ПОРЯДОК
ОБРОБКИ І ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. ЗАГАЛЬНА ІНФОРМАЦІЯ:
1.1.1. Порядок обробки і захисту персональних даних в ТОВ «Є-ЛІЗИНГ» (далі – Порядок)
розроблено відповідно до вимог Закону України «Про інформацію», «Про захист персональних
даних», «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним
шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»,
«Типового порядку обробки персональних даних», затвердженого наказом Уповноваженого
Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, та враховують вимоги Регламенту
Європейського Парламенту та Ради 2016/679 від 27.04.2016 «Щодо захисту фізичних осіб при
обробці персональних даних та про вільний рух таких даних» (Genеral Data Protection Regulation).
1.1.2. Порядок визначає порядок організації роботи щодо захисту персональних даних фізичних осіб
у ТОВ «Є-ЛІЗИНГ» (далі – Товариство); порядок впровадження та ефективне функціонування
організаційних та технічних заходів захисту персональних даних у Товаристві і є обов’язковим до
виконання підрозділами Товариства, які задіяні в функціонуванні процесу обслуговування
клієнтів/контрагентів та управління персоналом.
1.1.3. Порядок визначає впровадження та ефективне функціонування організаційних та технічних
заходів захисту персональних даних у Товаристві; порядок організації роботи щодо захисту
персональних даних своїх клієнтів, контрагентів, власників, працівників, пов’язаних з ними осіб, а
також інших фізичних осіб, дані яких отримуються Товариством під час здійснення діяльності (далі –
Клієнти), надання фінансових послуг та здійснення ним іншої діяльності відповідно до законодавства
України.
1.1.4. Обробка персональних даних повинна здійснюватися для конкретних і законних цілей,
визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України
та у порядку, встановленому законодавством. Склад та зміст персональних даних повинні бути
відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
1.1.5. Вимоги, викладені в Порядку, вимагають безумовного виконання та розповсюджуються на всіх
працівників Товариства та контрагентів, виконавців за відповідними правочинами, що залучаються
до відповідних процесів Товариства і є обов’язковим до виконання вказаним колом осіб.
2. ТЕРМІНИ ТА ВИЗНАЧЕННЯ
автентифікація – процедура встановлення належності працівникові володільця або розпорядника бази
персональних даних пред’явленого ним ідентифікатора;
авторизація – процедура отримання дозволу на проведення дій з обробки персональних даних у базі
персональних даних у складі інформаційної (автоматизованої) системи;
база персональних даних – іменована сукупність упорядкованих персональних даних в електронній
формі та/або у документарній формі персональних даних;
відповідальна особа – визначена наказом виконавчого органу Товариства особа(-и), яка(-і) здійснює(-
ють) заходи, пов’язані із збереженням, конфіденційністю та доступністю персональних даних при їх
обробці;
відповідальний виконавець – особа, яка відповідно до внутрішніх документів Товариства та/або
відповідних правочинів безпосередньо здійснює обробку персональних даних, в тому числі, формує та
веде відповідні бази персональних даних, отримує та зберігає згоди суб’єктів персональних даних на
обробку персональних даних тощо;
володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою
суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки
персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщоінше не визначено законом;
документарна форма персональних даних – структуровані персональні дані на паперових носіях,
доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані,
децентралізовані або розділені за функціональними чи географічними принципами;
загальнодоступні джерела персональних даних – друковані засоби масової інформації, засоби
телерадіомовлення, Інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні
та юридичні особи мають вільний, необмежений чинним законодавством, доступ;
згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи щодо надання
дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки,
висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
Клієнтом така згода надається під час реєстрації на сайті https://www.e-leasing.com.ua/ шляхом
проставлення відповідної відмітки про надання дозволу на обробку персональних даних
відповідно до сформульованої мети їх обробки згідно із Згодою на обробку, зберігання та
передачу даних та доступ до кредитної історії та погодження із Політикою конфіденційності та цим
Порядком;
знеособлення персональних даних – вилучення відомостей, які дають змогу ідентифікувати особу;
ідентифікація – процедура розпізнавання користувача в системі, як правило, за допомогою наперед
визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною
(автоматизованою) системою;
категорія персональних даних – конкретний вид персональних даних, що дозволяється обробляти
суб’єктом персональних даних (наприклад, прізвище, ім’я, по батькові, ІПН (дані облікової картки
платника податків));
клієнт – будь-яка фізична особа, що користується послугами Товариства (зокрема Лізингоодержувач);
контрагент – фізична особа - підприємець або юридична особа, організація, які не асоціюються з
Товариством та залучаються Товариством до виконання робіт, надання послуг, постачання товарів на
підставі договорів цивільно-правового (господарського) характеру;
обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в
