Shape 57 - Medal (Flat) Shape Shape

Повідомлення про порядок обробки і захист персональних даних

АКЦІОНЕРНЕ ТОВАРИСТВО «КРЕДОБАНК» (далі - Банк) на виконання вимог статті 12 Закону України «Про захист персональних даних» від 01 червня 2010 року № 2297-VI, цим повідомляє Вас, як суб'єктів персональних даних (далі - ПД), про мету, підстави і порядок обробки ПД, а також про права суб'єкта ПД у зв’язку із встановленням правовідносин з Банком.

Банк у своїй діяльності для забезпечення належного захисту ПД керується та дотримується чинного законодавства України, а саме: Закону України «Про захист персональних даних», Закону України «Про доступ до публічної інформації», Закону України «Про банки і банківську діяльність», Конституції України та інших законів та нормативно-правових актів України. Окрім цього, Банк враховує вимоги Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та вимоги Регламенту Європейського Парламенту та Ради 2016/679 від 27.04.2016 року «Щодо захисту фізичних осіб при обробці персональних даних та про вільний рух таких даних (General Data Protection Regulation).

Мета і підстави обробки ПД

Метою обробки ПД в Банку є надання банківських (фінансових) послуг, встановлення ділових, трудових та договірних відносин, підготовка фінансової та статистичної, звітності відповідно до вимог законодавства України, внутрішніх нормативних документів Банку.

Підставами для обробки ПД є:

  • згода суб'єкта ПД;
  • дозвіл, наданий Банку як Володільцю ПД відповідно до вимог законодавства України виключно для здійснення його повноважень;-
  • укладення та виконання умов правочину, стороною якого є суб'єкт ПД або який укладено на користь суб'єкта ПД чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта ПД;
  • захист життєво важливих інтересів суб'єкта ПД;
  • необхідність виконання обов’язку Банку як Володільця ПД, який передбачений законодавством;
  • необхідність захисту законних інтересів Банку, Третіх осіб, крім випадків, коли Суб'єкт ПД вимагає припинити обробку його ПД та потреби захисту ПД переважають такий інтерес.

Банк, як суб'єкт первинного фінансового моніторингу, під час проведення ідентифікації здійснює обробку персональних даних для цілей запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, відповідно до вимог Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» № 361-IX від 06.12.2019 року.

Склад ПД та джерела їх надходження

Банк здійснює обробку ПД, отриманих від третіх осіб, якщо це передбачено законодавством України або за умови надання ними гарантії, що така передача здійснюється третьою особою з дотриманням вимог законодавства України і не порушує права осіб, ПД яких передаються Банку.

Банк обробляє ПД таких фізичних осіб:

  • клієнтів;
  • контрагентів;
  • акціонерів;
  • працівників;
  • постачальників, працівників постачальника;
  • інших фізичних осіб.

Склад ПД фізичних осіб, що можуть оброблятися в Банку: прізвище, ім'я, по батькові; дата і місце народження; ким виданий і дата видачі паспорта; серія і номер паспорта; номер ID-картки; адреса проживання; адреса реєстрації, громадянство; стать; реєстраційний номер облікової картки платника податків (ідентифікаційний номер), номер соціального страхування, номер телефону; адреса особистої електронної пошти; фотозображення; податковий статус; членство в політичних партіях та професійних спілках; відомості про засудження до кримінального покарання; записи голосу; відеозображення; інформація про платіжний рахунок/ платіжну картку; інформація про особисте майно; дані про місце положення і дані онлайн ідентифікаторів (IPадреса, cookie-файли, мітки радіочастотної ідентифікації або інші ідентифікатори, які можуть залишати сліди і бути використані для профіліювання та ідентифікації), параметри і налаштування інтернет-браузерів та інші дані в залежності від характеру відносин між суб'єктом ПД та Банком.

Згода суб'єкта ПД

Згода суб'єкта ПД отримується від всіх суб'єктів ПД, в тому числі від всіх фізичних осіб, представників юридичних осіб — фізичних осіб, фізичних осіб-підприємців крім випадків, коли є інші підстави на обробку ПД.
Згода має надаватись через ясну та стверджувальну дію, яка встановлює вільну, конкретну, обґрунтовану і однозначну вказівку на згоду суб‘єкта персональних даних щодо обробки персональних даних, що його стосуються.

