Положення про обробку і захист персональних даних

Це Положення про обробку і захист персональних даних (далі – “Положення”) визначає порядок збору, обробки, зберігання, використання, захисту та розкриття персональних даних фізичних осіб (надалі – “Користувачі”) цифрової платформи iD UA за посиланням https://id-ua.com (далі – “Платформа”) у процесі створення Цифрового профайлу Користувача та формування Токена iD UA , а також його використання для швидкого доступу до Інтегрованих сервісів.

Це Положення застосовується до всієї інформації, що отримується Платформою про Користувачів, та регламентує права і обов’язки Сторін щодо обробки і захисту персональних даних.

1. Визначення термінів

1.1. Терміни, що починаються з великої літери в цих Умовах, незалежно від того, використовуються вони в однині чи у множині, мають такі значення:

Адміністратор Платформи (Адміністратор) - ТОВ «Діджитрон» (ідентифікаційний код 46039180) яке є Володільцем Платформи та персональних даних Користувачів та здійснює управління технічними, організаційними та програмними процесами створення, використання та деактивації Токенів iD.

Біометричні дані - персональні дані, отримані в результаті спеціального технічного оброблення характеристик, що стосуються фізичних, фізіологічних або поведінкових ознак особи, які дозволяють однозначно ідентифікувати або підтвердити ідентичність такої особи. Для цілей Платформи до біометричних даних належать результати сканування обличчя під час проведення Лайвнес перевірки.

Володілець персональних даних - ТОВ «Діджитрон» (ідентифікаційний код 46039180) яке визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. У межах цього Положення Володільцем є Адміністратор Платформи.

Встановлення ділових відносин - процедура налагодження правових, економічних або договірних відносин між Користувачем та Суб’єктом первинного фінансового моніторингу (Інтегрованим сервісом), яка потребує попередньої ідентифікації та верифікації клієнта відповідно до законодавства у сфері запобігання та протидії легалізації доходів.

Ідентифікаційні дані - набір даних, які дають змогу встановити фізичну особу.

Інтегровані сервіси - інформаційні системи, платформи та сервіси третіх осіб, доступ до яких може надаватися Користувачу з використанням Токена iD на умовах, визначених такими третіми особами.

Користувач - фізична особа, яка прийняла це Положення, використовує Платформу та створила Токен iD для його подальшого використання.

Мінімально необхідний обсяг персональних даних - принцип обробки даних, згідно з яким Платформа збирає та передає Інтегрованим сервісам лише той набір інформації, який є обов’язковим для досягнення конкретної мети (ідентифікації, верифікації або отримання конкретної послуги), уникаючи надлишкового збору даних.

Лайвнес перевірка - процес перевірки того, що ідентифікаційні дії здійснюються реальною фізичною особою в режимі реального часу (перевірка на живність), а не за допомогою статичних зображень, відеозаписів або інших засобів імітації, з використанням технологій аналізу зображення обличчя та поведінкових ознак.

Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача/Шеринг), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем Платформи.

Персональні дані - відомості чи сукупність відомостей про фізичну особу (Користувача), яка ідентифікована або може бути конкретно ідентифікована.

Платформа (iD UA) - онлайн-платформа, яка адмініструється ТОВ «Діджитрон» (ідентифікаційний код 46039180) і забезпечує створення та використання Токена iD, формування Цифрового профайлу та взаємодію з Інтегрованими сервісами.

Токен iD - унікальний цифровий засіб електронної ідентифікації, що створюється та зберігається в межах Платформи. Він використовується для забезпечення доступу Користувача до цифрової екосистеми продуктів і сервісів в Україні, а також для його дистанційної ідентифікації, верифікації та підтвердження повноважень під час взаємодії з Інтегрованими сервісами.

Третя особа- будь-яка особа, якій Володільцем здійснюється передача персональних даних відповідно до закону або за ініціативою Користувача (зокрема, Інтегровані сервіси, які після отримання даних шляхом Шерингу стають самостійними володільцями таких даних).

Цифровий профайл - сукупність персональних, ідентифікаційних та інших даних Користувача, пов’язаних з його Токеном iD, що обробляються Платформою з метою ідентифікації, верифікації та надання доступу до Інтегрованих сервісів.

