ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ
ТОВ «СІМПЛІ-КОНТАКТ»

ТОВ «СІМПЛІ-КОНТАКТ» (далі — Компанія) приділяє значну увагу захисту персональних даних клієнтів, контрагентів та своїх співробітників.
Політику конфіденційності (далі — Політика) розроблено у відповідності до вимог Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі — Закон 2297) та Генерального регламенту про захист даних ЄС 2016/679 (EU General Data Protection Regulation, далі — GDPR). Визначення термінів у цій Політиці вживається у значенні, передбаченому Законом 2297, додаткові визначення наведені у 1 розділі.

1. ОСНОВНІ ВИЗНАЧЕННЯ

1.1. Персональні дані (ПД)— будь-які дані дозволяють ідентифікувати фізичну особу, включаючи, але не обмежуючись перерахованим:

  • — ім’я (ПІБ);
  • — ідентифікаційні номери (серії, номера будь-яких документів);
  • — дані про місцезнаходження;
  • — ідентифікатор в інтернеті (адреса електронної пошти або іншої онлайн-ідентифікатор, включаючи дані про відвідування інтернет ресурсів тощо)
  • — окремі відомості або їх сукупність характерні для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності фізичної особи.

1.2. Принципами обробки ПД є:

  • — принцип законності, персональні дані повинні оброблятися лише на законних підставах;
  • — принцип сумісності, персональні дані повинні бути отримані із конкретними законними цілями та оброблятися відповідно до них;
  • — принцип адекватності і не надлишковості, персональні дані повинні бути адекватними, не надлишковими, відповідати цілям обробки;
  • — принцип точності, персональні дані повинні бути точними та акуратними;
  • — принцип строковості зберігання, персональні дані не повинні зберігатися довше, ніж це визначено відповідними нормативно — правовими актами;
  • — принцип дотримання прав фізичної особи, персональні дані повинні оброблятися з дотриманням прав суб’єкта персональних даних, включаючи право на доступ до них.

1.3. Офіцер з захисту даних (Data Protection Officer) — співробітник Компанії, на якого покладені функції контролю за дотриманням процедур обробки та захисту персональних даних. Контактні дані —is@simplycontact.com.ua.

1.4. Відповідальна особа— співробітник Компанії залучений до процесу обробки ПД та/або супроводження питань, пов’язаних з цією обробкою.

1.5. Обробка ПД— будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем, що здійснюється у суворій відповідності з визначеними процедурами, з обов’язковим дотриманням:

  • — певних умов їх зберігання;
  • — обмеження режиму доступу до них;
  • — повноти та цілісності персональних даних.

1.6. Процедура обробки ПД— деталізований опис дій, що виконують Відповідальні особи Компанії під час Обробки ПД, в якому зазначаються:

  • — мета обробки;
  • — перелік Відповідальних осіб;
  • — порядок обміну даними;
  • — заходи захисту;
  • — терміни зберігання та порядок знищення;
  • — порядок контролю відповідності.

2. ВИДИ ПЕРСОНАЛЬНИХ ДАНИХ

2.1. Внутрішні ПД (ВПД)— персональні дані співробітників Компанії обробляються у базі ПД «СПІВРОБІТНИКИ» з метою ведення кадрового діловодства, підготовки статистичної, управлінської та іншої звітної інформації з питань персоналу. До категорії персональних даних, які обробляються в базі ПД «СПІВРОБІТНИКИ» відносяться:

  • — паспортні дані (громадянство, прізвище, ім’я, по — батькові, дата, рік народження;
  • — особисті відомості (стать, місце фактичного проживання, номери телефонів, фото, номер картки фізичної особи — платника податків);
  • — освіта, назва освітнього закладу;
  • — дані, що підтверджують право працівника на пільги, встановлені законодавством про працю.

Паперові копії первинних документів зберігаються в особистих справах співробітників.

ВПД зберігаються в Компанії протягом дії трудових відносин між співробітником та Компанією, а також 2 (два) роки після їх припинення. Наприкінці визначеного терміну зазначені ВПД мають передаватись в архів для постійного зберігання протягом 75 років.

За правовим статусом Компанія є Володільцем та Розпорядником (Закон 2297) база ПД «СПІВРОБІТНИКИ».

2.2. Зовнішні ПД (ЗПД)— персональні дані, отримані від Замовників послуг Компанії, обробка яких здійснюється на підставі та в межах виконання укладених угод про надання відповідних послуг. Замовник послуг Компанії забезпечує дотримання вимог законодавства щодо захисту ПД перед передачею їх Компанії, а Компанія в свою чергу — під час обробки.

ЗПД оброблюються згідно з Процедурою обробки ПД, яка є невід’ємною частиною угоди про надання відповідних послуг.

ЗПД зберігаються у терміни визначені у Процедурі обробки ПД але більше термінів дії відповідних угод з Замовником послуг Компанії.

По закінченню дії угоди про надання відповідних послуг всі ЗПД передаються Замовнику за узгодженим порядком. Залишкові дані, що оброблялись за допомогою програмно-технічних комплексів Компанії, а так само і архівні копії — обов’язково знищуються. У разі технічної неможливості повного знищення — обов’язково проводиться знеособлення залишкових даних.

