Товариство, як власник та розпорядник бази персональних даних клієнтів-фізичних осіб, які укладають договори страхування з TДВ СК «Кредо» (надалі — «База персональних даних») самостійно визначає порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у сфері страхування, відповідно до вимог, визначених Законом України «Про захист персональних даних». Терміни та визначення, що використовуються у цьому Порядку вживаються у значеннях, наведених у Законі України «Про захист персональних даних».
Метою обробки персональних даних осіб, які уклали договір страхування з Товариством є забезпечення реалізації відносин у сфері страхування відповідно до Закону України «Про страхування».
Мета обробки персональних даних клієнтів повідомляється останнім при укладенні договорів страхування та зазначається в цих договорах страхування.
Підставою обробки персональних даних осіб, які уклали договір страхування з Товариством є надання згоди на обробку персональних даних такими особами.
Суб’єктами персональних даних є:
Страхувальники – фізичні особи, які уклали договори страхування з Товариством.
Застраховані особи – фізичні особи, на користь яких укладені договори страхування з Товариством.
Вигодонабувачі – фізичні особи, що визначені договором страхування як отримувачі страхової виплати або є отримувачами страхової виплати відповідно до законодавства України.
База персональних даних містить наступні персональні дані:
- паспортні дані;
- особисті відомості (громадянство, дата народження, вік, стать, номер обліковоїкартки платника податків);
- місце проживання фактичне та за державною регістрацією;
- професія;
- номери телефонів та електронної пошти;
- дані, що стосуються здоров’я.
Паперовими та електронними носіями, що містять персональні дані, можуть бути:
- копія сторінок паспорту;
- копія довідки про присвоєння номеру облікової картки платника податків України;
- договори страхування;
- документи, надані Страхувальником, Застрахованою особою або Вигодонабувачем до Товариства для врегулювання страхового випадку;
- інші документи, що надаються Страхувальником, Застрахованою особою або Вигодонабувачем до Товариства та містять персональні дані, зазначені в абзацах 2-6 цього пункту.
Персональні дані збираються шляхом внесення їх до договорів страхування та автоматизованих систем для укладання та обслуговування договорів страхування.
Згода особи на обробку персональних даних може бути зафіксована та задокументована шляхом:
- зазначення відповідного застереження в договорі страхування, який підписала особа;
- запису телефонної розмови, під час якої особа надала свою згоду; використанням автоматизованих рішень для укладання договорів страхування, алгоритм яких передбачає можливість проставлення відмітки про надання дозволу на обробку своїх персональних даних, натиснувши на відповідний «чек бокс» (кнопку);
- надання особою окремої письмової згоди на обробку персональних даних або виконання іншої дії, що прямо та однозначно свідчить про волевиявлення особи.
Персональні дані зберігаються протягом строку, визначеного згодою суб’єкта персональних даних на обробку цих даних та/або законодавством про страхування.
Персональні дані зберігаються на електронних та паперових носіях у спосіб, що забезпечує захист персональних даних від випадкової втрати a6o знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних та унеможливлює доступ до них сторонніх осіб.
Документи, що містять персональні дані, зберігаються протягом всього строку обробки персональних даних, але в будь якому разі не менше строку, передбаченого законодавством України та внутрішніми положеннями Товариства для відповідних типів документів.
Після закінчення строку зберігання, документи, що містять персональні дані, підлягають знищенню в порядку, передбаченому законодавством України та внутрішніми положеннями Товариства.
Персональні дані можуть бути змінені за умови надання суб’єктом персональних даних вмотивованої вимоги.
Персональні дані можуть бути видалені або знищені за умови надання суб’єктом персональних даних вмотивованої вимого або у разі:
- закінчення строку зберігання персональних даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
- припинення правовідносин між суб’єктом персональних даних та Товариством, якщо інше не передбачено законом або суб’єкт персональних даних не надав згоди на зберігання i таких даних після припинення таких відносин;
- видання відповідного припису Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений) або визначених ним посадових осіб секретаріату Уповноваженого;
- набрання законної сили рішення суду щодо видалення a6o знищення персональних даних;
- відкликання суб’єктом персональних даних згоди на обробку персональних даних або пред’явлення суб’єктом персональних даних вмотивованої вимоги щодо знищення своїх персональних даних. У цьому випадку обов’язковою умовою видалення або знищення персональних даних є припинення дії договорів страхування.
У разі якщо вимога суб’єкта персональних даних не підлягає задоволенню, Товариство надає суб’єкту персональних даних вмотивовану відповідь щодо відсутності підстав для її задоволення.
Зміна, видалення або знищення персональних даних здійснюється відповідальною особою Товариства виключно на підставі документів, наданих суб’єктом персональних даних.
Товариство може надати доступ третім особам на підставі письмового запиту таких осіб, виключно за згодою суб’єкта персональних даних або у випадках, встановлених чинним законодавством України у яких така згода не вимагається.
Товариство не надає доступу третім особам, які відмовляються або не спроможні забезпечити захист персональних даних від випадкової втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Товариство веде облік уповноважених осіб, які мають доступ до персональних даних.
Товариство визначає рівень доступу уповноважених осіб до персональних даних суб’єктів. Кожна із таких осіб користується доступом лише до тих персональних даних (їх частини), які необхідні їй у зв’язку з виконанням своїх професійних чи посадових обов’язків.
Уповноважені Товариством особи, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи посадових обов’язків.
Товариство надає доступ суб’єктам персональних даних до їх персональних даних виключно на підставі їх письмової вимоги шляхом письмового повідомлення їм змісту таких персональних даних.
Товариство вживає заходів для забезпечення захисту персональних даних на всіх етапах їх обробки.
Товариство самостійно визначає перелік i склад заходів, спрямованих на безпеку обробки персональних даних, з врахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки, у тому числі за допомогою організаційних та технічних заходів. Серед іншого, такими заходами є:
- ведення обліку уповноважених осіб, які мають доступ до персональних даних;
- визначення порядку доступу уповноважених осіб до персональних даних;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
- розробка плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання уповноважених осіб, які працюють з персональними даними;
- дублювання роботи всіх систем та елементів для забезпечення збереження інформації та забезпечення неможливості її несанкціонованого знищення;
- використання програмних продуктів, що мають вбудовані механізми захисту інформації від несанкціонованого доступу, ідентифікації користувачів, забезпечення цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом.