Політика конфіденційності
1. Загальні положення
Дана Політика конфіденційності (надалі – «Політика») – є публічним оголошенням від ТОВ
«МУЛЬТІКРЕДИТ» на адресу невизначеного кола суб’єктів персональних даних, які тим чи іншим чином вступають у відносини з Товариством, про основні принципи, правила та застереження при обробці їх персональних даних Товариством.
Оголошенням цієї Політики Товариство переслідує мету, на виконання вимог Конституції України, законодавства в галузі інформації в цілому та зокрема Законів України (із змінами та доповненнями)
«Про захист персональних даних», «Про інформацію», «Про захист інформації в інформаційно- телекомунікаційних системах», «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдженню зброї масового знищення» та Типового порядку обробки персональних даних, врегулювати відносини з суб’єктами персональних даних.
2. Визначення термінів
У цій Політиці нижченаведені терміни вживаються в такому значенні:
база персональних даних – іменована сукупність упорядкованих персональних даних в електроннійформі та/або у формі картотек персональних даних. Бази персональних даних, в яких ТОВ «МУЛЬТІКРЕДИТ» здійснюється обробка персональних даних, мають назви
«Клієнти» та «Працівники»;
володілець персональних даних – ТОВ «МУЛЬТІКРЕДИТ», Код ЄДРПОУ 44653728, місцезнаходження: 03066, м. Київ, Голосіївський район, вулиця Михайла Максимовича, будинок 8, тел. +380978294393 (далі – Товариство, Володілець);
згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно- телекомунікаційній системі Товариства шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки;
клієнти – фізичні особи, які не здійснюють підприємницьку або незалежну професійну діяльність і користуються послугами Товариства та персональні дані яких обробляються Товариством в базі персональних даних «Клієнти»;
обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
працівники – фізичні особи, які перебувають з Товариством у трудових відносинах та персональні дані яких обробляються Товариством в базі персональних даних
«Працівники»;
розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
сайт – multicredit.com.ua;
суб’єкт персональних даних – фізична особа, персональні дані якої обробляються (далі – Позичальник, суб’єкт персональних даних);
третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якійволодільцем чи розпорядником персональних даних здійснюється передача персональних даних.
Уповноважений – Уповноважений Верховної Ради України з прав людини.
3. Підстави та мета обробки персональних даних
Товариство здійснює обробку персональних даних категорії «Клієнти» суб’єкта персональних данихна наступних підставах:
- згоди суб’єкта персональних даних;
- укладення та виконання правочину;
- з інших підстав, передбачених ст. 11 Закону України «Про захист персональних даних».
Мета обробки персональних даних категорії «Клієнти»:
- здійснення ідентифікації та верифікації відповідно до Закону України «Про запобігання тапротидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»;
- укладання та виконання правочину;
- здійснення заходів, що передують укладенню правочину на вимогу Суб’єкта персональних даних;
- надання Суб’єкту персональних даних за його згодою інформації про послуги Товариства, маркетингові пропозиції, та інші повідомлення, надіслані за допомогою SMS- повідомлень з вищезазначеною метою, що не порушує норм чинного законодавства України.
Товариство здійснює обробку персональних даних суб’єктів персональних даних також з метою належного надання клієнтам послуг.
Персональні дані працівників Товариства обробляються в базі персональних даних
«Працівники» на підставі дозволу на обробку персональних даних, наданих Товариству відповідно до закону, виключно для здійснення своїх службових повноважень та з метою реалізації трудових відносин:
- оформлення ділових відносин між Працівником та Товариством;
- ведення кадрового діловодства;
- ведення бази персональних даних Працівників;
- нарахування і сплати заробітної плати, податків, зборів та інших обов’язкових платежів;
- підготовки відповідно до вимог законодавства статистичної, адміністративної та іншоїзвітності з питань персоналу;
- військового обліку;
- попередження виникнення ситуацій конфлікту інтересів;
- підготовки внутрішніх документів Товариства з метою реалізації визначених законодавствомУкраїни, статутом Товариства та іншими розпорядчими документами Товариства прав та
обов’язків працівника і Товариства в якості роботодавця в сфері трудових відносин тасоціального захисту;
- на виконання вимог та нормативно-правових актів Національного Банку України.
