Skip to main content
0 800 200 502 Email Telegram Viber
Kredyt Kapital
Kontakt Zapłać online
Мова, Język, Language:

© 2026 TOV "FK Kredyt-Kapital"

Homepage

Polityka prywatności

POLITYKA PRYWATNOŚCI

TOW „FK Kredyt-Kapital”

Data ostatniej aktualizacji: 5 czerwca 2026 r.

1. Kim jesteśmy

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez Spółkę z Ograniczoną Odpowiedzialnością „Firma Finansowa Kredyt-Kapital” (TOW „FK Kredyt-Kapital”, kod ЄДРПОУ 35234236), z siedzibą we Lwowie, Ukraina.

Administrator danych osobowych:

TOW „FK Kredyt-Kapital”
ЄДРПОУ: 35234236
Adres: ul. Smal-Stockoho 1/28, 79018 Lwów, Ukraina
Strona internetowa: kredyt-kapital.com.ua
E-mail: info@kredyt-kapital.com.ua
Telefon: 0 800 200 502

W sprawach związanych z ochroną danych osobowych możesz skontaktować się z nami pod adresem:

2. Kogo dotyczy niniejsza Polityka

Polityka ma zastosowanie do:

  • użytkowników strony internetowej;
  • klientów i potencjalnych klientów Spółki;
  • osób kontaktujących się ze Spółką;
  • kontrahentów i przedstawicieli kontrahentów;
  • kandydatów do pracy;
  • osób, których dane są przetwarzane w związku z działalnością finansową Spółki, w tym zarządzaniem wierzytelnościami.

Dla niektórych kategorii osób mogą obowiązywać dodatkowe informacje dotyczące przetwarzania danych osobowych.

Szczegółowe zasady przetwarzania i ochrony danych osobowych zostały opisane w Regulaminie ochrony danych osobowych przetwarzanych przez TOW „FK Kredyt-Kapital” oraz w jego publikowanych załącznikach.

Szczegółowy opis kategorii danych osobowych przetwarzanych w poszczególnych bazach danych Towarzystwa znajduje się w Załączniku nr 4 do Regulaminu ochrony danych osobowych.

Towarzystwo, jako instytucja finansowa, może nabywać prawa wierzytelności z umów kredytowych oraz innych umów od pierwotnych wierzycieli (cesja wierzytelności, faktoring). W takim przypadku dane osobowe dłużnika, poręczyciela oraz osób powiązanych Towarzystwo otrzymuje nie od osoby, której dane dotyczą, lecz od pierwotnego wierzyciela wraz z portfelem wierzytelności. O nabyciu praw wierzytelności oraz o przetwarzaniu danych osobowych Towarzystwo informuje osobę, której dane dotyczą, w terminie trzydziestu dni roboczych od dnia zebrania danych, zgodnie z częścią 2 art. 12 Ustawy Ukrainy „O ochronie danych osobowych”.

Nie zbieramy danych w zakresie szerszym niż jest to niezbędne do realizacji określonych celów biznesowych i prawnych.

3. Jakie dane możemy przetwarzać

W zależności od charakteru relacji ze Spółką możemy przetwarzać:

  • dane techniczne związane z korzystaniem ze strony internetowej.
  • dane zawarte w korespondencji i komunikacji ze Spółką;
  • dane przekazane w formularzach internetowych;
  • dane finansowe i transakcyjne;
  • dane kontaktowe;
  • dane identyfikacyjne;

Szczegółowe informacje dotyczące przetwarzania danych w związku ze świadczeniem usług finansowych, obsługą wierzytelności oraz realizacją praw i obowiązków wynikających z umów znajdują się w Regulaminie ochrony danych osobowych oraz w Załączniku nr 4 do tego Regulaminu.

W przypadkach przewidzianych przepisami dotyczącymi kredytu konsumenckiego oraz regulowania przeterminowanego zadłużenia Towarzystwo dokonuje utrwalania (nagrywania) bezpośrednich interakcji z konsumentem oraz innymi osobami określonymi przez prawo, w tym rozmów telefonicznych. Nośniki takich nagrań są przechowywane przez trzy lata po interakcji.

ochrony praw i uzasadnionych interesów Spółki (ochrona prawnie uzasadnionych interesów Towarzystwa, wykonanie obowiązku prawnego).

4. Cele przetwarzania danych

Przetwarzamy dane osobowe w następujących celach oraz na następujących podstawach prawnych:

  • prowadzenia analiz statystycznych dotyczących funkcjonowania strony internetowej (ochrona prawnie uzasadnionych interesów Towarzystwa, a w przypadkach wymaganych prawem — zgoda użytkownika);
  • zapewnienia bezpieczeństwa informacji i systemów informatycznych (wykonanie obowiązku prawnego, ochrona prawnie uzasadnionych interesów Towarzystwa);
  • zapobiegania nadużyciom i przeciwdziałania oszustwom (wykonanie obowiązku prawnego, ochrona prawnie uzasadnionych interesów Towarzystwa lub osób trzecich);
  • realizacji obowiązków wynikających z przepisów prawa (wykonanie obowiązku prawnego);
  • obsługi zapytań i zgłoszeń (wykonanie obowiązku prawnego, ochrona prawnie uzasadnionych interesów Towarzystwa);
  • komunikacji z klientami, kontrahentami i użytkownikami strony (zawarcie lub wykonanie umowy, wykonanie obowiązku prawnego, ochrona prawnie uzasadnionych interesów Towarzystwa, a w przypadkach wymaganych prawem — zgoda osoby, której dane dotyczą);
  • zarządzania i obsługi wierzytelności (zawarcie lub wykonanie umowy, wykonanie nabytego prawa wierzytelności, wykonanie obowiązku prawnego, ochrona prawnie uzasadnionych interesów Towarzystwa lub osób trzecich);
  • świadczenia usług finansowych (zawarcie lub wykonanie umowy; wykonanie obowiązku prawnego);

5. Podstawy prawne przetwarzania danych

Dane osobowe przetwarzamy zgodnie z obowiązującymi przepisami prawa Ukrainy, w szczególności Ustawą Ukrainy „O ochronie danych osobowych”.

W zależności od sytuacji podstawą przetwarzania może być:

  • zgoda osoby, której dane dotyczą;
  • zawarcie lub wykonanie umowy;
  • obowiązek prawny ciążący na Spółce;
  • ochrona prawnie uzasadnionych interesów Spółki lub osób trzecich;
  • ochrona żywotnych interesów osoby fizycznej.

6. Komu możemy ujawniać dane

Dane osobowe mogą być przekazywane wyłącznie w zakresie niezbędnym do realizacji określonych celów oraz zgodnie z obowiązującymi przepisami prawa.

Odbiorcami danych mogą być między innymi:

  • organy państwowe i regulacyjne;
  • sądy i organy egzekucyjne;
  • kancelarie prawne i doradcy;
  • banki oraz instytucje finansowe;
  • dostawcy usług IT i cyberbezpieczeństwa;
  • podmioty świadczące usługi na rzecz Spółki.

Nie sprzedajemy danych osobowych osobom trzecim i nie udostępniamy ich w celach marketingowych bez odpowiedniej podstawy prawnej.

Szczegółowy tryb udostępniania danych osobowych, w tym zasady rozpatrywania wniosków osób trzecich oraz przesłanki odmowy lub odroczenia dostępu, określa Załącznik nr 3 do Regulaminu ochrony danych osobowych.

7. Pliki cookies i technologie analityczne

Nasza strona internetowa wykorzystuje pliki cookies oraz podobne technologie w celu:

  • zapewnienia prawidłowego działania strony;
  • zwiększenia bezpieczeństwa;
  • zapamiętywania preferencji użytkowników;
  • prowadzenia analiz statystycznych;
  • doskonalenia jakości świadczonych usług.

Możemy wykorzystywać:

  • niezbędne pliki cookies;
  • funkcjonalne pliki cookies;
  • analityczne pliki cookies;
  • inne technologie wspierające funkcjonowanie serwisu.

Użytkownik może samodzielnie zarządzać ustawieniami cookies za pośrednictwem swojej przeglądarki internetowej.

Szczegółowe informacje dotyczące wykorzystywanych plików cookies mogą być publikowane w odrębnej Polityce Cookies.

8. Jak długo przechowujemy dane

Przechowujemy dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, oraz przez okres wymagany obowiązującymi przepisami prawa.

Po upływie odpowiednich okresów dane są usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby.

Szczegółowe zasady przechowywania, niszczenia, anonimizacji oraz ewentualnego odtworzenia danych osobowych określa rozdział 5 Regulaminu ochrony danych osobowych.

9. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne mające na celu ochronę danych osobowych przed:

  • nieuprawnionym dostępem;
  • utratą danych;
  • zmianą danych;
  • zniszczeniem danych;
  • nieuprawnionym ujawnieniem.

Środki bezpieczeństwa obejmują między innymi kontrolę dostępu, szyfrowanie transmisji danych, monitorowanie systemów informatycznych oraz procedury reagowania na incydenty bezpieczeństwa.

Szczegółowe zasady organizacyjne dotyczące ochrony danych osobowych zostały określone w Regulaminie ochrony danych osobowych. Część dokumentów dotyczących wewnętrznych środków organizacyjno-technicznych oraz praw dostępu nie podlega publikacji ze względów bezpieczeństwa informacji.

10. Twoje prawa

Zgodnie z obowiązującymi przepisami prawa przysługuje Ci prawo do:

  • uzyskania informacji o przetwarzaniu danych;
  • dostępu do swoich danych osobowych;
  • sprostowania nieprawidłowych danych;
  • usunięcia danych w przypadkach przewidzianych prawem;
  • ograniczenia przetwarzania danych;
  • wycofania zgody, jeśli przetwarzanie odbywa się na jej podstawie;
  • wniesienia sprzeciwu wobec przetwarzania danych;
  • złożenia skargi do właściwego organu nadzorczego.

W celu realizacji swoich praw możesz skontaktować się z nami pod adresem wskazanym w niniejszej Polityce.

Szczegółowy opis trybu realizacji praw osób, których dane dotyczą, w tym terminy odpowiedzi na wnioski oraz sposób rozpatrywania umotywowanych żądań zmiany lub usunięcia danych, znajduje się w Załączniku nr 3 do Regulaminu ochrony danych osobowych.

W przypadku rozbieżności pomiędzy niniejszą Polityką a Regulaminem ochrony danych osobowych zastosowanie ma Regulamin ochrony danych osobowych.

Szczegółowy tryb przetwarzania i ochrony danych osobowych, w szczególności procedury realizacji praw osób, których dane dotyczą, terminy rozpatrywania wniosków i umotywowanych żądań, zasady niszczenia i odtworzenia danych, określa Regulamin ochrony danych osobowych przetwarzanych przez TOW „FK Kredyt-Kapital”, dostępny w sekcji dokumentów prawnych na niniejszej stronie internetowej.

11. Dodatkowe informacje dotyczące ochrony danych

Dla wybranych kategorii osób Spółka może publikować dodatkowe informacje dotyczące przetwarzania danych osobowych, w szczególności dla:

  • Dokumenty te stanowią uzupełnienie niniejszej Polityki.
  • osób, których dane są przetwarzane w związku z nabywaniem i obsługą wierzytelności.
  • użytkowników formularzy kontaktowych;
  • kontrahentów oraz przedstawicieli kontrahentów;
  • pracowników i współpracowników;
  • kandydatów do pracy;

12. Organ nadzorczy

Jeżeli uważasz, że przetwarzanie danych osobowych narusza przepisy prawa Ukrainy, masz prawo złożyć skargę do Pełnomocnika Rady Najwyższej Ukrainy ds. Praw Człowieka (Омбудсмен).

Szczegółowe informacje dostępne są na stronie: www.ombudsman.gov.ua

13. Zmiany Polityki

Spółka może okresowo aktualizować niniejszą Politykę w celu dostosowania jej do zmian prawnych, technologicznych lub organizacyjnych.

Aktualna wersja Polityki jest zawsze dostępna na stronie internetowej Spółki.

Data ostatniej aktualizacji wskazana jest na początku dokumentu.

14. Postanowienia końcowe

W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają przepisy prawa Ukrainy, w szczególności przepisy dotyczące ochrony danych osobowych, usług finansowych, bezpieczeństwa informacji oraz ochrony konsumentów usług finansowych.

Załącznik nr 1

do Regulaminu „O ochronie

danych osobowych przetwarzanych przez

TOW „FK „Kredyt-Kapital”

w redakcji z dnia 05 czerwca 2026 r.

Uprawnienia osoby i/lub komórki organizacyjnej odpowiedzialnej za organizację prac związanych z ochroną danych osobowych przy ich przetwarzaniu

1. Osoba/komórka organizacyjna odpowiedzialna za organizację prac związanych z ochroną danych osobowych przy ich przetwarzaniu jest wyznaczana i zatwierdzana Zarządzeniem Dyrektora Generalnego.

2. Osoba odpowiedzialna/komórka organizacyjna, w celu zapewnienia przestrzegania przez Towarzystwo wymogów obowiązującego prawa, zapewnia:

2.1. zapoznanie pracowników właściciela i/lub podmiotu przetwarzającego bazę danych osobowych z wymogami prawa o ochronie danych osobowych, w szczególności z obowiązkiem niedopuszczania do ujawnienia w jakikolwiek sposób danych osobowych, które zostały im powierzone albo o których dowiedzieli się w związku z wykonywaniem obowiązków zawodowych, służbowych lub pracowniczych;

2.2. organizację przetwarzania danych osobowych przez pracowników właściciela oraz podmiotu przetwarzającego bazę danych osobowych zgodnie z ich obowiązkami zawodowymi, służbowymi lub pracowniczymi, w zakresie niezbędnym do wykonywania tych obowiązków;

2.3. organizuje prace związane z obsługą wniosków o dostęp do danych osobowych podmiotów stosunków związanych z przetwarzaniem danych osobowych;

2.4. dostęp podmiotów danych osobowych do ich własnych danych osobowych;

2.5. informuje i konsultuje kierownika właściciela oraz podmiotu przetwarzającego bazę danych osobowych o środkach, które należy podjąć w celu doprowadzenia składu danych osobowych oraz procedur ich przetwarzania do zgodności z prawem;

2.6. informuje i konsultuje kierownika właściciela oraz podmiotu przetwarzającego bazę danych osobowych o naruszeniach ustalonych procedur przetwarzania danych osobowych;

2.7. zapewnia realizację praw podmiotów danych osobowych;

2.8. korzysta z dostępu do wszelkich danych przetwarzanych przez właściciela/podmiot przetwarzający oraz do wszystkich pomieszczeń właściciela/podmiotu przetwarzającego, w których odbywa się takie przetwarzanie;

2.9. w przypadku stwierdzenia naruszeń prawa o ochronie danych osobowych i/lub Regulaminu ochrony danych osobowych, zawiadamia o tym kierownika właściciela/podmiotu przetwarzającego w celu podjęcia niezbędnych działań;

2.10. analizuje zagrożenia bezpieczeństwa danych osobowych;

2.11. współdziała z Pełnomocnikiem Rady Najwyższej Ukrainy ds. Praw Człowieka oraz wyznaczonymi przez niego pracownikami jego Sekretariatu w sprawach zapobiegania naruszeniom prawa o ochronie danych osobowych oraz ich usuwania.

3. Wymagania osoby odpowiedzialnej/komórki organizacyjnej dotyczące środków zapewnienia bezpieczeństwa przetwarzania danych osobowych są obowiązkowe dla wszystkich pracowników przetwarzających dane osobowe.

Załącznik nr 2

do Regulaminu „O ochronie

danych osobowych przetwarzanych przez

TOW „FK „Kredyt-Kapital”

w redakcji z dnia 05 czerwca 2026 r.

1. Tryb organizacji ochrony danych osobowych osób fizycznych w BDO Towarzystwa

1.1. Ochrona DO osób fizycznych przed bezprawnym wykorzystaniem i utratą jest zapewniana przez Towarzystwo.

1.2. Towarzystwo zapewnia wyposażenie pomieszczeń, w których przechowywane są lub przetwarzane dane osobowe osób fizycznych, w systemowe i programowo-techniczne środki oraz środki łączności zapobiegające utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, podrobieniu i kopiowaniu informacji.

1.3. Towarzystwo zapewnia przechowywanie archiwów danych otrzymanych od swoich klientów.

1.4. Techniczne środki ochrony informacji są zgodne z prawem Ukrainy.

1.5. Osoby odpowiedzialne za ogólną organizację ochrony i przetwarzania danych osobowych osób fizycznych, których dane znajdują się w BDO Towarzystwa, są wyznaczane i zatwierdzane Zarządzeniem Dyrektora Generalnego Towarzystwa.

