Інформація про порядок обробки персональних даних споживачів та дії страховика щодо їх захисту

ПОЛОЖЕННЯ

ПРО ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ СПОЖИВАЧІВ ТА ДІЇ ТДВ «СТРАХОВА КОМПАНІЯ «ПРОФЕСІЙНЕ СТРАХУВАННЯ» ЩОДО ЇХ ЗАХИСТУ

 

Київ – 2025 р.

 

Це Положення визначає загальні засади та вимоги щодо збирання, зберігання, використання, поширення й захисту персональних даних споживачів (далі — Користувачів, Споживачів) Товариства з додатковою відповідальністю "Страхова компанія "ПРОФЕСІЙНЕ СТРАХУВАННЯ, код ЄДРПОУ 35482587 (далі — Товариство). Усі терміни, що вживаються в цьому Положенні, використовуються відповідно до чинного законодавства України, у тому числі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (із змінами та доповненнями) та інших нормативно-правових актів.

1. Мета та сфера застосування

1.1. Мета Положення

1. Дане Положення запроваджено з метою встановлення єдиних та зрозумілих вимог до всіх процесів обробки, зберігання, передачі й захисту персональних даних Користувачів у межах діяльності Товариства. 

2. Воно покликане гарантувати дотримання засад законності, прозорості та конфіденційності в процесі обробки персональних даних, а також відповідність нормам чинного законодавства України у сфері захисту інформації. 

3. Положення має забезпечити системність підходу до збору та використання даних, а також унеможливити несанкціонований доступ або неправомірні дії з персональними даними. 

1.2. Сфера застосування

1. Вимоги цього Положення є обов’язковими до виконання всіма працівниками Товариства, його представниками, підрядниками та іншими залученими особами, які в межах договірних або інших відносин отримують доступ до персональних даних, що обробляються Товариством. 

2. Дія Положення поширюється на всі операції з персональними даними Користувачів, починаючи від моменту їх первинного збору (у тому числі через електронні форми, телефонні звернення, безпосереднє спілкування) й завершуючи зберіганням, використанням та подальшим знищенням або знеособленням цих даних. 

3. Положення застосовується до всіх форм і видів даних: паперових, електронних, аудіо- чи відеоматеріалів, записів розмов тощо, які потенційно містять або можуть містити інформацію, що дозволяє ідентифікувати конкретного Користувача. 

4. У межах сфери своєї дії дане Положення охоплює також відносини з партнерами чи постачальниками послуг, якщо їм у межах співпраці передається (або може бути передана) будь-яка інформація про Користувачів. 

1.3. Терміни

Всі терміни щодо персональних даних, їх обробки, володільця, розпорядника тощо вживаються у значеннях, визначених чинним законодавством України.

 

2. Категорії персональних даних, що обробляються

2.1. Основні види даних

1. Ідентифікаційні дані: ім’я, прізвище, по батькові — ці дані є базовими й використовуються для однозначного визначення особи Користувача. 

2. Контактні дані: номер телефону, адреса електронної пошти, поштова адреса — необхідні для комунікації з Користувачем, надання консультацій, надсилання офіційних повідомлень та інших інформаційних матеріалів. 

3. Реєстраційний номер облікової картки платника податків (за потреби) — може знадобитися для належного виконання податкових чи фінансових зобов’язань Товариства. 

4. Додаткова інформація, надана Користувачем добровільно: відомості, заповнені в анкетах чи заявах, інформація про місце роботи, сімейний стан (за потреби для страхування), тощо. 

5. Дані про онлайн-активність: IP-адреси, файли cookie, інформація про браузер та операційну систему, дату та тривалість відвідування вебсайту Товариства, статистика кліків. Ці дані можуть бути використані для аналітики, покращення роботи онлайн-сервісів і зручності Користувачів. 

2.2. Особливі (чутливі) дані

1. Товариство не обробляє дані, які належать до особливих категорій (расове чи етнічне походження, політичні, релігійні чи філософські переконання, дані про здоров’я чи сексуальне життя), окрім випадків, коли така обробка прямо дозволена та регламентована законодавством або необхідна для виконання договірних зобов’язань (наприклад, у разі страхування життя чи здоров’я) і при цьому отримано чітко виражену згоду суб’єкта даних (якщо це обов’язково вимагається законом). 