4. Основні принципи обробки персональних даних
Обробка персональних даних Товариством здійснюється на основі принципів:
- законності цілей і способів обробки персональних даних;
- сумлінності Товариства, як власника персональних даних, досягається шляхом виконаннявимог законодавства України щодо обробки персональних даних;
- досягнення конкретних, заздалегідь визначених цілей обробки персональних даних;
- відповідності цілей обробки персональних даних цілям, заздалегідь визначеним і заявленим при зборі персональних даних;
- відповідності переліку і обсягу оброблюваних персональних даних, а також способів обробки персональних даних заявленим цілям обробки;
- достовірність персональних даних, їх достатності для цілей обробки, неприпустимість обробки персональних даних, надлишкових по відношенню до цілей обробки персональнихданих;
- забезпечення при обробці персональних даних точності персональних даних, їх достатності,а в необхідних випадках і актуальність по відношенню до цілей обробки персональних даних;
- зберігання персональних даних у формі, що дозволяє визначити суб’єкта персональних даних не довше, ніж цього вимагають цілі їх обробки;
- оброблювані персональні дані підлягають знищенню або знеособлення по досягненню цілей обробки або в разі втрати необхідності в досягненні цих цілей, якщо інше не передбачено законодавством України;
- ми також враховуємо періоди, для яких нам потрібно зберегти персональні дані для виконання юридичних зобов’язань перед суб’єктом персональних даних або контролюючими органами.
Товариство не здійснює обробку персональних даних, що стосуються расового чи етнічного походження, політичних, релігійних або світоглядних переконань, членства в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних і генетичних даних.
Обробка персональних даних здійснюється з дотриманням умов, визначених законодавством України.
5. Склад персональних даних, які обробляються Товариством
Відомості про суб’єкта персональних даних, відображені в правочинах, кредитних договорах та особистих справ та інформаційних (автоматизованих) системах Товариства, є персональними даними, які обробляються в базах персональних даних «Клієнти» та
«Працівники».
У базі персональних даних «Клієнти» обробляються наступні персональні дані:
- особисті та контактні дані:
- прізвище, ім’я та по батькові особи;
- інформація, яка зазначена в паспорті (серія, номер паспорту, дата видачі та ким йогобуло видано) (або іншому документі, що посвідчує особу);
- дата, місяць і рік народження;
- реєстраційний номер облікової картки платника податків;
- відомості про зареєстроване та фактичне місце проживання;
- номери контактних телефонів;
- адреса електронної пошти;
- відомості про притягнення до адміністративної чи кримінальної відповідальності.
- фінансова інформація:
- стан кредитної заборгованості перед Товариством та іншими фінансовими установами;
- інформація, відповідно до Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»:
- прізвище, ім’я та по батькові особи;
- інформація, яка зазначена в паспорті (серія, номер паспорту, дата видачі та ким йогобуло видано) (або іншому документі, що посвідчує особу);
- дата, місяць і рік народження;
- реєстраційний номер облікової картки платника податків;
- відомості про зареєстроване та фактичне місце проживання;
- номери контактних телефонів;
- адреса електронної пошти;
- запис зображень (фото, відео; звукозапис);
- стать;
- наявність чи відсутність статусу політично значимої особи, чи є суб’єкт персональних даних членом сім’ї політично значимої особи чи особою, пов’язаною з політично значущою особою;
- суми нарахованих та/або отриманих доходів;
- тощо;
- інформація щодо працевлаштування:
- найменування роботодавця або навчального закладу (за наявності);
- інформація про професію, посаду та рід діяльності;
- інформація, пов’язана з участю в акціях, розіграшах:
- інформація, пов’язана з проведенням розіграшів, рекламних акцій, в тому числіоголошення переможців і вручення подарунків;
- інформація, отримана в ході комунікації з Товариством:
- отримані листи, електронне листування, телефонні розмови.
У базі персональних даних «Працівники» обробляються наступні персональні дані:
- прізвище, ім’я, по-батькові;
- паспортні дані;
- реєстраційний номер облікової картки платника податків;
- особисті відомості (вік, стать, тощо);
- автобіографія, резюме;
- відомості про зареєстроване та фактичне місце проживання;
- сімейний стан, склад сім’ї, родичі, тощо;
- дані про освіту;
- професія, спеціальність, кваліфікація;
- дані, що підтверджують право працівника на соціальні пільги, встановлені законодавствомУкраїни;
- електронні ідентифікаційні дані (телефони, адреси електронної пошти);
- відомості про військовий облік;
- запис зображень (фото, відео; звукозапис);
- інформація, яка стане відомою Товариству у зв’язку з укладанням та/або протягом строку діїтрудового договору (контракту) з працівником.
В будь-якому випадку, конкретний склад та зміст зібраних Товариством персональних даних суб’єкта міститься у первинних джерелах відомостей про суб’єкта, зокрема, у виданих на його ім’я документах, підписаних ним документах, відомостях, які суб’єкт надав Товариству про себе.
Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.
Персональні дані зберігаються та обробляються за місцезнаходженням Товариства та/або за місцезнаходженням розпорядника.
6. Порядок обробки персональних даних
Персональні дані, зібрані до Бази персональних даних, використовуватимуться Товариством та розпорядником виключно для мети, зазначеної у п.3 Політики та відповідно до чинного законодавства України.
Обробка персональних даних здійснюється Товариством лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.
Товариство та розпорядник Бази персональних даних здійснюють з персональними даними дії або сукупність дій (у тому числі з використанням інформаційних (автоматизованих) систем), необхідні для мети, зазначеної вище, включаючи (але не обмежуючись цим):
- збирання;
- реєстрація;
- накопичення;
- зберігання;
- адаптування;
- зміна;
- поновлення;
- використання і поширення (розповсюдження, реалізація, передача);
- уточнення (оновлення, зміна);
- копіювання;
- опублікування;
- редагування;
- компонування даних без редагування їх внутрішнього змісту;
- пересилання поштою та/або електронними способами;
- розміщення на Сайті Товариства;
- передачу, знеособлення, знищення.
Місцезнаходження бази персональних даних: 03066, м. Київ, Голосіївський район, вулиця МихайлаМаксимовича, будинок 8.
Збір персональних даних клієнтів Товариства здійснюється працівниками Відділу кредитування на стадії розгляду питання про надання фізичній особі фінансових послуг, а також, за необхідності, в період обслуговування клієнта відповідно до цілей і принципів обробки персональних даних в базіперсональних даних «Клієнти».
При укладанні договорів про надання фінансових послуг фізична особа дає згоду на обробку персональних даних шляхом проставлення відповідної відмітки в телекомунікаційній системі Товариства.
Збір персональних даних працівників Товариства здійснюється працівниками кадрової служби при укладанні трудового договору (контракту), а також, за необхідності, в період роботи працівника, відповідно до цілей і принципів обробки персональних даних в базі персональних даних
«Працівники».
При укладанні трудового договору (контракту) фізична особа надає згоду на обробку персональних даних. Така згода оформлюється письмово шляхом власноручного заповнення та підписання працівником згоди на окремому аркуші.
Товариство, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені законодавством, мету збору персональних даних та третіх осіб, яким передаються його персональнідані:
- в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
- в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.
Суб’єкт персональних даних має право пред’являти вмотивовану вимогу Товариству щодо заборониобробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається Товариством впродовж 10 днів з моменту отримання.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно, Товариство припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/абозмінює їх склад/зміст та інформує про це суб’єкта персональних даних.
У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.
Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
7. Порядок доступу до персональних даних суб’єкта персональних даних та третіх
осіб
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої Товариству на обробку цих даних, або відповідно до вимог законодавства.
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.
Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе пов’язаних з персональними даними.
Доступ до персональних даних зацікавлена особа здійснює у формі запита.
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів здня його надходження.
Протягом цього строку Товариство доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави,визначеної у відповідному нормативно-правовому акті та посада і фамілія, ім’я та по батькові особи,що відмовила.
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше непередбачено законом.
Представники органів державної влади (в тому числі, контролюючих, наглядових, правоохоронних та інших органів), отримують доступ до персональних даних, оброблюваних Товариством, в обсязі та порядку, визначеному законодавством.
8. Права суб’єкта персональних даних
Суб’єкт персональних даних має право:
- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформаціїуповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
- на доступ до своїх персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а такожотримувати зміст таких персональних даних;
- пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь- яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а
також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та діловурепутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або досуду;
- застосовувати засоби правового захисту в разі порушення законодавства про захистперсональних даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних підчас надання згоди;
- відкликати згоду на обробку персональних даних;
- знати механізм автоматичної обробки персональних даних;
- на захист від автоматизованого рішення, яке має для нього правові наслідки.
9. Захист персональних даних
Діяльність Товариства з обробки персональних даних в тому числі в інформаційних системах нерозривно пов’язана із захистом Товариством конфіденційності отриманої інформації, якщо це несуперечить чинному законодавству. Система захисту персональних даних включає в себе організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеки персональних даних і інформаційних технологій, що використовуються в інформаційних системах. Товариство здійснює оновлення цих заходів з появою нових технологій в разі потреби.
Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати абознищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Організаційні заходи охоплюють:
- визначення порядку доступу до персональних даних працівників Товариства;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних данихсуб’єкта та доступом до них;
- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання співробітників, які працюють з персональними даними.