1.6. Ochronie podlegają:

- informacje o danych osobowych osoby fizycznej;

- dokumenty (w formie papierowej oraz w formie kartotek), które zawierają dane osobowe dotyczące osoby fizycznej;

- dane osobowe znajdujące się na nośnikach elektronicznych.

1.7. Przez cały okres przechowywania dane osobowe mogą zostać zanonimizowane albo zniszczone w trybie określonym niniejszym Regulaminem, ustawą, na polecenie Dyrektora Generalnego albo na podstawie umotywowanego żądania PDO.

1.8. Po upływie okresu przechowywania dane osobowe mogą zostać zanonimizowane w systemach informacyjnych i/lub zniszczone na nośniku papierowym.

1.9. Towarzystwo określiło następujące poziomy dostępu do danych osobowych:

- I poziom dostępu. Przyznaje upoważnionemu pracownikowi/osobie prawo dostępu do tych danych osobowych, które są niezbędne do wykonywania powierzonych obowiązków.

- II poziom dostępu. Przyznaje upoważnionemu pracownikowi/osobie dostęp do własnych danych osobowych.

Dla każdego z poziomów dostępu określa się BDO, do której upoważniony pracownik ma dostęp w celu wykonywania powierzonych obowiązków, oznaczoną następującymi literami:

„P” - BDO „Pracownicy Towarzystwa”

„S” - BDO „Konsumenci”

„K” - BDO „Kontrahenci”

1.10. Pracownikom przebywającym na urlopie macierzyńskim/rodzicielskim automatycznie przyznaje się II poziom dostępu do danych osobowych, niezależnie od tego, czy przed takim urlopem posiadali wyższy poziom dostępu.

2. Tryb przetwarzania danych osobowych w formie papierowej (w formie kartotek):

2.1. Dane osobowe przechowywane w formie papierowej i/lub w formie kartotek przechowuje się w pomieszczeniach (szafach, sejfach) zabezpieczonych przed nieuprawnionym dostępem.

2.2. Drzwi do pomieszczeń (szaf, sejfów) powinny być wyposażone w zamek albo kontrolę dostępu.

2.3. Dostęp do takich pomieszczeń i/lub do takich szaf kartotekowych/sejfów jest dozwolony określonym pracownikom Towarzystwa zajmującym stanowiska, które przewidują posiadanie takiego dostępu.

3. Działania pracowników Towarzystwa w razie wystąpienia sytuacji nadzwyczajnej.

3.1. W przypadku stwierdzenia przez pracownika faktu nieuprawnionego dostępu do danych osobowych, uszkodzenia sprzętu technicznego, a także innych sytuacji niestandardowych i nadzwyczajnych, pracownik ten niezwłocznie zawiadamia o tym:

- kierownika komórki organizacyjnej;

- służbę Departamentu IT (jeżeli nieuprawniony dostęp nastąpił poprzez ingerencję w pracę sprzętu komputerowego oraz systemów informacyjnych/zautomatyzowanych);

- jednostkę odpowiedzialną za bezpieczeństwo wewnętrzne Towarzystwa.

3.2. Kierownik jednostki odpowiedzialnej za bezpieczeństwo wewnętrzne Towarzystwa oraz kierownik Departamentu IT raportują Dyrektorowi Generalnemu o zaistniałej sytuacji i, w uzgodnieniu z Dyrektorem Generalnym Towarzystwa, opracowują plan dalszych działań, który w szczególności może obejmować podjęcie następujących decyzji:

- zawiadomienie organów ścigania o sytuacji, która wystąpiła w Towarzystwie;

- awaryjne odłączenie serwerów Towarzystwa od sieci Internet;

- przeprowadzenie postępowania wyjaśniającego w celu ustalenia przyczyn sytuacji nadzwyczajnej oraz pociągnięcia osób winnych do odpowiedzialności;

- ograniczenie dostępu do pomieszczeń Towarzystwa;

- podjęcie innych decyzji zmierzających do naprawienia sytuacji albo maksymalnego ograniczenia szkody spowodowanej sytuacją nadzwyczajną.

Załącznik nr 3

do Regulaminu „O ochronie

danych osobowych przetwarzanych przez

TOW „FK „Kredyt-Kapital”

w redakcji z dnia 05 czerwca 2026 r.

Prawa podmiotów danych osobowych. Terminy udzielania odpowiedzi na wniosek PDO oraz osób trzecich

1. Prawa podmiotu danych osobowych:

1.1. Podmiot danych osobowych ma prawo do otrzymania wszelkich informacji o sobie od każdego podmiotu stosunków związanych z danymi osobowymi, bez wskazywania celu wniosku, z wyjątkiem przypadków określonych ustawą, w szczególności:

- wiedzieć o źródłach zbierania, lokalizacji swoich danych osobowych, celu ich przetwarzania, miejscu położenia albo miejscu zamieszkania (pobytu) właściciela albo podmiotu przetwarzającego dane osobowe, albo udzielić odpowiedniego upoważnienia do uzyskania tej informacji osobom przez siebie upoważnionym, z wyjątkiem przypadków określonych ustawą;

- otrzymywać informacje o warunkach udzielania dostępu do DO, w szczególności informacje o osobach trzecich, którym przekazywane są jego DO zawarte w odpowiedniej BDO;

- dostępu do swoich danych osobowych zawartych w odpowiedniej BDO;

- otrzymać, nie później niż w terminie trzydziestu dni kalendarzowych od dnia otrzymania wniosku, z wyjątkiem przypadków przewidzianych ustawą, odpowiedź, czy jego dane osobowe są przetwarzane, a także uzyskać treść takich danych osobowych;

- przedstawić właścicielowi danych osobowych umotywowane żądanie zawierające sprzeciw wobec przetwarzania swoich danych osobowych;

- przedstawić umotywowane żądanie zmiany albo zniszczenia swoich danych osobowych wobec każdego właściciela i podmiotu przetwarzającego dane osobowe, jeżeli dane te są przetwarzane niezgodnie z prawem albo są niewiarygodne;

- wykonywać inne prawa przyznane im zgodnie z Ustawą Ukrainy „O ochronie danych osobowych” oraz obowiązującym prawem Ukrainy.

1.2. Dostęp PDO do jego danych osobowych jest nieodpłatny.

1.3. PDO składa wniosek o dostęp (dalej: wniosek) do danych osobowych do właściciela BDO. We wniosku wskazuje się:

- nazwisko, imię i imię ojca, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość podmiotu danych osobowych;

- inne informacje umożliwiające identyfikację osoby będącej podmiotem danych osobowych.

1.4. Wniosek jest realizowany w terminie 30 dni kalendarzowych od dnia jego otrzymania, chyba że ustawa stanowi inaczej.

1.5. Jeżeli Podmiot danych osobowych uważa, że przetwarzanie danych osobowych narusza wymogi prawa Ukrainy, ma prawo złożyć skargę do Pełnomocnika Rady Najwyższej Ukrainy ds. Praw Człowieka (Ombudsmana). Dodatkowe informacje są dostępne pod adresem: www.ombudsman.gov.ua

2. Tryb rozpatrywania umotywowanego żądania PDO dotyczącego zmiany albo zniszczenia DO.

2.1. W przypadku przedstawienia Towarzystwu, jako Właścicielowi BDO, przez PDO umotywowanego żądania zmiany albo zniszczenia jego DO z powodu ich niezgodnego z prawem przetwarzania albo niewiarygodności, upoważnieni pracownicy Właściciela, którzy zgodnie z powierzonymi obowiązkami służbowymi są upoważnieni do udzielania odpowiedzi na wnioski (żądania) PDO, są zobowiązani:

- w terminie pięciu dni roboczych od dnia otrzymania żądania zweryfikować kwestionowaną informację. Na czas weryfikacji należy oznaczyć DO takiego podmiotu odpowiednią adnotacją;

- pozostawić DO podmiotu bez zmian i usunąć oznaczenie z DO, jeżeli informacja wskazana przez PDO nie została potwierdzona, oraz poinformować o tym podmiot danych osobowych;

- wprowadzić odpowiednie zmiany do informacji zawartej w DO podmiotu w przypadku zmiany informacji, której dotyczył sprzeciw, oraz poinformować o tym podmiot danych osobowych;

- zniszczyć dane osobowe PDO w przypadku uwzględnienia umotywowanego żądania PDO dotyczącego zniszczenia DO oraz poinformować o tym podmiot danych osobowych.

2.2. Upoważniony pracownik jest zobowiązany w terminie 10 dni powiadomić PDO, a także podmioty stosunków związanych z danymi osobowymi, którym te dane zostały przekazane, o zmianie informacji, której dotyczył sprzeciw, albo która została usunięta z DO tego podmiotu.

