1. Загальні положення

1.1. Ведення господарської діяльності ПАТ Укрпошта (надалі – Укрпошта) передбачає обробку персональних даних користувачів послуг поштового зв’язку, її контрагентів та працівників. Укрпошта визначає пріоритетним обов’язком здійснювати обробку персональних даних виключно на підставах та у порядку, визначених законодавством України.

1.2. Завданням Політики загальних засад обробки персональних даних ПАТ Укрпошта (надалі – Політика) є забезпечення належного рівня доступності, прозорості та процесу обробки персональних даних у ході ведення Укрпоштою господарської діяльності.

1.3. Політика розроблена відповідно до Конституції України, законів України Про захист персональних даних; Про поштовий зв’язок; Про інформацію; Про доступ до публічної інформації; ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги, ДСТУ ISO/IEC 27002:2015 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки, прийняті наказом Державного підприємства Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості від 18.12.2015 № 193 (із змінами), Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, інших актів законодавства; Політики конфіденційності в ПАТ Укрпошта, затвердженої наказом ПАТ Укрпошта від 14.05.2018 № 584 та інших внутрішніх нормативних документів товариства.

1.4. У цій Політиці терміни вживаються у значеннях викладених у законах України Про захист персональних даних, Про інформацію, Про поштовий зв’язок, Правилах надання послуг поштового зв’язку, затверджених постановою Кабінету Міністрів України від 05.03.2009 № 270 (із змінами).

2. Сфера застосування та термін дії Політики

2.1. Політика є обов’язковою до застосування в Укрпошті в рамках процесу обробки персональних даних та поширюється на всі структурні підрозділи Укрпошти.

2.2. Термін дії Політики не обмежується. Укрпошта має право вносити зміни до Політики, про що інформує шляхом розміщення оновленої версії на офіційному веб-сайті Укрпошти (далі – веб-сайт).

3. Мета обробки персональних даних

Метою обробки персональних даних Укрпоштою є надання якісних послуг поштового зв’язку користувачам послуг поштового зв’язку (суб’єктам персональних даних), обробка інформації, що становить профіль споживання послуг, врегулювання питань у сфері трудових правовідносин та при веденні господарської діяльності у порядку, визначеному законодавством.

4. Принципи обробки персональних даних

4.1. Прозорість організації процесу обробки персональних даних

Політика оприлюднюється на офіційному веб-сайті Укрпошти.

Підставами для обробки Укрпоштою персональних даних є:

  • згода суб’єкта персональних даних на їх обробку;
  • правочин, стороною якого є суб’єкт персональних даних або який укладено на його користь;
  • виконання обов’язків Укрпошти, які передбачені законодавством;
  • захист законних інтересів Укрпошти, окрім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

Терміни обробки та зберігання персональних даних визначаються з урахуванням особливостей процесів послуг поштового зв’язку, аналізу якості надання таких послуг.

4.2. Доступність персональних даних

Персональні дані є доступними для суб’єкта цих даних і доступ до них надається в порядку передбаченому законодавством про захист персональних даних.

4.3. Згода суб’єкта персональних даних

Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються Укрпоштою впродовж часу обробки таких даних.

За змістом отримання згоди суб’єкта персональних даних на обробку персональних даних поділяється за його діями, що виражають волевиявлення на встановлення на отримання послуг поштового зв’язку або фізичного підтвердження такої згоди при отриманні послуг поштового зв’язку за допомогою автоматизованих засобів.

Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої Укрпошті на обробку цих даних, або відповідно до вимог законодавства.

5. Особливості обробки та визначення персональних даних

5.1. Види обробки персональних даних

Персональні дані в Укрпошті обробляються з використанням засобів автоматизації, або без використання таких засобів, з урахуванням особливостей процесів надання послуг поштового зв’язку та рівня автоматизації таких процесів.

Порядок обробки, захисту та доступу до персональних даних при різних видах обробки визначаються окремими внутрішніми нормативними документами товариства.

5.2. Визначення суб’єктів персональних даних у разі використання веб-ресурсів Укрпошти

Користувачі, що використовують веб-ресурси Укрпошти є суб’єктами персональних даних виключно з дати їх реєстрації на веб-ресурсі та надання згоди на обробку їх персональних даних.

5.3. Обробка персональних даних суб’єктів, які отримують послуги поштового зв’язку

Юридичні особи, не є суб’єктами персональних даних.

Обробку персональних даних користувачів послуг поштового зв’язку (фізичних осіб), здійснюється у відповідності до цієї Політики та законодавства.

5.4. Використання інформації суб’єкта персональних даних

Інформація, отримана від користувача послуг поштового зв’язку (суб’єкта персональних даних) використовується для:

  • створення облікового запису користувачем послуг поштового зв’язку, що використовує інформаційні ресурси (веб-ресурси) Укрпошти;
  • надання послуги або функції, яку замовив користувач;
  • зв’язку з користувачами з метою інформування про персоналізовані унікальні пропозиції та акції Укрпошти;
  • оцінки та аналізу попиту на ринку, продуктів та сервісів, що надаються Укрпоштою;
  • ефективного клієнтського обслуговування;
  • забезпечення оновлення і технічної підтримки послуг, у т.ч. мобільного застосунку;
  • інших цілей в обсязі, достатньому для якісного надання послуг Укрпоштою.

