних

ЗАТВЕРДЖЕНО
Наказ Генерального директора
ТОВ «НоваПей»
№ 472 від 20.05.2022

ПОЛОЖЕННЯ
ПРО ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
в ТОВ «НоваПей»
(редакція 4.0)

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.1. Положення про порядок обробки персональних даних в ТОВ «НоваПей» (далі – Положення) розроблено відповідно до законодавства України в частині забезпечення захисту персональних даних із врахуванням вимог:
− Конституції України;
− Господарського кодексу України;
− Цивільного кодексу України;
− Закону України «Про захист персональних даних» (далі – Закон);
− Закону України «Про інформацію»;
− Типового порядку обробки персональних даних, затвердженого Наказом Уповноваженого Верховної Ради України з прав людини 08.01.2014 №1/02-14.
1.2. Положення визначає вимоги ТОВ «НоваПей» (далі – Товариство) до обробки та порядку забезпечення захисту персональних даних суб’єктів персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних і технічних заходів.
1.3. Положення розповсюджується на невизначене коло осіб – суб’єктів персональних даних, які вступають або можуть вступати у будь-які відносини з Товариством.
1.4. Положення публікується на офіційному вебсайті Товариства (https://novapay.ua) з метою ознайомлення суб’єктів персональних даних, дані яких обробляються Товариством під час здійснення ним своєї статутної діяльності.
1.5. Положення визначає перелік заходів, спрямованих на безпеку персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.

2. ВИЗНАЧЕННЯ ТЕРМІНІВ ТА СКОРОЧЕННЯ

2.1. База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
2.2. Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
2.3. Відповідальний виконавець – особа, яка відповідно до внутрішніх документів Товариства безпосередньо здійснює обробку персональних даних, в тому числі, формує та веде відповідні бази персональних даних, отримує та зберігає згоди суб’єктів персональних даних на обробку персональних даних тощо.
2.4. Згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
2.5. Знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу.
2.6. Інформаційна система (далі – ІС) – сукупність інформаційних ресурсів, середовища передачі даних, обслуговуючого персоналу і організаційних заходів, які використовуються Товариством для задоволення своїх інформаційних потреб.
2.7. Інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.
2.8. Персональні дані (далі – ПД) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
2.9. Категорії – узагальнені групи персональних даних відповідних суб’єктів.
2.10. Клієнт – суб’єкт персональних даних (фізична особа або представник такої особи), який виступає споживачем фінансових послуг, що надаються Товариством та персональні дані якого обробляються Товариством.
2.11. Контрагент – суб’єкт персональних даних (фізична особа, фізична особа – підприємець, представник юридичної особи), який діє у цивільно-правових та господарсько-правових відносинах з Товариством.
2.12. Конфіденційна інформація (далі – КІ) – інформація, щодо якої встановлено режим конфіденційності. До КІ відноситься інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. КІ може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.
2.13. Користувач – особа, що залучається Товариством для виконання відповідних функцій або працівник Товариства, що використовує інформаційні ресурси ІС Товариства для виконання посадових обов’язків.
2.14. Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
2.15. Правочин – будь-який договір, стороною якого є Товариство, не залежно від його форми та предмету, в тому числі додатки, доповнення до них, угоди про внесення змін до них, документи, що підтверджують дії, спрямовані на укладення, виконання, зміну та припинення будь-яких з цих правочинів.
2.16. Працівник – фізична особа, яка безпосередньо власною працею виконує трудову функцію згідно з укладеним з Товариством трудовим договором (контрактом) та/або фізична особа, яка виконує касові операції для Товариства на підставі укладеного з іншим суб’єктом господарювання договору про надання послуг з надання персоналу.
2.17. Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.
2.18. Структурний підрозділ – структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов’язків на підставі положення про нього здійснює організацію роботи, пов’язаної із захистом персональних даних при їх обробці.
2.19. Суб’єкт персональних даних – фізична особа, персональні дані якої обробляються.
2.20. Строк обробки персональних даних – строк, протягом якого Товариство здійснює обробку персональних даних суб’єкта персональних даних, який обчислюється з моменту отримання Товариством персональних даних та згоди на обробку персональних даних (укладання правочину, умови якого передбачають обробку Товариством персональних даних) та не перевищує строк, необхідний для реалізації мети обробки та строк, визначений законодавством України у сфері архівної справи та діловодства.
2.21. Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений), якій Товариством чи розпорядником персональних даних здійснюється передача персональних даних.