Dopuszcza się wprowadzenie zmian do DO na wniosek innych podmiotów stosunków związanych z DO, jeżeli istnieje zgoda PDO albo odpowiednia zmiana jest dokonywana zgodnie z nakazem Pełnomocnika lub wyznaczonych przez niego pracowników Sekretariatu Pełnomocnika albo na podstawie prawomocnego orzeczenia sądu.

2.3. Jeżeli umotywowane żądanie zmiany albo zniszczenia swoich DO (w przypadku gdy dane te są przetwarzane niezgodnie z prawem albo są niewiarygodne) zostało przedstawione przez PDO Towarzystwu jako podmiotowi przetwarzającemu BDO, Towarzystwo przekazuje PDO dane kontaktowe właściciela BDO oraz podejmuje inne działania przewidziane Umową o przetwarzanie danych osobowych.

2.4. Podmiot danych osobowych ma prawo wycofać zgodę na przetwarzanie danych osobowych bez podawania przyczyn, jeżeli jedyną podstawą przetwarzania jest zgoda podmiotu danych osobowych. Od chwili wycofania zgody właściciel jest zobowiązany zaprzestać przetwarzania danych osobowych.

3. Warunki ujawniania (rozpowszechniania/przekazywania) informacji o danych osobowych osobom trzecim

3.1. Tryb dostępu osób trzecich do danych osobowych określają warunki zgody PDO udzielonej właścicielowi BDO na przetwarzanie tych danych albo wymogi prawa.

3.2. Dostęp do DO osobie trzeciej nie jest udzielany, jeżeli wskazana osoba odmawia przyjęcia zobowiązania do zapewnienia wykonania wymogów Ustawy Ukrainy „O ochronie danych osobowych” oraz niniejszego Regulaminu albo nie jest w stanie ich zapewnić.

3.3. Podmiot stosunków związanych z DO składa wniosek o dostęp (dalej: wniosek) do DO do właściciela BDO. We wniosku wskazuje się:

- nazwisko, imię i imię ojca, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość osoby fizycznej składającej wniosek (dla osoby fizycznej - wnioskodawcy);

- nazwę i siedzibę osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i imię ojca osoby potwierdzającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej - wnioskodawcy);

- nazwisko, imię i imię ojca oraz inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;

- informacje o bazie danych osobowych, której dotyczy wniosek, albo informacje o właścicielu lub podmiocie przetwarzającym tę bazę;

- wykaz żądanych danych osobowych;

- cel i/lub podstawy prawne wniosku.

3.4. Termin rozpatrzenia wniosku pod kątem jego uwzględnienia nie może przekraczać 10 dni roboczych od dnia jego otrzymania. W tym terminie właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie uwzględniony albo że odmówiono jego uwzględnienia, ze wskazaniem podstaw odmowy.

3.5. Wniosek jest realizowany w terminie 30 dni kalendarzowych od dnia jego otrzymania, chyba że ustawa stanowi inaczej.

3.6. Odroczenie dostępu do DO osób trzecich jest dopuszczalne, jeżeli niezbędne dane nie mogą zostać udostępnione w terminie 30 dni kalendarzowych od dnia otrzymania wniosku. Łączny termin rozstrzygnięcia kwestii podniesionych we wniosku nie może przekraczać 45 dni kalendarzowych.

3.7. Informacja o odroczeniu jest przekazywana na piśmie osobie trzeciej, która złożyła wniosek, wraz z wyjaśnieniem trybu zaskarżenia takiej decyzji.

3.8. W informacji o odroczeniu wskazuje się:

- nazwisko, imię i imię ojca osoby urzędowej;

- datę wysłania informacji;

- przyczynę odroczenia;

- termin, w którym wniosek zostanie zrealizowany.

3.9. Odmowa dostępu do DO jest dopuszczalna, jeżeli dostęp do nich jest zabroniony zgodnie z prawem.

3.10. W informacji o odmowie wskazuje się:

- nazwisko, imię i imię ojca osoby urzędowej odmawiającej dostępu;

- datę wysłania informacji;

- przyczynę odmowy.

4. Szczególne zasady ujawniania (rozpowszechniania/przekazywania) informacji dotyczących danych osobowych

4.1. Udostępnianie dokumentów zawierających DO podmiotowi danych osobowych i/lub przedstawicielowi osoby fizycznej (w tym adwokatowi) odbywa się w trybie określonym obowiązującym prawem Ukrainy oraz niniejszym Regulaminem. Informacja o osobie fizycznej, której dane znajdują się w BDO, jest udostępniana przy posiadaniu jednego lub kilku z następujących dokumentów:

4.1.1. W przypadku, gdy wniosek o udostępnienie informacji składa osobiście PDO, informacja jest udostępniana po okazaniu dokumentu potwierdzającego tożsamość PDO.

4.1.2. W przypadku, gdy wniosek (żądanie) przesyłany jest pocztą, podpis osoby na takim wniosku powinien być poświadczony notarialnie. W przypadkach przewidzianych obowiązującym prawem podpis osoby na wniosku może być również poświadczony przez osobę urzędową organu samorządu lokalnego, kierownika zakładu wykonywania kar, osobę urzędową organizacji, w której PDO pracuje.

4.1.3. W przypadku, gdy wniosek (żądanie) składa osobiście przedstawiciel PDO, informacja jest udostępniana po okazaniu przez przedstawiciela dokumentu potwierdzającego jego tożsamość, pełnomocnictwa poświadczonego zgodnie z pkt 4.1.2 niniejszego podpunktu (dopuszczalna jest kopia poświadczona notarialnie) albo należycie poświadczonej kopii umowy zawartej pomiędzy adwokatem a PDO, która daje prawo do żądania i otrzymania informacji o osobie fizycznej w jej imieniu.

4.1.4. W przypadku, gdy wniosek składa przedstawiciel PDO za pośrednictwem operatora pocztowego, informacja jest udostępniana po posiadaniu dokumentów przewidzianych w pkt 4.1.2 niniejszego podpunktu.

4.2. Pracownik, który osobiście otrzymał od PDO albo jego/jej przedstawiciela kopie dokumentów określonych w pkt 4.1 Regulaminu, potwierdza je swoim podpisem, wskazując stanowisko, imię i nazwisko, datę i godzinę otrzymania.

4.3. Osoba upoważniona do osobistego otrzymania od pracownika Towarzystwa informacji stanowiących DO osoby fizycznej potwierdza otrzymanie informacji poprzez umieszczenie na jednym egzemplarzu dokumentu przewodniego adnotacji „Dokumenty otrzymano osobiście, imię i nazwisko, podpis, data i godzina doręczenia oraz zobowiązanie”. Wskazany egzemplarz pozostaje i jest przechowywany w Przedsiębiorstwie.

4.4. Dokumenty i pełnomocnictwa przechowywane są przez 5 lat.

4.5. Udostępnianie danych osobowych osób fizycznych pracownikom organów państwowych odbywa się zgodnie z obowiązującym prawem Ukrainy oraz niniejszym Regulaminem.

4.6. Dostęp do DO i kopii dokumentów nie jest udzielany, jeżeli osoba próbująca je uzyskać odmawia przyjęcia zobowiązania do zapewnienia wykonania wymogów Ustawy „O ochronie danych osobowych” albo nie jest w stanie ich zapewnić.

Załącznik nr 4

do Regulaminu „O ochronie

danych osobowych przetwarzanych przez

TOW „FK „Kredyt-Kapital”

w redakcji z dnia 05 czerwca 2026 r.

Informacje o bazach danych osobowych Towarzystwa

1. Towarzystwo przetwarza dane osobowe osób fizycznych w następujących bazach danych osobowych:

1.1. BDO „Pracownicy Towarzystwa”.

1.2. BDO „Kontrahenci”.

1.3. BDO „Konsumenci”.

2. Informacje o bazie danych osobowych „Pracownicy Towarzystwa”

2.1. Cel przetwarzania danych osobowych w BDO „Pracownicy Towarzystwa”:

„W związku z koniecznością należytego wykonania obowiązujących aktów normatywno-prawnych, w szczególności (ale niewyczerpująco) Kodeksu pracy Ukrainy, Kodeksu podatkowego Ukrainy oraz Statutu Towarzystwa, celem przetwarzania danych osobowych jest: zapewnienie realizacji stosunków pracy, stosunków administracyjno-prawnych, stosunków podatkowych, stosunków w zakresie rachunkowości, stosunków w zakresie zarządzania zasobami ludzkimi, w szczególności potencjałem kadrowym”.

