Порядок та процедура захисту персональних даних
Загальні положення
Для забезпечення правових відносин, пов’язаних із захистом і обробкою персональних даних (далі - ПД), Банк у своїй діяльності керується вимогами європейського та вітчизняного законодавства у сфері захисту ПД та основоположним принципом, що особисті немайнові права на ПД, які має кожна фізична особа, є невід'ємними і непорушними, а обробка ПД здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта ПД, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Відповідно до пунктів 1 і 2 частини другої статті 8, а також частини другої статті 12 Закону України «Про захист персональних даних» від 01 червня 2010 року №2297-VI цим Порядком АБ «УКРГАЗБАНК», код ЄДРПОУ 23697280, (далі - «Банк») повідомляє фізичних осіб, які відвідують сайт www.ukrgasbank.com (далі – «Сайт»), як суб’єктів персональних даних (далі – ПД) в тому числі тих, хто користується відповідними сервісами Сайту (далі – «користувачі») щодо
- володільця (controller - в термінах GDPR) даних,
- їх місцезнаходження,
- склад і мету збору ПД, що обробляються в Банку,
- а також про права суб’єктів ПД у зв’язку з обробкою їхніх даних.
Володільцем персональних даних, що обробляються для вказаних у цьому Повідомленні цілей є АБ «УКРГАЗБАНК»:
- ЄДРПОУ: 23697280,
- Код банку: 320478,
- ІПН: 236972826658,
- Місцезнаходження: 03087, м. Київ, вул. Єреванська, буд.1,
- Поштова адреса (для листування): 01015, м. Київ, вул. Старонаводницька, буд. 19, 21, 23.
- Телефони:
098 620 20 20 (Київстар), 099 620 20 20 (Vodafone), 073 620 20 20 (Lifecell)
044 - 494 - 46 - 50, 044 - 590 - 49 - 99
Розпорядником персональних даних може бути фізична чи юридична особа, якій Банком, як володільцем ПД або законом надано право обробляти ці дані відповідно до договірних відносин.
Третіми особами, яким можуть передаватися персональні дані, що обробляються, можуть бути:
- державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування, підприємства, установи та організації, що належать до сфери їх управління, яким ПД, що обробляються, передаються згідно з визначеним законодавством порядком взаємодії;
- інші особи, що звертаються до Банку, та мають право отримати ПД виключно на підставах, визначених законом.
Передача ПД іноземним суб’єктам відносин, пов’язаних з ПД (транскордонна передача даних) не здійснюється.
Місцезнаходження персональних даних - Системи ІСТ АБ “УКРГАЗБАНК”.
Під обробкою ПД (або процедури обробки ПД) розуміється будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення ПД.
Також Банком враховуються всі наявні особливі процедури обробки ПД в розуміння європейських вимог GDPR, такі як організація, структурування, модифікація, пошук, ознайомлення, розкриття чи надання іншим чином (способом), упорядкування чи комбінування, обмеження, стирання чи руйнування даних.
У практичній діяльності при обробці відомостей про фізичну особу, що відносяться до категорії «персональні дані», працівники Банку керуються відповідними принципами їх обробки:
Принцип «Законності обробки» (всі процедури обробки даних поширюються здійснюються для тієї ж самої визначеної мети їх обробки або декількох сформульованих цілей);
Принцип «Цільового обмеження» (ПД збираються для визначених, чітко сформульованих та законних цілей; виключається обробка даних у будь-який спосіб, що є несумісним з такими цілями);
Принцип «Мінімізації даних» (дані повинні бути достатніми (адекватними та відповідними) і повинні обмежуватися тим, що необхідно для досягнення цілей, для яких вони збираються);
Принцип «Точність даних» (дані повинні бути точними і, за необхідності, актуалізуватися; у разі потреби, необхідно вживати усіх відповідних заходів для того, щоб забезпечити (гарантувати) своєчасність стирання (видалення) чи виправлення без затримки неточних даних з урахуванням цілей, для яких вони обробляються);
Принцип «Обмеження зберігання» (дані зберігаються в формі, яка дозволяє ідентифікацію суб’єкта даних, не довше, ніж це є необхідним для визначених цілей обробки даних);
Принцип «Цілісність та конфіденційність даних» (дані повинні оброблятися в спосіб, що забезпечує (гарантує) належний захист даних, в т.ч захист від несанкціонованої чи незаконної обробки та від випадкової втрати, знищення (руйнування) чи завдання шкоди, з використанням відповідних технічних та організаційних заходів (інструментів).
Мета обробки персональних даних
Персональні дані використовуються з метою забезпечення надання Банком банківських, фінансових та інших послуг, веб-сайту Банку, обміну інформацією, новинами, відносин у сфері реклами та комунікації відповідно та на виконання законів України, у тому числі, але не виключно, «Про банки і банківську діяльність», «Про захист персональних даних», «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних», «Про інформацію», «Про рекламу».