інформаційній (автоматизованій) системі та/або в документарній формі персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням,
використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням,
знищенням відомостей про фізичну особу;
особливі категорії обробки персональних даних – персональні дані про расове або етнічне
походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та
професійних спілках, а також дані, що стосуються здоров’я чи статевого життя;
працівник Товариства – особа, що уклала з Товариством трудовий договір (в тому числі, в
письмовій формі);
персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або
може бути конкретно ідентифікована;
розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази
персональних даних або законом надано право обробляти ці дані;
Не є розпорядником бази персональних даних особа, якій володільцем та/або розпорядником бази
персональних даних доручено здійснювати роботи технічного характеру з базою персональних даних
без доступу до змісту персональних даних;
структурний підрозділ – структурна одиниця, що діє у складі володільця або розпорядника
персональних даних та відповідно до його прав та обов’язків на підставі положення про нього здійснює
організацію роботи, пов’язаної із захистом персональних даних при їх обробці;
суб’єкт персональних даних – фізична особа, персональні дані якої обробляються;
Договір фінансового лізингу (Договір) - укладений між Товариством та Клієнтом в письмовій
(електронній) формі договір, разом з усіма додатками та додатковими угодами, що передбачає надання
Товариством Клієнту фінансового лізингу;
третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника
бази персональних даних та Уповноваженого Верховної Ради України з прав людини, якій
володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних
відповідно до закону.
3. СУБ’ЄКТИ ВІДНОСИН, ПОВ’ЯЗАНИХ З ПЕРСОНАЛЬНИМИ ДАНИМИ
ТА ОБ’ЄКТИ ЗАХИСТУ
3.1. Суб’єктами відносин, пов’язаних із персональними даними, є:
- суб'єкт персональних даних;
- володілець бази персональних даних;
- розпорядник бази персональних даних;
- третя особа;
- Уповноважений Верховної Ради України з прав людини (далі – Уповноважений).
3.2. Збирання, накопичення, обробка, зберігання, використання, розпорядження, поширення та
знищення персональних даних суб’єктів персональних даних здійснюються Товариством за умови,
що особисті немайнові права на персональні дані, які має кожна фізична особа.
транскордонна передача персональних даних – передача персональних даних на територію іноземної
держави органу влади іноземної держави, іноземній фізичній або іноземній юридичній особі.
3.3. Товариство є володільцем персональних даних Клієнтів Товариства, які містяться на паперових
носіях та/або в електронному вигляді в операційних системах Товариства.
3.4. Мета зберігання та обробки персональних даних може змінюватися відповідно до змін у
законодавстві та інших нормативних документів України.
3.5. Персональні дані суб’єктів персональних даних згруповані у бази персональних даних
Товариства.
3.6. Товариство є володільцем наступних баз персональних даних:
- база персональних даних працівників ТОВ «Є-ЛІЗИНГ» – в електронній формі та у паперовій
формі;
- база персональних даних клієнтів Товариства з найменуванням електронній формі та/або у
паперовій формі;
- база персональних даних контрагентів Товариства в електронній форма та паперовій формі.
3.7. Персональні дані зберігаються за юридичною адресою Товариства.
Товариство як володілець персональних даних може доручити обробку персональних даних
розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
4. ПОРЯДОК, МЕТА ТА КАТЕГОРІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
4.1. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
4.1.1. Обробка персональних даних здійснюється Товариством відповідно до мети та правових
підстав.
4.1.2. Обробка персональних даних передбачає такі дії:
1) Збирання інформації є складовою процесу їх обробки, що передбачає дії з підбору та/чи
впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.
Первинними джерелами відомостей про фізичну особу – суб’єкта персональних даних є:
- видані на її ім’я документи;
- підписані нею документи; відомості, які особа надає про себе.
2) Накопичення та зберігання. Накопичення персональних даних передбачає дії щодо поєднання та
систематизації відомостей про фізичну особу. Зберігання персональних даних передбачає дії щодо
забезпечення їх цілісності та відповідного режиму доступу до них;
3) Адаптування, зміна та поновлення. Внесення змін до особової справи та у базу даних операційних
систем Товариства здійснюється у випадку, якщо у процесі надання фінансових послуг у Клієнтів
Товариства або у його працівників виникають певні зміни у відомостях щодо фізичної особи (зміна
прізвища у зв’язку із вступом у шлюб, зміна працевлаштування/посади, зміна місця реєстрації тощо);
4) Використання. Використання персональних даних передбачає будь-які дії Товариства щодо
обробки цих даних, дії щодо їх захисту. Використання персональних даних працівниками Товариства,
пов’язаних з персональними даними, здійснюється лише відповідно до їхніх функціональних
обов’язків. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник,
що підтверджує чи спростовує її ділові якості;
5) Поширення. Поширення персональних даних передбачає дії щодо передачі, в т. ч. транскордонної,
відомостей про фізичну особу з баз персональних даних за згодою суб’єкта персональних даних.
Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи
дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного
добробуту та прав людини. Сторона, якій передаються персональні дані, повинна попередньо вжитизаходів щодо забезпечення вимог Закону припинення правовідносин між суб’єктом персональних
даних та власником чи розпорядником бази, якщо інше не передбачено Законом.
6) Знеособлення. Це вилучення відомостей, які дають змогу ідентифікувати особу;
7) Знищення відомостей про фізичну особу. Персональні дані в базах персональних даних підлягають
знищенню у разі: закінчення строку зберігання даних, визначеного згодою суб’єкта персональних
даних на обробку цих даних, припинення правовідносин між суб'єктом персональних даних та
Товариством, якщо інше не передбачено Законом «Про захист персональних даних» та Законом
України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним
шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»).
4.1.3. Обробка персональних даних на паперових носіях у документарній формі передбачає наступне:
- документи, що містять персональні дані, формуються у справи;
- справи з документами, що містять персональні дані, мають внутрішні описи документів;
- персональні дані у документарній формі зберігаються у приміщеннях (шафах, сейфах), захищених
від несанкціонованого доступу.
4.1.4. Обробка персональних даних в операційних системах Товариства передбачає наступне:
- обробка персональних даних в операційних системах Товариства здійснюється із застосуванням
засобів захисту від несанкціонованого доступу;
- працівники Товариства допускаються до обробки персональних даних лише після їх ідентифікації;
- доступ осіб, які не пройшли процедуру ідентифікації, повинен блокуватись;
- в інформаційній (автоматизованій) системі, де обробляються персональні дані, здійснюється
реєстрація результатів ідентифікації працівників Товариства, дій з обробки персональних даних,
факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних у базі
персональних даних», результатів перевірки цілісності засобів захисту персональних даних;
- персональні дані захищаються від модифікації та знищення;
- Товариство забезпечує антивірусний захист в інформаційній системі.
5. МЕТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
5.1. Метою обробки персональних даних клієнтів Товариства - є виконання Товариством вимог Закону
України «Про запобігання та протидію легалізації (відмиванню) доходів, здобутих злочинним шляхом,
або фінансування тероризму», та інших нормативно-правових актів України стосовно необхідності
ідентифікації, верифікації клієнтів, задля виконання Товариством обов’язків як суб’єкта первинного
фінансового моніторингу, а також:
- аналіз наданих Лізингоодержувачем даних для прийняття Лізингодавцем рішення щодо укладення
Договору фінансового лізингу;
- здійснення Лізингодавцем своєї фінансово-господарської діяльності, виконання умов укладених
договорів;
- пропонування повного переліку послуг Лізингодавця;
- інформування Лізингоодержувача про діючі умови програми лояльності, бонуси, промокоди, акції,
спеціальні пропозиції;
- надання фінансової інформації;
- інформування Лізингоодержувача (у т.ч. шляхом залучення третіх осіб) про наявність
заборгованості, необхідність та порядок її погашення відповідно до умов укладеного Договору;
- передачі даних з метою відступлення права вимоги;
- здійснення Лізингоодержувачем самозахисту свого цивільного права та права іншої особи від
порушень і протиправних посягань;
- передача персональних даних Лізингоодержувача в бюро кредитних історій для передачі та
формування кредитної історії Лізингоодержувача;
- інша мета, що не суперечить Закону України «Про захист персональних даних» та іншим
нормативно-правовим актам, що пов’язані з предметом даного Порядку, застосовним у діяльності
Лізингодавця. Згода надається за формою, визначеною в Додатку до цього Порядку.
Категорія суб’єктів персональних даних – фізичні особи, які мають намір укласти, укладають (-ли)
та/або укладали раніше із Товариством Договір (-и).