2.2. Kategorie przetwarzania danych osobowych w BDO „Pracownicy Towarzystwa”:

„Zgodnie z art. 6 i 7 Ustawy Ukrainy „O ochronie danych osobowych” kategoriami przetwarzania bazy danych osobowych „Pracownicy Towarzystwa” są następujące dane osobowe osób fizycznych: nazwisko, imię i imię ojca, dane paszportowe (seria, numer, organ i data wydania), numer identyfikacyjny, płeć, obywatelstwo, data urodzenia, telefon domowy i służbowy, zawód, adres zameldowania i faktyczny adres zamieszkania, numer świadectwa ubezpieczenia społecznego, miejsce urodzenia, dane dotyczące ewidencji wojskowej (status, specjalność, zdolność, grupa ewidencyjna, stopień, kategoria ewidencyjna, ewidencja specjalna, skład, komisariat wojskowy), niepełnosprawność, numer zaświadczenia MSEC, dane dotyczące wykształcenia (rodzaj, specjalność, język obcy i stopień znajomości), fotografia, dane o urodzeniu, stan cywilny, aktywność zawodowa (dane o doświadczeniu i stażu pracy, dane książeczki pracy), członkowie rodziny, ich daty urodzenia oraz nazwisko, imię i imię ojca oraz inne dane niezbędne do należytego wykonania obowiązków pracowniczych”.

2.3. Forma przetwarzania danych osobowych:

Dane osobowe są przetwarzane w formie mieszanej (papierowej i elektronicznej).

2.4. Podstawy przetwarzania danych osobowych:

- zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych;

- zezwolenie na przetwarzanie danych osobowych udzielone właścicielowi danych osobowych zgodnie z prawem wyłącznie w celu wykonywania jego uprawnień;

- konieczność wykonania obowiązku właściciela danych osobowych przewidzianego prawem;

- zawarcie i wykonanie czynności prawnej, której stroną jest podmiot danych osobowych albo która została zawarta na rzecz podmiotu danych osobowych, lub podjęcie działań poprzedzających zawarcie czynności prawnej na żądanie podmiotu danych osobowych.

2.5. Lokalizacja BDO „Pracownicy Towarzystwa”:

- 79018, m. Lwów, ul. Smal-Stotskoho 1, bud. 28.

3. Informacje o bazie danych osobowych „Kontrahenci”

3.1. Cel przetwarzania danych osobowych w BDO „Kontrahenci”:

„W związku z koniecznością należytego wykonania obowiązujących aktów normatywno-prawnych, w szczególności (ale niewyczerpująco) Kodeksu cywilnego Ukrainy, Kodeksu podatkowego Ukrainy, Kodeksu gospodarczego Ukrainy oraz Statutu Towarzystwa, celem przetwarzania danych osobowych jest: zapewnienie realizacji stosunków administracyjno-prawnych, podatkowych, stosunków w zakresie rachunkowości, a także stosunków wynikających z czynności prawnych”.

3.2. Kategorie przetwarzania danych osobowych w BDO „Kontrahenci”:

„Zgodnie z art. 6 i 7 Ustawy Ukrainy „O ochronie danych osobowych” kategoriami przetwarzania bazy danych osobowych „Kontrahenci” są następujące dane osobowe osób fizycznych: nazwisko, imię i imię ojca, dane paszportowe (seria, numer, organ i data wydania), numer identyfikacyjny, płeć, obywatelstwo, data urodzenia, telefon domowy i służbowy, zawód, adres zameldowania i faktyczny adres zamieszkania, dane bankowe (w tym numer rachunku rozliczeniowego oraz nazwa banku obsługującego taki rachunek), dane świadectwa rejestracji państwowej osoby fizycznej-przedsiębiorcy, dane dotyczące systemu opodatkowania osoby fizycznej-przedsiębiorcy, dane dotyczące miejsca prowadzenia działalności przez osobę fizyczną-przedsiębiorcę itp.”

3.3. Forma przetwarzania danych osobowych:

Dane osobowe są przetwarzane w formie mieszanej (papierowej i elektronicznej).

3.4. Podstawy przetwarzania danych osobowych:

- zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych;

- zezwolenie na przetwarzanie danych osobowych udzielone właścicielowi danych osobowych zgodnie z prawem wyłącznie w celu wykonywania jego uprawnień;

- zawarcie i wykonanie czynności prawnej, której stroną jest podmiot danych osobowych albo która została zawarta na rzecz podmiotu danych osobowych, lub podjęcie działań poprzedzających zawarcie czynności prawnej na żądanie podmiotu danych osobowych;

- konieczność wykonania obowiązku właściciela danych osobowych przewidzianego prawem;

- konieczność ochrony prawnie uzasadnionych interesów właściciela danych osobowych albo osoby trzeciej, której dane osobowe są przekazywane, z wyjątkiem przypadków, gdy potrzeby ochrony podstawowych praw i wolności podmiotu danych osobowych w związku z przetwarzaniem jego danych przeważają nad takimi interesami.

3.5. Lokalizacja BDO „Kontrahenci”:

- 79018, m. Lwów, ul. Smal-Stotskoho 1, bud. 28.

4. Informacje o bazie danych osobowych „Konsumenci”

4.1. Cel przetwarzania danych osobowych w BDO „Konsumenci”:

„zapewnienie realizacji stosunków administracyjno-prawnych, podatkowych, stosunków w zakresie rachunkowości, stosunków wynikających z czynności prawnych, w szczególności wykonania czynności prawnej, której stroną jest podmiot danych osobowych albo właściciel BDO, wykonania obowiązku prawnego ciążącego na właścicielu BDO albo podmiocie danych osobowych, a także w celach prawnie uzasadnionych interesów realizowanych przez właściciela”.

4.2. Kategorie przetwarzania danych osobowych w BDO „Konsumenci”:

„dane osobowe osób fizycznych o charakterze ogólnym, dane osób fizycznych: dane identyfikacyjne i paszportowe (nazwisko, imię, imię ojca, seria i numer paszportu, organ i data wydania, numer identyfikacyjny, płeć, obywatelstwo, data urodzenia itp.), telefony kontaktowe (komórkowy, domowy, numer telefonu, pod którym figuruje zadłużenie itp.), dane zawodowe (miejsce pracy, stanowisko, nazwa i adres przedsiębiorstwa itp.), adres (zameldowania oraz faktyczny adres zamieszkania/siedziby itp.), dane osobiste (wiek, płeć, stan cywilny itp.), informacje finansowe (dane bankowe, dane do płatności: rachunek, kod ЄДРПОУ, MFO, bank odbiorcy, numer/nr czynności prawnej, treść i rodzaj czynności prawnej, typ kredytu, cel kredytu, okres opóźnienia w płatności, kwota udzielonego kredytu oraz wysokość miesięcznej płatności, kwota i data ostatniej płatności, dane identyfikacyjne poręczyciela, informacje o przedmiocie zabezpieczenia, wysokość i skład zadłużenia na konkretną datę itp.), nagrania rozmów telefonicznych, elektroniczne dane identyfikacyjne (e-mail itp.), dokumenty o charakterze prawnym (orzeczenia sądowe, tytuły wykonawcze, notarialny tytuł egzekucyjny, pozew itp.), dane świadectwa rejestracji państwowej osoby fizycznej-przedsiębiorcy, dane dotyczące systemu opodatkowania osoby fizycznej-przedsiębiorcy, dane dotyczące miejsca prowadzenia działalności przez osobę fizyczną-przedsiębiorcę, informacje o odwiedzających stronę internetową (dane techniczne, cookies), kandydaci do pracy itp.”

4.3. Forma przetwarzania danych osobowych:

Dane osobowe są przetwarzane w formie mieszanej (papierowej i elektronicznej).

4.4. Podstawy przetwarzania danych osobowych:

- zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych;

- zezwolenie na przetwarzanie danych osobowych udzielone właścicielowi danych osobowych zgodnie z prawem wyłącznie w celu wykonywania jego uprawnień;

- zawarcie i wykonanie czynności prawnej, której stroną jest podmiot danych osobowych albo która została zawarta na rzecz podmiotu danych osobowych, lub podjęcie działań poprzedzających zawarcie czynności prawnej na żądanie podmiotu danych osobowych;

- konieczność wykonania obowiązku właściciela danych osobowych przewidzianego prawem;

- konieczność ochrony prawnie uzasadnionych interesów właściciela danych osobowych albo osoby trzeciej, której dane osobowe są przekazywane, z wyjątkiem przypadków, gdy potrzeby ochrony podstawowych praw i wolności podmiotu danych osobowych w związku z przetwarzaniem jego danych przeważają nad takimi interesami.

