Skip to main content
0 800 200 502 Email Telegram Viber
Kredyt Kapital
Контакт Оплатити онлайн
Мова, Język, Language:

© 2026 ТОВ «Фінансова компанія «Кредит-Капітал»

Homepage

Політика конфіденційності

ТОВ «ФК «Кредит-Капітал»

Дата останнього оновлення: 5 червня 2026 року

1. Хто ми

Ця Політика конфіденційності визначає принципи обробки персональних даних Товариством з обмеженою відповідальністю «Фінансова компанія «Кредит-Капітал» (ТОВ «ФК «Кредит-Капітал», код ЄДРПОУ 35234236).

Володілець персональних даних:

ТОВ «ФК «Кредит-Капітал»
ЄДРПОУ: 35234236
Адреса: вул. Смаль-Стоцького, 1/28, м. Львів, 79018, Україна
Вебсайт: kredyt-kapital.com.ua
E-mail: info@kredyt-kapital.com.ua
Телефон: 0 800 200 502

З питань, пов’язаних із захистом персональних даних, Ви можете звернутися до нас за адресою:

2. На кого поширюється ця Політика

Ця Політика застосовується до:

  • користувачів вебсайту;
  • клієнтів та потенційних клієнтів Товариства;
  • осіб, які звертаються до Товариства;
  • контрагентів та представників контрагентів;
  • кандидатів на роботу;
  • осіб, персональні дані яких обробляються у зв’язку із фінансовою діяльністю Товариства, у тому числі у зв’язку з управлінням та обслуговуванням заборгованості.

Для окремих категорій осіб можуть застосовуватися додаткові повідомлення щодо обробки персональних даних.

Детальні правила обробки та захисту персональних даних визначені у Положенні про захист персональних даних, обробку яких здійснює ТОВ «ФК «Кредит-Капітал», а також у його оприлюднених додатках.

Детальний опис категорій персональних даних, що обробляються в окремих базах персональних даних Товариства, наведено у Додатку № 4 до Положення про захист персональних даних.

Товариство як фінансова установа може набувати права вимоги за кредитними та іншими договорами від первісних кредиторів (відступлення права вимоги, факторинг). У такому разі персональні дані боржника, поручителя та пов’язаних осіб Товариство отримує не від суб’єкта персональних даних, а від первісного кредитора разом із портфелем вимог. Про набуття прав вимоги та обробку персональних даних Товариство повідомляє суб’єкта протягом тридцяти робочих днів з дня збору даних відповідно до ч. 2 ст. 12 Закону України «Про захист персональних даних».

Ми не збираємо персональні дані в обсязі, більшому ніж це необхідно для досягнення визначених цілей обробки та виконання вимог законодавства.

3. Які дані ми можемо обробляти

Залежно від характеру взаємовідносин із Товариством ми можемо обробляти:

  • технічні дані, пов’язані з використанням вебсайту.
  • дані, що містяться у зверненнях, листуванні та комунікації з Товариством;
  • дані, надані через вебформи;
  • фінансові та транзакційні дані;
  • контактні дані;
  • ідентифікаційні дані;

Детальні відомості щодо обробки персональних даних у зв’язку з наданням фінансових послуг, обслуговуванням заборгованості та реалізацією прав і обов’язків, що виникають з договорів, наведені у Положенні про захист персональних даних та у Додатку № 4 до цього Положення.

У випадках, передбачених законодавством про споживче кредитування та про врегулювання простроченої заборгованості, Товариство здійснює фіксацію (запис) безпосередніх взаємодій із споживачем та іншими визначеними законом особами, у тому числі телефонних розмов. Носії таких записів зберігаються протягом трьох років після взаємодії.

захист прав та законних інтересів Товариства (захист законних інтересів Товариства, виконання обов’язку, встановленого законодавством).

4. Цілі обробки персональних даних

Ми обробляємо персональні дані з такими цілями та на таких правових підставах:

  • проведення статистичного аналізу функціонування вебсайту (захист законних інтересів Товариства, а у випадках, передбачених законом, — згода користувача);
  • забезпечення інформаційної безпеки та кібербезпеки (виконання обов’язку, встановленого законодавством, захист законних інтересів Товариства);
  • запобігання шахрайству та іншим зловживанням (виконання обов’язку, встановленого законодавством, захист законних інтересів Товариства або третіх осіб);
  • виконання вимог законодавства (виконання обов’язку, встановленого законодавством);
  • розгляд звернень та запитів (виконання обов’язку, встановленого законодавством, захист законних інтересів Товариства);
  • комунікація з клієнтами, контрагентами та користувачами вебсайту (укладення або виконання договору, виконання обов’язку, встановленого законодавством, захист законних інтересів Товариства, а у випадках, передбачених законом, — згода суб’єкта персональних даних);
  • управління та обслуговування заборгованості (укладення або виконання договору, реалізація набутого права вимоги, виконання обов’язку, встановленого законодавством, захист законних інтересів Товариства або третіх осіб);
  • надання фінансових послуг (укладення або виконання договору; виконання обов’язку, встановленого законодавством);

5. Правові підстави обробки персональних даних

Обробка персональних даних здійснюється відповідно до чинного законодавства України, зокрема Закону України «Про захист персональних даних».

Залежно від обставин правовою підставою обробки може бути:

  • згода суб’єкта персональних даних;
  • укладення або виконання договору;
  • виконання обов’язку, встановленого законодавством;
  • захист законних інтересів Товариства або третіх осіб;
  • захист життєво важливих інтересів фізичної особи.

6. Кому ми можемо передавати персональні дані

Персональні дані можуть передаватися виключно в обсязі, необхідному для досягнення визначених цілей та відповідно до вимог законодавства.

Одержувачами персональних даних можуть бути:

  • державні органи та регулятори;
  • суди та органи примусового виконання рішень;
  • юридичні радники та консультанти;
  • банки та фінансові установи;
  • постачальники послуг у сфері інформаційних технологій та кібербезпеки;
  • інші особи, які надають послуги на користь Товариства.

Ми не продаємо персональні дані третім особам та не передаємо їх для маркетингових цілей без належної правової підстави.

Детальний порядок надання доступу до персональних даних, зокрема порядок розгляду запитів третіх осіб, а також підстави відмови або відстрочення доступу, визначено у Додатку № 3 до Положення про захист персональних даних.

7. Файли cookie та аналітичні технології

Наш вебсайт використовує файли cookie та подібні технології з метою:

  • забезпечення належного функціонування вебсайту;
  • підвищення рівня безпеки;
  • збереження налаштувань та вподобань користувачів;
  • проведення статистичного аналізу;
  • покращення якості послуг.

Ми можемо використовувати:

  • необхідні файли cookie;
  • функціональні файли cookie;
  • аналітичні файли cookie;
  • інші технології, необхідні для функціонування вебсайту.

Користувач може самостійно керувати налаштуваннями файлів cookie через свій браузер.

Детальна інформація щодо використання файлів cookie може бути опублікована в окремій Політиці використання файлів cookie.

8. Як довго ми зберігаємо персональні дані

Ми зберігаємо персональні дані лише протягом строку, необхідного для досягнення цілей, для яких вони були зібрані, а також протягом строків, встановлених законодавством.

Після завершення відповідних строків персональні дані видаляються або анонімізуються таким чином, щоб унеможливити ідентифікацію особи.

Детальні правила зберігання, знищення, знеособлення та можливого поновлення персональних даних визначені у розділі 5 Положення про захист персональних даних.

9. Безпека персональних даних

Ми застосовуємо належні технічні та організаційні заходи для захисту персональних даних від:

  • несанкціонованого доступу;
  • втрати даних;
  • зміни даних;
  • знищення даних;
  • несанкціонованого розкриття.

Заходи безпеки включають, зокрема, контроль доступу, шифрування передавання даних, моніторинг інформаційних систем та процедури реагування на інциденти безпеки.

Детальні організаційні засади захисту персональних даних визначені у Положенні про захист персональних даних. Частина документів, що стосуються внутрішніх організаційно-технічних заходів та прав доступу, не підлягає оприлюдненню з міркувань інформаційної безпеки.

10. Ваші права

Відповідно до законодавства України Ви маєте право на:

  • отримання інформації про обробку персональних даних;
  • доступ до своїх персональних даних;
  • виправлення неточних або неповних персональних даних;
  • видалення персональних даних у випадках, передбачених законодавством;
  • обмеження обробки персональних даних;
  • відкликання згоди, якщо обробка здійснюється на її підставі;
  • подання заперечення щодо обробки персональних даних;
  • подання скарги до уповноваженого органу.

Для реалізації своїх прав Ви можете звернутися до нас за контактними даними, зазначеними в цій Політиці.

Детальний опис порядку реалізації прав суб’єктів персональних даних, у тому числі строки надання відповідей на запити та порядок розгляду вмотивованих вимог щодо зміни або знищення даних, міститься у Додатку № 3 до Положення про захист персональних даних.

У разі розбіжностей між цією Політикою та Положенням застосовується Положення.

Детальний порядок обробки та захисту персональних даних, зокрема процедури реалізації прав суб’єктів, строки розгляду запитів і вмотивованих вимог, порядок знищення та поновлення даних, визначає Положення про захист персональних даних, обробку яких здійснює ТОВ «ФК «Кредит-Капітал», розміщене в розділі правових документів на цьому вебсайті.

11. Додаткова інформація щодо захисту персональних даних

Для окремих категорій осіб Товариство може публікувати додаткові повідомлення щодо обробки персональних даних, зокрема для:

  • Такі документи є доповненням до цієї Політики.
  • осіб, персональні дані яких обробляються у зв’язку з придбанням та обслуговуванням заборгованості.
  • користувачів контактних форм;
  • контрагентів та представників контрагентів;
  • працівників та співробітників;
  • кандидатів на роботу;

12. Наглядовий орган

Якщо Ви вважаєте, що обробка персональних даних порушує вимоги законодавства України, Ви маєте право звернутися зі скаргою до Уповноваженого Верховної Ради України з прав людини (Омбудсмена).

Додаткова інформація доступна за адресою:

www.ombudsman.gov.ua

13. Внесення змін до Політики

Товариство може періодично оновлювати цю Політику для приведення її у відповідність до змін законодавства, технологічних або організаційних змін.

Актуальна редакція Політики завжди доступна на вебсайті Товариства.

Дата останнього оновлення зазначається на початку документа.

14. Прикінцеві положення

У питаннях, не врегульованих цією Політикою, застосовуються норми законодавства України, зокрема у сфері захисту персональних даних, фінансових послуг, інформаційної безпеки та захисту прав споживачів фінансових послуг.

У разі розбіжностей між мовними версіями документа переважну силу має українська версія.

Додаток № 1

до Положення «Про захист

персональних даних обробку яких здійснює

ТОВ «ФК «Кредит-Капітал»

в редакції від 05 червня 2026р.

Повноваження особи та/або структурного підрозділу, відповідального за організацію роботи, пов’язаної із захистом персональних даних при їх обробці

1. Особа/структурний підрозділ відповідальний за організацію роботи, пов’язаної із захистом персональних даних при їх обробці визначається та затверджується Наказом Генерального директора.

2. Відповідальна особа/структурний підрозділ з метою дотримання Товариством вимог чинного законодавства забезпечує:

2.1. ознайомлення працівників володільця та/або розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;

2.2. організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;

2.3. організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;

2.4. доступ суб'єктів персональних даних до власних персональних даних;

2.5. інформує та консультує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;

2.6. інформує та консультує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.