2. У разі, якщо Товариство все ж повинно обробляти чутливі дані, для їх захисту впроваджується посилений режим доступу, встановлюються додаткові технічні та організаційні бар’єри, а також призначаються відповідальні особи для здійснення контролю. 

3. Підстави та цілі обробки персональних даних

3.1. Підстави обробки

1. Вимоги законодавства України: Товариство обробляє персональні дані відповідно до приписів нормативно-правових актів, у тому числі у випадках, коли це є необхідним для податкових або фінансових звітів чи для відповіді на запити державних органів. 

2. Виконання договорів: Обробка даних здійснюється для забезпечення виконання договорів страхування або інших цивільно-правових угод з Користувачами. Це може стосуватися розрахунків страхових внесків, розгляду страхових випадків, виплати страхових сум тощо. 

3. Згода Користувачів: У тих випадках, коли обробка даних не випливає прямо з вимог закону або з договору, Товариство отримує попередню згоду Користувача (наприклад, під час реєстрації на сайті, заповнення форм зворотного зв’язку чи використання електронних сервісів). 

3.2. Цілі обробки

1. Надання страхових послуг: Ідентифікація Користувача, аналіз страхового ризику, розрахунок відповідних внесків та виплат, а також оформлення необхідних документів. 

2. Інформаційна підтримка: Надсилання новин, оновлень, повідомлень про акційні пропозиції, додаткові послуги Товариства, знижки на страхування тощо, але тільки за умови, що Користувач не заперечив проти такого розсилання або надав згоду на нього. 

3. Внутрішній аналіз та покращення якості: Використання інформації про взаємодію Користувачів із сервісами Товариства для вдосконалення процесів, автоматизації систем, покращення дизайну вебсайту та розробки більш зручних інструментів комунікації. 

4. Статистична та аналітична обробка: Формування різноманітних показників, звітів, прогнозів, необхідних для стратегічного планування та прийняття управлінських рішень. Дані при цьому зазвичай знеособлюються або агрегуються, щоб не розкривати ідентифікуючу інформацію про конкретних Користувачів. 

5. Забезпечення законодавчих вимог: Виконання юридичних зобов’язань, зокрема у відповідь на запити правоохоронних органів, судів чи інших уповноважених інстанцій, згідно з визначеною законодавством процедурою. 

4. Порядок збору та зберігання даних

4.1. Збір даних

1. Прямий збір: Товариство отримує дані переважно безпосередньо від Користувачів, коли ті заповнюють електронні або паперові форми, надають інформацію телефоном або особисто. Така форма збору дає Користувачеві можливість контролювати обсяг і точність наданих даних. 

2. Добровільність: Уся інформація надається Користувачем на добровільних засадах, за винятком випадків, коли певні відомості обов’язкові для укладення чи виконання договорів або вимагаються законодавством. Товариство має чітко інформувати про те, які поля є обов’язковими, а які — ні. 

3. Уточнення та оновлення: У разі змін у персональних даних (наприклад, зміна прізвища, адреси, номера телефону), Користувач має право та можливість звернутися до Товариства з вимогою оновити чи виправити застарілу інформацію. 

4.2. Зберігання даних

1. Інформаційні системи: Товариство використовує комплекс спеціалізованих програмних рішень і захищених серверів для зберігання персональних даних. У разі застосування хмарних технологій залучаються лише такі постачальники, які гарантують високий рівень безпеки. 

2. Строки зберігання: Термін, протягом якого персональні дані можуть зберігатися, визначається метою обробки та вимогами законодавства. Наприклад, якщо дані потрібні для виконання договірних зобов’язань, вони зберігаються щонайменше до закінчення строку дії договору та вирішення всіх супутніх питань. У деяких випадках закон установлює мінімальний строк зберігання, зокрема для бухгалтерських документів. 

3. Знищення та знеособлення: Після досягнення мети обробки або у разі відкликання згоди Користувача (якщо обробка здійснювалася винятково на підставі згоди), персональні дані знищуються або знеособлюються. У разі знеособлення дані втрачають будь-які ідентифікаційні ознаки й можуть надалі використовуватися Товариством у статистичних чи аналітичних цілях. 

5. Передача та розкриття персональних даних

5.1. Загальні правила передачі

1. Принцип обмеження: Товариство не передає персональні дані третім особам, за винятком випадків, коли це прямо передбачено законом або необхідно для виконання договірних зобов’язань. 

2. Згода Користувача: Якщо потрібно поділитися даними з третіми сторонами (наприклад, для надання додаткових послуг), Товариство заздалегідь інформує про це Користувача та отримує його згоду, якщо така згода не була отримана раніше у загальній формі. 

3. Захист інтересів Товариства: Персональні дані можуть бути розкриті, якщо це необхідно для захисту законних прав Товариства (наприклад, у разі юридичного спору), і таке розкриття не суперечить чинному законодавству. 

 5.2. Випадки обов’язкового розкриття

1. Запити державних органів: У разі отримання офіційного запиту від правоохоронних, судових чи контролюючих органів, Товариство зобов’язане надати дані, якщо це вимагається законом і запит оформлено належним чином. 

2. Партнерство та підрядники: Якщо Товариство залучає сторонні організації чи спеціалістів (ІТ-провайдерів, юридичні компанії, кол-центри), які можуть мати доступ до персональних даних, воно укладає з ними відповідні договори, що передбачають зобов’язання дотримуватися вимог конфіденційності й рівня захисту, не нижчого за той, що встановлено самим Товариством. 

6. Заходи захисту персональних даних

6.1. Технічні заходи

1. Шифрування: Для передачі даних через мережу Інтернет застосовується SSL-шифрування чи інші надійні протоколи, що унеможливлюють перехоплення та читання інформації сторонніми особами. 

2. Системи захисту: Товариство впроваджує антивірусні програми, фаєрволи, системи виявлення вторгнень (IDS) та інші технологічні рішення, що дають змогу вчасно виявити та заблокувати несанкціонований доступ. 

3. Доступ на основі ролей: Кожен працівник Товариства має лише ті права доступу до даних, які потрібні йому для виконання посадових обов’язків. Регулярно проводяться перевірки таких прав, а також їх перегляд у разі кадрових змін. 

4. Резервне копіювання: Щоб уникнути втрати важливої інформації, періодично створюються резервні копії даних, які зберігаються у захищеному середовищі. 

6.2. Організаційні заходи

1. Навчання та інструктаж: Товариство проводить регулярні тренінги для працівників, пояснюючи їм основні правила роботи з персональними даними, потенційні ризики витоку інформації та способи запобігання їм. 

2. Угоди про нерозголошення (NDA): Усі працівники, підрядники та інші особи, які мають доступ до персональних даних, підписують відповідні документи про нерозголошення конфіденційної інформації. 

3. Відповідальні особи: Товариство призначає фахівців або створює окремі підрозділи, що відповідають за моніторинг, аналіз і забезпечення виконання вимог цього Положення, а також за розробку внутрішніх політик безпеки. 

6.3. Реагування на інциденти

1. Виявлення порушень: У разі виявлення несанкціонованого доступу або інших інцидентів безпеки (наприклад, вірусних атак, компрометації облікових записів) Товариство невідкладно вживає заходів для блокування доступу та мінімізації збитків. 

2. Повідомлення: Якщо витік даних може спричинити значну шкоду Користувачам або загрожувати їх правам і свободам, Товариство повідомляє про це відповідні державні органи та/або безпосередньо суб’єктів даних (залежно від вимог закону). 

3. Розслідування та запобігання: Після кожного інциденту проводиться внутрішнє розслідування, за результатами якого оновлюються технічні та організаційні заходи безпеки, а також, за потреби, проводиться додатковий інструктаж персоналу. 

7. Права суб’єктів персональних даних

Відповідно до чинного законодавства України у сфері захисту персональних даних, кожен Користувач має право:

1. Знати джерела збирання: дізнатися, з яких джерел Товариство отримало його персональні дані (якщо вони не були надані безпосередньо). 

2. Ознайомлюватися з місцезнаходженням даних: отримувати інформацію про те, де й як зберігаються, обробляються чи передаються його дані. 

3. Мета обробки: розуміти, навіщо Товариство збирає і використовує дані, як довго планує їх зберігати та чи будуть вони передаватися третім особам. 

4. Доступ до персональних даних: Користувач може вимагати від Товариства надати перелік своїх персональних даних і пояснити, чи дійсно вони обробляються. 

5. Зміна та знищення: вимагати зміни, уточнення або виправлення неточних даних, а також знищення тих, що обробляються незаконно або стали непотрібними для досягнення мети обробки. 