4.5. Lokalizacja BDO „Konsumenci”:

- 79018, m. Lwów, ul. Smal-Stotskoho 1, bud. 28.

Z A T W I E R D Z O N O

Zarządzeniem Dyrektora Generalnego

TOW „FK „Kredyt-Kapital”

nr 1-05/06/2026 z dnia 05 czerwca 2026 r.

______________________ M.R. Khrobak

REGULAMIN

o ochronie danych osobowych przetwarzanych przez

Towarzystwo z ograniczoną odpowiedzialnością „Firma Finansowa „Kredyt-Kapital”

(nowa redakcja)

LWÓW - 2026

S P I S T R E Ś C I:

1. Pojęcia i zakres stosowania Regulaminu

2. Postanowienia ogólne

3. Skład danych osobowych. Bazy danych osobowych Towarzystwa

4. Ogólne wymagania dotyczące przetwarzania danych osobowych

4.1. Przetwarzanie danych osobowych osób fizycznych

4.2. Wymagania wobec pracowników przetwarzających dane osobowe osób fizycznych

5. Niszczenie danych osobowych

6. Odpowiedzialność za ujawnienie informacji poufnych związanych z danymi osobowymi

Załączniki:

Załącznik nr 1 „Uprawnienia osoby i/lub komórki organizacyjnej odpowiedzialnej za organizację prac związanych z ochroną danych osobowych przy ich przetwarzaniu”

Załącznik nr 2 „Tryb organizacji ochrony danych osobowych osób fizycznych w BDO Towarzystwa”.

Załącznik nr 3 „Prawa podmiotów danych osobowych. Terminy udzielania odpowiedzi na wnioski PDO oraz osób trzecich”.

Załącznik nr 4 „Informacje o bazach danych osobowych Towarzystwa”.

Załącznik nr 5 „Organizacyjno-techniczne środki ochrony danych osobowych podczas ich przetwarzania w systemie informacyjnym (zautomatyzowanym)”

Załącznik nr 6 Wykaz stanowisk według przyznanego poziomu dostępu do danych osobowych przetwarzanych przez TOW „FK „Kredyt-Kapital”

Załączniki 5 i 6, które zawierają wewnętrzne środki bezpieczeństwa organizacyjno-technicznego oraz matrycę praw dostępu, są dokumentami wewnętrznymi Towarzystwa i nie podlegają publikacji ze względów bezpieczeństwa informacji.

1. Pojęcia i zakres stosowania Regulaminu:

1.1. W niniejszym Regulaminie stosuje się następujące terminy i definicje:

Baza danych osobowych (w skrócie: BDO) - nazwana zbiorcza całość uporządkowanych danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;

Właściciel bazy danych osobowych - osoba fizyczna lub prawna, która określa cel przetwarzania danych osobowych, ustala skład tych danych oraz procedury ich przetwarzania, o ile ustawa nie stanowi inaczej;

Anonimizacja danych osobowych - usunięcie informacji, które umożliwiają bezpośrednią lub pośrednią identyfikację osoby;

Przetwarzanie danych osobowych - każda czynność lub zestaw czynności, takich jak zbieranie, rejestracja, gromadzenie, przechowywanie, adaptacja, zmiana, odnawianie, wykorzystywanie i rozpowszechnianie (dystrybucja, realizacja, przekazywanie), anonimizacja, niszczenie danych osobowych, w tym z wykorzystaniem systemów informacyjnych (zautomatyzowanych);

Kartoteka - każde ustrukturyzowane dane osobowe dostępne według określonych kryteriów, niezależnie od tego, czy dane te są scentralizowane, zdecentralizowane lub podzielone według zasad funkcjonalnych albo geograficznych;

Dane osobowe (w skrócie: DO) - informacje lub zbiór informacji o osobie fizycznej, która jest zidentyfikowana albo może zostać konkretnie zidentyfikowana;

Odbiorca - osoba fizyczna lub prawna, której udostępniane są dane osobowe, w tym osoba trzecia;

Podmiot przetwarzający dane osobowe - osoba fizyczna lub prawna, której właściciel danych osobowych albo ustawa przyznały prawo do przetwarzania tych danych w imieniu właściciela;

Podmiot danych osobowych (w skrócie: PDO) - osoba fizyczna, której dane osobowe są przetwarzane;

Zbieranie danych osobowych - element procesu przetwarzania DO, obejmujący działania polegające na doborze lub uporządkowaniu informacji o osobie fizycznej oraz wprowadzeniu ich do BDO.

Ochrona danych osobowych osoby fizycznej - zespół środków (organizacyjno-zarządczych, technicznych, prawnych) mających na celu zapobieganie bezprawnemu lub przypadkowemu dostępowi do danych, ich zniszczeniu, zniekształceniu, zablokowaniu, kopiowaniu, rozpowszechnianiu danych osobowych podmiotów danych, a także innym bezprawnym działaniom.

Osoba trzecia - każda osoba, z wyjątkiem podmiotu danych osobowych, właściciela albo podmiotu przetwarzającego dane osobowe oraz Pełnomocnika Rady Najwyższej Ukrainy ds. Praw Człowieka, której właściciel albo podmiot przetwarzający przekazuje dane osobowe;

Towarzystwo/Przedsiębiorstwo - Towarzystwo z ograniczoną odpowiedzialnością „Firma Finansowa „Kredyt-Kapital”;

Osoba odpowiedzialna za organizację pracy z danymi osobowymi - wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych przy ich przetwarzaniu, zgodnie z prawem;

Szczególne kategorie danych - dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, skazania na karę kryminalną, a także dane dotyczące zdrowia, życia seksualnego, dane biometryczne lub genetyczne.

Lokalny akt normatywny - akt (zarządzenie, instrukcja, regulamin, statut, regulamin wewnętrzny itp.) obowiązujący wyłącznie w ramach Towarzystwa.

Upoważniony pracownik/osoba - pracownik Towarzystwa, który w celu wykonywania powierzonych obowiązków służbowych przetwarza dane osobowe osób fizycznych.

Upoważniona komórka organizacyjna - komórka organizacyjna Towarzystwa, która w celu wykonywania bieżących zadań przetwarza dane osobowe osób fizycznych.

Uwierzytelnianie - procedura ustalenia przynależności identyfikatora przedstawionego przez pracownika właściciela lub podmiotu przetwarzającego bazę danych osobowych.

Autoryzacja - procedura uzyskania zezwolenia na dokonywanie czynności przetwarzania danych osobowych w bazie danych osobowych w ramach systemu informacyjnego (zautomatyzowanego).

Identyfikacja - procedura rozpoznania użytkownika w systemie, co do zasady za pomocą wcześniej określonej nazwy (identyfikatora) lub innej informacji o nim, którą przyjmuje system informacyjny (zautomatyzowany).

2. Postanowienia ogólne

2.1. Niniejszy Regulamin został opracowany na podstawie:

- Konstytucji Ukrainy;

- Ustawy Ukrainy „O ochronie danych osobowych”;

- Kodeksu cywilnego Ukrainy;

- Kodeksu podatkowego Ukrainy;

- Ustawy Ukrainy „O usługach finansowych i spółkach finansowych”;

- innych aktów normatywno-prawnych obowiązujących na terytorium Ukrainy.

2.2. Niniejszy Regulamin określa tryb zbierania, rejestracji, gromadzenia, przechowywania, adaptacji, zmiany, odnawiania, wykorzystywania i rozpowszechniania (dystrybucji, realizacji, przekazywania), anonimizacji i niszczenia danych osobowych, w tym z wykorzystaniem systemów informacyjnych (zautomatyzowanych), które zgodnie z celami wskazanymi w lokalnych aktach normatywnych są przetwarzane w Przedsiębiorstwie.

2.3. Dane osobowe osób fizycznych stanowią informacje o ograniczonym dostępie.

2.4. Osoby prawne i fizyczne, które zgodnie ze swoimi uprawnieniami przetwarzają dane osobowe osób fizycznych, ponoszą odpowiedzialność za naruszenie reżimu ochrony, przetwarzania oraz zasad wykorzystywania informacji o osobie/osobach fizycznych zgodnie z obowiązującym prawem Ukrainy.