До складу ПД можуть включатися відомості про фізичну особу, необхідні для таких цілей:
a) встановлення ділових, трудових та договірних відносин, а також для забезпечення діяльності Банку (зокрема, внутрішніх адміністративних цілей та для аналізу продуктивності, розвитку працівників та проведення досліджень);
b) підготовка та подання фінансової звітності;
c) виконання юридичних зобов'язань;
d) інформування про наявні послуги (продукти);
e) перевірки технічної можливості, консультування та супроводження з технічних та комерційних питань, що стосуються надання послуг, зокрема оновлень, виправлень системи безпеки та усунення несправностей, а також надання підтримки у відповідності до вимог внутрішніх політик та керівних документів;
f) обслуговування або виконання договірних умов, покращення та удосконалення послуг, а також персоналізації послуг та надання відповідних рекомендацій;
g) маркетингова діяльність, у т.ч відправка рекламних повідомлень та актуальних пропозицій; формування лояльності серед цільової аудиторії; збільшення результативності рекламної кампанії; виділення сегмента зацікавлених споживачів; отримання статистичних даних, звітності щодо продаж для прогнозування поведінки споживачів послуг і формування ефективної стратегії.
До категорії «персональні дані» також відносяться дані, зібрані шляхом електронної взаємодії та з використанням усіх доступних засобів електронних платформ взаємодії та наявних інструментів здійснення маркетингової комунікативної політики.
Мета обробки ПД в Банку визначається відповідно до вимог законодавчих та нормативно-правових актів, установчих (статутних) чи інших документів, які регулюють діяльність Банку як володільця ПД.
Обробка ПД вважається законною, тільки якщо та оскільки застосовується принаймні одна із наведених нижче умов:
(а) суб’єкт ПД надав згоду на обробку своїх ПД для однієї чи декількох спеціальних (конкретних) цілей;
(b) обробка ПД є необхідною для виконання договірних умов, в якому суб’єкт даних є однією зі сторін, або для вжиття дій (заходів) на запит (за вимогою) суб’єкта даних для укладання договірний відносин;
(c) обробка даних є необхідною для дотримання встановленого законом зобов’язання, яке поширюється на Банк як Контролера (володільця) даних (виконання юридичного обов’язку, об’єктом якого є Банк як Контролер (володілець) даних);
(d) обробка ПД є необхідною для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи;
(e) обробка ПД є необхідною для виконання завдань в суспільних інтересах або при здійснення офіційних повноважень, покладених на Банк як Контролера (володільця) даних;
(f) обробка даних є необхідною для цілей забезпечення законних інтересів Банку як контролера (володільця) даних або третьої сторони, за винятком випадків, коли над такими інтересами переважають інтересами фундаментальних (основних) прав та свобод суб’єкта даних, що потребують захисту ПД, особливо, якщо суб’єктом даних є дитина.
Банк наголошує, що Сайт не призначений для неповнолітніх користувачів.
Законні інтереси Банку як володільця (контролера) даних, в т.ч інтереси, задля яких можна розкрити ПД, або законні інтереси третьої стороні, можуть передбачати необхідність законодавчої бази для обробки, за умови, що такі інтереси не будуть переважати над інтересами або основними правами та свободами суб’єкта ПД, з урахуванням розумних очікувань суб’єктів ПД, що базуються на їхніх взаємовідносинах з Банком як володільцем (контролером).
Наявність законного інтересу визначається шляхом проведення оцінювання, а саме, чи може суб’єкт ПД відповідним чином очікувати, ймовірного проведення обробки для такої цілі, на момент збирання і в контексті збирання даних.
Обробка ПД, що є необхідною винятково для цілей запобігання (попередження) шахрайства, а також для цілей прямого (адресного) маркетингу також може розглядатися як обробка, що здійснюється для забезпечення законного інтересу .
Обробка ПД для архівних та статистичних цілей, а також в цілях наукового або історичного дослідження, вважається сумісною із законними процедурами обробки даних. Для статистичних цілей також можуть використовуватися знеособлені дані користувачів, що збираються за допомогою сервісів інтернет-статистики, і які використовуються винятково для збору інформації про дії користувачів на веб-сайті для покращення якості його роботи та його змісту з метою покращення користувацького досвіду, зберігання користувацьких налаштувань та виконання відповідних зобов’язань Банком.
Суб’єкти відносин, пов’язані з ПД при їх обробці спільно з Банком як володільцем (контролером) даних, можуть мати законний інтерес, у обміні ПД для внутрішніх адміністративних цілей (завдань), у т.ч для обробки ПД користувачів (споживачів) послуг (клієнтів) та працівників Банку.