Згода суб'єкта ПД може бути надана Банку в формі:

  • документа на паперовому носії з реквізитами, що дозволяють ідентифікувати цей документ, в тому числі згода суб'єкта ПД, що міститься в тексті договору, заяви, анкети, заяви-договору, внутрібанківської довіреності, або інших документах що підписуються суб'єктом ПД;
  • вчинення доступних суб'єкту ПД дій під час реєстрації в інформаційно-комунікаційній системі Банку шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки, лише в частині правочинів, вчинених в електронній формі;
  • електронній формі, шляхом вчинення доступних суб'єкту ПД дій у відповідній телекомунікаційній мережі/системі, зафіксованих обладнанням оператора/провайдера телекомунікаційних послуг під час реєстрації суб'єкта ПД у відповідній інформаційно-телекомунікаційній мережі/системі та/або під час відвідування веб-сайту в мережі Інтернет, а саме: шляхом проставлення відповідної відмітки/позначки та/або, шляхом обрання відповідних технічних налаштувань та/або шляхом використання сигналів тонового набору;
  • усній формі, шляхом обміну інформацією голосом у реальному часі з використанням телекомунікаційних мереж в процесі розмови суб'єкта ПД з уповноваженим представником Банку через контакт-центр Банку.

Будь-яка форма надання згоди підтверджує ознайомлення клієнта або потенційного клієнта з інформацією викладеною в цьому повідомленні, зокрема: щодо джерел збирання персональних даних, місцезнаходження персональних даних, мети їх обробки, умов надання доступу до персональних даних, їх передачі та про третіх осіб, яким можуть передаватися персональні дані, місцезнаходження володільця та розпорядника персональних даних, обізнаність про обробку персональних даних.

Документи (інформація), що підтверджують надання суб'єктом Згоди на обробку його ПД зберігаються Банком не довше, ніж це потрібно для обробки таких даних з дотриманням вимог законодавства України.
Обробка персональних даних на виконання вимог Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення», здійснюється без отримання згоди суб'єкта персональних даних та не є порушенням Закону України «Про захист персональних даних».

Банк здійснює обробку ПД, які є публічною інформацією у формі відкритих даних та отриманих із загальнодоступних джерел, без отримання згоди суб'єкта ПД.

Звернення фізичної особи до Банку або користування послугами Банку свідчить про згоду такої особи на обробку Банком її ПД у зв‘язку із таким зверненням чи користуванням послугами Банку.

Заперечення особи щодо обробки ПД, необхідних Банку для виконання своїх зобов‘язань, у т.ч. відкликання особою згоди на обробку даних, можуть стати підставою для припинення виконання Банком умов укладених договорів.

У разі відкликання фізичною особою згоди на обробку ПД без виконання нею процедур, необхідних для припинення договірних або інших відносин з Банком, Банк продовжуватиме обробку ПД в межах та обсягах, обумовлених реалізацією існуючих правовідносин та законодавством України, у т.ч. для захисту Банком своїх прав та законних інтересів за договорами.

Здійснення обробки ПД

ПД в Банку можуть оброблятися в електронному і паперовому вигляді.

Щодо персональної інформації суб'єкта ПД зберігається її конфіденційність, окрім випадків, передбачених законодавством України, або добровільного надання суб'єктом ПД інформації про себе для загального доступу необмеженому колу осіб.

Обробка ПД в інформаційній (автоматизованій) системі здійснюється із застосуванням системи захисту інформації (мережевого та антивірусного).

Банк не використовує повністю автоматизоване прийняття рішень при обробці ПД.

З метою забезпечення якості і безпеки обслуговування, Банк здійснює аудіозапис/запис телефонних розмов фізичних осіб з працівниками Банку, фото/відео-зйомку фізичних осіб в приміщеннях і банкоматах Банку на магнітний та/або електронний носій та використання Банком результатів записів/зйомок, у т.ч. як доказів. Дані з системи відеоспостереження Банку (фото/відео-зйомка в приміщеннях і банкоматах Банку), аудіозапис/запис телефонних розмов з працівниками Банку, можуть бути використані в кожному конкретному випадку, як самим Банком, так і компетентними державними органами, у тому числі судом (як докази у кримінальних провадженнях), правоохоронними органами (з метою безпеки), судами (для забезпечення доказів у цивільних і господарських справах), працівниками Банку, свідками правопорушень, потерпілими від правопорушень (на виконання їхніх вимог), страхування (виключно для врегулювання страхових вимог), адвокатів та інших органів для виконання функцій цілей правоохоронних органів).

Особливості обробки ПД в мережі інтернет та мобільних додатках

Користуючись веб-сайтом Банку, або веб-сайтом Партнерів Банку, а також веб-сервісом онлайн-банкінг, суб'єкт ПД дає згоду на використання Банком таких його даних як cookie-файлів, логінів і паролів доступу, IP-адреси, номера в мережі рухомого (мобільного) зв’язку, параметрів і налаштувань інтернет-браузерів для надання послуг Банком, оцінки статистичних даних або ефективності рекламних кампаній. Банк також може обробляти інформацію про пристрій (версія операційної системи, апаратна модель, IMEI та інші унікальні ідентифікатори пристрою, Банк не збирає інформацію про історію викликів, SMS повідомлення та інше), дані про з'єднання, трафік, дату, час, тривалість роботи в мережі.