2.5. Zmiany do Regulaminu ochrony danych osobowych wprowadza się na podstawie Zarządzenia Dyrektora Generalnego. Wszyscy pracownicy Towarzystwa, którzy przetwarzają dane osobowe osób fizycznych, powinni zostać zapoznani z niniejszym Regulaminem oraz jego zmianami. Dopuszcza się zapoznanie pracowników z treścią niniejszego Regulaminu poprzez przesłanie jego egzemplarza na adres poczty elektronicznej pracownika.

2.6. Kierownicy jednostek/departamentów/działów Towarzystwa, za zgodą Dyrektora Generalnego oraz w celu dodatkowej ochrony danych osobowych osób fizycznych, mają prawo zatwierdzać karty technologiczne, obowiązkowe do stosowania w podległym departamencie/jednostce/dziale. Karty technologiczne mogą uzupełniać środki oraz tryb ochrony danych osobowych zatwierdzony Regulaminem. Karty technologiczne nie mogą wprowadzać zmian do niniejszego Regulaminu ani być z nim sprzeczne.

2.7. Dane osobowe osób fizycznych mogą być przetwarzane przez Towarzystwo w formie pisemnej (w formie kartotek) i/lub elektronicznej.

2.8. Nazwy, podmioty przetwarzające, cele oraz kategorie przetwarzania danych osobowych osób fizycznych w bazach danych osobowych mogą zostać zatwierdzone w Załączniku nr 4 do niniejszego Regulaminu. Wykaz podmiotów przetwarzających BDO nie jest wyczerpujący i może ulec zmianie na podstawie czynności prawnych zawartych przez Towarzystwo.

2.9. Niniejszy Regulamin jest obowiązkowy dla osób odpowiedzialnych oraz pracowników Towarzystwa, którzy bezpośrednio przetwarzają dane osobowe i/lub mają do nich dostęp w związku z wykonywaniem swoich obowiązków zawodowych lub pracowniczych (służbowych).

2.10. Towarzystwo ma prawo systematycznie aktualizować informacje o PDO znajdujące się w BDO Towarzystwa, pod warunkiem że informacje te zostały uzyskane zgodnie z obowiązującym prawem Ukrainy i z legalnych źródeł. Obowiązek utrzymywania dokładności i wiarygodności danych osobowych osób fizycznych spoczywa na kierownikach właściwych komórek organizacyjnych Towarzystwa.

2.11. Towarzystwo informuje podmiot danych osobowych o składzie i treści zebranych danych osobowych, jego prawach określonych w ustawie, celu zbierania danych osobowych oraz osobach trzecich, którym przekazywane są jego dane osobowe:

- w chwili zbierania danych osobowych, jeżeli dane osobowe są zbierane od podmiotu danych osobowych;

- w innych przypadkach - w terminie trzydziestu dni roboczych od dnia zebrania danych osobowych.

Powiadomienie może zostać dokonane w formie elektronicznej albo pisemnej. Dowody powiadomienia podmiotów danych osobowych przechowuje się przez cały okres przetwarzania.

2.12. Skrócona informacja dla podmiotów danych osobowych jest przekazywana za pośrednictwem Polityki Prywatności opublikowanej na stronie internetowej Towarzystwa.

3. Skład danych osobowych. Bazy danych osobowych Towarzystwa

3.1. Do danych osobowych osoby fizycznej należą w szczególności:

- dane identyfikacyjne i dane paszportowe (imię i nazwisko, dane paszportowe, numer identyfikacyjny itp.);

- dane kontaktowe (adres, telefon itp.);

- dane zawodowe (miejsce pracy, stanowisko itp.);

- informacje finansowe (dane bankowe, treść i rodzaj czynności prawnej itp.);

- elektroniczne dane identyfikacyjne (e-mail itp.);

- dokumenty o charakterze prawnym (orzeczenia sądowe, tytuły wykonawcze);

- dane osobiste (wiek, płeć, stan cywilny itp.).

3.2. Wykaz kategorii danych osobowych osób fizycznych, których dane są przetwarzane w BDO Towarzystwa, został zatwierdzony w Załączniku nr 4 do niniejszego Regulaminu.

3.3. Dokumenty zawierające powyższe dane stanowią informacje o ograniczonym dostępie, jednak z uwagi na ich masowy charakter, jasno określone miejsca przetwarzania i przechowywania, odpowiednia klauzula ograniczenia dostępu nie jest umieszczana na takich dokumentach.

4. Ogólne wymagania dotyczące przetwarzania danych osobowych

4.1. Przetwarzanie (wykorzystywanie) danych osobowych osób fizycznych.

4.1.1. W celu zapewnienia praw i wolności człowieka i obywatela, a także wymogów obowiązującego prawa Ukrainy, pracownicy, którzy przy wykonywaniu powierzonych im obowiązków zawodowych lub pracowniczych (służbowych) przetwarzają dane osobowe osób fizycznych, są zobowiązani do ścisłego przestrzegania wymogów określonych w niniejszym Regulaminie.

4.1.2. Towarzystwo może powierzyć przetwarzanie DO osób fizycznych Podmiotowi przetwarzającemu BDO wyłącznie na podstawie zawartej umowy pisemnej. W zależności od relacji umownej z kontrahentem dopuszcza się zamieszczanie w czynnościach prawnych postanowień (rozdziałów) dotyczących nieujawniania informacji poufnych oraz ochrony danych osobowych.

4.1.3. Zgodnie z Ustawą Ukrainy „O ochronie danych osobowych”, przetwarzanie DO jest dokonywane przez Towarzystwo w konkretnych i zgodnych z prawem celach, określonych na podstawie zgody podmiotu danych osobowych, albo w przypadkach przewidzianych ustawami Ukrainy, w trybie określonym przepisami prawa.

4.1.4. Wykorzystywanie DO przez pracowników Towarzystwa, których praca jest związana z DO, powinno następować wyłącznie zgodnie z ich obowiązkami zawodowymi lub pracowniczymi (służbowymi). Pracownicy są zobowiązani nie dopuszczać do ujawnienia DO osób fizycznych, które zostały im powierzone albo o których dowiedzieli się w związku z wykonywaniem obowiązków zawodowych lub pracowniczych (służbowych). Zobowiązanie to obowiązuje po zakończeniu wykonywania działalności związanej z DO, z wyjątkiem przypadków określonych ustawą.

4.1.5. Dostęp do DO nie jest udzielany pracownikowi/pracownikom ani osobie/osobom trzecim, jeżeli wskazana osoba/te osoby odmawiają przyjęcia zobowiązania do zapewnienia wykonania wymogów niniejszego Regulaminu oraz Ustawy Ukrainy „O ochronie danych osobowych” albo nie są w stanie ich zapewnić.

4.1.6. Właściciele albo Podmioty przetwarzające BDO są zobowiązani wprowadzać zmiany do DO na podstawie umotywowanego pisemnego żądania PDO. Decyzję o uwzględnieniu żądania wprowadzenia zmian podejmuje kierownik właściwej komórki organizacyjnej upoważnionej do przetwarzania DO w konkretnej BDO. Tryb wprowadzania zmian określają załączniki do niniejszego Regulaminu.

Uwaga: dopuszcza się wprowadzanie zmian do danych osobowych na wniosek innych podmiotów stosunków związanych z danymi osobowymi, jeżeli istnieje zgoda podmiotu danych osobowych albo odpowiednia zmiana dokonywana jest na podstawie prawomocnego orzeczenia sądu.

4.1.7. Pracownicy Towarzystwa, którzy mają dostęp do DO osób fizycznych, mają prawo otrzymywać wyłącznie te DO, które są im niezbędne do wykonywania konkretnych funkcji (obowiązków) zawodowych, pracowniczych (służbowych). Pracownicy ci składają pisemne zobowiązanie do nieujawniania danych osobowych, które zostały im powierzone albo o których dowiedzieli się w związku z wykonywaniem obowiązków zawodowych, służbowych albo pracowniczych.

4.1.8. Dopuszczenie innych pracowników do DO osób fizycznych, którzy nie posiadają właściwie nadanego dostępu, jest zabronione.

4.1.9. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, skazania na karę kryminalną, a także danych dotyczących zdrowia, życia seksualnego, danych biometrycznych albo genetycznych (szczególne kategorie danych) jest zabronione, z wyjątkiem okoliczności przewidzianych w częściach 1 i 2 art. 7 Ustawy Ukrainy „O ochronie danych osobowych”.