2.7. забезпечує реалізацію прав суб’єктів персональних даних

2.8. користується доступом до будь-яких даних, які обробляються володільцем/розпорядником та до всіх приміщень володільця/розпорядника, де здійснюється така обробка;

2.9. у разі виявлення порушень законодавства про захист персональних даних та/або Положення про захист персональних даних, повідомляє про це керівника володільця/розпорядника з метою вжиття необхідних заходів.

2.10. аналізує загрози безпеці персональних даних

2.11. взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

3. Вимоги відповідальної особи/структурного підрозділу до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.

Додаток № 2

до Положення «Про захист

персональних даних обробку яких здійснює

ТОВ «ФК «Кредит-Капітал»

в редакції від 05 червня 2026р.

1. Порядок організації захисту персональних даних фізичних осіб у БПД Товариства

1.1. Захист ПД фізичних осіб від їх неправомірного використання та втрати забезпечується Товариством.

1.2. Товариство забезпечує обладнання приміщень у яких зберігаються або здійснюється обробка персональних даних фізичних осіб системними і програмно-технічними засобами та засобами зв'язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню інформації.

1.3. Товариство забезпечує збереження архівів даних, отриманих від своїх клієнтів.

1.4. Засоби технічного захисту інформації відповідають законодавству України.

1.5. Відповідальні за загальну організацію захисту та обробки персональних даних фізичних осіб, дані щодо яких містяться у БПД Товариства визначаються та затверджуються Наказом Генерального директора Товариства.

1.6. Захисту підлягає:

- інформація про персональні дані фізичної особи.

- документи (у паперовій формі та формі картотек), які містять персональні дані про фізичну особу.

- персональні дані які знаходяться на електронних носіях.

1.7. Протягом усього терміну зберігання персональні дані можуть бути знеособлені або знищені в порядку визначеному цим Положенням, Законом, за розпорядженням Генерального директора чи за вмотивованою вимогою СПД.

1.8. Після закінчення терміну зберігання персональні дані можуть бути знеособлені на інформаційних системах та/або знищені на паперовому носії.

1.9. Товариством визначено наступні рівні доступу до персональних даних :

- І рівень доступу. Надає право доступу уповноваженому працівнику/особі до тих персональних даних, які є необхідними для виконання покладених обов’язків.

- ІІ рівень доступу. Надає доступ уповноваженому працівнику/особі до власних персональних даних.

До кожного з рівнів доступу, визначається БПД, до якої уповноважений працівник має доступ для виконання покладених обов’язків, та яка позначається наступними літерами:

«П» – БПД «Працівники Товариства»

«С» – БПД «Споживачі»

«К» – БПД «Контрагенти»

1.10. Працівникам, які перебувають у декретній відпустці, автоматично присвоюється ІІ рівень доступу до персональних даних, незалежно від того, чи мали вони вищий рівень доступу до такої відпустки.

2. Порядок обробки персональних даних у паперовій формі (формі картотек):

2.1. Персональні дані, що зберігаються у паперовій формі та/або формі картотек зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.

2.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.

2.3. Доступ в такі приміщення та (або) до таких картотечної шафи/сейфу дозволений певним працівникам Товариства, які займають відповідні посади, що передбачають наявність у них такого доступу.

3. Дії працівників Товариства на випадок виникнення позаштатної ситуації.

3.1. У випадку виявлення працівником факту несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, а також інших позаштатних та надзвичайних ситуацій такий працівник невідкладно повідомляє про факт виявлення :

- Керівника структурного підрозділу

- Службу ІТ департаменту (якщо, несанкціонований доступ відбувся шляхом втручання у роботу ЕОМ та інформаційних/автоматизованих систем.

- Підрозділ, який відповідає за внутрішню безпеку Товариства.

3.2. Керівник підрозділу, який відповідає за внутрішню безпеку Товариства та керівник ІТ департаменту, доповідають Генеральному директору про ситуацію, що виникла та за погодженням з Генеральним директором Товариства розробляють план подальших, який зокрема може включати прийняття наступних рішень :

- повідомлення правоохоронних органів про ситуацію, що виникла у Товаристві;

- аварійне від’єднання серверів Товариства від мережі інтернет;

- проведення службового розслідування з метою виявлення причин позаштатної ситуації та притягнення винних осіб до відповідальності

- обмеження доступу до приміщень Товариства

- прийняття інших рішень, які спрямовані на виправлення ситуації чи максимальне зменшення шкоди, завданої позаштатною ситуацією.

Додаток № 3

до Положення «Про захист

персональних даних обробку яких здійснює

ТОВ «ФК «Кредит-Капітал»

в редакції від 05 червня 2026р.

Права суб’єктів персональних даних. Строки надання відповідей на запит СПД та третіх осіб

1. Права суб’єкта персональних даних:

1.1. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом, зокрема:

- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

- отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про третіх осіб, яким передаються його ПД, що містяться у відповідній БПД;

- на доступ до своїх персональних даних, що містяться у відповідній БПД;

- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

- пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

- інші права надані їм відповідно до ЗУ «Про захист персональних даних» та чинного законодавства України.

1.2. Доступ СПД до своїх персональних даних здійснюється безоплатно

1.3. СПД подає запит щодо доступу (далі - запит) до персональних даних володільцю БПД. У запиті зазначаються:

прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує особу суб’єкта персональних даних;

інші відомості, що дають змогу ідентифікувати особу суб’єкта персональних даних;

1.4. Запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.

1.5. Якщо Суб'єкт персональних даних вважає, що обробка персональних даних порушує вимоги законодавства України, він має право звернутися зі скаргою до Уповноваженого Верховної Ради України з прав людини (Омбудсмена). Додаткова інформація доступна за адресою: www.ombudsman.gov.ua

2. Порядок розгляд вмотивованої вимоги СПД щодо зміни або знищення ПД.