Дані, що збираються Банком як володільцем (контролером) у різних контекстах (наприклад, дані про використання клієнтами різних послуг чи продуктів Банку), або дані отримані від третіх сторін, можуть об'єднуватися щоб надавати більш ефективні, узгоджені та персоналізовані процеси, в т.ч щоб приймати обґрунтовані бізнес-рішення.
Для встановлення Володільцем персональних даних сумісності цілі подальшої обробки, для якого відбувалося первинне збирання персональних даних, після виконання всіх вимог щодо законності обробки, враховується (intel alia):
- будь-який зв'язок між вказаними цілями та цілями запланованої подальшої обробки;
- контекст, в якому збираються ПД, зокрема розумні очікування суб’єкта ПД, засновані на попередніх домовленостях щодо їх подальшого використання;
- специфіку даних;
- наслідки запланованої подальшої обробки для суб’єктів ПД, та існування (наявність) належних (відповідних) гарантій Банком у процедурах (операціях) обробки даних.
Дозвіл на обробку ПД в Системах ІСТ для цілей, що відрізняються від тих для яких дані спочатку збиралися (первинне збирання), надається володільцем персональних даних лише тоді, коли обробка є сумісною із первинними цілями, для яких персональні дані були отримані (первинними цілями збирання персональних даних).
Для обробки ПД у цих цілях використовуються автоматизовані та ручні методи. Автоматизовані методи можуть бути пов'язані з ручними методами та підтримуватися ними.
Відвідувач веб-сайту завжди може відмовитися від отримання інформаційних повідомлень, надіславши Банку лист на адресу електронної пошти privacy@ukrgasbank.com з позначкою «Відмова від повідомлень про нові продукти й послуги та спеціальні пропозиції».
Згода суб’єкта ПД на обробку його даних
Відповідно до вимог законодавства, згода суб’єкта даних на обробку його даних означає будь-яке вільно надане, конкретне, поінформоване (змістовне) та однозначно надане бажання (чітко висловлене волевиявлення) суб’єкта персональних даних, яким він або вона, шляхом оформлення згоди чи проявом чітких дій, підтверджує свою згоду на обробку своїх персональних даних.
Для забезпечення дотримання принципу законності, персональні дані обробляються на підставі згоди відповідного суб’єкта персональних даних або відповідно до іншої правової підстави, що визначена в GDPR або в іншому законодавстві Союзу або держави-члена ЄС, у т.ч за необхідності дотримання встановленого законом зобов’язання, під дію яких підпадає Банк як контролер (володілець) даних, або за необхідності виконання договірних умов, однією зі сторін якого є суб’єкт персональних даних, або для вжиття заходів на запит суб’єкта даних до укладання договірних відносин.
У разі, якщо обробка даних здійснюється на підставі згоди, наданої суб’єктом персональних даних, Банк як контролер (володілець) даних створює умови для забезпечення спроможності довести, що суб’єкт персональних даних дав згоду на обробку його даних.
У відповідності до вимог європейських документів, якщо обробка даних засновується на згоді суб’єкта персональних даних, Банк повинен бути спроможнім довести, що суб’єкт даних надав згоду (погодився) на обробку своїх даних, між іншим (inter alia):
Якщо суб’єкт персональних даних надає згоду в формі заяви (декларації), то запит на надання такої згоди подається у формі, що чітко відрізняється від інших питань (зрозумілій та легкодоступній формі), з використанням чітких і простих (на ясній та доступній мові), в тому вигляді, який чітко відрізняв би його від інших обставин.
При проведенні оцінювання того, чи була згода вільно наданою, враховується те, чи залежить виконання договірних умов, в т.ч надання послуги, від згоди на обробку персональних даних, що не є необхідною для виконання таких договірних відносин.
Законність обробки ПД
В Банку не допускається обробка персональних даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Обробка ПД вважається законною у разі її необхідності для договірних умов на отримання послуг або наміру (запланованого) щодо договірних відносин.
Банк як контролер (володілець) даних не обробляє персональні дані якщо не може довести (підтвердити) наявність істотних (вагомих) законних (правових) підстав для їх обробки.
До моменту отримання від фізичної особи як суб’єкта ПД згоди на обробку його даних, єдиною правовою підставою, для початкового способу комунікації є:
Згідно статті 6 GDPR: |
Згідно статті 11 Закону України «Про захист персональних даних» |
---|---|
с) обробка ПД є необхідною для дотримання встановленого законом зобов’язання, яке поширюється на контролера (виконання юридичного обов’язку, об’єктом якого є контролер даних); |
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень; |
Склад ПД та джерела їх отримання (надходження)
Банком забезпечується точність, достовірність та своєчасність оновлювлення даних, що збираються, а також їх знищення чи видалення в міру потреби, визначеної метою їх обробки.