Товариство видає наказ, яким визначає коло працівників, які мають доступ до персональних данихсуб’єктів та визначає рівень доступу зазначених працівників до персональних даних. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, якінеобхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
Усі інші працівники Товариства мають право на повну інформацію лише стосовно власних персональних даних.
Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодоунеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.
Товариство веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них. З цією метою Товариством зберігається інформація про:
- дату, час та джерело збирання персональних даних суб’єкта;
- зміну персональних даних;
- перегляд персональних даних;
- будь-яку передачу (копіювання) персональних даних суб’єкта;
- дату та час видалення або знищення персональних даних;
- працівника, який здійснив одну із указаних операцій;
- мету та підстави зміни, перегляду, передачі та видалення або знищення персональнихданих.
Ця інформація зберігається Товариством упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходизахисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних (Додаток 1). На випадок несанкціонованого доступу до персональнихданих, пошкодження технічного обладнання, виникнення надзвичайних ситуацій Товариством розроблено відповідний план дій працівників (Додаток 2).
Відповідальна особа організовує роботу, пов’язану із захистом персональних даних при їх обробці відповідно до законодавства. Відповідальна особа визначається наказом власника бази персональних даних.
Відповідальна особа виконує такі завдання:
- інформує та консультує працівників Товариства з питань додержання законодавства про захист персональних даних;
- взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
З метою виконання вказаних завдань відповідальна особа:
- забезпечує реалізацію прав суб’єктів персональних даних;
- користується доступом до будь-яких даних, які обробляються Товариством та до всіхприміщень Товариства, де здійснюється така обробка;
- у разі виявлення порушень законодавства про захист персональних даних та/або цієїПолітики повідомляє про це директора Товариства з метою вжиття необхідних заходів;
- аналізує загрози безпеці персональних даних.
Обов’язками відповідального за організацію роботи, пов’язаної із обробкою та захистом персональних даних Товариства є:
- відповідальність за дотриманням законодавства України у сфері захисту персональних даних;
- захист персональних даних у базах персональних даних від незаконної обробки, а також віднезаконного доступу до них;
- розробку, впровадження та забезпечення належного функціонування системи управлінняперсональними даними;
- реєстрацію інцидентів в системі управління персональними даними.
Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Політика конфіденційності стосовно захисту персональних даних при користуванні сайтом Товариства надана в Додатку 3. Положення цієї Політики розповсюджуються на Політику конфіденційності стосовно захисту персональних даних при користуванні сайтом Товариства.
10. Строк зберігання персональних даних
Персональні дані зберігаються Компанією протягом строку, визначеного згідно з внутрішніми документами Компанії та чинного законодавства України.
Строк зберігання персональних даних категорії «Працівники» встановлюється згідно з законодавством України.
Строк зберігання персональних даних категорії «Клієнти» встановлюється не менше п’яти років після припинення ділових відносин з Суб’єктом персональних даних або завершення разової фінансової операції без встановлення ділових відносин з суб’єктом відповідної категорії згідно з Законом України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення».
Додаток 1
ПРАВИЛА
користування послугами інформаційних технологій
ТОВ «МУЛЬТІКРЕДИТ», надалі – Товариство, в своїй діяльності активно використовує інформаційні технології (далі – ІТ). В інформаційних системах Товариства зберігається і обробляється інформація, віднесена до конфіденційної. Приватна власність, цілісність, постійна доступність такої інформації є обов’язковими умовами ефективної роботи Товариства, що накладає певні обмеження і обов’язки на працівників.
Відповідальними за забезпечення працівника телекомунікаційними засобами і забезпечення доступу працівника до них, є Відділ інформаційних технологій.
Кожна ІТ-послуга являє собою орієнтований на користувача інструмент, що забезпечує виконання працівником певного бізнес завдання. Для користування ІТ-послугами працівник забезпечується необхідними програмними і технічними засобами (далі – ІТ-ресурси) Товариства. До ІТ-ресурсів належать персональні комп’ютери, корпоративна мережа, файлові каталоги, інформаційні системиі програми, бази даних. Дотримання цих Правил сприяє ефективному виконанню працівниками функціональних обов’язків, забезпечення безпеки ІТ-ресурсів і підтримці високої репутації Товариства.
Дані Правила розглядають типове використання ІТ-ресурсів. Спеціальні питання можуть описуватися в додаткових регламенти та розпорядженнях, які також є обов’язковими для виконання.
1. Загальні положення
Відділ інформаційних технологій за заявкою, поданою працівником або його керівником, відповідно до встановлених в Товаристві правил, забезпечує працівника телекомунікаційними засобами (ІТ-ресурсами), необхідних для виконання ним своїх трудових обов’язків, і забезпечує доступ працівника до ІТ-ресурсів. ІТ-ресурси Товариства і дані, що в них знаходяться, є власністю Товариства. Окремі відомості підлягають захисту відповідно до законодавства України.