Категорія персональних даних, що обробляються: прізвище, ім’я, по батькові, ІПН (реєстраційний
номер облікової картки платника податків), дані паспорта (іншого документа, що посвідчує особу),
стать, дата, місце і рік народження, громадянство, місце реєстрації та місце фактичного проживання,
відомості про освіту, відомості про сімейний, соціальний, майновий стан, інформація про звички,інтереси, задоволеність чи незадоволеність наданими послугами, унікальний номер запису в
демографічному реєстрі, фотографії документу, що посвідчує особу, фотографії та/або відео-запису
особи (в тому числі, але не виключно з документом, що посвідчує особу), громадянства, місця
знаходження, професії, займаної посади, найменування та реквізитів роботодавця або навчального
закладу, доходів, номерів контактних осіб (в т.ч. отримані Лізингодавцем від третіх осіб), адреси
електронної пошти, номери контактних телефонів, голосових записів, дані банківської карти, інформація
про кредитні та інші зобов’язання, інформація про послуги, що надаються, інформація про виконання
або невиконання договірних зобов’язань, інформація з баз даних публічного користування, з
відкритих державних реєстрів та інших відкритих джерел інформації, інформація, отримана зі
списків санкцій, інформація, щодо наявності або відсутності статусу політично значимої особи, дані
щодо державної реєстрації фізичною особою-підприємцем, дані щодо провадження незалежної
професійної діяльності, інформація, отримана в ході комплексної перевірки ділових зв’язків,
грошових потоків, достовірність наданої особою інформації, інформації в соціальних мережах та з
відкритих джерел, інформація, отримана за допомогою національної системи електронної
дистанційної ідентифікації BankID Національного банку України шляхом передавання персональних
даних Товариству, інформація, пов’язана з проведення конкурсів, розіграшів, промо-акцій, в тому
числі оголошення переможців і вручення призів переможцям.
6. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ: ОТРИМАННЯ ЗГОДИ,
ПОВІДОМЛЕННЯ ПРО ПРАВА ТА ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ СУБ’ЄКТА
ПЕРСОНАЛЬНИХ ДАНИХ
6.1. Правовими підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних (наприклад, з метою
надання Клієнту інформації про маркетингові пропозиції, послуги Товариства та її партнерів);
2) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який
укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують
укладенню правочину на вимогу суб’єкта персональних даних (з метою надання Клієнту послуг
фінансового лізингу);
3) необхідність виконання обов’язку володільця бази персональних даних, який передбачений
законодавством;
4) інші підстави, передбачені ст. 11 Закону України «Про захист персональних даних».
6.2. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони
стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки, але у будь-якому
випадку на строк не менше ніж 5 (п’ять) років з дати завершення договірних та або переддоговірних
відносин між Товариством та Лізингоодержувачем (п. 18 розділу 2 статті 8 Закону України «Про
запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом,
фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»).
6.3. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути
невідкладно змінені або знищені.
6.4. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу
можливість поновлення таких персональних даних.
6.5. Згода суб’єкта персональних даних має бути документованою, добровільним волевиявленням
фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних
відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає
змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних
даних може бути надана під час реєстрації в інформаційно- комунікаційній системі суб’єкта електронної
комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних
відповідно до сформульованої мети їх обробки.
6.6. Не допускається обробка Товариством даних про фізичну особу без її згоди, крім випадків,
визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою.
Згода може надаватися суб’єктом у письмовій (паперовій) або електронній формі, що дає змогу
зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом
згоди на обробку його персональних даних, зберігаються Товариством впродовж часу обробки таких
даних.
6.7. Згода суб’єкта персональних даних клієнта надається до або під час укладання з ним відповідногодоговору з Товариством зокрема шляхом проставлення відповідної позначки під час реєстрації на веб-
сайті https://www.e-leasing.com.ua/ .
6.8. Володілець бази персональних даних, крім випадків, передбачених законодавством України,
повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права,
визначені Законом «Про захист персональних даних», мету збору персональних даних та третіх осіб,
яким передаються його персональні дані:
- (наприклад, з метою здійснення ідентифікації та верифікації відповідно до Закону України «Про
запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом,
фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» тощо);
- в момент збору персональних даних, якщо персональні дані збираються у суб’єкта
персональних даних;
- в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.
6.9. Товариство зберігає інформацію (документи), які підтверджують надання заявнику
вищезазначеної інформації протягом усього періоду обробки персональних даних.
6.10. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з
попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків,
визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його
даних відповідно до нової мети.
6.11. Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно
до вимог Закону України «Про захист персональних даних» (далі – Закон).
6.12. Персональні дані в базах персональних даних підлягають знищенню у разі:
- закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку
цих даних або законом;
- припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником
бази персональних даних, якщо інше не передбачено законом;
- видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату
Уповноваженого;
- набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази
персональних даних.
6.13. Персональні дані, зібрані з порушенням вимог Закону, підлягають знищенню в базах
персональних даних у встановленому законодавством порядку.
6.14. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість
поновлення таких персональних даних.
6.15. Відповідальними підрозділами Товариства в межах їх компетенцій забезпечується збереження
персональних даних, у тому числі згоди суб’єктів персональних даних, отримані працівниками
Товариства під час виконання своїх службових обов’язків, у відповідальних підрозділах.
6.16. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або
світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до
кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних
або генетичних даних (особливі категорії обробки персональних даних) забороняється, крім
випадків, передбачених пунктом 2 статті 7 Закону.