При обробці персональних даних у Банку склад та зміст даних є відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.
Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних. Проте, ці положення не застосовується, якщо обробка стосувалася даних, які були явно оприлюднені суб'єктом персональних даних.
Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи (паспорта Громадянина України (або іншого документа, що посвідчує особу та відповідно до законодавства України може бути використаний на території України для укладення правочинів), реєстраційний номер облікової картки платника податків); підписані нею документи; відомості, які особа надає про себе.
При використанні відвідувачем веб-сайту Банку здійснюється обробка персональних даних користувача (даних, що надаються користувачем як при заповненні реєстраційних форм, так і в процесі користування сервісами), в тому числі, але не обмежуючись:
- прізвища, ім’я, по батькові; реєстраційного номера облікової картки платника податків (ідентифікаційного номера);
- фактичного місця проживання та за державною реєстрацією;
- освіти, професії, спеціальності, стажу роботи та інформації про місце роботи та посаду;
- вік, сімейний та/або родинний стан, родичів;
- даних та копій документів, виданих на ім’я фізичної особи або від її імені;
- фінансового стану, доходів, видів нарахувань і утримань;
- адреса електронної пошти, номерів телефонів та інших електронних ідентифікаційних даних;
- записів голосу, зображення (фото та відео);
- кредитної історії та будь-якої інформації про стан виконання фізичною особою обов’язків за договірними умовами, що укладені з Банком;
- інформації про дії фізичної особи та їх результати, що мали місце при виконанні укладених із Банком договірних умов;
- іншої інформації, що стала відома Банку в зв’язку із реалізацією правовідносин з користувачем, при виконанні вимог законодавства України та внутрішніх документів Банку;
- файлів cookie;
- ір-адрес;
- параметрів і налаштувань інтернет-браузерів (User-agent);
- фотофіксація клієнта та його ідентифікаційних документів;
- відеоверифікація.
Якщо інформація про походження (джерела отримання) ПД не може бути надана суб’єкту ПД, оскільки були використані різні (різноманітні) джерела (ресурси), у такому разі надається загальна інформація. Інформація про джерела отримання відомостей про фізичну особу, якщо суб’єкт ПД вже володіє необхідною інформацією, або якщо реєстрація або розкриття даних чітко передбачено в законодавчому чи нормативно-правовому акті або, якщо надання інформації суб’єкту ПД є неможливим чи може викликати непропорційні наслідки (призводить до непорівнянних чи співмірних зусиль), зокрема, якщо обробка здійснюється для досягнення цілей у суспільних інтересах, цілей наукового чи історичного дослідження, статистичних цілей. У зв’язку з такими обставинами, враховується кількість суб’єктів ПД, тривалість існування таких даних і будь-які відповідні запобіжні заходи (гарантії), яких було вжито.
При відвідуванні Сайту фіксуються всі входи до системи. Інші відомості по трафіку користувача не обробляються і не зберігаються. Банк збирає дані про статистику відвідування Сайту. Відомості можуть містити інформацію про з’єднання, трафік, браузер користувача, а також про дату, час, тривалість роботи в мережі Інтернет та знаходження на Сайті.
Банк обмежується збором мінімального обсягу інформації, необхідного виключно для виконання запиту суб’єкта персональних даних. У будь-якому випадку, коли запитується необов’язкова до надання інформація користувач буде повідомлений про обробку такої інформації в момент її збору.
Обробка персональних даних
Обробка і зберігання наданих персональних даних здійснюється у центрах обробки даних Банку, створених відповідно до вимог законодавства України.
Особливості обробки персональних даних у мобільних додатках Банку
Обробка Банком інформації в мобільних додатках Банку здійснюється відповідно до законодавства України, нормативно-правових актів Національного банку України, договірних умов між клієнтами та Банком, наданої клієнтами Банку згоди, а також згідно цього Порядку та процедури захисту персональних даних.
Порядок застосовується Банком до мобільних додатків (далі – «МД»), системи дистанційного обслуговування Банку (далі - Система СДО) незалежно від того яким шляхом клієнт Банку користується персональними даними (через комп’ютер, мобільний телефон, планшет, або інший пристрій тощо).
Для того, щоб обробляти здійснені клієнтами Банку з використанням МД, СДО платежі та дозволяти клієнтам здійснювати інші операції, Банк збирає інформацію, що зазначена: в договірних умовах між клієнтами і Банком; у наданій клієнтами Банку згоді, на веб-сайті Банку, у цьому Порядку, Банк збирає, зокрема, також такі відомості про клієнтів:
- номери кредитних та/або дебетних карток, їх актуальний баланс та дати закінчення терміну дії карток;
- номери банківських рахунків, їх актуальний баланс та дати закінчення терміну договірних умов;
- дату народження, реєстраційний номер облікової картки платника податків або будь-який інший номер, що визнається державою;
- та інші відомості користувачів сервісу та їхні пристрої.
