Дійсна Політика товариства з обмеженою відповідальністю "ВІТЕРІТІ" щодо обробки персональних даних (далі - Політика) розроблена на виконання вимог Закону України «Про захист персональних даних» від 01 червня 2010 №2297-17 (далі - Закон про захист персональних даних) з метою забезпечення захисту прав і свобод людини і громадянина при обробці його персональних даних, в тому числі захисту прав на недоторканність приватного життя, особисту і сімейну таємницю.
Політика діє щодо всіх персональних даних, які обробляє товариство з обмеженою відповідальністю "ВІТЕРІТІ" (далі - Оператор, ТОВ "ВІТЕРІТІ").
Політика поширюється на відносини у сфері обробки персональних даних, що виникли у Оператора як до, так і після затвердження цієї Політики.
На виконання вимог Закону про захист персональних даних дійсна Політика публікується у вільному доступі в інформаційно- телекомунікаційній мережі Інтернет на сайті Оператора viterity.com
Основні поняття, що використовуються в Політиці: персональні дані - будь-яка інформація, що стосується прямо або
побічно певної або визначеної фізичної особи (суб'єкту персональних даних);
оператор персональних даних (оператор) - державний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції) , що здійснюються з персональними даними;
обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій) з персональними даними, що здійснюються з використанням засобів автоматизації або без їх використання.
Обробка персональних даних включає в себе в тому числі:
збір;
запис;
систематизацію;
накопичення;
зберігання;
уточнення (оновлення, зміна);
вилучення;
використання;
передачу (поширення, надання, доступ);
знеособлення;
блокування;
видалення;
знищення;
автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки;
поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб;
надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певного кола осіб;
блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних);
знищення персональних даних - дії, в результаті яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних і (або) в результаті яких знищуються матеріальні носії персональних даних;
знеособлення персональних даних - дії, в результаті яких стає неможливим без використання додаткової інформації визначити приналежність персональних даних конкретному суб'єкту персональних даних;
інформаційна система персональних даних – сукупність персональних даних, що містяться в базах даних і інформаційні технології та технічні засоби, які забезпечують їх обробку;
транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземній фізичній особі або іноземній юридичній особі.
Основні права і обов'язки Оператора.
Оператор має право:
самостійно визначати склад і перелік заходів, необхідних і достатніх для забезпечення виконання обов'язків, передбачених Законом про захист персональних даних і прийнятими відповідно до нього нормативно-правовими актами, якщо інше не передбачено Законом про захист персональних даних або іншими законами України;
доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено законами України, на підставі договору, що з цією особою укладено. Особа, яка здійснює обробку персональних даних за дорученням Оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених Законом про захист персональних даних;
в разі відкликання суб'єктом персональних даних згоди на обробку персональних даних Оператор має право продовжити обробку персональних даних без згоди суб'єкта персональних даних при наявності підстав, зазначених у Законі про захист персональних даних.
Оператор зобов'язаний:
організовувати обробку персональних даних відповідно до вимог Закону про захист персональних даних;
відповідати на звернення та запити суб'єктів персональних даних і їх законних представників відповідно до вимог Закону про захист персональних даних;
повідомляти в уповноважений орган із захисту прав суб'єктів персональних даних (Уповноважений Верховної Ради України з прав людини) за запитом цього органу необхідну інформацію протягом 30 днів з дати отримання такого запиту.
Основні права суб'єкта персональних даних. Суб'єкт персональних даних має право:
отримувати інформацію, що стосується обробки його персональних даних, за винятком випадків, передбачених законами України. Відомості надаються суб'єкту персональних даних Оператором в доступній формі, і в них не повинні міститися персональні дані, пов'язані з іншим суб'єктам персональних даних, за винятком випадків,
коли є законні підстави для розкриття таких персональних даних. Перелік інформації та порядок її отримання встановлений Законом про захист персональних даних;
вимагати від оператора уточнення його персональних даних, їх блокування або знищення в разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів для захисту своїх прав;
висувати умову попередньої згоди при обробці персональних даних в цілях просування на ринку товарів, робіт і послуг;
оскаржити у Уповноваженого Верховної Ради України з прав людини або в судовому порядку неправомірні дії або бездіяльність Оператора при обробці його персональних даних. (Органом, в сфері захисту персональних даних, визначено Уповноважений Верховної Ради України з прав людини (омбудсмен), який наділяється повноваженнями здійснювати контроль за дотриманням вимог законодавства України в сфері захисту персональних даних. Все необхідна інформація представлена в розділі «захист персональних даних» на офіційному веб-сайті Уповноваженого Верховної Ради з прав людини www.ombudsman.gov.ua.)