ІТ-ресурси Товариства надаються працівникам тільки для виконання ними бізнес завдань. Їх використання для вирішення інших завдань забороняється.
Забороняється працівникам:
- проводити несанкціоновані перевірки захисту систем і мережі, зокрема, шляхом обходу механізмів захисту, їх відключення або руйнування, а також будь-які спроби розтину паролівабо інформації з управління доступом;
- навмисно піддавати системи будь-якому ризику, пов’язаному з порушенням їх працездатності, а також конфіденційності, цілісності та доступності інформації.
Товариство має право здійснювати обробку будь-яких повідомлень користувачів, спрямованих в процесі використання ІТ-ресурсів Товариства, в тому числі із застосуванням технічних засобів такої обробки. Отримана із застосуванням технічних засобів інформація може служити підставою для проведення уповноваженими працівниками Товариства перевірок активності користувачів на
предмет відповідності її цим Правилам. При цьому уповноважений працівник Товариства має правопереглядати зміст будь-якого ІТ-ресурсу, в тому числі повідомлень електронної пошти та інших документів, спрямованих в процесі використання ІТ-ресурсів Товариства.
Товариство надає уповноваженому працівнику право проведення періодичних перевірок активності користувачів без їх повідомлення на предмет відповідності її цим Правилам, а також перегляду вмісту будь-якого ІТ-ресурсу, в тому числі повідомлень електронної пошти та інших документів. Використання працівниками засобів захисту інформації, що перешкоджають проведенню перевірок, заборонено. Діяльність працівників в даній сфері відносин регулюється Конституцією України, Кодексом законів про працю України, а також Кримінальним кодексомУкраїни, Кодексом України про адміністративні правопорушення та іншим застосовним Законодавством.
2. Захист конфіденційної інформації
Пароль є секретною персональною інформацією і не підлягає розголошенню. Працівник несе персональну відповідальність за збереження своїх паролів в таємниці від будь-яких інших осіб. Не рекомендується використовувати в паролі особисту інформацію або відомі фрази. Пароль повиненмістити не менше 8 символів і змінюватися не рідше 1 разу на 3 місяці.
Забороняється працівникам:
- зберігати паролі в записаному вигляді, передавати свій пароль стороннім особам або використовувати паролі інших осіб. У разі компрометації або підозри на компрометацію пароля, він підлягає негайній зміні;
- розголошувати конфіденційну інформацію або вчиняти дії, які можуть привести до її розголошення;
- передавати інформацію обмеженого доступу будь-якими способами, в тому числі через Інтернет, по електронній пошті, флеш-носії або за допомогою комп’ютерних носіїв інформації (дискети, CD-ROM і ін.);
- допускати до роботи на комп’ютері сторонніх осіб і залишати включений комп’ютер без нагляду, не заблокувавши екран і клавіатуру.
3. Обладнання та програмне забезпечення (ПО)
Комп’ютерне та комунікаційне обладнання, надане працівникові Товариства, є власністю Товариства, і використовується працівником з метою ефективного виконання своїх трудових обов’язків. Працівник несе відповідальність за збереження цього обладнання в процесі використання його в своїй трудовій діяльності.
Склад ПО, встановленого на комп’ютері користувача, визначається ІТ Стандартами, уповноваженимпідрозділом ІТ підтримки. Використання нестандартного ПО, в тому числі засобів захисту і операційних систем, має бути узгоджене з Відділом інформаційних технологій.
Забороняється працівникам:
- змінювати конфігурацію апаратних і програмних комп’ютерних засобів Товариства без узгодження з Відділом інформаційних технологій;
- переміщати і підключати стаціонарне обладнання без узгодження з Відділом інформаційнихтехнологій;
- використовувати зовнішні накопичувачі в обхід узгоджених з Відділом інформаційних технологій. Зовнішні накопичувачі, що містять інформацію обмеженого доступу (дискети, CDдиски, флеш-диски, знімні диски і т.ін.), а також документована інформація (паперові копії інформації, роздруківки) повинні зберігатися в місцях, що виключають доступ до них сторонніх осіб.
4. Електронна пошта та Інтернет
Електронна пошта призначена для обміну повідомленнями з внутрішніми адресатами Товариства. Слід регулярно очищати поштові скриньки від непотрібних повідомлень.
Забороняється працівникам:
- використання зовнішніх поштових серверів для розсилки з Товариства будь-якої інформації;
- зберігання та передача в Інтернет інформації з обмеженим доступом.