У разі, якщо необхідно зареєструвати клієнта Банку та/або його електронний пристрій у МД, СДО Банку, Банк також збирає:
- інформацію про пристрій – таку як: версія операційної системи, апаратна модель, IMEI та інші унікальні ідентифікатори пристрою. Банк не збирає інформацію про історію викликів, список контактів та інше;
- інформацію про дії клієнта Банку - користувача у МД, СДО (системі) – таку як: час та тривалість користування, дії, які клієнт Банку здійснював під час користування МД, СДО та будь-яка іншу інформацію, що може бути збережена у файлах cookies, які Банк використовує на деяких пристроях;
- іншу інформацію – про використання клієнтом Банку послуги з використанням, наприклад, як клієнт Банку використовує контент, що надається Сервісом.
Під час користування МД, СДО для того, щоб обробити транзакцію, Банк використовує інформацію про транзакцію, в тому числі: дата, час та сума транзакції, розташування та опис торговця (мерчанта), опис, наданий продавцем товару або послуги, за які здійснюється оплата, спосіб оплати, що використовується, призначення платежу та будь-яку іншу інформацію, що може додаватися до транзакції продавцем та/або покупцем (клієнтом Банку).
Для того, щоб надати клієнтам Банку можливість підтверджувати свої дії у МД, СДО (системі) одноразовим тимчасовим паролем (ОТР), Банк запитує доступ до SMS-сервісів. Одноразовий тимчасовий пароль може бути запитано під час реєстрації або виконання певних дій при користуванні МД, СДО (здійснення фінансових операції т.д.). Для того, щоб здійснити фінансову операцію клієнта, Банк використовує номер мобільного телефону такого клієнта Банку. Банк не збирає інформацію щодо історії SMS-повідомлень клієнта Банку, списку його контактів тощо. Також Банк може зареєструвати пристрій у відповідних сервісах, що надаються компаніями Google або Apple для того, щоб надати клієнту Банку можливість підтверджувати його дії у МД, СДО (системі) PUSH-повідомленнями.
Банк також збирає та зберігає інформацію, яку клієнт Банку надає безпосередньо Банку, а також дані клієнта Банку, як користувача, які використовуються для його реєстрації та/або реєстрації його пристрою у МД, СДО для обробки платежів цього клієнта Банку.
Будь-яка персональна інформація, надана клієнтами Банку безпосередньо третій особі (стороні): продавцю товарів, послуг (мерчанта), веб-сайту або програми не покривається даним Порядком. Банк не несе відповідальність за конфіденційність інформації і безпечність продавців (мерчантів) або третіх осіб, яким клієнт Банку безпосередньо передає свою особисту інформацію. Банк рекомендує суб'єкту персональних даних Банку ознайомитися з політикою конфіденційності третіх осіб, яким клієнти Банку передають свою особисту інформацію.
Банк не буде розкривати/передавати належну клієнтам Банку інформацію будь-кому за межами Банку, за винятком випадків, передбачених законодавством України, договірних умов між клієнтами і Банком, умовами наданої клієнтами Банку згоди.
Безпека облікового запису клієнта Банку у МД, СДО залежить від того, яким чином клієнт Банку зберігає комп’ютер, мобільний телефон, планшет, або інший пристрій, пароль(і), PIN або іншу інформацію, що дозволяє отримати доступ до облікових записів клієнта Банку у відповідному МД, СДО, та чи поширює клієнт Банку дану інформацію третім особам. У випадку, коли клієнт Банку добровільно надає третім особам свій комп’ютер, мобільний телефон, планшет, або інший пристрій та/або вищеперераховану інформацію, третя сторона буде мати доступ до облікового запису клієнта Банку в МД, СДО та персональної інформації цього клієнта Банку, при цьому Банк не несе відповідальності за можливі наслідки такого розкриття інформації.
Клієнт Банку несе пряму відповідальність за контроль доступу до свого комп’ютера, мобільного телефона, планшета, або іншого мобільного пристрою, МД, СДО, що можуть бути встановлені на його комп’ютері, мобільному телефоні, планшеті, або іншому мобільному пристрої, клієнт Банку також несе відповідальність за зберігання своїх паролів та/або PIN і за розповсюдження (поширення) даної інформації третім особам.
Використання файлів cookie
Cookie - це текстовий файл або файли, що містять невеликий обсяг інформації, які надсилаються веб-браузеру і зберігаються на пристрої користувача. До таких пристроїв можна віднести комп’ютер, мобільний телефон або інший пристрій, за допомогою якого користувач відвідує Сайт.
