Порядок доступу суб’єкта до персональних даних та досудове врегулювання спорів та розбіжностей

Суб’єкт персональних даних при зверненні до Асоціації має право на отримання такої інформації:

— підтвердження факту обробки персональних даних, а також мета такої обробки;

— способи обробки персональних даних, що застосовуються;

— відомості про осіб, які мають доступ до персональних даних або яким може бути надано такий доступ;

— перелік оброблюваних персональних даних і джерело їх отримання;

— терміни обробки персональних даних, у тому числі терміни їх зберігання;

— відомості про те, які юридичні наслідки для суб’єкта персональних даних може спричинити обробка його персональних даних.

Інформація надається суб’єкту персональних даних або його законному представникові при зверненні або при отриманні запиту від суб’єкта персональних даних або його законного представника за умови забезпечення ним можливості однозначно ідентифікувати себе.

Запит повинен містити назву основного документа, що посвідчує особу суб’єкта персональних даних або його законного представника, відомості про дату видачі зазначеного документа, органу, що його видав і власноручний підпис суб’єкта персональних даних або його законного представника.

При фізичному зверненні, особа, що звертається має пред’явити основний документ, що посвідчує особу суб’єкта персональних даних або його законного представника. Усі ідентифікуючі відомості про суб’єкта персональних даних, відомості про дату видачі зазначеного документа орган, що його видав, мають бути занесені у журнал реєстрації звернень відповідальним співробітником Асоціації, після чого поруч проставляється власноручний підпис суб’єкта персональних даних або його законного представника. У разі направлення поштового запиту, звернення також підлягає реєстрації в окремому розділі журналу.

Інформація надається суб’єкту персональних даних безкоштовно не частіше 1 разу на рік, в інших випадках Асоціація може встановлювати тарифи на доступ до персональних даних або вимагати компенсації витрат з їх надання.

Ці відомості можуть надаватись зокрема за поштовою адресою Асоціації:

Українська міжбанківська Асоціація членів платіжних систем «ЄМА»

Україна, 01033, м.Київ вул.Саксаганського 37, оф.2 tel./fax: +380 44 568 58 38

У разі зміни юридичної чи фактичної адреси, Асоціація повідомляє про це на офіційному веб-сайті Асоціації. http//www.ema.com.ua

Відомості про суб’єкта персональних даних можуть бути виключені Асоціацією за рішенням суду або інших уповноважених державних органів.

Процедура розгляду заявок суб’єктів персональних даних

В разі пред’явлення Асоціації, як володільцю бази персональних даних суб’єктом даних вмотивованої вимоги щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно чи є недостовірними, володілець: при отриманні заяви від суб’єкта персональних даних зобов’язаний перевірити інформацію, яка заперечується, протягом тридцяти робочих днів з дня отримання заяви. На час перевірки інформації слід позначити персональні дані такого суб’єкта відповідною позначкою.

Володілець залишає персональні дані суб’єкта без змін та знімає з персональних даних позначку в разі підтвердження інформації, що заперечується. Володілець вносить зміни до інформації, що міститься в персональних даних суб’єкта, та знімає з персональних даних позначку в разі зміни інформації, що заперечувалася суб’єктом персональних даних.

Володілець вилучає з персональних даних суб’єкта інформацію, що заперечується суб’єктом, а також знімає відповідну позначку, якщо у тридцятиденний термін з моменту звернення до нього Володілець не отримав інформації, що підтверджувала б або заперечувала інформацію з інших джерел.

Володілець зобов’язаний повідомити суб’єкта персональних даних, а також третіх осіб, які на законних підставах зверталися до персональних даних цього суб’єкта впродовж одного року, про зміну інформації, що заперечувалась суб’єктом або була вилучена з персональних даних, цього суб’єкта, не пізніше двох днів з моменту внесення таких змін до персональних даних суб’єкта.

