Затверджено
Наказом від 15.09.2022 р. № 1509-4
Директор ТОВ «ФІНФОРС»
Світлана ПЛОХУТА
ПОРЯДОК
ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
ТОВАРИСТВОМ З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ
«ФІНФОРС»
1. Загальні положення
1.1. Цей Порядок обробки персональних даних Товариством з обмеженою відповідальністю «ФІНФОРС» (далі – Порядок) розроблено відповідно до вимог Закону України «Про захист персональних даних» (далі – Закон) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08 січня 2014 року № 1/02-14 та інших нормативно-правових актів.
1.2. Порядком визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються Товариством з обмеженою відповідальністю «ФІНФОРС» (далі – Товариство) повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.3. Особливості здійснення обробки персональних даних Суб'єктів персональних даних Товариством залежать від Категорії, до якої належить той чи інший Суб’єкт персональних даних. Категорії Суб'єктів персональних даних мають назви: «Працівники», «Споживачі» та «Треті особи, взаємодія з якими передбачена умовами кредитного договору».
1.4. Усі персональні дані, володільцем яких є Товариство, є конфіденційною інформацією з обмеженим доступом.
2. Терміни
2.1. База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
2.2. Володілець персональних даних – Товариство з обмеженою відповідальністю «ФІНФОРС», Код ЄДРПОУ 41717584, юридична адреса: 01042, місто Київ, вул. Іоанна Павла ІІ, будинок 4/6, корпус «В», кабінет 508-2 (далі – Товариство, Володілець).
2.3. Договір факторингу – договір, що укладається між Клієнтом та Товариством (Фактором), та передбачає фінансування, під відступлене Право вимоги, відповідно до якого одна сторона (Фактор) передала або зобов’язується передати грошові кошти в розпорядження другої сторони (Клієнта) за плату, а Клієнт відступає або зобов’язується відступити Факторові своє право грошової вимоги до Боржника.
2.4. Згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети іх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
2.5. Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
2.6. Одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа.
2.7. Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (далі – ПД, Дані).
2.8. Право грошової вимоги – право Клієнта, яке відступається на користь Фактора відповідно до умов договору факторингу.
2.9. Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.
2.10. Сайт –http://www.finforce.com.ua/
2.11. Суб’єкт персональних даних – фізична особа, персональні дані якої обробляються (далі – Позичальник, суб’єкт персональних даних).
2.12. ретя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
2.13. Треті особи, взаємодія з якими передбачена умовами кредитного договору – особи, персональні дані яких передані Товариству разом із кредитною справою та/або передані під час врегулювання простроченої заборгованості, уключаючи близьких осіб Споживача.
3. Підстави та мета обробки персональних даних
3.1. Мета обробки персональних даних категорії «Споживачі»:
- Врегулювання простроченої заборгованості за кредитни договором, право грошової вимоги за яким отримано Товариством на підставі договору факторингу;
- Реалізація зобов’язань відповідно до чинного законодавства.
3.2. Товариство здійснює обробку персональних даних категорії «Споживач» суб’єкта персональних даних на наступних підставах:
- згоди суб’єкта персональних даних;
- укладення та виконання правочину;
- з інших підстав, передбачених ст. 11 Закону.
3.3. Товариство здійснює обробку персональних даних «Третіх осіб, взаємодія з якими передбачена умовами кредитного договору» на таких підставах:
- згоди суб’єкта персональних даних на передачу персональних даних первісному Кредитору (Клієнту) (така згода надається особою Клієнту під час укладання кредитного договору між Клієнтом та Споживачем);
- згоди суб’єкта персональних даних на взаємодію з Товариством під час врегулювання питання погашення заборгованості Споживача перед Товариством.
Товариство здійснює обробку персональних даних третіх осіб, взаємодія з якими передбачена умовами кредитного договору з метою врегулювання питання погашення заборгованості, що існує у Споживача перед Товариством.
3.4. Персональні дані працівників Товариства обробляються в базі персональних даних «Працівники» на підставі дозволу на обробку персональних даних, наданої Товариству відповідно до закону, виключно для здійснення Товариством службових повноважень та з метою реалізації трудових відносин:
- оформлення ділових відносин між Працівником та Товариством;
- оформлення ділових відносин між Працівником та Товариством;
- ведення кадрового діловодства;
- ведення бази персональних даних Працівників;
- нарахування і сплати заробітної плати, податків, зборів та інших обов'язкових платежів;
- підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітності з питань персоналу;
- військового обліку;
- попередження виникнення ситуацій конфлікту інтересів;
- підготовки внутрішніх документів Товариства з метою реалізації, визначених законодавством України, статутом Товариства та іншими розпорядчими документами Товариства, прав та обов'язків працівника і Товариства в якості роботодавця в сфері трудових відносин та соціального захисту;
- на виконання вимог та нормативно-правових актів Національного Банку України.