Товариство має право вводити обмеження на використання мережі Інтернет, наприклад, на з’єднання з певним протоколом, а також з певними вузлами, що не відносяться до службової діяльності або загрожують безпеці мережі. Товариство так само має право контролювати діяльність працівників в мережі Інтернет (обробляти Web-запити, або інформацію, що направляється в Інтернет за допомогою Web-форм) із застосуванням спеціальних програмно-технічних засобів для такої обробки.
5. Область застосування та відповідальність
Дані Правила стосуються всіх працівників – користувачів ІТ-послуг Товариства. Користувачам слід керуватися цими Правилами щодо всіх ресурсів, будь то ресурси корпоративної мережі або файли з інформацією, що належить Товариству, розташовані на особистому комп’ютері.
Порушення цих Правил може призвести до застосування дисциплінарних стягнень, звільнення і притягнення до кримінальної відповідальності за незаконні отримання та розголошення відомостей, що становлять комерційну або банківську таємницю, а також законодавства України, яким визначено заходи припинення неправомірного доступу до комп’ютерної інформації, створення, використання і поширення шкідливих програм для технічного обладнання.
Додаток 2
План
дій працівників Товариства
на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій
- При виявленні ознак несанкціонованого доступу до персональних даних суб’єктів Товариства таких як: несанкціоноване отримання логінів і паролів, підбір паролів та ключів, працівник, який виявив дані ознаки, зобов’язаний негайно:
- припинити обробку персональних даних;
- звернутися до адміністратора системи з метою блокування доступу до облікового запису;
- повідомити безпосереднього керівника та відповідальну особу, що організує роботу,пов’язану із захистом персональних даних при їхній обробці в Товаристві;
- змінити паролі доступу (за наявності технічної можливості);
- При виявленні зараження програмного забезпечення та носіїв інформації комп’ютерними вірусами працівник зобов’язаний:
- негайно припинити обробку персональних даних;
- вимкнути комп’ютерну техніку від електроживлення;
- повідомити адміністратора системи;
- повідомити безпосереднього керівника та відповідальну особу.
- При вчиненні випадкових та/або помилкових дій, що можуть призвести до втрати, зміни, поширення, розголошення персональних даних тощо, необхідно:
- припинити обробку персональних даних;
- про всі події та факти повідомити безпосереднього керівника та відповідальну особу.
- При відмові та/або збої програмного забезпечення, за допомогою якого здійснюється обробка персональних даних, працівник зобов’язаний:
- припинити обробку персональних даних;
- повідомити адміністратора системи;
- повідомити безпосереднього керівника та відповідальну особу.
- При виявленні пошкодження, втрати, викрадення документа або іншого носія персональних даних невідкладно повідомити безпосереднього керівника та відповідальну особу.
- В разі виникнення надзвичайних ситуацій (пожежа, повінь, стихійні лиха тощо):
- вжити невідкладних заходів щодо оповіщення відповідних служб реагування;
- забезпечити збереження носіїв персональних даних осіб від втрати та
пошкодження (занаявної можливості та у спосіб, що не загрожує життю та здоров’ю працівників);
- повідомити безпосереднього керівника та відповідальну особу.
- Про всі випадки несанкціонованого доступу до персональних даних, передбачені пунктами 1-6 даного Плану, та/або інші випадки, що призвели до пошкодження, псування, несанкціонованого доступу, знищення, поширення тощо персональних даних, працівник, який виявив даний факт, та керівник відповідного підрозділу невідкладно письмово повідомляють про подію відповідальну особу.
- Після отримання повідомлення відповідальна особа складає Акт про факт порушення процесу обробки та захисту персональних даних (далі – Акт).
Акт підписується відповідальною особою та працівником, яким виявлено (вчинено) дане порушення. Відмова від підпису працівника фіксується відповідно до вимог чинного законодавства.
Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних данихє обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
- Підписаний Акт надається директору Товариства або, в разі його відсутності, – посадовій особі, на яку покладено виконання його повноважень для прийняття рішення про проведення службового розслідування, повідомлення правоохоронних органів про несанкціонований доступ доперсональних даних та вжиття відповідних заходів реагування.
Додаток 3
Політика конфіденційності
стосовно захисту персональних даних при користуванні сайтом ТОВ
«МУЛЬТІКРЕДИТ»
- Загальні положення
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «МУЛЬТІКРЕДИТ» код ЄДРПОУ –
44653728, місцезнаходження: 03066, місто Київ, вул. Максимовича Михайла (Голосіївський р-н), будинок 8 (надалі по тексту – Товариство) цією Політикою конфіденційності (надалі по тексту – «Політика») встановлює принципи отримання персональних даних Користувачів сайту multicredit.com.ua (надалі по тексту – «Сайт»), а також види персональних даних, які збираються, використовуються, обробляються та захищаються Товариством.