Якщо вмотивована вимога щодо зміни або знищення своїх персональних даних, пред’явлена суб’єктом персональних даних Банку, Банк має повідомити суб’єкту персональних даних контактну інформацію Асоціації як володільця бази персональних даних та діяти згідно описаною вище процедурою, в частині яка його може стосуватися.

Вимоги щодо вмотивованості заявки на доступ до персональних даних

Вимога третіх осіб щодо доступу до власних персональних даних, їх зміни або вилучення з БПД «Exchange-online» є вмотивованою, якщо вона дає змогу безспірно (чітко) ідентифікувати особу, що звертається та підстави такого звернення. У вимозі зазначаються:

1) прізвище, ім’я та по батькові заявника;

2) дата звернення;

3) мета звернення :

— отримання інформації щодо наявності/відсутності персональних даних суб’єкта у БПД;

— отримання доступу до власних персональних даних у вигляді виписки, що видається безпосередньо заявнику з обов’язковим засвідченням цього акту його підписом у журналі звернень або шляхом направлення за його бажанням такої виписки на вказану ним електронну адресу;

— зміна персональних даних суб’єкта в разі їх застарілості;

— вилучення персональних даних суб’єкта з підстав надлишковості, безпідставності, неадекватності їх зберігання в разі документального підтвердження зазначених підстав;

4) безпосередня підстава звернення (відмова у наданні кредиту, відкритті поточного рахунку тощо)

5) джерело отримання інформації щодо підстав вважати, що ПД суб’єкта містяться у БПД «Exchange-online» (довідка з банку, іншої фінансової установи, повідомлення державних органів тощо)

Відстрочення або відмова у доступі до персональних даних

Відстрочення доступу третіх осіб до своїх персональних даних у разі вмотивованості його вимоги не допускається. Вимога не є вмотивованою в разі, якщо не містить усіх обов’язкових даних та не відповідає вимогам п. 16 Положення. У цьому випадку доступ суб’єкта відстрочується до моменту фактичного надання ним повної інформації, що дає змогу безспірно (чітко) ідентифікувати особу, що звертається та підстави такого звернення

Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п’яти календарних днів.

Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення. У повідомленні про відстрочення зазначаються:

1) прізвище, ім’я та по батькові посадової особи;

2) дата відправлення повідомлення;

3) причина відстрочення;

4) строк, протягом якого буде задоволено запит.

Відмова у доступі до персональних даних допускається, якщо:

1) доступ до них заборонено згідно із законом;

2) задоволення запиту порушує законні права та інтереси інших осіб;

3) на особу заявника або особу, дані якої запитуються її законним представником відкрито кримінальну справу і задоволення запиту може справити негативний вплив на оперативно-розшукову діяльність,;

4) задоволення запиту суперечить задекларованій меті обробці персональних даних у БПД «Exchange-online» відповідно до п.39.5 Закону України «Про платіжні системи та переказ коштів», Статуту Української міжбанківської Асоціації членів платіжних систем «ЄМА», Кодексу корпоративної поведінки з обробки ПД Статуту Української міжбанківської Асоціації членів платіжних систем «ЄМА».

У повідомленні про відмову зазначаються:

1) прізвище, ім’я, по батькові посадової особи, яка відмовляє у доступі;

2) дата відправлення повідомлення;

3) причина відмови.

У разі, якщо відомості про особу заявника або особу, дані якої запитуються її законним представником,

містяться у системі БПД «Exchange-online» на виконання

вимог Законів України «Про та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом»,

Українська міжбанківська Асоціація Членів Платіжних систем «ЄМА» подає інформацію щодо такого

звернення до Державної служби фінансового моніторингу та відповідних правоохоронних органів.

Оскарження рішення про відстрочення або відмову в доступі до персональних даних

Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, або до суду.

Якщо запит зроблено суб’єктом персональних даних щодо даних про себе, обов’язок доведення в суді законності відмови у доступі покладається на володільця бази персональних даних, до якого подано запит.