Політика товариства з обмеженою відповідальністю "ВІТЕРІТІ" щодо обробки персональних даних

1.Загальні положення

1.1. Ця Політика товариства з обмеженою відповідальністю "ВІТЕРІТІ" щодо обробки персональних даних (далі - Політика) розроблена на виконання вимог Закону України «Про захист персональних даних» від 01 червня 2010 року №2297-17 (далі - Закон про захист персональних даних) з метою забезпечення прав та захисту прав та захисту прав на недоторканність приватного життя, особисту та сімейну таємницю.
1.2. Політика діє щодо всіх персональних даних, які обробляє товариство з обмеженою відповідальністю "ВІТЕРІТІ" (далі - Оператор, ТОВ "ВІТЕРІТІ").
1.3. Політика поширюється на відносини в галузі обробки персональних даних, що виникли у Оператора як до, так і після затвердження цієї Політики.
1.4. На виконання вимог Закону про захист персональних даних ця Політика публікується у вільному доступі до інформаційно-телекомунікаційної мережі Інтернет на сайті Оператора viterity.com.
1.5. Основні поняття, що використовуються в Політиці:
- персональні дані - будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних);
- оператор персональних даних (оператор) - державний орган, юридична або фізична особа, що самостійно або спільно з іншими особами організують та (або) здійснюють обробку персональних даних, а також визначальні цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними;
- обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій) із персональними даними,
- що здійснюються з використанням засобів автоматизації або без їх використання. Обробка персональних даних включає у тому числі:

• збір
• запис
• систематизацію
• накопичення
• зберігання
• уточнення (оновлення, зміна)
• вилучення
• використання
• передачу (поширення, надання, доступ)
• знеособлення
• блокування
• видалення
• знищення
• автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки
• розповсюдження персональних даних – дії, спрямовані на розкриття персональних даних невизначеному колу осіб
• надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі чи певному колу осіб
• блокування персональних даних – тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних)
• знищення персональних даних - дії, внаслідок яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних та (або) внаслідок яких знищуються матеріальні носії персональних даних
• знеособлення персональних даних - дії, у яких стає неможливим без використання додаткової інформації визначити належність персональних даних конкретному суб'єкту персональних даних
• інформаційна система персональних даних - сукупність персональних даних, що містяться в базах даних, і забезпечують їх обробку інформаційних технологій і технічних засобів
• транскордонна передача персональних даних - передача персональних даних на територію іноземної держави до органу влади іноземної держави, іноземної фізичної особи або іноземної юридичної особи.

1.6. Основні права та обов'язки Оператора.
1.6.1. Оператор має право:

• самостійно визначати склад та перелік заходів, необхідних та достатніх для забезпечення виконання обов'язків, передбачених Законом про захист персональних даних та прийнятими відповідно до нього нормативними правовими актами, якщо інше не передбачено Законом про захист персональних даних чи іншими законами України;
• доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено законами України, на підставі договору, що укладається з цією особою. Особа, яка здійснює обробку персональних даних за дорученням Оператора, зобов'язана дотримуватися принципів та правил обробки персональних даних, передбачених Законом про захист персональних даних;
• у разі відкликання суб'єктом персональних даних згоди на обробку персональних даних Оператор має право продовжити обробку персональних даних без згоди суб'єкта персональних даних за наявності підстав, зазначених у Законі про захист персональних даних.

1.6.2. Оператор зобов'язаний:

• організовувати обробку персональних даних відповідно до вимог Закону про захист персональних даних;
• відповідати на звернення та запити суб'єктів персональних даних та їх законних представників відповідно до вимог Закону про захист персональних даних;
• повідомляти до уповноваженого органу захисту прав суб'єктів персональних даних (Уповноважений Верховної Ради України з прав людини) на запит цього органу необхідну інформацію протягом 30 днів з дати отримання такого запиту.

1.7. Основні права суб'єкта персональних даних. Суб'єкт персональних даних має право:

• отримувати інформацію щодо обробки його персональних даних, за винятком випадків, передбачених законами України. Відомості надаються суб'єкту персональних даних Оператором у доступній формі, і в них не повинні утримуватись персональні дані, що належать до інших суб'єктів персональних даних, за винятком випадків, коли є законні підстави для розкриття таких персональних даних. Перелік інформації та порядок її отримання встановлено Законом про захист персональних даних;
• вимагати від оператора уточнення його персональних даних, їхнього блокування чи знищення у разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів щодо захисту своїх прав;
• висувати умову попередньої згоди при обробці персональних даних з метою просування на ринку товарів, робіт та послуг;
• оскаржити у Уповноваженого Верховної Ради України з прав людини або в судовому порядку неправомірні дії чи бездіяльність Оператора під час опрацювання його персональних даних. (Органом, у сфері захисту персональних даних, визначено Уповноважений Верховної Ради України з прав людини (омбудсмен), який наділяється повноваженнями здійснювати контроль за дотриманням вимог законодавства України у сфері захисту персональних даних. Усі необхідні відомості подано у розділі «захист персональних даних» на офіційному веб-сайті Уповноваженого Верховної Ради.