7. УМОВИ РОЗКРИТТЯ ІНФОРМАЦІЇ ПРО ПЕРСОНАЛЬНІ ДАНІ ТРЕТІМ ОСОБАМ
7.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта
персональних даних на обробку цих даних, наданої володільцю бази персональних даних, або
відповідно до вимог законодавства.
7.2. Про передачу персональних даних третій особі Товариство протягом десяти робочих днів
повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди.
7.3. Без згоди суб’єкта персональних даних його персональні дані можуть передаватися у випадках
якщо передача персональних даних передбачена законодавством України, і лише в інтересах
національної безпеки, економічного добробуту та прав людини; отримання запиту від органів
державної влади і місцевого самоврядування, що діють у межах повноважень, наданих
законодавством України. Сторона, якій передаються персональні дані, повинна попередньо вжити
заходів щодо забезпечення вимог Закону України «Про захист персональних даних».
7.4. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється
взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їхзабезпечити.
7.5. Доступ суб’єкта персональних даних та третіх осіб здійснюється шляхом подання запиту до
Товариства щодо доступу (далі – запит) до персональних даних.
7.6. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше
не передбачено законодавством.
7.7. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані
не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому
загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п’яти
календарних днів.
7.8. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із
законом.
7.9. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до
Уповноваженого Верховної Ради України з прав людини або суду.
7.10. Товариство здійснює транскордонну передачу персональних даних заявників із дотриманням
усіх необхідних вимог захисту таких даних відповідно до вимог чинного законодавства України та
міжнародних стандартів, та не передає персональні дані до країн, які не дотримуються вимог та
стандартів щодо захисту персональних даних
8. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: СПОСОБИ ЗАХИСТУ, ВІДПОВІДАЛЬНІ ОСОБИ,
ПРАЦІВНИКИ, ЯКІ БЕЗПОСЕРЕДНЬО ЗДІЙСНЮЮТЬ ОБРОБКУ ТА/АБО МАЮТЬ ДОСТУП
ДО ПЕРСОНАЛЬНИХ ДАНИХ У ЗВ’ЯЗКУ З ВИКОНАННЯМ СВОЇХ СЛУЖБОВИХ
ОБОВ’ЯЗКІВ, СТРОК ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ ДАНИХ
8.1. Приміщення Товариства, в яких обробляються персональні дані, відносяться до приміщень з
обмеженим доступом та охороняються і контролюються охороною (системами охорони) Товариства.
Перебування сторонніх осіб у даних приміщеннях без супроводу працівників Товариства не
допускається.
8.2. Товариство обладнано системними і програмно-технічними засобами та засобами зв'язку, які
запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню,
копіюванню, відтворенню і поширенню інформації, зокрема, і в сфері захисту персональних даних та
відповідають вимогам міжнародних та національних стандартів. Відповідальними підрозділами
Товариства в межах їх компетенцій обробляються персональні дані в складі інформаційної
(автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог
законодавства. Норми технічного захисту інформації у Товариства відповідають вимогам
законодавства Україні щодо захисту інформації.
8.3. Програмні продукти, що використовуються Товариством у процесі обробки персональних даних
для досягнення мети їх обробки, мають вбудовані механізми захисту інформації від
несанкціонованого доступу для забезпечення ідентифікації та автентифікації користувачів, цілісності
електронних документів, реєстрації дій користувачів, управління доступом користувачів до
інформації та окремих функцій, що надаються продуктом, та/або мають змогу використовувати
зазначені механізми захисту системного програмного забезпечення, а також можливість
інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт
використовується.
8.4. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може
здійснюватися реєстрація, зокрема:
- результатів ідентифікації та/або автентифікації працівників Товариства;
- дій з обробки персональних даних;
- факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних у базі
персональних даних» за допомогою управляючих елементів веб-ресурсів Товариства, інтерфейсів
користувача програмного забезпечення;
- результатів перевірки цілісності засобів захисту персональних даних.
8.5. Вимоги щодо обліку та збереження інформації про перегляд персональних даних не
поширюється на володільців/розпорядників баз персональних даних, які здійснюють обробку
персональних даних в реєстрі, який є відкритим для населення в цілому.
8.6. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) обробляються у
такий спосіб, що унеможливлює доступ до них сторонніх осіб.
8.7. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічнізаходи захисту, у тому числі щодо виключення несанкціонованого доступу до:
- персональних даних, що обробляються та роботи технічного та програмного комплексу, за
допомогою якого здійснюється обробка персональних даних.
