Кодекс поведінки при роботі з персональними даними у ПрАТ «Київстар»

Додаток № 1 до наказу


від «11» лютого 2015 року № 22



Кодекс поведінки при роботі з персональними даними у ПрАТ «Київстар»


Загальні положення, мета Кодексу


Здійснення господарської діяльності ПрАТ «Київстар» (надалі – Компанія) передбачає обробку персональних даних корпоративних абонентів Компанії, її контрагентів та працівників. Компанія визначає для себе пріоритетом та обов’язковим завданням здійснювати обробку відповідних персональних даних виключно на підставах та у порядку, визначених законодавством України та відповідно до господарських зобов’язань Компанії.


Завданням цього Кодексу є забезпечення належного рівня прозорості при обробці персональних даних, захисту персональних даних під час їх оброки та використання в ході здійснення своєї господарської діяльності, а також належного інформування усіх зацікавлених осіб про види персональних даних, що обробляються Компанією, загальний порядок та особливості їх обробки.


  1. Сфера застосування


1.1. Правова природа Кодексу


Кодекс розроблено на підставі Конституції України, Закону України «Про захист персональних даних», Закону України «Про інформацію», Закону України «Про телекомунікації», Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 року № 1/02-14 (далі - Типовий порядок), інших підзаконних актів та внутрішніх процедур Компанії.


Збір та передача персональних даних до правоохоронних органів та уповноважених органів державної влади здійснюються у суворій відповідності до вимог законодавства та визначених ним повноважень відповідних органів.


1.2. Строк дії Кодексу


Строк дії Кодексу не обмежується. Компанія має право вносити зміни до Кодексу, про що негайно інформує громадськість шляхом розміщення оновленого Кодексу на офіційному веб-сайті Компанії www.kyivstar.ua(далі – Веб-сайт).


  1. Принципи обробки персональних даних


2.1. Прозорість організації процесу обробки персональних даних


Цей Кодекс має бути оприлюднений на офіційному Веб-сайті Компанії. Відповідно до його положень підставами для обробки Компанією персональних даних є:


  • згода суб’єкта персональних даних на їх обробку;

  • укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на його користь;


  • необхідність виконання обов’язків Компанії, які передбачені законом;


  • необхідність захисту законних інтересів Компанії, окрім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.


Метою обробки персональних даних Компанією є надання якісних телекомунікаційнихпослуг суб’єктам персональних даних, індивідуальний підхід до потреб кожного споживача послуг Компанії (обробка інформації, що становить профіль споживання послуг), здійснення трудових відносин та господарської діяльності у порядку, визначеному законодавством.


Відповідна мета, зафіксована у цьому Кодексі, доводиться до кожного суб’єкта персональних даних під час укладення тих чи інших договорів з Компанією. Підписання відповідних договорів з боку суб’єкта персональних даних підтверджує його згоду на обробку його персональних даних. При цьому склад та зміст персональних даних мають бути відповідними, адекватними та не надмірними стосовно визначеної цим Кодексом та договором мети їх обробки.


2.2. Доступність персональних даних


Для суб’єкта персональних даних його персональні данні повинні бути доступними з початку їх обробки й надалі в будь-якій момент у разі подання суб’єктом персональних даних відповідного письмового запиту Компанії.


2.3. Згода суб’єкта персональних даних


За своїм змістом отримана згода має бути явно вираженою, тобто отриманою на основі вільного волевиявлення, при цьому суб’єкт персональних даних має бути проінформований про правові наслідки надання ним такої згоди. За своєю формою згода на обробку персональних даних – це волевиявлення суб’єкта персональних даних, виражене у будь-який спосіб, у тому числі шляхом вчинення ним дій, які можуть бути зафіксовані обладнанням Компанії.


Компанія інформує про своє право без отримання додаткової згоди суб’єкта персональних даних обробляти його персональні дані (в тому числі, але не обмежуючись, інформацією про надані телекомунікаційні послуги, їх тривалість, вартість, маршрути передавання тощо), передавати третім особам у випадках, передбачених законами України та/або відповідним договором, у порядку, встановленому законодавством та/або договором.


Припинення дії договору про надання телекомунікаційних послуг не означає припинення дії згоди на обробку персональних даних. Відкликання згоди на обробку персональних даних здійснюється у порядку, встановленому цим Кодексом.


2.4. Деякі особливості обробки персональних даних та виключення

2.4.1. Автоматизація прийняття рішень


Персональні дані, що обробляються у Компанії, підлягають автоматизованій обробці за умови наявності технічної можливості такої обробки. Компанія вживає всі необхідні заходи щодо захисту персональних даних, що обробляються автоматизовано, та забезпечує доступ до відповідних автоматизованих систем лише прямо уповноваженим на це особам з дотриманням усіх вимог, передбачених Типовим порядком.