Шеринг даних - передача Користувачем його верифікованих персональних даних (або їх частини) від Платформи до Інтегрованих сервісів за допомогою Токена iD з метою отримання Користувачем доступу до послуг Інтегрованих сервісів.

1.2. Якщо певний термін не визначений у Розділі 1 “Визначення термінів” цих мов, він тлумачиться відповідно до чинного законодавства України, а у разі відсутності законодавчого визначення - відповідно до звичаїв ділового обороту.

2. Загальні положення

2.1. Платформа забезпечує Користувачам можливість створення Токена ID, який використовується для цілей дистанційної цифрової ідентифікації та автентифікації Користувача, а також як засіб ідентифікації для встановлення ділових відносин з Інтегрованими сервісами, зокрема сервісами суб’єктів первинного фінансового моніторингу та їх агентів з віддаленої.

2.2. Володільцем персональних даних є ТОВ «Діджитрон» (ідентифікаційний код 46039180), яке також є Адміністратором Платформи та обробляє персональні дані з метою забезпечення функціонування Токена ID, формування Цифрового профайлу та забезпечення технічної взаємодії з Інтегрованими сервісами. і доступу до пов’язаних сервісів.

2.3. Використання Платформи та/або створення Токена ID означає повну та безумовну згоду Користувача з цим Положенням, зокрема щодо:

  • обробки його персональних даних відповідно до мети та способів, визначених цим Положенням та Умовами Користувача;
  • здійснення транскордонної передачі персональних даних у випадках, коли така передача є необхідною для належного функціонування Платформи;
  • повторної (додаткової) обробки персональних даних у межах мети їх збирання у разі виникнення відповідної необхідності;
  • Шерингу даних до Інтегрованих сервісів за ініціативою Користувача;
  • перевірки персональних даних Користувача за відомостями з державних реєстрів та офіційних джерел з метою формування та актуалізації його Цифрового профайлу.

2.4. У разі незгоди з умовами цього Положення Користувач повинен припинити використання Платформи та створення Токена ID.

3. Предмет Положення про обробку і захист персональних даних

3.1. Це Положення встановлює зобов’язання Володільця щодо нерозголошення та забезпечення режиму захисту конфіденційності Персональних даних Користувачів, які обробляються під час створення Цифрового профайлу, формування Токена ID та використання Платформи.

3.2. Персональні дані, що обробляються в межах цього Положення, надаються Користувачем під час створення Токена ID, використання функціоналу та звернення до служби підтримки Платформи, а також можуть бути отримані від Інтегрованих сервісів.

3.3. До Персональних даних Користувача, які можуть оброблятися Платформою, належать, зокрема, але не виключно:

  • прізвище, ім’я, по батькові Користувача;
  • реєстраційний номер облікової картки платника податків (РНОКПП) або інший ідентифікаційний номер відповідно до вимог законодавства;
  • дані документа, що посвідчує особу (паспорт, закордонний паспорт тощо);
  • біометричні дані, що отримані за результатами Лайвнес перевірки, які використовуються для однозначної автентифікації Користувача в режимі реального часу;
  • дані, що містяться у державних реєстрах та офіційних джерелах, до яких Платформа отримує доступ за згодою Користувача для формування та актуалізації Цифрового профайлу Користувача;
  • інші дані, необхідні для створення, підтримки та використання Токена ID, а також для надання доступу до Інтегрованих сервісів через Платформу.

3.4. Платформа також здійснює збір та обробку технічних даних, які автоматично передаються під час використання Платформи, зокрема:

  • IP-адреса;
  • дані файлів cookies;
  • інформація про браузер;
  • операційна система;
  • тип та модель пристрою;
  • час доступу;

3.5. Технічна інформація використовується Платформою з метою забезпечення належного функціонування, підвищення рівня безпеки, запобігання несанкціонованому доступу, а також для виявлення та усунення технічних несправностей.