За правовим статусом по відношенню до ЗПД Компанія є Розпорядником (Закон 2297) та Оброблювачем — Processor (GDPR), а Замовник є Власником (Закон 2297) та Контролером — Controller (GDPR).

3. ЗАХОДИ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ВІД НЕЗАКОННОЇ ОБРОБКИ ТА НЕСАНКЦІОНОВАНОГО ДОСТУПУ

Обробка персональних даних в програмно-технічних комплексах Компанії здійснюється із застосуванням засобів мережевого захисту від несанкціонованого доступу.

Доступ в програмно-технічні комплекси Компанії здійснюється у суворій відповідності з діючими процедурами щодо керування доступом.

Відповідальні особи Компанії допускаються до обробки персональних даних лише після їх авторизації. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, блокується. В інформаційній (автоматизованій) системі, де обробляються персональні дані, здійснюється реєстрація, зокрема:

  • — результатів ідентифікації та/або автентифікації Відповідальних осіб;
  • — дій з обробки персональних даних;
  • — результатів перевірки цілісності засобів захисту персональних даних.

Підрозділ ІТ Компанії проводить аналіз реєстраційних даних. Реєстраційні дані захищаються від модифікації та знищення. Реєстраційні дані зберігаються та надаються за вмотивованою вимогою Офіцеру з захисту даних — для аналізу, пов’язаному із персональними даними.

Компанія забезпечує антивірусний захист в інформаційній (автоматизованій) системі.

Ступінь доступу до обробки ПД (внесення змін, формування звітів та аналітичної інформації, перегляд або інше за потреби) визначається посадою Відповідальної особи.

Кожний співробітник Компанії складає та власноручно підписує зобов’язання про збереження інформації з обмеженим доступом.

Оформлені належним чином зобов’язання щодо збереження інформації з обмеженим доступом зберігаються в особистих справах Відповідальних осіб.

Керівники структурних підрозділів здійснюють постійний контроль за дотриманням підпорядкованими співробітниками Процедури обробки персональних даних, а також за законністю обробки персональних даних, захистом персональних даних при їх обробці.

Про всі виявлені факти несанкціонованого поширення ПД Компанія повідомляє суб’єктів ПД та Власників — Контролерів у термін, що не перевищує 72 години

Персональні дані, зібрані з порушенням вимог Закону 2297 підлягають видаленню або знищенню в базах персональних даних у встановленому законодавством порядку.

4. ПРАВО ДОСТУПУ ДО ПЕРСОНАЛЬНИХ ДАНИХ ТРЕТІХ ОСІБ, ПОВІДОМЛЕННЯ ПРО ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ, ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ.

4.1 Підставами для обробки персональних даних є:

  • — згода суб’єкта персональних даних на обробку його персональних даних;
  • — дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень;
  • — укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
  • — захист життєво важливих інтересів суб’єкта персональних даних;
  • — необхідність виконання обов’язку володільця персональних даних, який передбаченим Законом 2297;
  • — необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

4.2. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог Закону 2297. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону 2297 або неспроможна їх забезпечити.

4.3. Суб’єкт відносин, пов’язаних з персональними даними, подає Компанії відповідний запит щодо доступу до персональних даних. Зміст запиту щодо доступу визначений статтею 16 Закону 2297 та строк вивчення даного запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження до Компанії.

Протягом цього строку Компанія доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеному у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження до Компанії, якщо інше не передбачено законодавством України.

4.4. Повідомлення про відсторонення доступу до персональних осіб третіх осіб доводиться Компанією до відома третьої особи, яка подала запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення відповідно до статті 17 Закону 2297.

Рішення про відсторонення або відмову у доступі до персональних даних може бути оскаржено до Уповноваженого або суду.

4.5. Про передачу персональних даних третій особі Компанія, як володілець бази персональних даних, повідомляє суб’єкта персональних даних протягом десяти робочих днів, якщо цього вимагають умови згоди або інше не передбачено законодавством України в сфері захисту персональних даних.

4.6. Повідомлення, зазначені в п.4.5. цієї Політики не здійснюються у разі:

передачі персональних даних по запитам при виконанні завдань оперативно — розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.

4.7. Компанія також протягом десяти робочих днів повідомляє суб’єкта персональних даних, а також суб’єкта відносин, пов’язаних із персональними даними, яким ці дані було передано про зміну, видалення або знищення персональних даних або обмеження доступу до них. Відповідальними за своєчасність надання повідомлення є уповноважені співробітники Компанії, призначені відповідним наказом директора Компанії.

4.8. В випадках порушення вимог законодавства про захист персональних даних Відповідальні особи можуть притягуватися до адміністративної відповідальності за вчинення таких правопорушень.

4.9. За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винні Відповідальні особи можуть притягуватися до кримінальної відповідальності.

4.10. Контроль за дотриманням законодавства про захист персональних даних у межах повноважень, передбачених Законом 2297, здійснюють Уповноважений та суди.