6. Заперечення проти обробки: Користувач має право вимагати припинення обробки (повністю чи частково), якщо така обробка не відповідає законним підставам або порушує його права. 

7. Скарги та звернення: оскаржувати дії Товариства до Уповноваженого Верховної Ради з прав людини або до суду, якщо вважає, що його права порушено. 

8. Відкликати згоду: у разі, якщо обробка ґрунтується на згоді, Користувач може відкликати її в будь-який момент, без жодних негативних наслідків для себе (за винятком ситуацій, коли це вплине на можливість надання страхової послуги). 

9. Знати механізм автоматичної обробки: вимагати інформацію про логіку автоматичного оброблення даних (якщо таке має місце), а також вимагати захисту від потенційних ризиків, що виникають через профайлінг або автоматичні рішення. 

8. Порядок реалізації прав суб’єктів персональних даних

8.1. Звернення Користувача

1. Форми звернення: Користувач може звернутися до Товариства з вимогою про реалізацію своїх прав у письмовій або електронній формі, а також особисто в офісі Товариства. 

2. Зміст звернення: У зверненні Користувач має чітко вказати, яке саме право він хоче реалізувати, й надати інформацію, необхідну для його ідентифікації (наприклад, ПІБ, контактні дані, суть вимоги). 

3. Підтвердження повноважень: Товариство може вимагати пред’явлення документа, що посвідчує особу, або іншого підтвердження повноважень (наприклад, довіреність у разі подання звернення представником). 

8.2. Строки розгляду

1. Стандартний строк: Згідно із законом, Товариство зобов’язане надати відповідь на запит про доступ до даних або інші вимоги щодо обробки персональних даних протягом 30 календарних днів із моменту отримання відповідного звернення. 

2. Продовження строку: Якщо звернення є складним або об’ємним (наприклад, вимагає додаткових технічних перевірок чи з’ясування обставин), Товариство може продовжити строк розгляду, але повинно завчасно повідомити про це Користувача із зазначенням причин продовження. 

8.3. Результат розгляду

1. Задоволення вимоги: Якщо вимога Користувача є правомірною й не суперечить чинному законодавству, Товариство вносить зміни до даних, припиняє чи обмежує їх обробку або знищує інформацію згідно з проханням. 

2. Вмотивована відмова: У разі, якщо виконати вимогу неможливо через законодавчі обмеження або з інших об’єктивних причин, Товариство надає письмову відмову з обґрунтуванням. 

9. Відповідальність

9.1. Відповідальність працівників

1. Усі працівники Товариства, які отримують доступ до персональних даних, зобов’язані суворо дотримуватися вимог цього Положення, а також відповідних норм законодавства. 

2. Недотримання правил обробки, поширення чи незаконне розголошення даних може спричинити дисциплінарну, адміністративну чи кримінальну відповідальність згідно з чинним законодавством. 

9.2. Відповідальність підрядників

1. Усі треті сторони (підрядники, партнери, постачальники послуг), які в межах договірних відносин із Товариством отримують доступ до персональних даних, зобов’язані дотримуватися не менш суворих вимог щодо конфіденційності та безпеки. 

2. У разі порушення такими особами цих вимог або заподіяння шкоди суб’єктам персональних даних, вони несуть відповідальність згідно з умовами укладених договорів та відповідно до чинного законодавства України. 

10. Внесення змін до Положення

10.1. Оновлення та оприлюднення

1. Товариство може періодично переглядати та вносити зміни до цього Положення з метою приведення його у відповідність до нових законодавчих вимог, зміни внутрішніх процесів чи впровадження сучасних технологічних рішень. 

2. Нова редакція Положення набуває чинності з моменту її опублікування на офіційному вебсайті Товариства або з іншої дати, яка може бути вказана безпосередньо у самому документі. 

10.2. Обов’язок ознайомлення

1. Користувачі зобов’язані періодично перевіряти актуальну редакцію Положення, щоб бути в курсі будь-яких можливих змін у процедурах обробки та захисту персональних даних. 

2. У разі суттєвих змін, що стосуються порядку чи мети обробки персональних даних, Товариство може додатково інформувати Користувачів про це (наприклад, через розсилку електронних повідомлень або розміщення спеціального оголошення на вебсайті). 

 

 

Генеральний директор                                                                    Ніна ДАНИЛЮК