Ця Політика діє відносно всієї інформації, яку Товариство може отримати про Користувачів під час використання ними Сайту. Використання Сайту, так само як і заповнення реєстраційних форм Сайту, створення облікового запису на Сайті, означає беззастережну згоду Користувача з цією Політикою і зазначеними в ній умовами збору і обробки персональних даних. В разі незгоди з цими умовами Користувач повинен утриматися від використання Сайту.
Товариство зберігає за собою право вносити зміни до цієї Політики в будь-який час та з будь-якої причини.
Сайт Товариства призначений для користування виключно повнолітніми особами.
2. Визначення термінів
- У цій Політиці використовуються такі терміни:
- Адреса інтернет-протоколу (IP-адреса) – комбінація цифр, що автоматично надаєтьсякомп’ютеру Користувача під час інтернет-сесії, коли він підключається до свого інтернет- провайдера через локальну мережу.
- Інтернет-браузер – програмне забезпечення для комп’ютера або іншого електронногопристрою під’єднаного до Інтернету, що дає можливість Користувачеві взаємодіяти з текстом, малюнками або іншою інформацією на Сайті.
- Користувач сайту – особа, яка має доступ до Сайту, за допомогою мережі Інтернет та використовує Сайт.
- Кредитний договір – Договір про надання споживчого кредиту/Договір наданнякоштів у позику, в тому числі і на умовах фінансового кредиту, укладений між Товариством та Позичальником, в якому визначені основні умови, права та обов’язки Сторін щодо отримання та повернення Кредиту.
- Особистий кабінет – частина Сайту, доступ до якої отримує Позичальник за умови реєстрації з використанням Логіну та Пароля Особистого кабінету. Доступ до Особистого кабінету здійснюється Позичальником шляхом введення Логіна Особистого кабінету і Пароля Особистого кабінету на Сайті.
- Позичальник – фізична особа, яка має намір укласти з Товариством Кредитний договір.
- Сайт – multicredit.com.ua.
- Сookie – текстовий файл невеликого розміру, що зберігається на жорстких дисках користувачів сервером Сайту.
3. Особливості інформації, яка обробляється
- Товариство отримує знеособлену загальну інформацію за результатами підрахункутаких даних, як: загальна кількість відвідувань Сайту, час відгуку сторінки Сайту, помилки підчас завантаження, тривалість перебування на певних сторінках та кількість відвідуванькожної сторінки Сайту, історію переходу з Сайту на інші веб- сайти (включаючи дату та час) тощо. Ця інформація використовується виключно з метою оцінки рейтингу Сайту, подальшого покращення його роботи та вдосконалення процесу надання фінансових послуг.
- Товариство здійснює збір та обробку наступних даних Користувачів під час користуванняними Сайтом:
- даних, що надаються Користувачам як при заповненні реєстраційних форм Сайту, такі в процесі користування Сайтом;
- файли cookie;
- IP-адреси;
- параметри та налаштування інтернет-браузерів.
- Товариство включає дані Користувача до бази персональних даних інтернет користувачів з моменту, коли він уперше починає користуватися Сайтом, а також постійно увесь період, протягом якого користується послугами Товариства. Строк зберігання даних становить період, протягом якого Користувач користується послугами Товариства, а також п’ять наступних років після закриття аккаунту (Особистого кабінету) на Сайті та завершення користування послугами Товариства.
- Товариство здійснює обробку персональних даних Користувача з метою належного надання Користувачу послуг (ідентифікація, аутентифікація, авторизація, відновлення паролю, надсилання інформаційних матеріалів за підпискою Користувача, відповідей на запити та листи Користувача, а також для інших дій, в яких з’являється необхідність для належного надання послуг).
- Товариство використовує знеособлені дані для таргетингу рекламних та/або інформаційних матеріалів за віком, статтю, іншими даними; для проведення статистичних досліджень; будь-якими іншими способами.
- Товариство має право передати персональні дані, базу персональних даних, до якої включені персональні дані Користувача, повністю або частково третім особам без повідомлення про це Користувачеві у наступних випадках: особам, у ведення, володіння або власність яких передано Сайт; особам, що є пов’язаними/афілійованими з Товариством; новому власнику Товариства для оброблення з метою, передбаченою цією Політикою; іншим користувачам Сайту (як фізичним, так і юридичним особам), якщо на Сайті передбачено відповідний функціонал.
