Інформація для суб’єктів персональних даних

Повідомлення суб’єктів персональних даних про початок та мету обробки

У відповідності з вимогами ст. 12 Закону України «Про захист персональних даних», повідомляємо, що Ваші персональні дані можуть бути включені до БПД «Exchange-оnline» на підставі ст. 39.5 Закону України «Про платіжні системи та переказ коштів в Україні», а саме: «Для належної ідентифікації суб’єктів помилкових та неналежних переказів та вжиття заходів щодо запобігання або припинення зазначених переказів члени платіжної системи повинні повідомляти інших членів системи про таких суб’єктів та перекази в обсягах, встановлених правилами відповідної платіжної системи або договорами між ними. Відповідно до договору та положень цього Закону зазначену діяльність має право здійснювати юридична особа, засновниками якої є учасники платіжних систем, процесингові установи, платіжні організації. Члени платіжної системи та заснована ними юридична особа повинні забезпечити технологічний та програмно-апаратний захист персональних даних суб’єктів помилкових чи неналежних переказів згідно із цим Законом» або за згодою суб’єкта персональних даних.

Транскордонні передачі персональних даних

У відповідності до п.7.3 Кодексу корпоративної поведінки з обробки персональних даних Української міжбанківської асоціації членів платіжних систем «ЄМА», транскордонні передачі персональних даних дозволяються лише у разі поширення суспільно небезпечних проявів за межі України для інформування про реальні або потенційні ризики, що можуть бути нанесені фінансовій безпеці суб’єктів обох держав або держави, до якої передаються дані. Передача персональних даних, що містяться в системі «Exchange-online» здійснюється виключно компетентними особами Асоціації за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України (держави-учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних).

Передача персональних даних третій країні будь-ким із Членів Асоціації чи третіми особами, які мають тимчасовий доступ до «Exchange-online» у відповідності до цього Кодексу за відсутності відповідної санкції Асоціації неприпустима і тягне за собою відповідальність. Це положення стосується в тому числі і транскордонної несанкціонованої передачі персональних даних членами Асоціації своїм відокремленим підрозділам і філіям, материнським компаніям членів Асоціації, що знаходяться закордоном.

Категорії персональних даних, що обробляються у межах системи «Exchange-online»

— ідентифікаційні дані (ПІБ, паспортні дані, ідентифікаційний номер, тощо);

— контактні дані (адреса, телефон тощо);

— особисті данні (вік, стать тощо);

— професійні дані (освіта, професія, місце роботи, тощо);

— фінансово-майнова інформація (розмір заподіяних збитків тощо);

— інформація щодо стану та динаміки заборгованості за розрахунково-кредитними операціями;

— інформація про події та їх обставини, що були результатом здійснення неналежних переказів, заподіяння шкоди/створення загрози заподіяння фінансовій системі та фінансовій безпеці користувачів, а також унеможливлення одержання особою доходів злочинним шляхом;

— оперативно-розшукова інформація, в разі порушення кримінальних справ за фактом таких подій, інформація про хід розслідування та підозрюваних/затриманих осіб.

У межах системи «Exchange-online» не здійснюються обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.

Права суб’єктів персональних даних:

Згідно ст. 8 Закону України «Про захист персональних даних», суб’єкт персональних даних має право:

1) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

5) пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.