3. ОСНОВНА ЧАСТИНА

3.1. Дане Положення обов’язкове для застосування Відповідальним виконавцем та всіма працівниками, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків.
Обробка персональних даних у Товаристві.
3.2. ПД, що обробляються Товариством, відносяться до КІ.
3.3. Товариство є володільцем ПД, а у випадках передбачених чинним законодавством України та/або на підставі укладених договорів, Товариство є розпорядником ПД.
3.4. Порядок обробки ПД в Товаристві визначається цим Положенням на підставі чинного законодавства України.
3.5. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи, підписані нею документи, відомості, які особа надає про себе.
3.6. Процеси (підпроцеси, процедури) обробки ПД є частиною бізнес-процесів Товариства. Процеси обробки ПД можуть бути автоматизованими або неавтоматизованими.
3.7. Товариство обробляє ПД, які можуть бути об’єднані в бази ПД.
3.8. Товариство може доручити обробку ПД розпоряднику ПД відповідно до договору, укладеного в письмовій формі. Розпорядник ПД може обробляти ПД лише з метою і в обсязі, визначених у договорі.
3.9. Товариство не обробляє ПД про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних профспілках, засудження до кримінального покарання, а також даних, що стосуються статевого життя, біометричних або генетичних даних.
3.10. В усіх випадках, не врегульованих цим Положенням, необхідно керуватися чинним законодавством України.
Вимоги до обробки ПД
3.11. В основу визначення мети обробки ПД закладено принцип законності їх обробки.
3.12. Обробка ПД здійснюється Товариством відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
3.13. ПД, що обробляються Товариством мають бути точними, достовірними та оновлюватися за потребою, визначеною метою їх обробки.
3.14. Склад та зміст ПД, що обробляються Товариством, мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
3.15. Cтрок обробки ПД встановлюється Товариством залежно від категорії суб’єктів ПД, мети обробки ПД та визначається чинним законодавством України.
3.16. Підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних;
5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
17 Категорії суб’єктів ПД
3.17. Товариство здійснює обробку ПД таких категорій суб’єктів персональних даних:
1) клієнти (фізичні особи та представники таких осіб);
2) контрагенти (суб’єкти, які перебувають у цивільно-правових та господарськоправових відносинах з Товариством – представники юридичної особи, фізичні особи-підприємці, фізичні особи без статусу господарюючого суб’єкта);
3) працівники.
Використання ПД
3.18. Використання ПД передбачає будь-які дії Товариства щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки ПД іншим суб’єктам відносин, пов’язаних із ПД, що здійснюються на підставі укладеного з суб’єктом ПД договору та/або за згодою суб’єкта ПД, або відповідно до вимог Закону.
3.19. Для належного використання ПД в Товаристві створені умови для їх захисту.
Збирання ПД
3.20. Збирання ПД є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
3.21. Суб’єкт персональних даних повідомляється про володільця ПД, склад та зміст зібраних ПД, свої права, визначені чинним законодавством України та мету збору ПД.
3.22. Отримання згоди суб’єкта ПД та повідомлення його про обробку ПД не виконуються, якщо ПД були зібрані із загальнодоступних джерел.
Порядок доступу до ПД суб’єкту відносин, пов’язаних з ПД
3.23. Порядок доступу до ПД третіх осіб визначається статтею 16 Закону.
3.24. Порядок доступу до ПД третіх осіб визначається умовами укладеного з суб’єктом персональних даних договором та/або згоди суб’єкта персональних даних, наданої Товариству на обробку цих даних.
3.25. Доступ до ПД третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
3.26. Суб’єкт відносин, пов’язаних з персональними даними, подає Товариству запит щодо доступу до персональних даних (далі – запит), в якому зазначається:
1) прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи – заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника);
3) прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
5) перелік персональних даних, що запитуються;
6) мета запиту.
3.27. Строк вивчення запиту на предмет його задоволення не може перевищувати 30 календарних днів з дня його надходження.