8.8. До роботи з персональними даними допускаються лише працівники, у посадових інструкціях,
яких передбачено відповідні функції, та які надали письмове зобов’язання про нерозголошення
персональних даних, які їм було довірено, або які стали їм відомі у зв’язку з виконанням професійних
чи посадових обов’язків.
8.9. Працівники, які безпосередньо здійснюють обробку персональних даних та/або працівники
Товариства, які мають доступ до персональних даних у зв’язку з виконанням своїх функцій та
посадових обов’язків, зобов’язані дотримуватись вимог законодавства України в сфері захисту
персональних даних та внутрішніх документів, що регулюють діяльність Товариства щодо обробки і
захисту персональних даних у базах персональних даних.
8.10. Працівники, які безпосередньо здійснюють обробку персональних даних та/або працівники
Товариства, які мають доступ до персональних даних у зв’язку з виконанням своїх посадових
обов’язків, зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм
було довірено, або які стали відомі у зв’язку з виконанням професійних чи посадових обов’язків.
8.11. Особи/працівники, що мають доступ до персональних даних, у тому числі, здійснюють їх
обробку, у разі порушення ними вимог законодавства стосовно персональних даних несуть
відповідальність згідно діючого законодавства України.
8.12. Датою надання права доступу до персональних даних вважається дата укладення кожним
працівником Товариства Договору про нерозголошення комерційної таємниці/конфіденційної
інформації. Датою позбавлення права доступу до персональних даних вважається дата звільнення
працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою
персональних даних.
8.13. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на
іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо
унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять
персональні дані суб’єктів, передаються іншому працівнику у відповідності до вимог внутрішніх
нормативних документів.
8.14. Відповідальні особи, які організовують роботу, пов’язану із захистом персональних даних при їх
обробці, призначаються Наказом виконавчого органу Товариства.
8.15. Обов’язки відповідальних осіб щодо організації роботи, пов’язаної із захистом персональних
даних при їх обробці, визначаються у посадових інструкціях відповідальних осіб або у відповідних
внутрішніх документах, у тому числі Наказах виконавчого органу Товариства, цьому Порядку тощо.
8.16. Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
8.17. Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб’єктам
відносин, пов’язаним із персональними даними.
8.18. Товариство забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
8.19. Товариство забезпечує використання технічних засобів безперебійного живлення елементів
інформаційної (автоматизованої) системи.
8.20. Відповідальна особа зобов’язана:
- знати законодавство України в сфері захисту персональних даних;
- забезпечити виконання працівниками Товариства вимог законодавства України в сфері захисту
персональних даних та внутрішніх документів, що регулюють діяльність Товариства щодо обробки
і захисту персональних даних у базах персональних даних;
- безпосередньо здійснювати та координувати інші дії, що покладаються на Товариство як на
володільця бази персональних даних.
8.21. З метою виконання своїх обов’язків Відповідальна особа має право:
- отримувати від працівників Товариства необхідні документи, пов’язані з обробкою персональних
даних;
- брати участь в обговоренні питань, пов’язаних із захистом персональних даних, та подавати
відповідні пропозицію керівництву Товариства стосовно удосконалення обробки та захисту
персональних даних;
- здійснювати взаємодію з іншими працівниками Товариства при виконанні своїх обов’язків з
організації роботи, пов’язаної із захистом персональних даних при їх обробці;
- одержувати від працівників Товариства незалежно від займаних ним посад пояснення з питаньздійснення обробки персональних даних;
- підписувати та візувати документи в межах своєї компетенції.
- інші права, передбачені діючим законодавством України.
8.22. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
- організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин,
пов’язаних з обробкою персональних даних;
- інформує керівника володільця та розпорядника бази персональних даних про заходи, яких
необхідно вжити для приведення складу персональних даних та процедур їх обробки у
відповідність до вимог законодавства;
- інформує керівника володільця та розпорядника бази персональних даних про порушення
встановлених процедур з обробки персональних даних;
- взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими
особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист
персональних даних.
8.23. Товариство може розмежувати режими доступу працівників до обробки персональних даних у
базі персональних даних відповідно до їх службового функціоналу та їх посадових обов’язків.
9. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
9.1. Суб’єкт персональних даних має право:
- знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її
призначення та найменування, місцезнаходження та юридичну адресу Товариства як володільця /
розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації
уповноваженим ним особам, крім випадків, встановлених законодавством;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію
про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних
даних;
- на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків,
передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі
персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь- яким
володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення,
пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також
на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову
репутацію фізичної особи; звертатися з питань захисту своїх прав щодо персональних даних до
органів державної влади, органів місцевого самоврядування, до повноважень яких належить
здійснення захисту персональних даних або до суду;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних
даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання
згоди;
- відкликати згоду на обробку персональних даних.