2.1. У разі пред'явлення Товариству, як Володільцю БПД СПД вмотивованої вимоги, щодо зміни або знищення своїх ПД на підставі того, що ці дані обробляються незаконно чи є недостовірними, уповноважені працівники Володільця які відповідно до покладених посадових обов'язків уповноважені надавати відповіді на запити (вимоги) СПД зобов'язані:

- Протягом п'яти робочих днів з дня отримання вимоги перевірити інформацію, яка заперечується. На час перевірки інформації, слід відмітити ПД такого суб'єкта відповідною позначкою.

- Уповноважений працівник залишає ПД суб'єкта без змін, знімає з ПД позначку, якщо інформація вказана СПД не підтвердилась та інформує про це суб’єкта персональних даних.

- Уповноважений працівник вносить відповідні зміни до інформації, що міститься в ПД суб'єкта у разі зміни інформації, що заперечувалася та інформує про це суб’єкта персональних даних. - Уповноважений працівник знищує персональні дані СПД, у разі задоволення вмотивованої вимоги СПД щодо знищення ПД та інформує про це суб’єкта персональних даних.

2.2 Уповноважений працівник зобов'язаний протягом 10 днів повідомити СПД, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані були передані, про зміну інформації, що заперечувалась або була вилучена з ПД цього суб’єкта.

Дозволяється внесення змін до ПД за зверненням інших суб'єктів відносин, пов'язаних із ПД, якщо на це є згода СПД чи відповідна зміна здійснюється згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили

2.3. Якщо вмотивована вимога щодо зміни або знищення своїх ПД (у випадку коли ці дані обробляються незаконно чи є недостовірними), пред'явлена СПД Товариству, як розпоряднику БПД, Товариство повідомляє СПД контактну інформацію володільця БПД, а також вчиняє інші дії передбачені Договором про обробку персональних даних

2.4. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.

3. Умови розкриття (поширення/передачі) інформації про персональні дані третім особам

3.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди СПД, наданої володільцю БПД на обробку цих даних, або відповідно до вимог закону.

3.2. Доступ до ПД третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог ЗУ «Про захист персональних даних» та цього Положення або неспроможна їх забезпечити.

3.3. Суб'єкт відносин, пов'язаних з ПД, подає запит щодо доступу (далі - запит) до ПД володільцю БПД. У запиті зазначаються:

- прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

- найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

- прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

- відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

- перелік персональних даних, що запитуються;

- мета та/або правові підстави запиту.

3.4. Строк вивчення запиту на предмет його задоволення не може перевищувати 10 робочих днів з дня його надходження. Протягом цього строку володілець бази персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відмовлено у задоволенні запиту із зазначенням підстав відмови.

3.5. Запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.

3.6. Відстрочення доступу до ПД третіх осіб допускається, якщо необхідні дані не можуть бути надані протягом 30 календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати 45 календарних днів.

3.7. Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

3.8. У повідомленні про відстрочення зазначаються:

- прізвище, ім'я та по батькові посадової особи;

- дата відправлення повідомлення;

- причина відстрочення;

- строк, протягом якого буде задоволено запит.

3.9. Відмова у доступі до ПД допускається, якщо доступ до них заборонено згідно із законом.

3.10. У повідомленні про відмову зазначаються:

- прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

- дата відправлення повідомлення;

- причина відмови.

4. Особливості розкриття (поширення/передачі) інформації, що стосується персональних даних

4.1. Надання документів, що містять ПД суб'єкту персональних даних та/або представнику фізичної особи (в т.ч. адвокату) здійснюється у порядку встановленому чинним законодавством України та цим Положенням. Інформація про фізичну особу, дані щодо якої містяться у БПД надається за наявності одного або сукупності наступних документів, а саме:

4.1.1. У випадку коли заява про надання інформації подається особисто СПД, інформація надається за наявності документа, що посвідчує особу СПД.

4.1.2. У випадку коли заява(вимога) надсилається поштою, підпис особи на такій заяві повинен бути нотаріально посвідчений. У випадках передбачених чинним законодавством, підпис особи на заяві зокрема може бути посвідчений: посадовою особою органу місцевого самоврядування, начальником установи виконання покарань, посадовою особою організації в якій СПД працює.

4.1.3. У випадку коли заява(вимога) подається особисто представником СПД, інформація надається за наявності у представника документа, що посвідчує його особу, довіреності посвідченої у відповідності до п. 4.1.2 цього підпункту (допускається нотаріально посвідчена копія) або належним чином посвідченої копії договору укладеного між адвокатом та СПД, яка/який надає право витребувати та отримати інформацію про фізичну особу від її імені.

4.1.4 У випадку коли заява подається представником СПД засобами поштового зв’язку, інформація надається за наявності документів передбачених п. 4.1.2. цього підпункту,

4.2. Працівник, що отримав особисто від СПД або його/її представника копії документів, що визначені п. 4.1. Положення, завіряє їх своїм підписом із зазначенням посади, ПІБ, дати та години отримання.

4.3. Особа, яка уповноважена особисто отримати від працівника Товариства інформацію, що становить ПД фізичної особи, підтверджує отримання інформації шляхом відмітки на одному примірнику супровідного документ напису «Документи отримано особисто, ПІБ, підпис, дата та година вручення, та зобов'язання » Вказаний примірник залишається та зберігається на Підприємстві.

4.4. Документи та довіреності зберігаються протягом 5 років.

4.5. Надання персональних даних фізичних осіб працівникам державних органів здійснюється у відповідності до чинного законодавства України та даного Положення.

4.6. Доступ до ПД та копії документів не надаються, якщо особа яка намагається їх отримати, відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону "Про захист персональних даних" або неспроможна їх забезпечити.