- Під час користування Сайтом на його інтернет-сторінках можуть бути присутні коди інтернет-ресурсів третіх осіб, у результаті чого такі треті особи отримують дані, зазначені у пунктах 2.2, 2.3 та 2.4 цієї Політики. Такими інтернет-ресурсами третіх осіб є:
- Товариство здійснює збір та обробку наступних даних Користувачів під час користуванняними Сайтом:
- системи зі збору статистики відвідувань Сервісів (наприклад, лічильники
LiveInternet, Google Analytics тощо);
- соціальні-плагіни (блоки) соціальних мереж (наприклад, Facebook тощо);
- системи банеропоказів (наприклад, AdRiver тощо);
- інші ресурси.
- Виключно з метою покращення функціонування Сайту Товариства може використовувати сервіси третіх осіб, які додатково дозволяють здійснювати збір та обробкунаступних даних Користувачів під час користування ними Сайтом:
- роздільна здатність екрану пристрою Користувача;
- тип пристрою, операційної системи, інтернет-браузера Користувача;
- геолокація Користувача (виключно країна);
- мова відображення Сайту;
- переміщення, кліки миші;
- натискання клавіш клавіатури пристрою Користувача;
- відвідувані сторінки Сайту, час та дата відвідування сторінок Сайту;
- URL-адреса, домен. Зазначені дані не є персональними даними в розумінні Закону України «Про захист персональних даних».
4. Права Користувача
- Користувач має усі права щодо захисту його персональних даних, які передбачено чинним законодавством України, зокрема, Законом України «Про захист персональнихданих».
- Оброблення персональних даних здійснюється у дата-центрах, де розміщується обладнання, що забезпечує функціонування Сайту. Товариство вживає всіх передбачених законодавством заходів для захисту персональних даних Користувача. Зокрема,оброблення даних здійснюється на обладнанні, розміщеному в захищених приміщеннях із обмеженим доступом.
5. Використання IP-адреси
- Товариство та/або треті особи, що технічно обслуговують Сайт, можуть збирати IP- адреси з метою системного адміністрування та аудиту використання Сайту. Товариство може використовувати IP-адресу для ідентифікації Користувачів Сайту у випадку, коли це необхідно для захисту процесу надання послуг, самого Сайту або інших Користувачів.
- Фактом відвідання Сайту Користувач надає Товариству та/або третім особам, що технічно обслуговують Сайт, свою згоду на збирання та використання IPадреси з метою, зазначеною у цьому розділі.
6. Файли Cookie
- У роботі Сайту використовується технологія Сookies.
- Файли Сookie додають функціональності Сайту або допомагають ефективніше та чіткішеаналізувати використання Сайту. Наприклад, сервер може використовувати cookie для того,
щоб Користувачу не потрібно було вводити пароль (у випадках, коли це необхідно) більше ніж один раз, відвідуючи Сайт.
- Фактом відвідання Сайту Користувач надає Товариству та третім особам, що технічно обслуговують Сайт, свою згоду на збирання, оброблення та використання даних у межах використання технології Сookies.
- При цьому у Користувача є можливість обрати: використовувати технологію cookies або відмовитися від цього. Більшість інтернет-браузерів автоматично приймають cookies, але Користувач може змінити налаштування свого браузера та відмовитися від цієї технології. Детальнішу інформацію про такі можливості можна отримати, звернувшись до інструкції з використання інтернет-браузера.
7. Посилання на інші веб-сайти
- Сайт Товариства може містити посилання на інші сайти, створені третіми сторонами, політика щодо захисту персональних даних та інформації яких відрізняється від Товариства щодо захисту конфіденційності, яка застосовується такими третіми сторонами.
- Рекомендуємо ознайомитися з положенням про конфіденційність усіх сайтів третіх сторін, перш ніж використовувати такі сайти або надавати свої персональні дані чи будь- якуіншу інформацію таким сайтам або через них.
8. Інші умови
- Ця Політика набирає чинності з моменту її публікації на Сайті та діє до моменту внесення змін та/або доповнень до неї чи її викладення у новій редакції.
- Товариство залишає за собою право у будь-який час внести зміни до цієї Політики, які набудуть чинності одразу після розміщення на Сайті.
- Товариство рекомендує регулярно переглядати цю Політику.
- Користувачі мають права згідно з чинним законодавством, що передбачають доступ до персональних даних, які опрацьовуються, право виправити, стерти або заблокувати такі персональні дані, а також право заборонити певні дії стосовно опрацювання цих даних. Для реалізації таких прав слід направити письмовий запит, використовуючи наші контактні дані,вказані на Сайті.