5.5. Обмеження щодо подальшої передачі (поширення) персональних даних

Укрпошта передає інформацію отриману від користувачів послуг поштового зв’язку (суб’єктів персональних даних) в рамках надання послуг третім особам з метою належного виконання своїх обов’язків, за згодою суб’єкта персональних даних, та відповідно до вимог законодавства.

Передача персональних даних можлива виключно на договірній основі за умови належного їх зберігання та захисту третьою особою та/або розпорядником, а також чіткого визначення її/його відповідальності за забезпечення належного захисту при обробці персональних даних за виключенням випадків прямо передбачених законодавством. У договорі також визначається склад персональних даних, що передаються, спосіб та мета їх обробки, комплекс організаційно-технічних заходів із захисту, що вживатимуться третьою особою (розпорядником).

Передача персональних даних іноземним суб’єктам відносин з метою обробки за кордон здійснюється з дотриманням умов, визначених у ст. 29 Закону України Про захист персональних даних (далі – Закон).

Передача персональних даних третім особам в рамках надання послуг поштового зв’язку, здійснюється у порядку, визначеному договірними зобов’язаннями Укрпошти.

Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних.

Поширення Укрпоштою персональних даних без згоди суб’єкта або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

6. Права та обов’язки суб’єкта персональних даних

6.1. Права та обов’язки користувача послуг поштового зв’язку – суб’єкта персональних даних

Суб’єкт персональних даних має право на отримання інформації про порядок обробки своїх персональних даних, а також інші права, визначені у статті 8 Закону.

Суб’єкт персональних даних зобов’язаний діяти відповідно до вимог законодавства.

Укрпошта не несе відповідальності за порушення користувачем послуг поштового зв’язку законодавства про захист персональних даних, у т.ч. поширення ним персональних даних осіб, від імені та в інтересах яких ним отримуються послуги поштового зв’язку.

6.2. Право на внесення виправлень, знищення або блокування доступу до персональних даних

Суб’єкт персональних даних має право на безоплатне виправлення або вилучення (повністю або частково) відомостей про нього в інформаційних системах Укрпошти, в електронних версіях баз даних інформаційно-довідкових служб Укрпошти відповідно до порядку, що визначається Укрпоштою, у випадку, коли вони є невірними, недоцільними чи надмірними або їх зберігання здійснюється понад час необхідний для надання відповідних послуг. Якщо вилучення таких даних є технічно не можливим або не передбачене законодавством, то такі дані захищаються від їх обробки шляхом блокування доступу до них або іншим технічно можливим шляхом.

6.3. Право доступу до персональних даних

Суб’єкт персональних даних має право на безоплатний доступ до даних про себе відповідно до порядку, що визначається Укрпоштою.

Суб’єкт персональних даних має право на звернення із запитом щодо доступу до своїх персональних даних.

Запит оформлюється відповідно до статті 16 Закону.

Укрпоштою здійснюються необхідні заходи для з’ясування всіх обставин викладених у запиті.

6.4. Оскарження рішення про відстрочення або відмову в доступі до персональних даних

Оскарження рішення про відстрочення або відмову в доступі до персональних даних здійснюється відповідно до статті 18 Закону.

6.5. Відкликання згоди на обробку персональних даних

Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних шляхом подачі письмового звернення.

Відкликання згоди можливе лише на етапі поточної обробки персональних даних.

Відкликання згоди на обробку персональних даних, які вже були оброблені в рамках наданої послуги є не можливе.

У разі відкликання згоди на обробку персональних даних, надання послуги поштового зв’язку, що передбачає отримання персональних даних, припиняється, оскільки надання таких послуг не можливе без оброблення персональних даних користувачів таких послуг. Обробка персональних даних у такому разі припиняється у максимально короткий термін, з урахуванням технічних можливостей Укрпошти.

7. Обробка та захист персональних даних

7.1. Обробка та захист персональних даних Укрпоштою ґрунтується на основі ризик-орієнтованого підходу для попередження, виявлення та усунення загроз несанкціонованого доступу до персональних даних та/або незаконної їх обробки.

7.2. Укрпошта зобов’язується забезпечити захист персональних даних, які обробляються в рамках надання послуг поштового зв’язку відповідно до вимог законодавства, а також до положень цієї Політики.

7.3. Генеральним директором Укрпошти визначаються особи та/або структурні підрозділи відповідальні за захист персональних даних, відповідно до законодавства та цієї Політики.

7.4. Обов’язки структурного підрозділу/особи відповідальної за організацію роботи, пов’язану із захистом персональних даних при їх обробці, визначаються у посадових інструкціях та положеннями, іншими нормативними документами.

7.5. Укрпошта співпрацює з органами державної влади, посадовими особами, відповідальними за захист персональних даних в Україні, відповідно до вимог законодавства.

Ця Політика є доступною для ознайомлення користувачів послуг поштового зв’язку (суб’єктів персональних даних) та розміщається на офіційному веб-сайті Укрпошти.