Клієнт надає Банку дозвіл, з метою швидкого здійснення переказу коштів за допомогою веб сервісу Онлайн-банкінг, використовувати номери телефонів, імена контактів та їхні зображення, що містяться в мобільному пристрої Клієнта.

Банк також збирає та зберігає інформацію, яку клієнт Банку надає безпосередньо Банку, а також дані клієнта Банку, як користувача, які використовуються для його реєстрації та/або реєстрації його пристрою у мобільному додатку для обробки платежів цього клієнта Банку.

Банк використовує інформацію, яку збирає (та може об'єднати з іншою зібраною інформацією про клієнта Банку) для наступних цілей:

  • реєстрація клієнта Банку та/або його пристрою в Сервісах;
  • надання послуги або функції в Сервісах, яку клієнт Банку замовив;
  • надання персоналізованого контенту та рекомендацій щодо користування мобільним додатком;
  • для реклами, наприклад, надання клієнту Банку персоналізованих пропозиції, відправки йому рекламних повідомлень;
  • для оцінки та аналізу ринку, клієнтів, продуктів та сервісів, що надаються через мобільний додаток (включаючи проведення опитувань клієнтів щодо послуг, наданих через мобільний додаток);
  • проведення досліджень щодо того як клієнти Банку-користувачі використовують надані Сервіси для поліпшення якості послуг;
  • забезпечення оновлення та технічної підтримки Сервісів на пристрої клієнта Банку;
  • визначення коефіцієнта (результат оцінки телекомунікаційної поведінки та телекомунікаційних параметрів споживача) в рамках користування послугами рухомого (мобільного) зв’язку;
  • інших цілей на розсуд Банку.

Суб'єкт ПД несе пряму відповідальність за контроль доступу до свого комп’ютера, мобільного телефона, планшета, або іншого мобільного пристрою, мобільного додатку, що можуть бути встановлені на його мобільному пристрої, суб'єкт також несе відповідальність за зберігання своїх паролів та/або PIN і за розповсюдження (поширення) даної інформації третім особам.

У випадку, коли суб'єкт ПД добровільно надає третім особам свій комп’ютер, мобільний телефон, планшет, або інший пристрій та/або вищеперераховану інформацію, третя сторона буде мати доступ до облікового запису клієнта Банку та персональної інформації цього суб'єкта, при цьому Банк не несе відповідальності за подібні випадки.

Суб'єкт ПД зобов’язаний негайно повідомляти Банк, якщо він вважає, що його персональна інформація у мобільному додатку була скомпрометована.

Зберігання, зміна і видалення ПД

Зберігання ПД передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них. Термін зберігання ПД є не довшим, ніж це потрібно для обробки таких даних з дотриманням вимог законодавства України.
Дії пов’язані з зміною ПД здійснюються на підставі вмотивованої письмової вимоги суб'єкта ПД, за зверненням інших суб'єктів відносин, пов’язаних із ПД, якщо на це є згода суб'єкта ПД чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили. Зміна ПД, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.

ПД підлягають видаленню/знищенню у разі:

  • закінчення строку зберігання даних, який визначається виходячи із номенклатури справ тої чи іншої категорії суб'єкта ПД та встановлюється відповідно до вимог чинного законодавства України;
  • припинення правовідносин між суб'єктом ПД та володільцем ПД/розпорядником ПД, якщо інше не передбачено вимогами законодавства;
  • видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
  • набрання законної сили рішенням суду щодо видалення або знищення даних про фізичну особу;
  • на вмотивовану вимогу суб'єкта ПД, якщо вона не суперечить вимогам законодавства України.

Банк здійснює обробку персональних даних у міру необхідності, протягом всієї тривалості всіх ділових відносин з відповідними суб'єктами персональних даних (починаючи з укладення договору/замовлення послуги, їх виконання та закінчуючи припиненням дії відповідного договору, завершення обслуговування клієнтів Банку), а також до закінчення строків зберігання інформації (документів з такою інформацією), визначених умовами укладених договорів або законодавством України, у тому числі Законом України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення», Правилами застосування переліку документів, що утворюються в діяльності Національного банку України та банків України, які затверджені Постановою Правління Національного банку України 27 листопада 2018 року N 130, внутрішніми документами Банку.