3.6. Будь-яка інша інформація про Користувача, отримана в процесі використання Платформи, підлягає захисту відповідно до законодавства України та не підлягає розголошенню, крім випадків Шерингу Токена ID за ініціативою Користувача або на законну вимогу правоохоронних органів.

4. Мета збору та обробки персональних даних Користувача

4.1. Платформа здійснює збір та обробку персональних даних Користувача виключно в обсязі, необхідному для досягнення визначеної мети, з урахуванням принципів законності, пропорційності та мінімізації даних.

4.2. Основна мета обробки персональних даних Користувача:

4.2.1. Забезпечення функціонування Платформи та створення, підтримки і використання Цифрового профайлу та Токена ID;

4.2.2. Здійснення дистанційної ідентифікації, автентифікації та авторизації Користувача, зокрема для встановлення ділових відносин з Інтегрованими сервісами (суб’єктами первинного фінансового моніторингу);

4.2.3. Підтвердження достовірності та актуальності персональних даних Користувача шляхом автоматизованої звірки з офіційними джерелами (державними реєстрами, базами даних тощо) за згодою Користувача;

4.2.4. Шеринг даних до Інтегрованих сервісів за ініціативою Користувача для отримання доступу до їхніх послуг та встановлення ділових відносин;

4.2.5. Виконання Лайвнес перевірки для підтвердження фізичної присутності Користувача в момент формування та використання Токена ID, а також запобігання використанню статичних зображень, відео-записів або масок (діпфеків);

4.2.6. Надання технічної та консультаційної підтримки у разі виникнення проблем, пов’язаних із використанням Платформи або Токена ID;

4.2.7. Виконання обов’язків Адміністратора, передбачених законодавством у сфері фінансового моніторингу, запобігання легалізації доходів, отриманих злочинним шляхом, та протидії шахрайству.

5. Обробка персональних даних: порядок та строки

5.1. Обробка персональних даних Користувачів здійснюється на підставі його згодита виконання Умов користування. Обробка здійснюється автоматизовано із застосуванням сучасних засобів захисту інформації.

5.2. Персональні дані Користувача зберігаються та обробляються протягом строку дії Токена ID. Після деактивації Токена ID або розірвання відносин, Платформа зберігає такі дані протягом 5 (п'яти) років, якщо інший строк не встановлено спеціальним законодавством України.

5.3. Персональні дані Користувача можуть передаватися органам державної влади, органам місцевого самоврядування та іншим уповноваженим суб’єктам виключно на підставах, у межах повноважень та в порядку, встановленому законодавством України.

5.4. Шеринг даних до Інтегрованих сервісів (зокрема до суб’єктів первинного фінансового моніторингу, агентів з віддаленої ідентифікації) здійснюється виключно у мінімально необхідному обсязі. З моменту отримання даних Інтегрованим сервісом, такий сервіс стає самостійним володільцем цих даних та несе відповідальність за їх подальшу обробку.

5.5. Адміністратор вживає додаткових заходів безпеки при обробці результатів Лайвнес перевірки, зокрема шляхом використання шифрування та обмеження кола осіб, що мають доступ до серверного обладнання.

5.6. Адміністратор вживає необхідних організаційних та технічних заходів для захисту персональних даних Користувача від несанкціонованого доступу, знищення або копіювання, включаючи аудит доступу та криптографічний захист.

5.7. Користувач також зобов’язується вживати розумних заходів для захисту від несанкціонованого доступу третіх осіб до його персональних даних, що обробляються через Платформу, зокрема шляхом недопущення використання власних ідентифікаційних даних (РНОКПП) або біометричних характеристик іншими особами для проходження процедур автентифікації.

5.8. Користувач підтверджує, що самостійне та особисте проходження Лайвнес перевірки є необхідним заходом захисту його персональних даних, а Адміністратор не несе відповідальності за порушення конфіденційності даних або їх компрометацію, що сталися внаслідок недбалого ставлення Користувача до безпеки засобів доступу до Токена ID.

5.9. Платформа та Користувач вживають усіх можливих заходів для мінімізації ризиків та запобігання негативним наслідкам, пов’язаним із втратою, несанкціонованим доступом або розголошенням персональних даних.

6. Права та обов’язки Користувача та Платформи

6.1. Користувач має право:

  • Приймати рішення щодо надання своїх персональних даних, необхідних для створення Токена ID та надавати згоду на їх обробку відповідно до цього Положення;
  • На доступ до своїх персональних даних та отримання інформації про їх обробку в порядку, визначеному Законом України «Про захист персональних даних»;
  • Пред’являти вмотивовану вимогу Платформі щодо зміни або знищення своїх персональних даних, якщо ці дані обробляються незаконно або є недостовірними;
  • Відкликати згоду на обробку персональних даних, усвідомлюючи, що це призведе до припинення дії Токена ID та неможливості використання Платформи;
  • Звертатися до Платформи з питань захисту персональних даних через електронну пошту, зазначену в розділі 12 цього Положення.

6.2. Користувач зобов’язаний:

  • надавати для формування Цифрового профайлу та Токена ID лише достовірні, точні та актуальні персональні дані, що належать йому особисто;
  • своєчасно оновлювати свої персональні дані у разі їх зміни;
  • негайно повідомити Платформу у разі підозри на несанкціонований доступ третіх осіб до його Токена ID або засобів автентифікації;
  • не використовувати Платформу для завантаження даних третіх осіб без їхньої законної згоди або з метою введення в оману Інтегрованих сервісів.

6.3. Платформа має право:

  • Призупинити або обмежити доступ до Токена ID у разі підозри на використання Платформи з метою шахрайства або надання Користувачем завідомо неправдивих даних;
  • Відмовити у виконанні запиту Користувача на видалення персональних даних, якщо їх зберігання є обов’язковим для Адміністратора відповідно до спеціального законодавства України;
  • Здійснювати перевірку наданих даних Користувачем через офіційні джерела та державні реєстри для підтвердження їх актуальності;
  • Вносити зміни до цього Положення в односторонньому порядку.

6.4. Платформа зобов’язана:

  • Обробляти персональні дані Користувачів виключно з метою та у спосіб, визначених в цьому Положенні та не суперечать законодавству України;
  • Забезпечувати конфіденційність персональних даних Користувачів та не розголошувати їх третім особам без законних підстав, за винятком випадків Шерингу даних за ініціативою Користувача, а також випадків надання доступу до даних уповноваженим державним органам на підставі закону (зокрема, за обґрунтованими запитами правоохоронних органів, суду або регуляторів у сфері фінансового моніторингу тощо).
  • Вживати необхідних організаційних та технічних заходів для захисту персональних даних Користувачів від несанкціонованого доступу, випадкової втрати або знищення;
  • Здійснювати блокування персональних даних на період перевірки у разі виявлення їх недостовірності або отримання вмотивованого звернення від Користувача;
  • Повідомляти Користувача про порушення безпеки його персональних даних, якщо це може призвести до реальної загрози його правам та інтересам.

7. Законодавство, що регламентує обробку персональних даних

7.1. Обробка персональних даних Користувачів здійснюється відповідно до Конституції України, Закону України «Про захист персональних даних», та інших нормативно-правових актів у цій сфері.

7.2. Під час формування та використання Токена ID, проведення цифрової ідентифікації, автентифікації та авторизації Користувачів, Платформа керується нормами Закону України «Про електронну ідентифікацію та електронні довірчі послуги», Закону України «Про електронні документи та електронний документообіг» та Закону України “Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення”.

7.3. Обробка персональних даних Користувачів, які перебувають на території Європейського Союзу або є громадянами держав‑членів ЄС, здійснюється з урахуванням вимог Генеральним регламентом про захист даних ЄС 2016/679 (General Data Protection Regulation).

7.4. Ц питаннях, що не врегульовані цим Положенням, Платформа керується чинним законодавчими України та міжнародними договорами, що регулюють обробку та захист персональних даних.

8. Обмеження доступу до Платформи та Токена ID

8.1. Доступ до Платформи, формування та використання Токена ID дозволяється лише особам, які досягли мінімального віку встановленого законодавством для отримання відповідних послуг Інтегрованих сервісів.