Контроль за виконанням вимог цієї Політики здійснюється уповноваженою особою, відповідальною за організацію обробки персональних даних у Оператора.
Відповідальність за порушення вимог законодавства України та нормативних актів ТОВ "ВІТЕРІТІ" у сфері обробки і захисту персональних даних визначається відповідно до законодавства України.
Обробка персональних даних обмежується досягненням конкретних, заздалегідь визначених і законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.
Обробці підлягають тільки персональні дані, які відповідають меті їх обробки.
Обробка Оператором персональних даних здійснюється таким чином:
забезпечення дотримання Конституції України, законів та інших нормативних правових актів України;
здійснення своєї діяльності відповідно до статуту ТОВ "ВІТЕРІТІ";
ведення кадрового діловодства;
сприяння працівникам у працевлаштуванні, здобутті освіти і просуванні по службі, забезпечення особистої безпеки працівників, контроль кількості та якості виконуваної роботи, забезпечення збереження майна;
залучення та відбір кандидатів на роботу у Оператора;
організація постановки на індивідуальний (персоніфікований) облік працівників в системі обов'язкового пенсійного страхування;
заповнення та передача в органи виконавчої влади та інші уповноважені організації необхідних форм звітності;
здійснення цивільно-правових відносин;
ведення бухгалтерського обліку;
здійснення пропускного режиму.
Обробка персональних даних працівників може здійснюватися виключно в цілях забезпечення дотримання законів та інших нормативних правових актів.
Правовою підставою обробки персональних даних є сукупність нормативних правових актів, на виконання яких і відповідно до яких Оператор здійснює обробку персональних даних.
Правовою підставою обробки персональних даних також є:
установчі документи "ВІТЕРІТІ";
договори, які укладаються між Оператором і суб'єктами персональних даних;
згода суб'єктів персональних даних на обробку їх персональних даних.
Зміст і обсяг персональних даних, що обробляються, повинні відповідати заявленим цілям обробки, передбаченим в розд. 2 цієї Політики. Оброблювані персональні дані не повинні бути надмірними по відношенню до заявлених цілей їх обробки.
Оператор може обробляти персональні дані наступних категорій суб'єктів персональних даних.
Кандидати для прийому на роботу до Оператора:
Працівники та колишні працівники Оператора:
прізвище ім'я по батькові;
стать;
громадянство;
дата і місце народження;
фотографія;
паспортні дані;
адреса реєстрації за місцем проживання;
адреса фактичного проживання;
контактні дані;
ідентифікаційний код;
відомості про освіту, кваліфікацію, професійну підготовку і підвищення кваліфікації;
сімейний стан, наявність дітей, родинні зв'язки;
відомості про трудову діяльність, в тому числі наявність заохочень, нагороджень і (або) дисциплінарних стягнень;
дані про реєстрацію шлюбу;
відомості про військовий облік;
відомості про інвалідність;
відомості про утримання аліментів;
відомості про дохід з попереднього місця роботи;
інші персональні дані, надані працівниками відповідно до вимог трудового законодавства.
Члени сім'ї працівників Оператора:
Клієнти і контрагенти Оператора (фізичні особи):
прізвище ім'я по батькові;
дата і місце народження;
паспортні дані;
адреса реєстрації за місцем проживання;
контактні дані;
займана посада;
ідентифікаційний код;
номер розрахункового рахунку;
інші персональні дані, надані клієнтами та контрагентами (фізичними особами), необхідні для укладення та виконання договорів.
Представники (працівники) клієнтів і контрагентів Оператора (юридичні особи):
Обробка Оператором біометричних персональних даних (відомостей, які характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити його особистість) здійснюється відповідно до законодавства України.
Оператором не провадиться обробка спеціальних категорій персональних даних, що стосуються расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя, за винятком випадків, передбачених законодавством України.
Обробка персональних даних здійснюється Оператором відповідно до вимог законодавства України.
Обробка персональних даних здійснюється за згодою суб'єктів персональних даних на обробку їх персональних даних, а також без такого у випадках, передбачених законодавством України.
Оператор здійснює як автоматизовану, так і неавтоматизовану обробку персональних даних.
До обробки персональних даних допускаються працівники Оператора, в посадові обов'язки яких входить обробка персональних даних.