Додаток № 4

до Положення «Про захист

персональних даних обробку яких здійснює

ТОВ «ФК «Кредит-Капітал»

в редакції від 05 червня 2026р.

Відомості про бази персональних даних Товариства

1. Товариство здійснює обробку персональних даних фізичних осіб у наступних базах персональних даних:

1.1. БПД «Працівники товариства».

1.2. БПД «Контрагенти».

1.3. БПД «Споживачі»

2. Відомості про базу персональних даних «Працівники товариства»

2.1. Мета обробки персональних даних у БПД «Працівники товариства»:

«У зв’язку з необхідністю належного виконання чинних нормативно правових актів, зокрема (але не вичерпно) Кодексу Законів про Працю України, Податкового кодексу України та Cтатуту Товариства, метою (ціллю) обробки персональних даних є: забезпечення реалізації трудових відносин, адміністративно-правових відносин, податкових відносин, відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом»

2.2. Категорії обробки персональних даних у БПД «Працівники товариства»:

«Відповідно до ст. 6,7 ЗУ «Про захист персональних даних» категоріями обробки бази персональних даних «Працівники Товариства» є наступні персональні дані фізичних осіб: Прізвище, ім’я по – батькові, паспортні дані (серія, номер, ким і коли видано), ідентифікаційний номер, стать, громадянство, дата народження, домашній та робочий телефон, професія, адреса прописки та фактична адреса проживання, номер свідоцтва соціального страхування, місто народження, дані щодо перебування на військовому обліку (статус, спеціальність, придатність, група обліку, звання, категорія обліку, спеціальний облік, склад, військовий комісаріат), інвалідність, номер свідоцтва МСЕК, дані щодо освіти (вид, спеціальність, іноземна мова та ступінь володіння), фотографія, народження, сімейний стан, трудова діяльність (дані про досвід та стаж роботи, дані трудової книжки), члени сім’ї їх дата народження та прізвище, ім’я по батькові та інші дані необхідні для належного виконання трудових обов’язків»

2.3. Форма обробки персональних даних:

Персональні дані обробляються у змішаній (паперовій та електронній) формі.

2.4. Підстави обробки персональних даних :

- згода суб’єкта персональних даних на обробку його персональних даних.

- дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

- необхідність виконання обов'язку володільця персональних даних, який передбачений законом;

- укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;

2.5. Місцезнаходженням БПД «Працівники товариства»

- 79018, м. Львів, вул. Смаль – Стоцького 1, корп28.

3. Відомості про базу персональних даних «Контрагенти»

3.1. Мета обробки персональних даних у БПД «Контрагенти»:

«У зв’язку з необхідністю належного виконання чинних нормативно правових актів, зокрема (але не вичерпно) Цивільного Кодексу України, Податкового кодексу України, Господарського Кодексу України та Статуту Товариства метою (ціллю) обробки персональних даних є: забезпечення реалізації адміністративно-правових відносин, податкових відносин, відносин у сфері бухгалтерського обліку, а також відносин які виникають з правочинів.»

3.2. Категорії обробки персональних даних у БПД «Контрагенти»:

«Відповідно до ст. 6,7 ЗУ «Про захист персональних даних» категоріями обробки бази персональних даних «Контрагенти» є наступні персональні дані фізичних осіб: Прізвище, ім’я по – батькові, паспортні дані (серія, номер, ким і коли видано), ідентифікаційний номер, стать, громадянство, дата народження, домашній та робочий телефон, професія, адреса прописки та фактична адреса проживання, банківські дані ( в т.ч. № розрахункового рахунку та найменування Банку який здійснює обслуговування такого рахунку) , дані свідоцтва про державну реєстрацію фізичної особи - підприємця, дані щодо системи оподаткування фізичної особи - підприємця, дані щодо місця здійснення діяльності фізичної особи підприємця, тощо»

3.3. Форма обробки персональних даних:

Персональні дані обробляються у змішаній (паперовій та електронній) формі.

3.4. Підстави обробки персональних даних :

- згода суб’єкта персональних даних на обробку його персональних даних.

- дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

- укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;

- необхідність виконання обов'язку володільця персональних даних, який передбачений законом;

- необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси.

3.5. Місцезнаходженням БПД «Контрагенти»

- 79018, м. Львів, вул. Смаль – Стоцького 1, корпус 28

4. Відомості про базу персональних даних «Споживачі»

4.1. Мета обробки персональних даних у БПД «Споживачі»:

«забезпечення реалізації адміністративно-правових відносин, податкових відносин, відносин у сфері бухгалтерського обліку, відносин, які виникають з правочинів, зокрема виконання правочину, стороною якого є суб’єкт персональних даних чи володілець БПД, дотримання правового зобов’язання, яким зв’язаний володілець БПД чи суб’єкт ПД, а також в цілях законних інтересів, переслідуваних володільцем.»

4.2. Категорії обробки персональних даних у БПД «Споживачі»

«персональні дані фізичних осіб загального характеру, дані фізичних осіб: ідентифікаційні дані та паспортні дані, (Прізвище, ім’я, по – батькові, серія, номер паспорту, ким і коли видано, ідентифікаційний номер, стать, громадянство, дата народження тощо), контактні телефони (Мобільний, Домашній, № телефону за яким числиться заборгованість тощо), професійні дані (місце праці, посада, назва та адреса підприємства тощо), адреса (прописки та фактична адреса проживання/місцезнаходження тощо), особисті відомості (вік, стать, сімейний стан, тощо), фінансова інформація (банківські дані, Реквізити для оплати: р/р, код ЄДРПОУ, МФО, банк отримувач, № правочину(ів), зміст та вид правочину, тип кредиту, призначення кредиту, строк прострочення платежу, сума наданого кредиту та розмір щомісячного платежу, сума та дата останнього платежу, ідентифікаційні дані поручителя, відомості про заставне майно, розмір та склад заборгованості на конкретну дату тощо), звукозапис телефонних розмов, електронні ідентифікаційні дані (е – мейл, тощо), документи правового характеру (судові рішення, виконавчі листи, виконавчий напис нотаріуса, позовна заява та ін.) , дані свідоцтва про державну реєстрацію фізичної особи - підприємця, дані щодо системи оподаткування фізичної особи - підприємця, дані щодо місця здійснення діяльності фізичної особи підприємця, інформація про відвідувачів сайту (технічні дані, cookies), кандидатів на роботу, тощо.»