10. ПОРЯДОК РОБОТИ З ЗАПИТАМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
10.1. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе.
10.2. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.
10.3. Суб’єкт персональних даних подає запит до Товариства щодо доступу (далі – запит) до своїх
персональних даних.
10.4. Запитувана інформація надається суб’єкту персональних даних у письмовій формі шляхом
надсилання листа.
11. ВІДПОВІДАЛЬНІСТЬ
11.1. Відповідальність за використання та збереження (нерозголошення) персональних даних при
роботі з персональними даними покладається на Відповідальних виконавців.
Контроль за діяльністю Відповідальних виконавців при роботі з персональними даними здійснюють
керівники структурних підрозділів.
11.2. Контроль за дотриманням працівниками Товариства вимог цього Порядку покладається на
керівників структурних підрозділів Товариства. Працівники, які допустили неправомірне
використання персональних даних, залежно від ступеня порушення та тяжкості наслідків від нього
притягаються до дисциплінарної, адміністративної або кримінальної відповідальності, передбаченої
законодавством України.
12. ПРИКІНЦЕВІ ПОЛОЖЕННЯ
12.1. Цей Порядок є безстроковим, та набирає чинності з 22.11.2024 року.
12.2. Зміни та доповнення до цього Порядку затверджуються наказом і оформлюються у письмовій
формі шляхом викладення Порядку у новій редакції. Прийняття нової редакції Порядку автоматично
припиняє дію попередньої версії/редакції документа.
12.3. У разі невідповідності будь-якої частини цього Порядку чинному законодавству України, у тому
числі у зв’язку з прийняттям нових актів законодавства України, цей Порядок зберігає свою чинність в
тій частині, в якій він не суперечить нормам чинного законодавства України.Додаток до Порядку обробки і захисту персональних даних в ТОВ «Є-ЛІЗИНГ» (Код ЄДРПОУ: 41639480)
ЗГОДА CУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ НА ОБРОБКУ, ЗБЕРІГАННЯ ТА ПЕРЕДАЧУ ДАНИХ
ПЕРСОНАЛЬНИХ ДАНИХ ТА ДОСТУП ДО КРЕДИТНОЇ ІСТОРІЇ
Я (далі - Лізнгоодержувач), як суб’єкт персональних даних, проставляючи відповідну позначку під
час реєстрації на веб-сайті https://www.e-leasing.com.ua/ та/або під час подання заявок, звернень стосовно надання інформації про послуги (продукт) та інші дії, регламентовані вказаним веб-сайтом, надаю свою однозначну, беззастережну, добровільну і необмежену згоду (дозвіл) ТОВАРИСТВУ З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «Є-ЛІЗИНГ» код за ЄДРПОУ: 41639480 (далі - Товариство) на обробку моїх персональних даних, у тому числі до встановлення ділових відносин з Товариством відповідно до умов, викладених в цій Згоді.
Лізингоодержувач надає згоду на:
1.1. Обробку персональних даних у тому числі, на їх збір, систематизацію, накопичення, зберігання,
уточнення (оновлення та зміну), використання, розповсюдження, передачу, знеособлення, блокування та знищення будь-якої інформації, що стосується мене, зокрема, але не виключно, інформації щодо: прізвище, ім’я, по батькові, ІПН (реєстраційний номер облікової картки платника податків), дані паспорта (іншого документа, що посвідчує особу), стать, дата, місце і рік народження, громадянство, місце реєстрації та місце фактичного проживання, відомості про освіту, відомості про сімейний, соціальний, майновий стан, інформація про звички, інтереси, задоволеність чи незадоволеність наданими послугами, унікальний номер запису в демографічному реєстрі, фотографії документу, що посвідчує особу, фотографії та/або відео- запису особи (в тому числі, але не виключно з документом, що посвідчує особу), громадянства, місця знаходження, професії, займаної посади, найменування та реквізитів роботодавця або навчального закладу, доходів, номерів контактних осіб (в т. ч. отримані Лізингодавцем від третіх осіб), адреси електронної пошти, номери контактних телефонів, голосових записів, дані банківської карти, інформація про кредитні та інші зобов’язання, інформація про послуги, що надаються, інформація про виконання або невиконання договірних зобов’язань, інформація з баз даних публічного користування, з відкритих державних реєстрів та інших відкритих джерел інформації, інформація, отримана зі списків санкцій, інформація, щодо наявності або відсутності статусу політично значимої особи, дані щодо державної реєстрації фізичною особою- підприємцем, дані щодо провадження незалежної професійної діяльності, інформація, отримана в ході комплексної перевірки ділових зв’язків, грошових потоків, достовірність наданої особою інформації, інформації в соціальних мережах та з відкритих джерел, інформація, отримана за допомогою національної системи електронної дистанційної ідентифікації BankID Національного банку України шляхом передавання персональних даних Товариству (далі – Персональні дані).