Обробка персональних даних здійснюється шляхом:
Не допускається розкриття третім особам і поширення персональних даних без згоди суб'єкта персональних даних, якщо інше не передбачено законом України.
Передача персональних даних органам дізнання і слідства, в податкову службу, Пенсійний фонд України. Фонд соціального страхування та інші уповноважені органи виконавчої влади та організації, здійснюється відповідно до вимог законодавства України.
Оператор приймає необхідні правові, організаційні та технічні заходи для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, поширення та інших несанкціонованих дій, у тому числі:
визначає загрози безпеці персональних даних при їх обробці;
приймає локальні нормативні акти та інші документи, що регулюють відносини в сфері обробки і захисту персональних даних;
призначає осіб, відповідальних за забезпечення безпеки персональних даних в структурних підрозділах і інформаційних системах Оператора;
створює необхідні умови для роботи з персональними даними;
організовує облік документів, що містять персональні дані;
організовує роботу з інформаційними системами, в яких обробляються персональні дані;
зберігає персональні дані в умовах, при яких забезпечується їх збереження і виключається неправомірний доступ до них;
організовує навчання працівників Оператора, які здійснюють обробку персональних даних.
Оператор здійснює зберігання персональних даних у формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагає мета обробки персональних даних, якщо термін зберігання персональних даних не встановлено законом України, договором.
При зборі персональних даних, в тому числі за допомогою інформаційно-телекомунікаційної мережі Інтернет, Оператор забезпечує запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних даних громадян України з використанням баз даних, що знаходяться на території України, за винятком випадків, зазначених в Законі про захист персональних даних.
Підтвердження факту обробки персональних даних Оператором, правові підстави та мета обробки персональних даних, а також інші відомості, зазначені в Законі про захист персональних даних, надаються Оператором суб'єкту персональних даних або його представнику при зверненні або при отриманні запиту суб'єкта персональних даних або його представника.
У надані відомостей не включаються персональні дані, пов'язані з іншим суб'єктом персональних даних, за винятком випадків, коли є законні підстави для розкриття таких персональних даних.
Запит повинен містити:
номер основного документа, що посвідчує особу суб'єкта персональних даних або його представника, відомості про дату видачі зазначеного документа й орган, що його видав;
відомості, що підтверджують участь суб'єкта персональних даних у відносинах з Оператором (номер договору, дата укладення договору, умовне словесне позначення і (або) інші відомості), або відомості, які іншим чином підтверджують факт обробки персональних даних Оператором;
підпис суб'єкта персональних даних або його представника.
Запит може бути направлений в формі електронного документа і підписаний електронним підписом відповідно до законодавства України. Якщо в запиті суб'єкта персональних даних не відображені у відповідності до вимог Закону про захист персональних даних всі необхідні відомості або суб'єкт не володіє правами доступу до інформації, яку вимагає, то йому надсилають мотивовану відмову.
Право суб'єкта персональних даних на доступ до його персональних даних може бути обмежено відповідно до Закону про захист персональних даних, в тому числі якщо доступ суб'єкта персональних даних до його персональних даних порушує права і законні інтереси третіх осіб.
У разі виявлення неточних персональних даних за зверненням суб'єкта персональних даних або його представника або на їх запит або за запитом Уповноваженого Верховної Ради України з прав людини Оператор здійснює блокування персональних даних, що відносяться до цього суб'єкту персональних даних, з моменту такого звернення або отримання зазначеного запиту на період перевірки, якщо блокування персональних даних не порушує права і законні інтереси суб'єкта персональних даних або третіх осіб.
У разі підтвердження факту неточності персональних даних Оператор на підставі відомостей, поданих суб'єктом персональних даних або його представником або Уповноваженим Верховної Ради України з прав людини або інших необхідних документів уточнює персональні дані протягом семи робочих днів з дня подання таких відомостей і знімає блокування персональних даних.
У разі виявлення неправомірної обробки персональних даних при зверненні (запиті) суб'єкта персональних даних або його представника або Уповноваженого Верховної Ради України з прав людини Оператор здійснює блокування неправомірно оброблюваних персональних даних, що відносяться до цього суб'єкту персональних даних, з моменту такого звернення або отримання запиту.
При досягненні мети обробки персональних даних, а також в разі відкликання суб'єктом персональних даних згоди на їх обробку персональні дані підлягають знищенню, якщо:
інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних;
оператор не має права здійснювати обробку без згоди суб'єкта персональних даних на підставах, передбачених Законом про захист персональних даних або іншими законами України;
інше не передбачено іншою угодою між Оператором і суб'єктом персональних даних.