3.28. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом 30 календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати 45 календарних днів.
3.29. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.
3.30. Товариство безоплатно надає суб’єкту ПД інформацію про обробку його ПД, крім випадків, установлених законодавством.
3.31. Суб’єкт ПД має право на отримання своїх ПД, які він надав Товариству, в структурованому, загальноприйнятому форматі, що легко зчитується машиною, та має право на передавання таких даних іншому володільцю/розпоряднику.
Видалення або знищення ПД
3.32. ПД видаляються або знищуються в порядку, встановленому відповідно до вимог чинного законодавства.
3.33. ПД підлягають видаленню або знищенню у разі:
− закінчення строку зберігання даних, визначеного угодою, укладеною з суб’єктом ПД або згодою суб’єкта ПД на обробку цих даних, якщо інше не передбачено законом;
− припинення правовідносин між суб’єктом ПД та Товариством, якщо інше не передбачено законодавством;
− видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
− набрання законної сили рішенням суду щодо видалення або знищення ПД.
3.34. Відомості про особу, які не відповідають дійсності, мають бути негайно змінені або знищені.
3.35. Видалення та знищення ПД здійснюється у спосіб, що виключає можливість їх поновлення.
Поширення ПД
3.36. Поширення ПД передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта ПД.
3.37. Поширення ПД без згоди суб’єкта ПД або уповноваженої ним особи дозволяється у випадках, визначених законодавством, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
3.38. Виконання вимог встановленого режиму захисту ПД забезпечує сторона, що поширює ці дані.
3.39. Сторона, якій передаються ПД, повинна попередньо вжити заходів щодо забезпечення вимог чинного законодавства.
3.40. Передача ПД іноземним суб’єктам відносин, пов’язаних із ПД, здійснюється лише за умови забезпечення відповідною державою належного захисту ПД у випадках, встановлених законом або міжнародним договором України.
3.41. ПД не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
3.42. ПД можуть передаватися іноземним суб’єктам відносин, пов’язаних з ПД, також у разі:
− надання суб’єктом ПД однозначної згоди на таку передачу;
− необхідності укладення чи виконання правочину між володільцем ПД та третьою особою – суб’єктом ПД на користь суб’єкта ПД;
− необхідності захисту життєво важливих інтересів суб’єктів ПД;
− необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
− надання володільцем ПД відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта ПД.
Передача ПД
3.43. Товариство може передавати ПД суб’єктів ПД, що входять до Категорій «Клієнти», «Контрагенти» та «Працівники» таким третім особам (в тому числі, але не виключно):
− розпорядникам (підприємствам, установам і організаціям усіх форм власності, органам державної влади чи органам місцевого самоврядування, фізичним особам – підприємцям, яким Товариством або чинним законодавством надано або буде надано право обробляти персональні дані);
− третім особам, що залучені Товариством та/або приймають участь під час надання Товариством послуг з переказу коштів, банкам, операторам платіжної інфраструктури, учасникам платіжних систем, кліринговим установам, платіжним організаціям платіжних систем, Національному банку України;
− архівним установам та іншим особам, що надають Товариству послуги зберігання інформації та документів (пов’язані з цим послуги);
− учасникам, афілійованим особам Товариства, особам, що мають істотну участь в Товаристві та/або здійснюють контроль над Товариством;
− організаціям, які надають послуги процесингу Товариству та інші послуги (зокрема, фінансові);
− суб’єктам господарювання, що працюють під торговою маркою (брендом) «Нова Пошта», зокрема, для пропонування повного кола послуг суб’єктам ПД іншими суб’єктами господарювання, які працюють під торговою маркою (брендом) «Нова Пошта»;
− іншим приватним особам та організаціям для забезпечення виконання останніми своїх функцій або надання послуг Товариству відповідно до укладених між такими особами (організаціями) та Товариством правочинів.
3.44. Товариство може передавати ПД суб’єктів ПД, що входять до Категорій «Клієнти», на умовах, визначених в оферті на переказ коштів, що розміщується на офіційному вебсайті Товариства. Повідомлення про дії з ПД