1.2. Доступ Товариства до моєї кредитної історії, збір, зберігання, використання та розповсюдження
через бюро кредитних історій інформації про мене (в тому числі інформації, що міститься у державних
реєстрах та інших базах публічного використання) у порядку, визначеному Законом України «Про
організацію формування та обігу кредитних історій».
1.3. Метою обробки Лізингодавцем Персональних даних Лізингоодержувача є:
- аналіз наданих Лізингоодержувачем даних для прийняття Лізингодавцем рішення щодо укладення
Договору;
- виконання Лізингодавцем вимог Закону України «Про запобігання та протидію легалізації
(відмиванню) доходів, здобутих злочинним шляхом, або фінансування тероризму», та інших нормативно-
правових актів України стосовно необхідності ідентифікації та верифікації клієнтів, а також виконання
Лізингодавцем інших обов’язків, зокрема як суб’єкта первинного фінансового моніторингу;
- здійснення Товариством своєї фінансово-господарської діяльності (у тому числі, але не виключно
інформування Лізингоодержувача про необхідність виконання своїх зобов’язань);
- надання фінансової інформації (у тому числі, але не виключно щодо проведення акцій, розіграшів,
тошо);
- передача персональних даних Лізингоодержувача в бюро кредитних історій для доступу формування
кредитної історії Лізингоодержувача;
- здійснення верифікації Лізингоодержувача за допомогою BankID НБУ;- здійснення верифікації Лізингоодержувача через ДП «Дія»;
- інша мета, що не суперечить Закону України «Про захист персональних даних».
1.4. На виконання поставленої мети, надаю свою згоду на:
- Передачу, поширення та надання своїх даних органам державної влади та їх структурним
підрозділам, усім бюро кредитних історій, які створені та здійснюють свою діяльність відповідно до
законодавства України (в тому числі, але не обмежуючись, Товариству з обмеженою відповідальністю
«УКРАЇНСЬКЕ БЮРО КРЕДИТНИХ ІСТОРІЙ» код за ЄДРПОУ: 33546706) та іншим установам,
організаціям, юридичним та фізичним особам;
- Транскордонну передачу персональних даних за винятком держав, що не забезпечують належний
захист прав суб’єктів персональних даних;
- Здійснення запитів з використанням Персональних даних до Бюро кредитних історій, сервісів
дистанційної верифікації та інших сервісів, що у порядку, передбаченому законодавством України, надають інформацію про мене та отримання додаткових даних щодо мене з наступною обробкою таких даних;
- Обробку комунікаційних даних Споживача, отриманих під час користування Сайтом Товариства, що
включають: файли cookie, IP- адреси, параметри та налаштування інтернет-браузерів технічних пристроїв
Лізингоодержувача та іншу технічну інформацію;
1.5. Підтверджую, що здійснення дій, зазначених у п.п. 1.3.-1.4. цієї Згоди не потребує додаткового
інформування мене.
2. Підтверджую, що маю законне право на надання усіх без виключення даних, переданих мною
Товариству.
3. Згода надається на строк, необхідний для досягнення Товариством мети обробки Персональних
даних, але у будь-якому випадку на строк не менше ніж 5 (п’ять) років з дати завершення договірних та або переддоговірних відносин між мною та Лізингодавцем (п. 18 розділу 2 статті 8 Закону України «Про
запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню
тероризму та фінансуванню розповсюдження зброї масового знищення»).
4. Проставляючи відповідну позначку Я підтверджую, що я:
- повідомлений(-а) про володільця персональних даних;
- про склад та зміст зібраних Лізнгодавцем моїх Персональних даних;
- про включення моїх Персональних даних до відповідної бази персональних даних Товариства;
- про свої права, передбачені законом України «Про захист персональних даних» та Законом України
«Про організацію формування та обігу кредитних історій»;
- про мету збору Персональних даних та третіх осіб, яким передаються Персональні дані;
- засвідчую, що склад та зміст Персональних даних в повній мірі є відповідними, адекватними та
ненадмірними стосовно визначеної цією Згодою мети їх обробки;
- ознайомлений з внутрішнім порядком обробки та захисту персональних даних ТОВ «Є-ЛІЗИНГ»
розміщеного на сайті Товариства.
5. Я обізнаний (-а) та ознайомлений(-а) із тим, що Товариство забезпечує належний захист моїх
Персональних даних у спосіб, визначений чинним законодавством України. Захист Персональних даних
передбачає заходи, спрямовані на запобігання випадковій втраті, знищенню, незаконній обробці, у томучислі незаконному доступу чи знищенню Персональних даних.