ВИТЯГ З ПОЛОЖЕННЯ ПРО ОРГАНІЗАЦІЮ ОПЕРАЦІЙНОЇ ДІЯЛЬНОСТІ В АКБ «ІНДУСТРІАЛБАНК» (затвердженого Правлінням Банку 30.11.2018р., зі змінами)

«17. Порядок та процедури захисту персональних даних

17.1. Банк веде бази персональних даних та є їх володільцем відповідно до вимог Закону України «Про захист персональних даних» (далі у цьому розділі – Закон). Отримані персональні дані Банк класифікує як інформацію з обмеженим доступом відповідно до Положення про забезпечення збереження, захисту, використання та розкриття інформації з обмеженим доступом в АКБ «ІНДУСТРІАЛБАНК».

17.2. Для забезпечення своєї діяльності Банк веде бази персональних даних фізичних осіб – клієнтів Банку; контрагентів; працівників Банку.

17.3. Банк письмово повідомляє фізичних осіб, як суб’єктів персональних даних, про володільця персональних даних, мету збору персональних даних, їх склад та зміст, права суб’єктів персональних даних, визначені Законом, у зв‘язку з включенням їх персональних даних до бази персональних даних, та осіб, яким передаються/можуть передаватися їх персональні дані. Повідомлення здійснюється шляхом: - клієнтів Банку - під розпис у відповідному договорі під час встановлення договірних відносин; - довірених осіб клієнтів – під розпис у Повідомленні Банку щодо обробки персональних даних (додаток 318-а до ТК 45); - клієнтів, які виконують разові операції без відкриття рахунків – під розпис у відповідному касовому документі; - працівників Банку – під час приймання на роботу під розпис у: o Повідомленні в порядку ст.12 Закону України «Про захист персональних даних» в АКБ «ІНДУСТРІАЛБАНК»; o Письмовому зобов’язанні працівника Банку про виконання вимог Закону України «Про захист персональних даних» АКБ «ІНДУСТРІАЛБАНК»; o Згоді (дозволі) на обробку персональних даних АКБ «ІНДУСТРІАЛБАНК» відповідно до Закону України «Про захист персональних даних», що є Додатками 8-10 до Положення про організацію роботи з персоналом АКБ «ІНДУСТРІАЛБАНК» та ведення обліку робочого часу.

17.4. Метою обробки Банком будь-яких персональних даних фізичних осіб, у залежності від правовідносин з Банком, може бути: виконання вимог законодавства України, умов укладених договорів, здійснення платежів/ переказів, у тому числі за договорами між Банком та третіми особами, інших банківських операцій, аналіз персональних даних фізичної особи для визначеннях переліку послуг, які доцільно їй пропонувати або для оптимізації роботи з нею, як клієнтом, за вже наданими послугами, а також для досягнення інших цілей, які можуть бути визначені Банком самостійно та не суперечать вимогам законодавства України. Мета обробки персональних даних може бути змінена або доповнена Банком.

17.5. Склад та зміст персональних даних фізичних осіб визначається Банком з урахуванням вимог законодавства України та залежить від мети обробки персональних даних (наприклад, для ідентифікації фізичної особи - клієнта, оцінки ризиків, прийняття рішення про надання кредиту, здійснення інших банківських операцій, видів діяльності, фінансових послуг, приймання на роботу тощо). Деталізований склад та зміст персональних даних визначається внутрішніми документами Банку, що регламентують відповідні процеси діяльності Банку. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

17.6. Фізична особа - суб’єкт персональних даних має права, визначені Законом: 1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених Законом; 2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані; 3) на доступ до своїх персональних даних; 4) отримувати не пізніш як за тридцять календарних днів з дня находження запиту, крім випадків, передбачених Законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних; 5) пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних; 6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними; 7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи; 8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду; 9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних; 10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди; 11) відкликати згоду на обробку персональних даних; 12)знати механізм автоматичної обробки персональних даних; 13) на захист від автоматизованого рішення, яке має для нього правові наслідки; 14) інші права, передбачені Законом.

17.7. Персональні дані фізичної особи, в залежності від правовідносин з Банком, можуть передаватися Банком наступним третім особам (у тому числі, але не виключно): страховим компаніям, рейтинговим агенціям, зовнішнім аудиторським компаніям, контролюючим органам, іншим банкам, Національному банку України, правоохоронним органам, судам, нотаріусам, іншим контролюючим та перевіряючим органам, Бюро кредитних історій, Фонду гарантування вкладів фізичних осіб, іншим юридичним та/або фізичним особам, у випадках, передбачених законодавством України та/або умовами будь-якого правочину, укладеного між Банком та суб’єктом персональних даних, а також третім особам з метою здійснення банківських операцій, видів діяльності, надання фінансових послуг. 17.8. Підписанням документів, указаних у пункті 16.3, фізичні особи надають Банку згоду/дозвіл на: - обробку (в розумінні Закону) та внесення їх до бази персональних даних у обсязі, що міститься в згоді та підписаних/засвідчених інших документах, які передані Банку фізичною особою або третіми особами, в залежності від правовідносин, що встановлені з Банком; - зміну персональних даних на підставі інформації, отриманої від фізичної особи або третіх осіб; - розкриття/поширення персональних даних щодо них, відповідно до законодавства України, умов правочинів та/або інших документів, підписаних фізичними особами. Згода/дозвіл на обробку персональних даних є добровільним волевиявленням фізичної особи та не має обмеження терміну дії. Розірвання/припинення дії будь-якого правочину з фізичною особою не є наслідком припинення дії згоди /дозволу на обробку персональних даних.

17.9. Отримані персональні дані фізичних осіб Банк класифікує як інформацію з обмеженим доступом відповідно до Положення про забезпечення збереження, захисту, використання та розкриття інформації з обмеженим доступом в АКБ «ІНДУСТРІАЛБАНК». Банк здійснює заходи щодо захисту персональних даних згідно з вимогами Закону та вказаного Положення. До таких заходів відносяться: - працівники Банку перед вступом на посаду підписують зобов’язання щодо нерозголошення інформації з обмеженим доступом; - права доступу до інформаційних систем / баз даних надаються працівникам виключно у межах їх функціональних обов’язків; - доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити; - інформація щодо персональних даних фізичної особи надається Банком виключно на підставі запиту, оформленого згідно з вимогами Закону; - юридичний підрозділ здійснює правову оцінку запитів третіх осіб щодо надання інформації, що містить персональні дані фізичних осіб, та відповідність їх вимогам законодавства України; - керівники структурних підрозділів Банку а також підрозділ з питань інформаційної безпеки, підрозділ безпеки, у межах своїх функцій, контролюють дотримання працівниками Банку вимог щодо обробки персональних даних тощо.»