8.2. Платформа не призначена для використання особами, до яких застосовано спеціальні економічні або інші обмежувальні заходи (санкції), а також особами, які перебувають у розшуку або включені до переліків осіб, пов’язаних із провадженням терористичної діяльності.

8.3. Платформа має право в односторонньому порядку обмежити доступ до Токена ID та припинити обробку персональних даних у разі:

  • виявлення невідповідності Користувача вимогам щодо віку;
  • отримання інформації про перебування особи у реєстрах розшуку або санкційних списках;
  • виявлення фактів надання підроблених документів або використання чужих біометричних даних під час Лайвнес перевірки.

9. Відповідальність Сторін

9.1. Платформа несе відповідальність за порушення вимог законодавства у сфері захисту персональних даних та неправомірне використання даних Користувача в межах та обсязі, що визначені чинним законодавством України.

9.2. Платформа не несе відповідальності за втрату, розголошення або несанкціонований доступ до персональних даних, якщо такі обставини сталися:

  • внаслідок дій або бездіяльності Користувача, зокрема через несанкціоновану передачу засобів доступу до Токена ID третім особам;
  • у разі, якщо відповідна інформація стала загальнодоступною не з вини Платформи;
  • у разі передачі даних за ініціативою Користувача через механізм Шерингу даних до Інтегрованих сервісів;
  • у разі розголошення інформації за прямою згодою Користувача.

9.3. З моменту здійснення Шерингу даних відповідальність за їх подальшу конфіденційність, безпеку та правомірність обробки несе виключно відповідний Інтегрований сервіс. Платформа не відповідає за дії чи рішення третіх осіб, прийняті на підставі отриманих через Платформу.

9.4. Користувач несе персональну відповідальність за достовірність, актуальність та законність наданих персональних даних. У разі надання завідомо неправдивих даних або даних третіх осіб без їхньої згоди, Користувач зобов’язується відшкодувати Адміністратору всі збитки, спричинені такими діями.

9.5. Платформа не несе відповідальності за прямі або непрямі збитки Користувача, що виникли внаслідок тимчасових технічних збоїв, проведення регламентних робіт або через рішення Інтегрованих сервісів щодо відмови Користувачу в наданні послуг.

10. Вирішення спорів

10.1. Усі спори та розбіжності, що виникають між Користувачем та Платформою у зв’язку з обробкою персональних даних, вирішуються шляхом переговорів із обов’язковим дотриманням досудового (претензійного) порядку.

10.2. У разі неможливості врегулювання спору шляхом переговорів, такий спір підлягає вирішенню в судовому порядку відповідно до чинного законодавства України за встановленою підсудністю.

10.3. До цього Положення та всіх правовідносин, що виникають у зв’язку з обробкою персональних даних на Платформі, застосовується матеріальне та процесуальне право України.

11. Інше

11.1. У разі ініціювання Користувачем видалення Токена ID (деактивації Цифрового профайлу), Адміністратор припиняє активну обробку персональних даних для надання послуг. Проте такі дані зберігаються в архівному режимі протягом 5 (п'яти) років з метою дотримання вимог законодавства у сфері фінансового моніторингу. Після закінчення цього строку дані підлягають остаточному знищенню.

11.2. Адміністратор має право вносити зміни до цього Положення в односторонньому порядку. Зміни можуть бути зумовлені зміною функціоналу Платформи або оновленням законодавства.

11.3. Нова редакція Положення набирає чинності з моменту її розміщення на Платформі. Продовження використання Платформи або Токена ID після оновлення Положення вважається повним та безумовним прийняттям Користувачем нової редакції.

11.4. Користувач зобов’язується самостійно відстежувати зміни в цьому Положенні. У разі незгоди зі змінами, Користувач повинен припинити використання Платформи та видалити свій Токен ID .

11.5. Усі запити щодо обробки персональних даних направляються на електронну адресу, вказану в Розділі 12 цього Положення.

12. Контактна інформація

12.1. У разі виникнення питань, побажань, зауважень або скарг Користувач може звертатися лише шляхом надсилання електронного листа на адресу: [email protected].

12.2. Платформа зобов’язується розглянути лист і надати відповідь протягом 10 (десяти) календарних днів з моменту його отримання.