3.45. Про передачу ПД третій особі Товариство протягом 10 робочих днів повідомляє суб’єкта ПД, окрім наступних випадків:
− передачі ПД за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
− виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
− здійснення обробки ПД в історичних, статистичних чи наукових цілях;
− можливість передачі ПД третім особам передбачена умовами укладеного Товариством та суб’єктом ПД правочину.
Забезпечення захисту ПД
3.46. Забезпечення безпеки персональних даних в Товаристві ґрунтується на наступних фундаментальних принципах:
− принцип мінімальних повноважень: доступ до персональних даних повинен бути організований таким чином, щоб надавати тільки ті повноваження, яких достатньо для виконання службових завдань та обов’язків;
− принцип явного санкціонування дій: дії працівників Товариства, пов’язані з персональними даними, які прямо не передбачені внутрішніми організаційнорозпорядчими або нормативними документами Товариства, є забороненими;
− принцип законності: Товариство враховує вимоги чинного законодавства України пов’язаного з безпекою персональних даних;
− принцип відповідальності: керівництво Товариства, а також працівники, бізнеспартнери і будь-які треті сторони, які мають або мали доступ до персональних даних, повинні дотримуватися вимог регламентуючих документів та законодавства України;
− принцип комплексності та системності: захист персональних даних в Товаристві забезпечується на правовому, адміністративному, організаційному і програмнотехнічному рівнях, а також шляхом комплексного застосування засобів захисту інформації та взаємодії всіх підрозділів Товариства між собою.
3.47. Товариство вживає заходів щодо забезпечення захисту ПД на всіх етапах їх обробки за допомогою організаційних та технічних заходів.
3.48. Захист ПД передбачає заходи, спрямовані на запобігання їх випадковим втратам або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до ПД.
3.49. Товариство використовує системні і програмно-технічні засоби та засоби зв’язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню, відтворенню і поширенню інформації, зокрема, і в сфері захисту персональних даних та відповідають вимогам міжнародних та національних стандартів.
3.50. Товариство забезпечує архівацію персональних даних, які циркулюють в програмних комплексах та інформаційних ресурсах Товариства. Носії з архівними персональними даними зберігаються у сховищі.
3.51. Товариство обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог Закону. Норми технічного захисту інформації у Товаристві відповідають вимогам законодавства Україні щодо захисту інформації.
3.52. Функціонування системних, програмно-технічних засобів та засобів зв’язку забезпечує дублювання роботи всіх систем та елементів для забезпечення збереження інформації та забезпечення неможливості її знищення з будь-яких обставин засобами, передбаченими Товариством.
3.53. Програмні продукти, що використовуються Товариством в процесі обробки персональних даних для досягнення мети їх обробки мають вбудовані механізми захисту інформації від несанкціонованого доступу для забезпечення ідентифікації та аутентифікації користувачів, цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом, та/або має змогу використовувати зазначені механізми захисту системного програмного забезпечення, а також можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується.
3.54. Працівники допускаються до обробки персональних даних лише після їх авторизації. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, блокується.
3.55. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
3.56. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватися реєстрація, зокрема:
− результатів ідентифікації та/або автентифікації працівників Товариства;
− дій з обробки персональних даних;
− факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних у базі персональних даних» за допомогою управляючих елементів вебресурсів володільця або розпорядника бази персональних даних, інтерфейсів користувача програмного забезпечення;
− результатів перевірки цілісності засобів захисту персональних даних.
3.57. Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
3.58. Реєстраційні дані захищаються від модифікації та знищення. Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб’єктам відносин, пов’язаним із персональними даними.

4. ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ СУБ’ЄКТІВ КАТЕГОРІЇ «КЛІЄНТИ»

4.1. У категорії «Клієнти» Товариство здійснює обробку ПД суб’єктів ПД (фізичних осіб та їх уповноважених представників), які є споживачами фінансових послуг, що надаються Товариством.
4.2. ПД суб’єктів категорії «Клієнти» обробляються для цілей надання фінансових послуг Товариством та виконання вимог законодавства України, в тому числі, в сфері фінансового моніторингу.
4.3. Метою обробки ПД суб’єктів вказаної категорії є:
− надання фінансових послуг Товариством та здійснення пов’язаних із цим операцій;
− виконання вимог законодавства в сфері здійснення фінансового моніторингу;
− виконання вимог, які встановлюються нормативно-правовими актами Національного банку України;
− підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітної інформації з питань діяльності Товариства;
− дотримання вимог законодавства у сфері оподаткування;
− забезпечення комунікацій з клієнтами;
− надання консультацій та інформації щодо послуг Товариства;
− проведення маркетингових заходів, досліджень та компаній, аналізу споживчих настроїв;
− забезпечення прав та законних інтересів Товариства та зацікавлених осіб;
− забезпечення реалізації відносин у сфері послуг, що надаються Товариством;
− виконання Товариством своїх функцій та/або для виконання укладених Товариством договорів із суб’єктами господарювання, що працюють під торговою маркою (брендом) «Нова Пошта», учасниками Товариства, афілійованими особами Товариства, особами, що мають істотну участь в Товаристві та/або здійснюють контроль над Товариством;
− надання суб’єктами господарювання, що працюють під торговою маркою (брендом) «Нова Пошта», послуг Товариству;
− інших відносин, що вимагають обробки ПД та мають на меті отримання доходів та реалізацію положень законодавства України, Статуту Товариства та його внутрішніх положень та політик. Умовами оферти на переказ коштів може бути передбачена інша мета обробки ПД.
4.4. Склад ПД, обробку яких здійснює Товариство в категорії «Клієнти» (включаючи, але не обмежуючись):
− прізвище, ім’я та по батькові (за наявності) суб’єкта;
− дані документа, що посвідчує особу, зокрема, копії документів в паперовому та\або електронному вигляді, що засвідчуються особою, як такі, що відповідають оригіналу, із зазначенням дати отримання (копіювання) таких копій документів;
− громадянство або відсутність відношення до громадянства;
− зразок особистого підпису;
− місце реєстрації, місце постійного проживання або тимчасового перебування;
− реєстраційний номер облікової картки платника податків або дані про відмову в отриманні такого номеру;
− контактні особи (прізвища, ім’я, по батькові таких осіб, їх дата народження, номери телефонів, адреса електронної поштової скриньки);
− зображення (фото, скановані копії документів, відео) та звукозапис при наданні фінансових послуг;
− номера телефонів, адреса електронної поштової скриньки тощо;
− реквізити електронного платіжного засобу (банківської платіжної картки) Клієнта (без зазначення CAV2/CVC2/CVV2/CID та ПІН-коду);
− дані, які вимагаються законодавством в сфері здійснення фінансового моніторингу, з тих, що не наведені вище;
− інші відомості, мета обробки яких співпадає з метою обробки персональних даних, та які будуть надані суб’єктом самостійно або отримані Товариством в процесі ведення Товариством своєї діяльності, в тому числі, але не виключно шляхом надання фінансових послуг. Застереження про аудіовізуальне спостереження.
4.5. При наданні фінансових послуг Клієнтам безпосередньо в пунктах надання фінансових послуг Товариство для реалізації своїх прав та законних інтересів може проводити відеоспостереження.
4.6. Товариство здійснює відеоспостереження за згодою суб’єкта ПД на обробку його ПД Товариством, що надається суб’єктом шляхом відвідування пункту надання фінансових послуг, в якому зазначається про факт ведення відеоспостереження.
4.7. Товариство здійснює аудіофіксацію розмов з використанням відповідного телекомунікаційного обладнання за умови повідомлення суб’єкта ПД про факт здійснення аудіофіксації шляхом усного застереження. Відеозаписи, фотографії та записи телефонних розмов можуть бути використані Товариством для реалізації своїх прав та законних інтересів.
4.8. Підписуючи документ на переказ (отримання) коштів суб’єкт ПД підтверджує, що він ознайомлений з цим Положенням, йому повідомлено про володільця ПД, склад та зміст зібраних ПД, права суб’єкта ПД, визначені законодавством, мету збору та осіб, яким можуть передаватися його персональні дані.
4.9. Підписуючи документ на переказ (отримання) коштів суб’єкт ПД підтверджує про свою обізнаність щодо обробки його ПД у зв’язку з виконанням володільцем ПД обов’язку, який передбачений законом.

5. ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ СУБ’ЄКТІВ КАТЕГОРІЇ «КОНТРАГЕНТИ»

5.1. У категорії «Контрагенти» Товариство здійснює обробку ПД суб’єктів ПД, які перебувають у цивільно-правових та господарсько-правових відносинах з Товариством – представники юридичної особи, фізичні особи-підприємці, фізичні особи без статусу господарюючого суб’єкта.
5.2. ПД суб’єктів, що входять до категорії «Контрагенти», обробляються для цілей ефективного виконання умов правочинів, що укладаються Товариством з суб’єктами вказаної Категорії та для дотримання умов чинного законодавства України.
5.3. Метою обробки ПД вказаної Категорії є:
− здійснення господарської діяльності, в тому числі, отримання та надання Товариством послуг;
− ведення бухгалтерського, фінансового та управлінського обліку;
− ділового листування, в тому числі, надання відповідей на запити державних органів;
− виконання вимог законодавства в сфері здійснення фінансового моніторингу;
− виконання вимог, які встановлюються нормативно-правовими актами Національного банку України;
− підготовки відповідно до вимог законодавства та внутрішньої документації Товариства статистичної, адміністративної та іншої звітної інформації з питань діяльності Товариства;
− дотримання вимог законодавства в сфері оподаткування;
− забезпечення комунікацій з контрагентами та їх представниками;
− забезпечення прав та законних інтересів Товариства та зацікавлених осіб.
5.4. Умовами укладеного Товариством та його Контрагентом правочином може бути передбачена інша мета обробки ПД.
5.5. Склад ПД, обробку яких здійснює Товариство в Категорії «Контрагенти» (включаючи, але не обмежуючись):
− прізвище, ім’я та по батькові суб’єкта (представника суб’єкта);
− дані документу, що посвідчує особу, зокрема, копії документів в паперовому та\або електронному вигляді, що засвідчуються особою, як такі, що відповідають оригіналу, із зазначенням дати отримання (копіювання) таких копій документів;
− зразок особистого підпису;
− дані про реєстрацію суб’єкта в якості фізичної особи – підприємця;
− місце реєстрації, місце постійного проживання або тимчасового перебування;
− реєстраційний номер облікової картки платника податків або дані про відмову в отриманні такого номеру;
− контактні особи, для здійснення комунікацій в рамках виконання умов укладених правочинів (прізвища, ім’я, по батькові таких осіб, номери телефонів, адреса електронної поштової скриньки); − номера телефонів, адресу електронної поштової скриньки тощо;
− банківські реквізити;
− інші відомості, мета обробки яких співпадає з метою обробки персональних даних вказаної категорії, та які будуть надані суб’єктом самостійно або отримані Товариством в процесі ведення Товариством своєї діяльності.
5.6. Укладаючи правочин з Товариством суб’єкт ПД підтверджує, що він ознайомлений з цим Положенням, йому повідомлено про володільця ПД, склад та зміст зібраних ПД, права суб’єкта ПД, визначені законодавством, мету збору та осіб, яким можуть передаватися його персональні дані.

6. ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ СУБ’ЄКТІВ КАТЕГОРІЇ «ПРАЦІВНИКИ»

6.1. У категорії «Працівники» Товариство здійснює обробку ПД фізичних осіб, які знаходяться у трудових відносинах з Товариством або мають намір вступити в трудові відносини (надають свої персональні дані з метою працевлаштування, в якості відповіді на інформації Товариства про наявні вакансії) або виконують касові операції для Товариства на підставі укладеного з іншим суб’єктом господарювання договору про надання послуг з надання персоналу.
6.1. ПД суб’єктів категорії «Працівники» обробляються для врегулювання та оформлення трудових відносин між Працівником та Товариством, інших правовідносин з дотриманням вимог чинного законодавства України.
6.2. Метою обробки ПД вказаної категорії є:
− встановлення та підтримання правовідносин в галузі праці, працевлаштування та стажування;
− забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку;
− дотримання умов чинного законодавства України у сфері здійснення фінансового моніторингу;
− виконання вимог, які встановлюються нормативно-правовими актами Національного банку України, Державної служби зайнятості України, Фонду соціального страхування з тимчасової втрати працездатності та інших державних органів.
6.3. Склад ПД, обробку яких здійснює Товариство в категорії «Працівники» (включаючи, але не обмежуючись):
− прізвище, ім’я та по батькові (за наявності) суб’єкта;
− дані документу, що посвідчує особу;
− громадянство або відсутність відношення до громадянства;
− зразок особистого підпису;
− вік;
− стать;
− дата і місце народження;
− місце реєстрації, місце постійного проживання або тимчасового перебування;
− реєстраційний номер облікової картки платника податків або дані про відмову в отриманні такого номеру;
− сімейний стан;
− склад сім’ї та кількість утриманців, прізвища, ім’я, по батькові таких осіб, їх стать, вік, місце реєстрації та проживання, контактні дані; − професію, спеціалізацію, кваліфікаційний клас;
− робочий стаж та місця роботи;
− відношення до військового обов’язку;
− освіту (включаючи вчені звання, курси підвищення кваліфікації тощо), володіння мовами;
− наявність прав керування транспортними засобами та стаж керування;
− займані посади;
− зображення (фото, відео) та звукозапис, зроблені роботодавцем під час виконання трудових обов’язків;
− номери телефонів, адресу електронної поштової скриньки тощо;
− адресу розташування робочого місця;
− розмір основної та додаткової заробітної плати, премії, бонуси, інші доходи;
− реквізити банківських рахунків;
− дані, які вимагаються законодавством в сфері здійснення фінансового моніторингу, з тих, що не наведені вище;
− інші відомості, мета обробки яких співпадає з метою обробки персональних даних, та які будуть надані суб’єктом самостійно або отримані Товариством в процесі ведення Товариством своєї діяльності.
6.4. Підписуючи відповідну заяву суб’єкт ПД підтверджує, що він ознайомлений з цим Положенням, йому повідомлено про володільця ПД, склад та зміст зібраних ПД, права суб’єкта ПД, визначені законодавством, мету збору та осіб, яким можуть передаватися його персональні дані.

7. ПОВІДОМЛЕННЯ ПРО ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

7.1. Товариство повідомляє суб’єктів персональних даних про їх права як суб’єктів персональних даних, що обумовлені ст. 8 Закону, в тому числі:
− знати про джерела збирання, місцезнаходження свої персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
− отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються їх персональні дані;
− на доступ до своїх персональних даних;
− отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються їх персональні дані, а також зміст таких персональних даних;
− пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
− на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
− звертатися із скаргами на обробку своїх персональних даних до Уповноваженого;
− застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
− вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
− відкликати згоду на обробку персональних даних;
− знати механізм автоматичної обробки їх персональних даних;
− на захист від автоматизованого рішення, яке має для них правові наслідки.
7.2. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, встановлених законом.
7.3. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно. Суб’єкт персональних даних подає до Товариства запит щодо доступу до своїх персональних даних.
7.4. Запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом. Запитувана інформація надається суб’єкту персональних даних у письмовій формі шляхом надсилання листа.

8. ПРИКІНЦЕВІ ПОЛОЖЕННЯ

9.1. Товариство вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки.
9.2. Товариство самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
9.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрат або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
9.4. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.
9.5. Це Положення (його наступні редакції) публікується на офіційному сайті Товариства http://www.novapay.ua.

Веб-сайт використовує файли cookie. З їх допомогою ми покращуємо роботу сайту. Залишаючись на сайті, ви даєте згоду на використання файлів cookie.

Погодитись