Файли cookie можуть бути вічними (вони називаються постійними файлами cookie) і зберігатися в комп’ютері, поки користувач їх не видалить або тимчасовими (такі файли cookie називаються сесійними), тобто зберігаються тільки до закриття браузера. Крім того, файли cookie поділяються на основні (вони встановлюються безпосередньо відвідуваним Сайтом) і сторонні (встановлюються іншими веб-сайтами).
Важливо:
- при повторному відвідуванні користувачем Сайту, дані файлів cookie оновлюються;
- у більшості випадків, веб-браузер за замовчуванням допускає автоматичне зберігання файлів cookie на пристрої користувача;
- відключення файлів cookie може призвести до обмеження доступу до опублікованих матеріалів та/або неповноцінного функціонування сервісів Сайту.
Відповідно до класифікації Міжнародної торгової палати (International Chamber of Commerce), Банк використовує такі категорії файлів cookie:
Строго необхідні файли cookie - потрібні для пересування користувачем по веб-сторінці і при використанні певних сервісів, наприклад, для доступу до захищених сторінок, реєстрації та авторизації, здійснення пошуку по Сайту. Також, здійснюють запам’ятовування попередніх дій користувача при переході на попередню сторінку в тій же сесії.
Експлуатаційні файли cookie - агрегують інформацію про те, як використовується Сайт. Ці дані зберігаються на пристрої користувача між сеансами веб-браузера. Прикладами таких даних можуть бути наступні метрики: час перебування на Сайті, найбільш часто відвідувані сторінки, розуміння які саме розділи і сервіси Сайту були найбільш цікаві для користувача, наскільки ефективна та чи інша рекламна та/або маркетингова кампанія і т.д.
Вся інформація, зібрана за допомогою експлуатаційних файлів cookie, призначена для статистичних та аналітичних задач. Деякі дані файлів cookie можуть надаватися третім сторонам, які мають дозвіл з боку веб-ресурсу і виключно для зазначених вище цілей.
Функціональні файли cookie - використовуються для збереження параметрів або конфігурацій, які зберігаються на пристрої користувача між сеансами веб-браузера. Прикладами таких даних можуть бути наступні метрики: ім’я користувача, фото в профілі, інформація по залишених коментарях, мовна версія Сайту, місцезнаходження, відомості про те, чи надавалася користувачеві будь-яка інформація або обрані переваги раніше, а також інші параметри налаштування Сайту.
Дані файли cookie також дозволяють користувачам дивитися відео, брати участь в інтерактивах (опитування, голосування) та взаємодіяти з соціальними мережами.
Щоб зробити більш приємними враження після відвідування ресурсу, зазначені файли cookie запам’ятовують надану користувачем інформацію, підвищуючи ефективність взаємодії з Сайтом.
Деякі дані файлів cookie можуть надаватися третім сторонам, які мають дозвіл з боку веб-ресурсу і виключно для зазначених вище цілей.
Цільові файли cookie - використовуються для надання контенту, який може зацікавити користувача. Ці дані зберігаються на пристрої користувача між сеансами веб-браузера. Прикладами таких даних можуть бути наступні метрики: відстеження рекомендованого текстового, графічного, аудіо та відеоматеріалу, щоб уникнути повторного показу, управління цільовою рекламою, оцінка ефективності рекламних кампаній, інформація про відвідування користувачем інших ресурсів при переходах, а також інші параметри налаштування Сайту.
Сайт може ділитися цією інформацією з іншими сторонами, включаючи медіа-клієнтів, рекламодавців, агентств і партнерів по суміжних бізнесах для того, щоб вони надавали якісну таргетовану рекламу.
Cookie-файли сторонніх сервісів і сервісів аналітики
Для оперативної доставки, більш якісного відображення і детального аналізу контенту на Сайті, Банк користується послугами, які є власністю інших сторонніх компаній, таких як Facebook, Twitter, Instagram, Alphabet Inc., Gemius та інші.
Наведені як приклад Банку можуть використовувати файли cookie на пристрої користувача, під час роботи на Сайті.
Слід звернути увагу, що Сайт не може вплинути на роботу файлів cookie, які використовуються цими сервісами. Всі необхідні відомості про їх використання можна дізнатися, відвідавши відповідний ресурс.
Управління файлами cookie
Основні веб-браузери (перераховані нижче) налаштовані на автоматичний прийом файлів cookie. Для того щоб їх відключити скористайтеся функцією довідки в своєму браузері. Довідку можна викликати через меню або за допомогою кнопки F1.
Microsoft Edge — https://privacy.microsoft.com/ru-ru/privacystatement
Mozilla Firefox — https://www.mozilla.org/ru/privacy/websites/#cookies
Google Chrome — https://support.google.com/chrome/answer/95647?hl=ru
Opera — http://help.opera.com/Windows/11.50/ru/cookies.html
Safari for macOS — https://support.apple.com/uk-ua/guide/safari/sfri11471/16.1/mac/13.0
Важливо:
- конфігурація налаштування файлів cookie для веб-браузерів мобільних пристроїв може відрізнятися;
- варто нагадати, що повноцінна робота з Сайтом доступна тільки при використанні файлів cookie;
- відключення файлів cookie може призвести до обмеження доступу та некоректного функціонування Сайту, його сервісів.