4. Склад та зміст персональних даних
4.1. Склад та зміст персональних даних категорії «Споживачі», які обробляються Товариством:
4.1.2. особисті та контактні дані:
- прізвище, ім’я та по батькові особи;
- інформація, яка зазначена в паспорті (серія, номер паспорту, дата видачі та ким його було видано) (або іншому документі, що посвідчує особу);
- дата, місяць і рік народження;
- реєстраційний номер облікової картки платника податків;
- відомості про зареєстроване та фактичне місце проживання;
- номери контактних телефонів;
- адреса електронної пошти;
- відомості про притягнення до адміністративної чи кримінальної відповідальності.
4.1.3. фінансова інформація:
- стан кредитної заборгованості перед Товариством;
4.1.4. інформація, відповідно до Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»:
- прізвище, ім’я та по батькові особи;
- інформація, яка зазначена в паспорті (серія, номер паспорту, дата видачі та ким його було видано) (або іншому документі, що посвідчує особу);
- дата, місяць і рік народження;
- реєстраційний номер облікової картки платника податків;
- відомості про зареєстроване та фактичне місце проживання;
- номери контактних телефонів;
- адреса електронної пошти;
- запис зображень (фото, відео; звукозапис);
- стать;
- наявність чи відсутність статусу політично значимої особи, чи є суб’єкт персональних даних членом сім’ї політично значимої особи чи є особою, пов’язаною з політично значущою особою;
- суми нарахованих та/або отриманих доходів;
- тощо;
4.1.5. інформація щодо працевлаштування:
- найменування роботодавця або навчального закладу (за наявності);
- інформація про професію, посаду та рід діяльності;
4.1.6. інформація, отримана в ході комунікації з Товариством:
- отримані листи, електронне листування, телефонні розмови.
4.2. Склад та зміст персональних даних категорії «Треті особи, взаємодія з якими передбачена умовами кредитного договору», які обробляються Товариством:
- Прізвище, ім’я, по батькові;
- статус по відношенню до Споживача;
- номер контактного телефону;
- звукозапис розмови з працівником Товариства, що містить голос такої третьої особи;
- адреса електронної пошти.
4.3. Відповідно до мети обробки до складу персональних даних категорії «Працівники» включаються такі дані:
- прізвище, ім'я, по-батькові;
- паспортні дані;
- реєстраційний номер облікової картки платника податків;
- особисті відомості (вік, стать, тощо);
- автобіографія, резюме;
- відомості про зареєстроване та фактичне місце проживання;
- сімейний стан, склад сім'ї, родичі, тощо;
- дані про освіту;
- професія, спеціальність, кваліфікація;
- дані, що підтверджують право працівника на соціальні пільги, встановлені законодавством України;
- електронні ідентифікаційні дані (телефони, адреси електронної пошти);
- відомості про військовий облік;
- запис зображень (фото, відео; звукозапис);
- інформація, яка стане відомою Товариству у зв’язку з укладанням та/або протягом строку дії трудового договору (контракту) з працівником.
В будь-якому випадку, конкретний склад та зміст зібраних Товариством персональних даних суб’єкта міститься у первинних джерелах відомостей про суб’єкта, зокрема, у виданих на його ім’я документах, підписаних ним документах, відомостях, які суб’єкт надав Товариству про себе.
Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.
5. Порядок обробки ПД
5.1. Персональні дані, зібрані до Бази персональних даних, використовуватимуться Товариством та розпорядниками виключно для мети та цілей, зазначених у пункті 3.1. - 3.3 Порядку та відповідно до чинного законодавства України.
5.2. Використання персональних даних працівниками Товариства здійснюється лише відповідно до їхніх трудових обов’язків. Товариство та розпорядники Бази персональних даних вживатимуть необхідні організаційні та технічні заходи для захисту персональних даних від неправомірного доступу до них третіх осіб.
5.3. Товариство та розпорядники Бази персональних даних будуть здійснювати з персональними даними дії або сукупність дій (у тому числі з використанням інформаційних (автоматизованих) систем), необхідні для мети та цілей, зазначених вище, включаючи (але не обмежуючись цим):
5.3.1. збирання
5.3.2. реєстрація;
5.3.3. накопичення
5.3.4. зберігання
5.3.5. адаптування
5.3.6. зміна
5.3.7. поновлення
5.3.8. використання і поширення (розповсюдження, реалізація, передача);
5.3.9. уточнення (оновлення, зміна);
5.3.10. копіювання
5.3.11. опублікування
5.3.12. редагування
5.3.13. компонування даних без редагування їх внутрішнього змісту;
5.3.14. пересилання поштою та/або електронними способами;
5.3.15. розміщення на Сайті Товариства;
5.3.16. передача, знеособлення, знищення.
5.4. Товариство є власником хмарного сховища на якому зберігається інформація про персональні дані. Місцезнаходження бази персональних даних: 03066, м. Київ, Голосіївський район, вулиця Михайла Максимовича, будинок 8.
6. Процедура зберігання ПД
6.1. Персональні дані у Базі персональних даних зберігатимуться протягом строку, необхідного для досягнення зазначених вище мети та цілей обробки таких даних, але не менше 5 років після припинення ділових відносин. Персональні дані можуть бути знищені після закінчення строку зберігання або у випадках, передбачених чинним законодавством України.