2.4.2. Інформація щодо телекомунікаційних послуг споживачів послуг Компанії, які отримують такі послуги знеособлено (анонімно) без надання інформації, за якою вони можуть бути ідентифіковані Компанією, не є персональними даними таких споживачів та обробляються у відповідності до Закону України «Про телекомунікації», зокрема п.16 ст.32 та ст. 34 цього Закону.


Відповідні споживачі мають право зареєструватись в Компанії у встановленому законодавством порядку. Виключно з дати, коли така реєстрація була проведена, після надання згоди на обробку персональних даних такий споживач стає суб’єктом персональних даних та отримує право на доступ до інформації щодо наданих телекомунікаційних послуг та облікових даних про себе.


2.4.3. Обробка персональних даних суб'єктів, які отримують телекомунікаційні послуги в рамках корпоративного договору.


Корпоративні абоненти Компанії, які є юридичними особами, не мають персональних даних, що обробляються Компанією. У цьому випадку, в разі наявності правовідносин між ними та суб’єктами персональних даних, відповідальними за захист персональних даних таких суб’єктів є безпосередньо корпоративні абоненти.


Обробку персональних даних корпоративних абонентів Компанії, які є фізичними особами, Компанія здійснює у відповідності до цього Кодексу.


2.4.4. Обробка персональних даних суб’єктівз метою повернення боргів.


Обробка персональних даних споживачів послуг Компанії у даному випадку здійснюється напідставах:


  • укладення та виконання правочину, стороною якого є суб’єкт персональних даних, або який укладено на його користь;


  • необхідності захисту законних інтересів та порушених прав Компанії, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.


Згоду на обробку персональних даних з цією метою споживач телекомунікаційних послуг Компанії надає під час підписання договору.

Компанія використовує контактні персональні дані суб’єктів персональних даних, які є боржниками Компанії, з метою нагадування про заборгованість по мобільному, домашньому або робочому телефону, надсилання їм повідомлень електронною або звичайною поштою, а також за допомогою SMS.


Персональні дані, що використовуються з метою повернення боргу, повинні бути точними, достовірними та не надмірними.


Компанія може в порядку, визначеному законом, передавати персональні дані суб’єктів, які є боржниками Компанії, третій особі у рамках заміни кредитора внаслідок відступлення права вимоги, факторингу (документи, які засвідчують права Компанії, що передаються, та інформацію, яка є важливою для їх здійснення) без згоди суб’єкта персональних даних, у разі, якщо це прямо встановлено договором, який підписано відповідним абонентом перед початком отримання послуг. Компанія повідомляє суб’єкта персональних даних-боржника про заміну кредитора та про передачу третій особі (новому кредитору) його персональних даних у порядку, визначеному Законом України «Про захист персональних даних».


2.5. Обмеження щодо подальшої передачі


Здійснення будь-якої передачі персональних даних можливе виключно на договірній основі за умови належного їх зберігання та захисту третьою особою та/або розпорядником та чіткого визначення її/його відповідальності за забезпечення належного захисту при обробці відповідних персональних даних (виключення становлять випадки прямо передбачені законодавством). Договір також має визначати склад персональних даних, що передаються, спосіб та мету їх обробки, комплекс організаційно-технічних заходів із захисту, що вживатимуться третьою особою (розпорядником).


Здійснення передачі персональних даних з метою обробки за кордон здійснюється на зазначених вище підставах з дотриманням умов, визначених у ст.23 Закону України «Про захист персональних даних».


Передача персональних даних іншим операторам мобільного та фіксованого зв’язку здійснюється у порядку, визначеному ст.58 Закону України «Про телекомунікації».


2.6. Права суб’єкта персональних даних


Персональні дані можуть оброблятися в інформаційних системах Компанії виключно з метою надання телекомунікаційних послуг, забезпечення виконання зобов’язань за договором про надання телекомунікаційних послуг, трудовим договором, або у випадках, передбачених законодавством. Права суб’єктів персональних даних визначені ст. 8 Закону України «Про захист персональних даних», зокрема, але не обмежуючись:


2.6.1. Право на інформування про збір персональних даних


Власник персональних даних має право бути повідомлений у формі, визначеній цим Кодексом, про включення персональних даних до інформаційних систем Компанії, мету їх

збору та осіб, яким передаються його персональні дані, в тому числі якщо вони передаються за кордон.


2.6.2. Право на доступ до даних


Суб’єкт персональних даних має право на безоплатний доступ до даних про себе відповідно до порядку, що визначається Компанією.


2.6.3. Право на внесення виправлень, знищення або блокування


Суб’єкт персональних даних має право на безоплатне виправлення або вилучення (повністю або частково) відомостей про нього в інформаційних системах Компанії, в електронних версіях баз даних інформаційно-довідкових служб Компанії (за умови технічної можливості Компанії) відповідно до порядку, що визначається Компанією, у випадку, коли вони є невірними, недоцільними чи надмірними або зберігалися необґрунтовано довгий час. Якщо вилучення даних не є технічно можливим або не є можливим з причин, визначених чинним законодавством, такі дані повинні бути захищені від недозволеної обробки шляхом блокування доступу до них або іншим технічно можливим шляхом.