Якщо користувач не включає використання файлів cookie або навмисно видаляє всі файли cookie зі свого веб-браузера, то при подальшому відвідуванні Сайту, користувачеві буде повторно пропонуватися включення і використання файлів cookie
Інформація про користувачів отримана за допомогою файлів cookie не продається і не поширюється у відкритому доступі, а також є власністю Банку, якій належить ресурс.
Взаємодія Сайту з іншими ресурсами
При використанні користувачем сервісів, на сторінках Сайту можуть бути присутніми коди інших інтернет ресурсів і третіх осіб, в результаті чого такі інтернет ресурси і треті особи отримують Ваші дані. Отже, ці інтернет-ресурси можуть отримувати і обробляти інформацію, про те, що Ви відвідали ці сторінки, а також іншу інформацію, яку передає браузер користувача.
Використання зазначених сервісів Банку необхідно для оперативного аналізу відвідувань Сайту, внутрішньої і зовнішньої оцінки відвідуваності Сайту, глибини переглядів, активності користувачів. Дані, отримані від зазначених сервісів Банк не зберігає і не обробляє.
Відповідно, якщо користувач в силу будь-яких причин не бажає, щоб зазначені сервіси отримували доступ до його персональних даних, користувач може за власним бажанням вийти зі свого аккаунта чи профіля, очистити файли cookie (через свій браузер).
Порядок доступу до ПД та умови їх поширення
Кожному суб’єкту ПД надається можливість керувати персональними даними, які Банк отримав, і застосувати наявні правові засоби захисту, звернувшись безпосередньо до Банку або використовуючи інші засоби, які ми надаємо у відповідності до вимог законодавства.
Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.
Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
Виконання вимог встановленого режиму захисту персональних даних забезпечує Банк як сторона, що поширює ці дані.
Сторона, якій передаються персональні дані, повинна попередньо вжити відповідних заходів захисту.
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних на обробку цих даних, наданої Банку як володільцю (контролеру) персональних даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які перебувають у володінні розпорядника публічної інформації, визначається Законом України “Про доступ до публічної інформації”, крім даних, що отримує від інших уповноважених органів виконавчої влади.
Якщо персональні дані можуть бути на законних підставах розкриті ще одному (іншому) одержувачу даних, то суб’єкт ПД інформується про час первинного розкриття даних отримувачу. У разі, коли Банко як контролер (володілець) даних має намір обробляти персональні дані для цілі, іншої ніж та, для якої їх збирали, то до початку такої подальшої обробки даних повинна бути надана суб’єкту даних інформація про таку іншу ціль та іншу необхідну інформацію.
Співробітникам Банку забороняється розголошувати відомості стосовно суб'єктів ПД, доступ до даних яких надається іншим суб'єктами відносин, пов'язаних з такими даними.
Доступ до персональних даних у межах Банку надається підрозділам та/або окремим працівникам, для виконання ними своїх службових (трудових) обов’язків, що пов’язані з виконанням договірних, юридичних та/або регуляторних обов'язків і реалізацією законних інтересів Банку. Кожен працівник підписує зобов’язання щодо нерозголошення інформації, до якої він має доступ.
Доступ до ПД третіх осіб здійснюється на підставі та на умовах угод, укладених із цими особами, в межах передбачених згодою суб’єкта ПД та із врахуванням вимог чинного законодавства.
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог законодавства у сфері захисту персональних даних або неспроможна їх забезпечити.
За наявності підстав для обробки ПД Банк має право поширювати ПД, здійснювати їх передачу розпорядникам чи третім особам, у т.ч за межі України, іноземним суб'єктам відносин, або надавати доступ до них третім особам, у разі виконання ними вимог законодавства щодо створення належних технічних і організаційних засобів захисту, зокрема:
- для забезпечення виконання третіми особами своїх функцій або надання послуг;
- при настанні підстав для передачі третім особам згідно з законодавством України або відповідно до укладених договірних умов;
- особам, що надають Банку послуги зі зберігання або відправлення документів, створення та зберігання їх електронних копій (архівів, баз даних тощо);
- особам, які здійснюють представництво інтересів або надають послуги/ забезпечують іншу діяльність, що не суперечить законодавству України;
- в інших випадках, передбачених законодавством України та умовами договірних відносин, та коли поширення/передача ПД є необхідними з огляду на функції, повноваження та зобов‘язання Банку у відповідних правовідносинах.