Порядок доступу до ПД

У межах Банку доступ до персональних даних надається підрозділам та/або окремим працівникам Банку, для виконання ними своїх службових (трудових) обов’язків, що пов’язані з виконанням договірних, юридичних та/або регуляторних обов’язків Банку і реалізацією законних інтересів Банку. Кожен працівник Банку підписує зобов’язання щодо нерозголошення інформації, до якої він має доступ.

Доступ до ПД третіх осіб здійснюється на підставі та на умовах угод, укладених із цими особами, в межах передбачених згодою суб'єкта ПД та із врахуванням вимог чинного законодавства.

За наявності підстав для обробки ПД Банк має право поширювати ПД, здійснювати їх передачу розпорядникам чи третім особам, у тому числі за межі України, іноземним суб'єктам відносин, або надавати доступ до них третім особам, якщо вони можуть забезпечити виконання вимог законодавства і у них наявні належні технічні і організаційні засоби для захисту ПД, зокрема:

  • для забезпечення виконання третіми особами своїх функцій або надання послуг Банку, зокрема аудиторам, оцінювачам, страховим компаніям, платіжним системам, установам, що здійснюють ідентифікацію, авторизацію та процесінг операцій, банкам-контрагентам та іншим особам в т. ч. операторам телекомунікацій, що надають послуги рухомого (мобільного) зв’язку, якщо такі функції та послуги стосуються діяльності Банку, здійснюваних ним операцій, випущених ним платіжних та інших інструментів, або є необхідними для укладання та виконання Банком договорів (правочинів), надання відповідних послуг клієнту Банку, а також партнерам Банку;
  • PKO Bank Polskі SA та будь-яким іншим особам, що за характером корпоративних зв’язків належать до банківської групи, до якої входить Банк в Україні, або Групи Капіталу PKO Bank Polskі SA;
  • Bank Gospodarstwa Krajowego та іншим іноземним фінансовим установам для реалізації програм Європейської Комісії щодо покриття ймовірних збитків, які Банк несе у зв’язку з кредитуванням малого, середнього та корпоративного бізнесу в Україні;
  • бюро кредитних історій;
  • при настанні підстав для передачі третім особам банківської таємниці згідно з законодавством України або відповідно до умов укладених договорів;
  • особам, що надають Банку послуги зі зберігання або відправлення документів, створення та зберігання їх електронних копій (архівів, баз даних);
  • особам, які здійснюють представництво інтересів Банку або надають послуги/ забезпечують іншу діяльність Банку, що не суперечить законодавству України;
  • особам, що надають Банку послуги з організації поштових відправлень/перевезень, кур'єрські послуги, відправлення SMS-повідомлень (оператори поштового зв’язку, кур'єрські служби, перевізники, провайдери телекомунікаційного зв’язку, тощо)
  • операторам телекомунікацій, що надають послуги рухомого (мобільного) зв’язку з метою визначення коефіцієнта (результат оцінки телекомунікаційної поведінки та телекомунікаційних параметрів споживача) та використання Банком/третіми особами отриманої від операторів телекомунікацій інформації з метою надання клієнту банківських послуг;
  • в інших випадках, передбачених законодавством України та умовами укладених Банком договорів, та коли поширення/передача ПД є необхідними з огляду на функції, повноваження та зобов‘язання Банку у відповідних правовідносинах.

Передача ПД третім особам здійснюється Банком у зазначених випадках без отримання додаткової письмової згоди та окремого повідомлення фізичної особи — суб‘єкта ПД. Суб'єкт відносин, пов’язаних з ПД, подає запит щодо доступу до ПД до Банку.

Отримувачами ПД клієнтів Банку, які є Банківською таємницею, можуть бути:

  • будь-які особи, яким Банк повинен передати (розкрити) ПД клієнтів на підставі та відповідно до умов наданої цими клієнтами до Банку належним чином оформленої згоди (дозволу) на таку передачу;
  • суди;
  • органи прокуратури України;
  • Державна міграційна служба України;
  • органи Служби безпеки України;
  • Державне бюро розслідувань;
  • органи Національної поліції;
  • Національне антикорупційне бюро України;
  • органи Антимонопольного комітету України;
  • центральний орган виконавчої влади, що реалізує державну податкову політику;
  • центральний орган виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення; • органи державної виконавчої служби;
  • приватні виконавці;
  • Національна комісія з цінних паперів та фондового ринку;
  • Національне агентство з питань запобігання корупції;
  • Національне агентство України з питань виявлення, розшуку та управління активами, одержаними від корупційних та інших злочинів;
  • Центральний орган виконавчої влади, що забезпечує формування державної фінансової політики;
  • Бюро економічної безпеки України;
  • державні нотаріальні контори;
  • приватні нотаріуси;
  • іноземні консульські установи;
  • Національний банк України (в т. числі Система BankID НБУ);
  • інші банки;
  • Bank Gospodarstwa Krajowego та інші іноземні фінансові установи для реалізації програм Європейської Комісії щодо покриття ймовірних збитків, які Банк несе у зв’язку з кредитуванням малого, середнього та корпоративного бізнесу в Україні;
  • бенефіціар за рахунком умовного зберігання (ескроу);
  • обтяжувач за умовами обтяження, предметом якого є майнові права на грошові кошти, що знаходяться на банківському рахунку клієнта, якщо право обтяжувача на отримання відповідної інформації передбачено правочином, на підставі якого виникає таке обтяження;
  • інші кредитні та фінансові установи або подібні суб'єкти;
  • в рамках Програми «єПідтримка» отримувачами ПД клієнтів Банку можуть бути: Міністерство цифрової трансформації України (Мінцифри), Міністерство економіки України (Мінекономіки) та АТ «Ощадбанк».

Банк розкриває одержувачам лише ті дані, які Банку потрібні для виконання договірних (ведення ділових) відносин з клієнтами — суб'єктами ПД або які Банк зобов’язаний передати (розкрити) на виконання обов’язку передбаченого законодавством України.

Захист ПД

Захист ПД здійснюється за вимогами роботи з конфіденційною інформацією згідно внутрішніх нормативних документів Банку.

Банк як Володілець ПД зобов’язаний вживати організаційних та технічних заходів з метою забезпечення їх конфіденційності, цілісності, доступності.

Розпорядники ПД зобов’язані не допускати розголошення ПД, які стали їм відомі у зв’язку з виконанням договірних відносин (на підставі підписання договорів про конфіденційність).

Права доступу до ПД надаються працівникам Банку в межах визначених посадовими обов’язками. Усі інші працівники мають право на повну інформацію лише стосовно власних ПД.

З метою забезпечення безпеки обробки ПД вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до ПД, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка ПД.

Засоби захисту ПД в Банку включають:

  • розмежування доступу;
  • вживаються заходи щодо створення резервних копій;
  • антивірусний та мережевий захист;
  • захист каналів передачі даних (криптографічного, фізичного) від несанкціонованого втручання;
  • розмежування доступу до приміщень та картотек;
  • зберігання у металевих вогнетривких шафах.

Для отримання доступу до персональних даних, а також для з’ясування питань, пов’язаних із обробкою та захистом персональних даних у Банку, суб'єкту персональних даних потрібно звертатися у письмовій формі за адресою: 79 026, Україна, м. Львів, вул. Сахарова, 78, Уповноважений з захисту персональних даних (Data protection Officer): Горохівський Богдан Тарасович.
Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законодавством України, здійснює Уповноважений Верховної Ради з прав людини, Україна, 1 008, м. Київ, вул. Інститутська, 21/8, тел.: (044) 253 -75−89; 0800−50−17−20.

Права і обов’язки суб'єкта ПД

Суб'єкт ПД має право:

  • знати про джерела збирання, місцезнаходження своїх ПД, мету їх обробки, термін зберігання ПД, місцезнаходження або місце проживання (перебування) володільця ПД /розпорядника ПД або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
  • отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про Третіх осіб, яким передаються його ПД; • на доступ до своїх ПД;
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його ПД, а також отримувати зміст таких даних;
  • пред’являти вмотивовану вимогу володільцю ПД із запереченням проти обробки своїх ПД;
  • пред’являти вмотивовану вимогу щодо зміни або знищення своїх ПД будь-яким володільцем ПД /розпорядником ПД, якщо ці дані обробляються незаконно чи є недостовірними;
  • на захист своїх ПД від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
  • звертатися із скаргами на обробку своїх ПД до Уповноваженого, або до суду;
  • застосовувати засоби правового захисту в разі порушення законодавства про захист ПД;
  • вносити застереження стосовно обмеження права на обробку своїх ПД;
  • відкликати Згоду на обробку ПД;
  • знати механізм автоматичної обробки ПД;
  • на захист від автоматизованого рішення, яке має для нього правові наслідки.

Суб'єкт ПД зобов’язаний внести зміни (надати інформацію для внесення змін), якщо надані їм ПД є не актуальними або містять помилки.

Версія для друку
0-800-500-850, 0-800-600-850, +38 (032) 297-64-70, +38 (032) 297 23 45, +38 (032) 240-06-00, +38 (089) 220-00-89
Цілодобовий контакт-центр
Подзвонити