2.6.4. Право на з’ясування та оскарження обставин неналежної обробки


Якщо суб'єкт персональних даних звертається із скаргою про те, що його права були порушені внаслідок незаконної обробки даних, Компанія повинна докласти всіх можливих зусиль для з’ясування цієї події у найкоротші строки. В цьому випадку суб'єкт персональних даних і Компанія повинні тісно співпрацювати та надавати один одному доступ до всієї інформації, необхідної для встановлення фактів у справі.


2.6.5. Право на зручну комунікацію


Особа, персональні дані якої обробляються в інформаційних системах Компанії, має право вибрати зручний для себе вид комунікації – телефоном, електронною або письмовою поштою тощо.


2.6.6. Відкликання згоди на обробку персональних даних


Суб'єкт персональних даних має право відкликати згоду на обробку персональних даних шляхом подачі письмового звернення до центру обслуговування абонентів Компанії.


Відкликання згоди можливе лише щодо поточної обробки персональних даних, але не тих даних, які вже були оброблені. Результати вже здійсненої обробки персональних даних не можуть бути анульованими.


Після відкликання згоди на обробку персональних даних дія договору про надання телекомунікаційних послуг, укладеного з суб'єктом персональних даних, автоматично припиняється оскільки надання телекомунікаційних послуг не можливе без оброблення персональних даних споживачів таких послуг. При цьому обробка персональних даних припиняється у максимально стислий час, враховуючи особливості роботи автоматизованої

системи розрахунків за телекомунікаційні послуги Компанії та технічні можливості мережі «Київстар».


2.7. Політика обробки та захисту персональних даних


Політика обробки та захисту персональних даних Компанії ґрунтується на основі ризик-орієнтованого підходу для попередження, виявлення та усунення загроз несанкціонованого доступу до персональних даних та/або незаконної їх обробки.


Компанія зобов'язується забезпечити захист персональних даних, які обробляються в її інформаційних системах, у суворій відповідності вимогам законодавства, а також у відповідності до положень цього Кодексу.


Президент Компанії призначає посадових осіб та/або структурні підрозділи, які здійснюють захист персональних даних у Компанії, відповідно до законодавства України, цього Кодексу та інших корпоративних документів.


Компанія співпрацює з органами державної влади, зокрема з державними органами, відповідальними за захист персональних даних в Україні. Таке співробітництво має забезпечити повну реалізацію прав суб’єктів персональних даних, які обробляються в інформаційних системах Компанії.


Особа, відповідальна за упорядкування обробки персональних даних


  • метою створення дієвої системи управління персональними даними визначається структурний підрозділ та/або відповідальні особи, які організовують роботу, пов’язану із захистом персональних даних при їх обробці.


Обов’язки структурного підрозділу/відповідальної особи щодо організації роботи, пов'язаної із захистом персональних даних при їх обробці, визначаються Типовим порядком.


Планування внутрішнього аудиту рівня захищеності персональних даних


  • ході проведення внутрішнього аудиту рівня захищеності персональних даних перевіряється відповідність наявних засобів обробки персональних даних вимогам цього Кодексу та законодавства, а також здійснюється оцінка ефективності впроваджених організаційних та технічних заходів захисту персональних даних.


2.8. Терміни, що вживаються у цьому Кодексі, мають значення, надане їм Законом України «Про захист персональних даних», Законом України «Про інформацію», Законом України «Про телекомунікації», Правилами надання та отримання телекомунікаційних послуг, затвердженими Постановою Кабінету Міністрів України від 11.04.2012 року № 295, а також Умовами надання та отримання телекомунікаційних послуг ПрАТ «Київстар».


2.9. Суб’єкти персональних даних можуть ознайомитися з положеннями цього Кодексу на офіційному Веб-сайті Компанії.

  1. Передача персональних даних третім особам


3.1. Компанія не здійснює передачу персональних даних третім особам, крім випадків, коли така передача здійснюється:


  • відповідно до вимог чинного законодавства;


  • на прохання суб'єкта персональних даних;


  • з метою надання телекомунікаційних послуг;


  • чи з метою попередження, припинення зловживань з телекомунікаційними послугами, усунення шкідливих наслідків таких зловживань, притягнення зловмисників до відповідальності.


3.2. Про передачу персональних даних третій особі Компанія протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди, якщо інше не передбачено законом України «Про захист персональних даних», Законом України «Про телекомунікації», іншими актами законодавства .


3.3. Персональні дані абонента можуть передаватися правоохоронним органам на підставі рішення слідчого судді в межах розгляду кримінальної справи у порядку, визначеному Кримінально процесуальним кодексом України.