4.3. Форма обробки персональних даних:

Персональні дані обробляються у змішаній (паперовій та електронній) формі.

4.4. Підстави обробки персональних даних :

- згода суб’єкта персональних даних на обробку його персональних даних.

- дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

- укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;

- необхідність виконання обов'язку володільця персональних даних, який передбачений законом;

- необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси.

4.5. Місцезнаходженням БПД «Споживачі»

- 79018, м. Львів, вул. Смаль – Стоцького 1, корпус 28

З А Т В Е Р Д Ж Е Н О

Наказом Генерального директора

ТОВ «ФК «Кредит-Капітал»

№ 1-05/06/2026 від 05 червня 2026р.

______________________М.Р. Хробак

ПОЛОЖЕННЯ

про захист персональних даних, обробку яких, здійснює

Товариство з Обмеженою Відповідальністю «Фінансова Компанія «Кредит-Капітал»

(нова редакція)

ЛЬВІВ - 2026

З М І С Т :

1. Поняття та сфера застосування Положення

2. Загальні положення

3. Склад персональних даних. Бази персональних даних Товариства

4. Загальні вимоги при обробці персональних даних

4.1. Обробка персональних даних фізичних осіб

4.2. Вимоги до працівників які здійснюють обробку ПД фізичних осіб

5. Знищення персональних даних

6. Відповідальність за розголошення конфіденційної інформації, пов'язаної з ПД

Додатки:

Додаток № 1 «Повноваження особи та/або структурного підрозділу, відповідального за організацію роботи, пов’язаної із захистом персональних даних при їх обробці»

Додаток № 2 «Порядок організації захисту персональних даних фізичних осіб у БПД Товариства».

Додаток № 3 «Права суб’єктів персональних даних. Строки надання відповідей на запит СПД та третіх осіб».

Додаток № 4 «Відомості про бази персональних даних Товариства».

Додаток № 5 «Організаційно технічні заходи із захисту персональних даних під час їх обробки в складі інформаційної (автоматизованої) системи»

Додаток № 6 Перелік посад відповідно до наданого рівня доступу до персональних даних, що обробляються ТОВ «ФК «Кредит-Капітал»

Додатки 5 та 6, що містять внутрішні заходи організаційно-технічної безпеки та матрицю прав доступу, є внутрішніми документами Товариства і не підлягають оприлюдненню з міркувань інформаційної безпеки.

1. Поняття та сфера застосування Положення :

1.1 .У цьому Положенні використовуються наступні терміни та визначення:

База персональних даних (скорочено - БПД) - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

Володілець бази персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

Картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

Персональні дані (скорочено - ПД)- відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

Одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

Розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

Суб'єкт персональних даних (скорочено - СПД)- фізична особа, персональні дані якої обробляються;

Збирання персональних даних – складова процесу обробки ПД, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до БПД.

Захист персональних даних фізичної особи - це комплекс заходів (організаційно-розпорядчих, технічних, юридичних), спрямованих на запобігання неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, поширення персональних даних суб'єктів, а також від інших неправомірних дій.

Третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних;

Товариство/Підприємство – Товариство з Обмеженою Відповідальністю «Фінансова Компанія «Кредит-Капітал»

Відповідальна особа за організацію роботи з персональними даними – визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону;

Особливі категорії даних – персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров'я, статевого життя, біометричних або генетичних даних.

Локальний нормативний акт – (наказ, інструкція, положення, статут, правила внутрішнього розпорядку та ін.), що діє лише в межах Товариства.

Уповноважений працівник/особа – працівник Товариства, який для виконання покладених посадових обов’язків здійснює обробку персональних даних фізичних осіб.

Уповноважений структурний підрозділ – структурний підрозділ Товариства, який для виконання поточних завдань здійснює обробку персональних даних фізичних осіб.

Автентифікація - процедура встановлення належності працівникові володільця або розпорядника бази персональних даних пред'явленого ним ідентифікатора.

Авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи.

Ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою.

2. Загальні положення

2.1. Дане положення розроблено на основі :

- Конституції України;

- ЗУ «Про захист персональних даних»;

- Цивільного Кодексу України;

- Податкового Кодексу України;

- ЗУ «Про фінансові послуги та фінансові компанії»

- інших Нормативно - правових актів, що діють на території України.

2.2. Дане положення визначає порядок збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем які, відповідно до цілей вказаних у локальних нормативних актах, обробляються на Підприємстві.

2.3. Персональні дані фізичних осіб є інформацією з обмеженим доступом.

2.4. Юридичні та фізичні особи, які у відповідності до своїх повноважень здійснюють обробку персональних даних фізичних осіб, несуть відповідальність за порушення режиму захисту, обробки та порядку використання інформації про фізичну(их) особу(іб) у відповідності до чинного Законодавства України.

2.5. Зміни до Положення про захист персональних даних вносяться на підставі Наказу Генерального директора. Всі працівники Товариства, які здійснюють обробку персональних даних фізичних осіб, повинні бути ознайомлені з даним Положенням та змінами до нього. Допускається ознайомлення працівників, із змістом даного Положення шляхом направлення його примірника на електронну адресу працівника.