6.2. Надаючи згоду на обробку персональних даних суб’єкта персональних даних категорії «Споживач» останній надає право Товариству зберігати персональні дані на відповідний строк, наведений вище.
6.3. У разі, якщо Товариство отримає від Третьої особи, взаємодія з якою передбачена умовами кредитного договору відмову від взаємодії з приводу врегулювання питання погашення заборгованості за кредитним договором, право грошової вимоги за яким отримано Товариством на підставі договору факторингу, Товариство припиняє взаємодію з такою особою.
Третя особа, взаємодія з якою передбачена умовами кредитного договору може висловити відмову від взаємодії в одній із таких форм:
1. усній, якщо взаємодія здійснюється шляхом безпосередньої взаємодії;
2. шляхом подання:
- письмового звернення на адреси для отримання електронних ([email protected]) і поштових повідомлень (юридична адреса Товариства: 01042, місто Київ, вул. Іоанна Павла ІІ, будинок 4/6, корпус «В», кабінет 508-2), або
- текстового та іншого повідомлення через засоби телекомунікації під час взаємодії.
6.4. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог Закону.
6.5. Персональні дані підлягають видаленню або знищенню у разі:
6.5.1 закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
6.5.2. припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
6.5.3. видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
6.5.4. набрання законної сили рішення суду щодо видалення або знищення персональних даних.
7. Права суб’єктів ПД
7.1. Суб’єкт персональних даних має право:
7.1.1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
7.1.2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
7.1.3. на доступ до своїх персональних даних;
7.1.4. отримувати не пізніше як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
7.1.5. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
7.1.6. знати механізм автоматичної обробки персональних даних;
7.1.7. на захист від автоматизованого рішення, яке має для нього правові наслідки;
7.1.8. змінити свої персональні дані. Зокрема, лише сама особа може ініціювати процес зміни імені, прізвища, адреси проживання тощо. Жоден володілець чи розпорядник персональних даних не може впливати на персональні дані особи чи змінювати їх на власний розсуд;
7.1.9. вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
7.1.10. а також інші права, передбачені Законом.
7.2. Права Товариства
7.2.1. Товариство має право в тому числі, але не виключно передати Дані для обробки наступним особам:
7.2.1.1. Бюро кредитних історій;
7.2.1.2. Банкам;
7.2.1.3. Фінансовим установам;
7.2.1.4. Органам державної влади;
7.2.1.5. Операторам послуг платіжних систем.
7.2.2. Товариство має право укладати договір з врегулювання простроченої заборгованості з колекторсьою компанією, відповідно до чого колекторська компанія набуває статусу володільця персональних даних Споживача з обов’язковим письмовим повідомленням.
7.2.3. Товариство має право використовувати персональні дані Споживача відповідно до законодавства та своїх внутрішніх правил без зобов’язань окремого повідомлення Споживача про обробку, захист та передачу таких даних третім особам.
7.2.4. Товариство має право на передачу інформації, що складає Кредитну історію суб’єкта ПД до Бюро кредитних історій.
7.2.5. Згода суб’єкта персональних даних на обробку його персональних даних, не вимагає здійснення повідомлення такого суб’єкта про передачу його персональних даних третім особам згідно з нормами статті 21 Закону України «Про захист персональних даних».
8. Згода на обробку телекомунікаційних даних
8.1. Надаю згоду на обробку та передачу персональних даних про надані мені телекомунікаційні, банківські, фінансові та супутні послуги, включаючи поточний статус заміни та переадресації sim-картки фінансового номера телефона – номерів телефонів вказаних під час реєстрації на сайті Товариства - Оператору мобільного зв’язку, Українській міжбанківській Асоціації членів платіжних систем «ЄМА», власнику Anti Fraud Hub (AFH) з метою отримання послуг в Товаристві та захисту моїх інтересів від шахрайських дій з боку третіх осіб.
9. Порядок захисту Товариством персональних даних
9.1. Діяльність Товариства з обробки персональних даних в тому числі в інформаційних системах нерозривно пов'язана із захистом Товариством конфіденційності отриманої інформації, якщо це не суперечить чинному законодавству. Система захисту персональних даних включає в себе організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеки персональних даних і інформаційних технологій, що використовуються в інформаційних системах. Товариство здійснює оновлення цих заходів з появою нових технологій в разі потреби.
9.2. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
9.3. Організаційні заходи охоплюють:
- визначення порядку доступу до персональних даних працівників Товариства;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання співробітників, які працюють з персональними даними.
9.4. Товариство видає наказ, яким визначає коло працівників, які мають доступ до персональних даних суб'єктів та визначає рівень доступу зазначених працівників до персональних даних. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб'єктів, які необхідні йому у зв'язку з виконанням своїх професійних чи службових або трудових обов'язків.
9.5. Усі інші працівники Товариства мають право на повну інформацію лише стосовно власних персональних даних.
9.6. Працівники, які мають доступ до персональних даних, дають письмове зобов'язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків.
9.7. Датою надання права доступу до персональних даних вважається дата надання зобов'язання відповідним працівником. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.
9.8. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб'єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб'єктів, передаються іншому працівнику.
9.9. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ .PDF