1.8. Контроль за виконанням вимог цієї Політики здійснюється уповноваженою особою, яка відповідає за організацію обробки персональних даних у Оператора.
1.9. Відповідальність за порушення вимог законодавства України та нормативних актів ТОВ "ВІТЕРІТІ" у сфері обробки та захисту персональних даних визначається відповідно до законодавства України.

2. Цілі збору персональних даних

2.1. Обробка персональних даних обмежується досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.
2.2. Обробці підлягають лише персональні дані, які відповідають цілям їх обробки.
2.3. Обробка Оператором персональних даних здійснюється у таких цілях:

• забезпечення дотримання Конституції України законів та інших нормативних правових актів України;
• здійснення своєї діяльності відповідно до статуту ТОВ "ВІТЕРІТІ";
• ведення кадрового діловодства;
• сприяння працівникам у працевлаштуванні, здобутті освіти та просуванні по службі, забезпечення особистої безпеки працівників, контроль кількості та якості виконуваної роботи, забезпечення збереження майна;
• залучення та відбір кандидатів на роботу у Оператора;
• організація постановки на індивідуальний (персоніфікований) облік працівників у системі обов'язкового пенсійного страхування;
• заповнення та передача до органів виконавчої влади та інших уповноважених організацій необхідних форм звітності;
• здійснення цивільно-правових відносин;
• ведення бухгалтерського обліку;
• здійснення пропускного режиму.

2.4. Обробка персональних даних працівників може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів. ‌

3. Правові основи обробки персональних даних

‌3.1. Правовим підґрунтям обробки персональних даних є сукупність нормативних правових актів, на виконання яких та відповідно до яких Оператор здійснює обробку персональних даних.
‌‌3.2. Правовим підґрунтям обробки персональних даних також є:

• ‌ статут ТОВ "ВІТЕРІТІ";
• ‌договори, що укладаються між Оператором та суб'єктами персональних даних;
• ‌згоду суб'єктів персональних даних на обробку їх персональних даних.

‌

4. Обсяг та категорії оброблюваних персональних даних, категорії суб'єктів персональних даних

4.1. Зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки, передбаченим у розд. 2 цієї Політики. Персональні дані, що обробляються, не повинні бути надмірними по відношенню до заявлених цілей їх обробки.
‌‌4.2. Оператор може обробляти персональні дані наступних категорій суб'єктів персональних даних.
‌‌‌4.2.1. Кандидати для прийому на роботу до Оператора:

• ‌прізвище, ім'я, по батькові;
• ‌пол;
• ‌громадянство;
• ‌дата та місце народження;
• ‌контактні дані;
• ‌відомості про освіту, досвід роботи, кваліфікацію;
• ‌інші персональні дані, що повідомляються кандидатами в резюме та супровідних листах.

‌4.2.2. Працівники та колишні працівники Оператора:

• ‌прізвище, ім'я, по батькові;
• ‌пол;
• ‌громадянство;
• ‌дата та місце народження;
• ‌зображення (фотографія);
• ‌паспортні дані;
• ‌адреса реєстрації за місцем проживання;
• ‌адреса фактичного проживання;
• ‌контактні дані;
• ‌ідентифікаційний код;
• ‌відомості про освіту, кваліфікацію, професійну підготовку та підвищення кваліфікації;
• ‌сімейний стан, наявність дітей, родинні зв'язки;
• ‌ відомості про трудову діяльність, у тому числі наявність заохочень, нагороджень та (або) дисциплінарних стягнень;
• ‌дані про реєстрацію шлюбу;
• ‌відомості про військовий облік;
• ‌відомості про інвалідність;
• ‌відомості про утримання аліментів;
• ‌відомості про доход з попереднього місця роботи;
• ‌інші персональні дані, що надаються працівниками відповідно до вимог трудового законодавства.

‌ 4.2.3. Члени сім'ї працівників Оператора:

• ‌прізвище, ім'я, по батькові;
• ‌ступінь спорідненості;
• ‌рік народження;
• ‌інші персональні дані, що надаються працівниками відповідно до вимог трудового законодавства.

‌4.2.4. Клієнти та контрагенти Оператора (фізичні особи): прізвище, ім'я, по батькові;‌

• ‌дата та місце народження; паспортні дані;‌
• ‌адреса реєстрації за місцем проживання; контактні дані;‌
• ‌заміщувана посада;
• ‌індивідуальний номер платника податків; номер розрахункового рахунку;‌
• ‌інші персональні дані, що надаються клієнтами та контрагентами (фізичними особами), необхідні для укладання та виконання договорів.