2.6. Керівники підрозділів/департаментів/відділів Товариства, за погодженням з Генеральним директором та з метою додатково захисту персональних даних фізичних осіб, мають право затверджувати технологічні карти, які є обов'язковими до виконання в межах підпорядкованого департаменту/підрозділу/відділу. Технологічні карти можуть доповнювати засоби та порядок захисту персональних даних, що затверджений Положенням. Технологічні карти не можуть вносити зміни чи суперечити даному Положенню.

2.7. Персональні дані фізичних осіб, можуть оброблятися Товариством у письмовій (формі картотек) та/або електронній формі.

2.8. Найменування, розпорядники, мету та категорії обробки персональних даних фізичних осіб у базах персональних даних, може затверджуватись у Додатку № 4 до цього Положення. Перелік Розпорядників БПД не є вичерпним, та може бути змінений на підставі укладених Товариством правочинів.

2.9. Дане Положення обов’язкове для застосування відповідальними особами та співробітниками Товариства, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних фізичних осіб у зв’язку з виконанням своїх професійних чи трудових(службових) обов’язків.

2.10. Товариство має право систематично оновлювати відомості про СПД, що містяться у БПД Товариства, за умови що такі відомості отримані відповідно до чинного законодавства України та із законних джерел. Обов’язок підтримувати точність та достовірність персональних даних фізичних осіб покладено на керівників відповідних структурних підрозділів Товариства.

2.11. Товариство повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані:

– в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

– в інших випадках протягом тридцяти робочих днів з дня збору персональних даних

Повідомлення може бути здійснено у електронній або письмовій формі. Докази повідомлення суб’єктів персональних даних зберігаються протягом усього строку обробки.

2.12. Стисле інформування суб'єктів персональних даних здійснюється через Політику конфіденційності, опубліковану на вебсайті Товариства

3. Склад персональних даних. Бази персональних даних Товариства

3.1. До складу персональних даних фізичної особи, зокрема належать:

- Ідентифікаційні дані та паспортні дані (ПІБ, паспортні дані, ідентифікаційний номер, та інше.)

- Контактні дані (адреса, телефон, та інше)

- Професійні дані (місце праці, посада та інше)

- Фінансова інформація (банківські дані, зміст та вид правочину ітд).

- електронні ідентифікаційні дані (е – мейл, тощо)

- документи правового характеру (судові рішення, виконавчі листи)

- Особисті дані (вік, стать, сімейний стан та інше)

3.2. Перелік категорій персональних даних фізичних осіб, дані щодо яких обробляються у БПД Товариства затверджено у Додатку № 4 до цього Положення.

3.3. Документи, які містять вищенаведені дані, є інформацією з обмеженим доступом, проте враховуючи їх масовість, чітко визначені місця обробки та зберігання, відповідний гриф обмеження на таких Документах не проставляється.

4. Загальні вимоги при обробці персональних даних

4.1. Обробка (використання) персональних даних фізичних осіб.

4.1.1. З метою забезпечення прав і свобод людини і громадянина, а також вимог чинного законодавства України, працівники які при виконанні покладених професійних чи трудових(службових) обов’язків, здійснюють обробку персональних даних фізичних осіб зобов’язані неухильно дотримуватись вимог викладених у цьому Положенні.

4.1.2. Товариство може доручити здійснювати обробку ПД фізичних осіб Розпоряднику БПД виключно на підставі укладеного письмового договору. Виходячи з договірних відносин з контрагентом, допускається наявність в правочинах пунктів (розділів) про нерозголошення конфіденційної інформації та захист персональних даних.

4.1.3. У відповідності до ЗУ «Про захист персональних даних», обробка ПД здійснюється Товариством для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

4.1.4. Використання ПД працівниками Товариства, робота яких пов'язана з ПД, повинно здійснюватись лише відповідно до їхніх професійних або трудових(службових) обов’язків. Працівники зобов'язані не допускати розголошення ПД фізичних осіб, які їм було довірено, або які стали відомі у зв'язку з виконанням професійних чи трудових(службових) обов’язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з ПД, крім випадків, установлених законом.

4.1.5. Доступ до ПД не надається працівнику(ам), а також третій особі(ам), якщо зазначена(і) особа(и) відмовляється взяти на себе зобов'язання, щодо забезпечення виконання вимог цього Положення та ЗУ «Про захист персональних даних», або неспроможна їх забезпечити.

4.1.6. Володільці чи Розпорядники БПД зобов'язані вносити зміни до ПД на підставі вмотивованої письмової вимоги СПД. Рішення про задоволення вимоги про внесення змін приймається керівником відповідного структурного підрозділу, що уповноважений здійснювати обробку ПД у конкретній БПД. Порядок внесення зміни визначається у Додатках до даного Положення.

Примітка: Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.

4.1.7. Працівники Товариства, що мають доступ до ПД фізичних осіб, мають право отримувати тільки ті ПД, дані які необхідні їм для виконання конкретних професійних, трудових (службових) функцій (обов’язків). Такі Працівники, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків

4.1.8. Допуск інших працівників до ПД фізичних осіб, які не мають належним чином оформленого доступу забороняється.

4.1.9. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров'я, статевого життя, біометричних або генетичних даних (особливі категорії даних) забороняється, за винятком наявності обставин, передбачених ч. 1, 2 ст. 7 ЗУ «Про захист персональних даних».

4.1.10. Товариство, як володілець бази персональних даних веде облік:

– фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;

– спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

– дату, час та джерело збирання персональних даних суб’єкта;

– зміну персональних даних;

– перегляд персональних даних;

– будь-яку передачу (копіювання) персональних даних суб’єкта;

– дату та час видалення або знищення персональних даних;

– працівника, який здійснив одну із указаних операцій;

– мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних.