4.1.10. Towarzystwo, jako właściciel bazy danych osobowych, prowadzi ewidencję:

- faktów nadania i pozbawienia pracowników prawa dostępu do danych osobowych oraz ich przetwarzania;

- prób i faktów nieuprawnionych i/lub nielegalnych działań związanych z przetwarzaniem danych osobowych;

- daty, czasu i źródła zbierania danych osobowych podmiotu danych;

- zmian danych osobowych;

- przeglądania danych osobowych;

- każdego przekazania (kopiowania) danych osobowych podmiotu danych;

- daty i czasu usunięcia albo zniszczenia danych osobowych;

- pracownika, który dokonał jednej ze wskazanych operacji;

- celu i podstaw zmiany, przeglądania, przekazania oraz usunięcia albo zniszczenia danych osobowych.

4.2. Wymagania wobec pracowników przetwarzających DO osób fizycznych.

4.2.1. Dostęp do DO osób fizycznych mają pracownicy Towarzystwa, którzy:

- zostali zapoznani z „Regulaminem ochrony danych osobowych” oraz innymi lokalnymi aktami normatywnymi Towarzystwa regulującymi tryb przetwarzania i ochrony danych osobowych w Przedsiębiorstwie;

- złożyli pisemne zobowiązanie do zachowania poufności DO osób fizycznych oraz przestrzegania zasad ich przetwarzania.

Uwaga: zapewnienie uzyskania zobowiązań należy do Departamentu Zarządzania Personelem.

4.2.2. Pracownik Towarzystwa, który ma dostęp do DO w związku z wykonywaniem obowiązków służbowych, jest zobowiązany:

- zapewnić należyty poziom ochrony informacji zawierających DO osoby fizycznej przed osobami trzecimi;

- przestrzegać „polityki czystych biurek”. Pod nieobecność pracownika na jego stanowisku pracy nie mogą znajdować się dokumenty zawierające DO osób fizycznych, których dane są przechowywane w zarejestrowanych BDO Towarzystwa;

- zapobiegać utracie danych osobowych albo ich bezprawnemu wykorzystaniu.

4.2.3. Pracownik Towarzystwa, który ma dostęp do DO w związku z wykonywaniem obowiązków służbowych, niezwłocznie powiadamia Osobę odpowiedzialną oraz bezpośredniego kierownika jednostki/działu o:

- utracie albo zniszczeniu nośników informacji zawierających dane osobowe;

- utracie kluczy do pomieszczeń, sejfów, szaf, w których przechowywane są dane osobowe;

- sytuacji, gdy dane identyfikacyjne służące do logowania do zautomatyzowanego systemu przetwarzania danych osobowych stały się znane osobom nieuprawnionym;

- wykryciu próby nieuprawnionego dostępu do danych osobowych.

4.2.4. W przypadku urlopu, podróży służbowej oraz innych przypadków dłuższej nieobecności pracownika na stanowisku pracy, pracownik ten jest zobowiązany przekazać dokumenty oraz inne nośniki zawierające dane osobowe osób fizycznych pracownikowi, któremu lokalnym aktem Towarzystwa (zarządzeniem, poleceniem itp.) zostanie powierzone wykonywanie obowiązków nieobecnego pracownika. Podejmuje się środki mające na celu uniemożliwienie takiej osobie dostępu do danych osobowych.

Uwaga: jeżeli taka osoba nie została wyznaczona, dokumenty oraz inne nośniki zawierające dane osobowe pracowników przekazuje się innemu pracownikowi mającemu dostęp do danych osobowych pracowników na polecenie kierownika komórki organizacyjnej albo przechowuje w pomieszczeniach, szafach lub sejfach zabezpieczonych przed dostępem osób postronnych. W razie zwolnienia pracownika, który miał dostęp do danych osobowych, albo przeniesienia go na inne stanowisko niewymagające pracy z danymi osobowymi podmiotów danych, podejmuje się działania uniemożliwiające tej osobie dostęp do danych osobowych, a dokumenty oraz inne nośniki zawierające dane osobowe podmiotów danych przekazuje się innemu pracownikowi.

4.2.5. Osoby pracujące z danymi osobowymi są zobowiązane co roku uczestniczyć w szkoleniu dotyczącym zasad stosowania i przestrzegania podczas wykonywania obowiązków służbowych Ustawy Ukrainy „O ochronie danych osobowych” oraz innych aktów normatywno-prawnych z zakresu ochrony danych osobowych. Szkolenie przeprowadzają kierownicy komórek organizacyjnych w listopadzie każdego roku kalendarzowego. Nadzór nad przeprowadzeniem szkolenia należy do osoby odpowiedzialnej za organizację pracy związanej z ochroną danych osobowych przy ich przetwarzaniu.

4.2.6. Przy zwolnieniu pracownika mającego dostęp do DO osób fizycznych dokumenty oraz inne nośniki zawierające takie dane osobowe są terminowo przekazywane innemu pracownikowi mającemu dostęp do danych osobowych osób fizycznych na polecenie kierownika komórki organizacyjnej albo bezpośrednio kierownikowi jednostki.

5. Niszczenie, anonimizacja i odtworzenie danych osobowych

5.1. Dane osobowe osoby fizycznej podlegają zniszczeniu w przypadku:

5.1.1. upływu okresu przechowywania danych określonego w zgodzie PDO na przetwarzanie tych danych albo ustawą;

5.1.2. zakończenia stosunków prawnych pomiędzy PDO a właścicielem albo podmiotem przetwarzającym bazę, o ile ustawa nie stanowi inaczej;

5.1.3. uprawomocnienia się orzeczenia sądu dotyczącego usunięcia danych o osobie fizycznej z BDO;

5.1.4. uwzględnienia umotywowanego żądania PDO dotyczącego zniszczenia DO;

5.1.5. wydania odpowiedniego nakazu przez Pełnomocnika Rady Najwyższej Ukrainy ds. Praw Człowieka albo wyznaczonych przez niego pracowników Sekretariatu Pełnomocnika;

5.1.6. zebrania danych osobowych z naruszeniem Ustawy Ukrainy „O ochronie danych osobowych”.

5.2. Niszczenie danych osobowych odbywa się w sposób wykluczający późniejszą możliwość odtworzenia takich danych osobowych.

5.2.1. Dane osobowe PDO mogą zostać odtworzone w przypadku złożenia przez PDO pisemnego wniosku do Towarzystwa o odtworzenie jego danych osobowych albo w przypadku otrzymania przez Towarzystwo odpowiedniego żądania uprawnionego organu władzy wykonawczej.

5.2.2. Ostateczną decyzję o odtworzeniu danych osobowych podmiotu danych w BDO Towarzystwa podejmuje Dyrektor Generalny w terminie 30 dni. O podjętej decyzji zainteresowane osoby są powiadamiane poprzez wysłanie wiadomości elektronicznej, telefonogramu albo pisma.

5.3. Okres przechowywania danych osobowych osób fizycznych, z uwzględnieniem potrzeb gospodarczych Towarzystwa, wynosi 5 lat, o ile inny okres nie został ustanowiony przez przepisy prawa, umowę albo konieczność ochrony praw i prawnie uzasadnionych interesów Towarzystwa. Okres ten może zostać wydłużony w przypadkach przewidzianych prawem oraz z uwzględnieniem wymogów obowiązującego prawa Ukrainy.

5.4. Wyboru dokumentów zawierających dane osobowe, których okresy przechowywania upłynęły, do zniszczenia dokonuje komisja ekspercka, której skład określa zarządzenie dyrektora Towarzystwa.

5.5. W celu prowadzenia sprawozdawczości statystycznej, z uwzględnieniem potrzeb gospodarczych Towarzystwa oraz zgodnie z wymogami obowiązującego prawa Ukrainy, dane osobowe osób fizycznych mogą zostać zanonimizowane. Dane osobowe uznaje się za zanonimizowane, jeżeli z ich treści usunięto informacje pozwalające zidentyfikować osobę fizyczną.

5.6. Wykaz danych osobowych podlegających anonimizacji przekazuje się Dyrektorowi Generalnemu w formie elektronicznej przez kierownika właściwej komórki organizacyjnej Towarzystwa, po uprzednim uzgodnieniu z osobą odpowiedzialną za organizację pracy związanej z ochroną danych osobowych przy ich przetwarzaniu.

6. Odpowiedzialność za ujawnienie informacji poufnych oraz informacji o ograniczonym dostępie związanych z danymi osobowymi osób fizycznych

6.1. Osoby winne naruszenia norm regulujących tryb otrzymywania, przetwarzania i ochrony danych osobowych osób fizycznych ponoszą odpowiedzialność dyscyplinarną, administracyjną, cywilnoprawną albo karną zgodnie z prawem Ukrainy obowiązującym w chwili naruszenia oraz lokalnymi aktami zarządczymi Towarzystwa.