Передача ПД третім особам здійснюється у зазначених випадках без отримання додаткової письмової згоди та здійснення окремого повідомлення фізичної особи як суб‘єкта ПД.
Банк розкриває одержувачам лише ті дані, які потрібні для виконання договірних (ведення ділових) відносин з клієнтами - суб’єктами ПД або які Банк зобов’язаний передати (розкрити) на виконання обов’язку передбаченого законодавством України.
Захист ПД
Захист ПД здійснюється за вимогами роботи з інформацією з обмеженим доступом згідно внутрішніх нормативних документів Банку.
Банк вживає належних організаційних та технічних заходів з метою забезпечення їх конфіденційності, цілісності, доступності та спостережності інформації, що обробляється.
Розпорядники ПД, яким Банк як Володілець (контролер) даних доручає їх обробку, зобов’язані не допускати розголошення ПД, які стали їм відомі у зв’язку з виконанням договірних відносин (на підставі підписання договорів про конфіденційність).
Права доступу до ПД надаються працівникам Банку в межах визначених посадовими обов’язками.
З метою забезпечення безпеки обробки ПД вживаються спеціальні технічні заходи захисту, у т.ч для забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Засоби захисту ПД, зокрема включають:
- розмежування доступу;
- створення резервних копій;
- антивірусний та мережевий захист;
- захист каналів передачі даних;
- розмежування доступу до приміщень та картотек;
- зберігання у металевих вогнетривких шафах та інші технічні заходи захисту.
Права і обов’язки суб’єкта ПД у зв’язку з обробкою їхніх даних
Суб’єкт ПД має право:
- знати про джерела збирання, місцезнаходження своїх ПД, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника ПД або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про третіх осіб, яким передаються його дані;
- на доступ до своїх персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
- пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх ПД будь-яким володільцем та розпорядником даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
- відкликати згоду на обробку персональних даних;
- знати механізм автоматичної обробки персональних даних;
- на захист від автоматизованого рішення, яке має для нього правові наслідки.
Суб’єкт ПД зобов'язаний інформувати про зміни (надати інформацію для внесення змін), якщо надані їм ПД є не актуальними або містять помилки.
Для реалізації прав суб’єкта ПД, які надані йому у зв’язку з обробкою та захистом його даних у Банку, зокрема щодо отримання доступу до своїх даних, суб’єкту ПД потрібно звертатися у письмовій формі за адресою: privacy@ukrgasbank.com.
Відповідно до вимог законодавства суб'єкт ПД має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, повязаних з ПД, крім випадків, установлених законом.
Для отримання доступу до персональних даних, суб'єкт даних подає відповідний запит Банку як володільцю (контролеру) персональних даних.
У запиті повинно бути зазначено:
- прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
- найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
- прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
- відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
- перелік персональних даних, що запитуються;
- мета та/або правові підстави для запиту.
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку Банк як володілець (контролер) ПД доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті. Запит задовольняється протягом 30-ти календарних днів з дня його надходження, якщо інше не передбачено законом.
Відповідальність за порушення законодавства у сфері захисту персональних даних
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
Статтею 188-39 «Порушення законодавства у сфері захисту персональних даних» Кодексу України про адміністративні правопорушення передбачено відповідальність за:
- Неповідомлення або несвоєчасне повідомлення суб'єкта ПД про його права у зв'язку із включенням його даних до бази ПД, мету збору цих даних та осіб, яким ці дані передаються;
- Недодержання встановленого законодавством порядку захисту ПД, що призвело до незаконного доступу до них.
Статтею 188-40 «Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних» Кодексу України про адміністративні правопорушення передбачено відповідальність за:
Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних
Стаття 182 «Порушення недоторканності приватного життя» Кримінального кодексу України передбачає відповідальність за:
Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу
Європейське законодавство передбачає, що будь-яка особа, що зазнала матеріальної або нематеріальної шкоди в результаті порушення, має право на отримання відшкодування (компенсації) від Володільця або Розпорядника за заподіяну шкоду (отримані збитки).
Будь-який Володілець, залучений до обробки даних, несе відповідальність за шкоду (збитки), що заподіяні (нанесені) обробкою, що порушує вимоги законодавства. Розпорядник несе відповідальність за шкоду (збитки), заподіяні (спричинені) обробкою даних лише тоді, коли він не дотримується обов’язків, спрямованих безпосередньо на Володільця, або якщо він діє поза чи всупереч законним вказівкам Володільця.
Загальні умови для накладання адміністративних штрафів, передбачених європейським законодавством, викладені у статті 83 Регламенту ЄС, а Санкції – у статті 84.
Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законодавством України, здійснює Уповноважений Верховної Ради з прав людини, Україна, 01008, м. Київ, вул. Інститутська, 21/8, тел.: (044) 253 -75-89; 0800-50-17-20.