4.2. Вимоги до працівників які здійснюють обробку ПД фізичних осіб.

4.2.1. Доступ до ПД фізичних осіб мають працівники Товариства, які:

- Ознайомлені з «Положенням про захист персональних даних» та іншими локальними нормативними актами Товариства які регулюють порядок обробки, та захисту персональних даних на Підприємстві.

- Надали письмове зобов’язання щодо дотримання конфіденційності ПД фізичних осіб та дотримання правил їх обробки.

Примітка: Забезпечення отримання зобов’язань покладається на Департамент управління персоналом.

4.2.2. Працівник Товариства, що має доступ до ПД у зв’язку з виконанням посадових обов’язків зобов'язаний:

- Забезпечити належний захист інформації що містить ПД фізичної особи від третіх осіб.

- Дотримуватись “Політики чистих столів”. За відсутності працівника на його робочому місці не повинно бути документів, які містять ПД фізичних осіб дані про яких містяться у зареєстрованих БПД Товариства.

- Запобігати втраті персональних даних або їх неправомірному використанню

4.2.3. Працівник Товариства, що має доступ до ПД у зв’язку з виконанням посадових обов’язків Терміново повідомляє Відповідальну особу та безпосереднього керівника підрозділу/відділу про:

- втрату або знищення носіїв інформації з персональними даними;

- втрату ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

- якщо ідентифікаційні дані для входу в автоматизовану систему обробки персональних даних стали відомі не уповноваженим на це особам.

- виявлення спроби несанкціонованого доступу до персональних даних

4.2.4. При виході у відпустку, службове відрядження, а також інших випадках тривалої відсутності працівника на своєму робочому місці, останній зобов'язаний передати документи та інші носії, що містять персональні дані фізичних осіб працівнику, на якого локальним актом Товариства (наказом, розпорядженням та ін.) буде покладено виконання трудових обов'язків відсутнього працівника. вживаються заходи щодо унеможливлення доступу такої особи до персональних даних

Примітка: У разі якщо таку особу не призначено, то документи та інші носії, що містять персональні дані працівників, передаються іншому співробітникові, що має доступ до персональних даних працівників за вказівкою керівника структурного підрозділу, або зберігаються у приміщеннях, шавах, сейфах захищених від стороннього доступу. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

4.2.5. Особи, які працюють з персональними даними зобов’язані щорічно проходити навчання, щодо порядку застосування та дотримання під час здійснення посадових обов’язків ЗУ «Про захист персональних даних» та інших нормативно правових актів у сфері захисту персональних даних. Навчання проводиться керівниками структурних підрозділів кожного листопада звітного календарного року. Контроль за проведенням навчання покладається на особу відповідальну за організацію роботи, пов’язаної із захистом персональних даних при їх обробці.

4.2.6. При звільненні працівника, що має доступ до ПД фізичних осіб, документи та інші носії, що містять такі персональні дані, своєчасно передаються іншому працівнику, що має доступ до персональних даних фізичних осіб за вказівкою керівника структурного підрозділу, або безпосередньо керівнику підрозділу.

5. Знищення, знеособлення, поновлення персональних даних.

5.1. Персональні дані фізичної особи підлягають знищенню у разі:

5.1.1. закінчення строку зберігання даних, визначеного згодою СПД на обробку цих даних або законом;

5.1.2. припинення правовідносин між СПД та володільцем чи розпорядником бази, якщо інше не передбачено законом;

5.1.3. набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з БПД;

5.1.4. задоволення вмотивованої вимоги СПД про знищення ПД;

5.1.5. видання відповідного припису Уповноваженого ВРУ з прав людини або визначених ним посадових осіб секретаріату Уповноваженого;

5.1.6. персональні дані зібрано з порушенням ЗУ «Про захист персональних даних».

5.2. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

5.2.1. Персональні дані СПД можуть бути поновлені у випадку звернення СПД до Товариства із письмовою заявою про поновлення його персональних даних, або у випадку отримання Товариством відповідної вимоги уповноваженого органу виконавчої влади.

5.2.2. Остаточне рішення про поновлення персональних даних суб’єкта персональних даних у БПД Товариства приймається Генеральним директором в 30 денний строк. Про прийняте рішення, заінтересовані особи повідомляються шляхом направлення електронного повідомлення, телефонограми чи листа.

5.3. Строк зберігання персональних даних фізичних осіб з урахуванням господарських потреб Товариства становить 5 років якщо інший строк не встановлено законодавством, договором або необхідністю захисту прав та законних інтересів Товариства. Даний строк може бути збільшено у випадках передбачених законом та з урахуванням вимог чинного законодавства України.

5.4. Відбір документів з персональними даними, терміни зберігання яких закінчилися, для знищення провадиться експертною комісією, склад якої визначається наказом директора Товариства

5.5. З метою ведення статистичної звітності, з урахуванням господарських потреб Товариства та у відповідності до вимог чинного Законодавства України, персональні дані фізичних осіб можуть бути знеособленні. Персональні дані вважаються знеособленими, якщо із їхнього змісту вилучені відомості за допомогою яких можна ідентифікувати фізичну особу.

5.6. Перелік персональних даних, що підлягають знеособленню, подається Генеральному директору у електронному вигляді, начальником відповідного структурного підрозділу Товариства за попереднім погодженням із особою відповідальною за організацію роботи, пов’язаної із захистом персональних даних при їх обробці.

6. Відповідальність за розголошення конфіденційної інформації та інформації з обмеженим доступом,

яка пов'язана з персональними даними фізичних осіб

6.1. Особи, винні у порушенні норм, що регулюють порядок отримання, обробки і захисту персональних даних фізичних осіб, несуть дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність відповідно до чинного на момент правопорушення законодавства України та локальних розпорядчих актів Товариства.