‌‌4.2.5. Представники (працівники) клієнтів та контрагентів Оператора (юридичних осіб):

• ‌прізвище, ім'я, по батькові; паспортні дані; контактні дані; посада, що заміщається;‌‌‌
• ‌інші персональні дані, що надаються представниками (працівниками) клієнтів та контрагентів, необхідні для укладання та виконання договорів.
• ‌Обробка Оператором біометричних персональних даних (відомостей, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу) здійснюється відповідно до законодавства України.
• ‌Оператором не здійснюється обробка спеціальних категорій персональних даних щодо расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя, за винятком випадків, передбачених законодавством України.

‌4.3. Обробка Оператором біометричних персональних даних (відомостей, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу) здійснюється відповідно до законодавства України.
‌‌4.4. Оператором не здійснюється обробка спеціальних категорій персональних даних, що стосуються расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя, за винятком випадків, передбачених законодавством України.

5. Порядок та умови обробки персональних даних

‌5.1. Обробка персональних даних здійснюється Оператором відповідно до вимог законодавства України.
‌‌5.2. Обробка персональних даних здійснюється за згодою суб'єктів персональних даних на обробку їх персональних даних, а також без такої у випадках, передбачених законодавством України.
‌‌‌5.3. Оператор здійснює як автоматизовану, так і неавтоматизовану обробку персональних даних.
‌‌‌‌5.4. До обробки персональних даних допускаються працівники Оператора, до посадових обов'язків яких входить обробка персональних даних.
‌Обробка персональних даних здійснюється шляхом:

• ‌отримання персональних даних в усній та письмовій формі безпосередньо від суб'єктів персональних даних;
• ‌отримання персональних даних із загальнодоступних джерел;
• ‌внесення персональних даних до журналів, реєстрів та інформаційних систем Оператора;
• ‌використання інших способів обробки персональних даних.

‌5.6. Не допускається розкриття третім особам та розповсюдження персональних даних без згоди суб'єкта персональних даних, якщо інше не передбачено законом України.
‌‌5.7. Передача персональних даних органам дізнання та слідства, до податкової служби, Пенсійного фонду України. Фонд соціального страхування та інші уповноважені органи виконавчої влади та організації здійснюється відповідно до вимог законодавства України.
‌‌5.8. Оператор вживає необхідних правових, організаційних та технічних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, розповсюдження та інших несанкціонованих дій, у тому числі:

• ‌визначає загрози безпеці персональних даних при їх обробці;
• ‌приймає локальні нормативні акти та інші документи, що регулюють відносини у сфері обробки та захисту персональних даних;
• ‌призначає осіб, відповідальних за забезпечення безпеки персональних даних у структурних підрозділах та інформаційних системах Оператора;
• ‌створює необхідні умови для роботи з персональними даними;
• ‌організує облік документів, що містять персональні дані;
• ‌організує роботу з інформаційними системами, в яких обробляються персональні дані;
• ‌зберігає персональні дані в умовах, за яких забезпечується їх збереження та виключається неправомірний доступ до них;
• ‌організує навчання працівників Оператора, які здійснюють обробку персональних даних.

‌5.9. Оператор здійснює зберігання персональних даних у формі, що дозволяє визначити суб'єкта персональних даних, не довше, ніж цього вимагають мети опрацювання персональних даних, якщо термін зберігання персональних даних не встановлений законом України, договором.
‌5.10. При зборі персональних даних, у тому числі за допомогою інформаційно-телекомунікаційної мережі Інтернет, Оператор забезпечує запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення персональних даних громадян України з використанням баз даних, що знаходяться на території України, за винятком випадків.
‌

6. Актуалізація, виправлення, видалення та знищення персональних даних, відповіді на запити суб'єктів на доступ до персональних даних‌‌

‌6.1. Підтвердження факту обробки персональних даних Оператором, правові підстави та цілі обробки персональних даних, а також інші відомості, зазначені в Законі про захист персональних даних, надаються Оператором суб'єкту персональних даних або його представнику при зверненні або отриманні запиту суб'єкта персональних даних або його представника.
‌До наданих відомостей не включаються персональні дані, що стосуються інших суб'єктів персональних даних, за винятком випадків, коли є законні підстави для розкриття таких персональних даних.
‌Запит повинен містити:

• ‌номер основного документа, що засвідчує особу суб'єкта персональних даних або його представника, відомості про дату видачі зазначеного документа та орган, що його видав;
• ‌відомості, що підтверджують участь суб'єкта персональних даних у відносинах з Оператором (номер договору, дата укладання договору, умовне словесне позначення та (або) інші відомості), або відомості, що іншим чином підтверджують факт обробки персональних даних Оператором;
• ‌підпис суб'єкта персональних даних або його представника.
• ‌Запит може бути направлений у формі електронного документа та підписаний електронним підписом відповідно до законодавства України. Якщо у зверненні (запиті) суб'єкта персональних даних не відображено відповідно до вимог Закону про захист персів