Політика конфіденційності

1. Визначення термінів

Надавач − Кваліфікований надавач електронних довірчих послуг EDIN ID ТОВ «АТС» (код ЄДРПОУ 37636185, юридична адреса: 03061, м. Київ, вул. Михайла Донця, 6; фактична адреса: 03061, м. Київ, вул. Михайла Донця, 6). Організація офіційно включена до Довірчого списку відповідно до Закону України «Про електронну ідентифікацію та електронні довірчі послуги» та здійснює діяльність з надання кваліфікованих електронних довірчих послуг відповідно до затверджених регламентів і внутрішніх процедур.

Вебсайт Надавача − офіційні інтернет-ресурси за адресами: https://ca.edin.ua/ та https://id.edin.ua. Через ці ресурси користувачі отримують актуальну інформацію про умови надання кваліфікованих електронних довірчих послуг, а також можуть здійснити доступ до онлайн-сервісів Надавача, включно з сервісом «EDIN ID». Вебсайти можуть використовуватися Заявниками для подання електронних заявок, замовлення послуг чи отримання консультаційних матеріалів.

Онлайн-сервіс «EDIN ID» − інтегрований апаратно-програмний комплекс Надавача, що включає інформаційні системи, прикладне програмне забезпечення та інші технічні засоби, які забезпечують належне функціонування процесів надання електронних довірчих послуг. Доступ до сервісу здійснюється через офіційні вебсайти Надавача, а його функціонал дозволяє користувачам ініціювати та виконувати дії, пов’язані з отриманням, використанням і перевіркою кваліфікованих електронних довірчих послуг.

2. Загальні положення

Ця Політика конфіденційності визначає принципи, правила та процедури збору, зберігання, використання, обробки й розкриття персональних даних фізичних осіб − користувачів (надалі – Користувачі), які отримують доступ до вебсайтів Надавача, користуються Онлайн-сервісом «EDIN ID» та замовляють кваліфіковані електронні довірчі послуги або інші супутні сервіси.

Використання вебресурсів і сервісів Надавача є добровільним вибором Користувача. Кожен Користувач усвідомлює, що здійснює таке використання на власний розсуд та бере на себе відповідальність за правильність і повноту наданих персональних даних.

Доступаючи до вебсайту Надавача, використовуючи його програмне забезпечення, інформаційні матеріали, сервіси чи функціонал Онлайн-сервісу «EDIN ID», Користувач підтверджує, що ознайомлений із положеннями цієї Політики конфіденційності та приймає її умови. Прийняття Політики прирівнюється до надання Користувачем юридично значущої згоди, яка породжує відповідні права та обов’язки сторін.

Надання персональних даних для цілей, передбачених Політикою, вважається добровільною та однозначною згодою Користувача на їх обробку Надавачем. Така згода діє протягом усього періоду використання послуг Надавача і зберігає силу до моменту її відкликання.

Користувач має право у будь-який час відкликати згоду на обробку своїх персональних даних шляхом подання письмового звернення до Надавача. Водночас відкликання згоди не впливає на правомірність обробки даних, яка здійснювалася до отримання Надавачем відповідного повідомлення. Перед початком користування сервісами Надавача Користувач отримує повідомлення та/або можливість ознайомитися з інформацією щодо обробки його персональних даних. Це повідомлення містить:

• перелік даних, що будуть зібрані та оброблені;

• правові підстави обробки (GDPR, Закон України «Про захист персональних даних»);

• цілі обробки;

• строки зберігання;

• інформацію про контролера та, за необхідності, процесорів;

• посилання на цю Політику.

Продовження користування сервісами Надавача можливе лише після ознайомлення з повідомленням і підтвердження згоди Користувачем.

3. Обробка персональних даних

Під терміном «обробка персональних даних» у межах цієї Політики розуміється будь-яка дія або сукупність дій, що здійснюється Надавачем стосовно персональних даних Користувачів, у тому числі, але не обмежуючись:

• збиранням, реєстрацією та накопиченням;

• систематизацією, впорядкуванням та зберіганням;

• адаптацією, оновленням та внесенням змін;

• використанням та внутрішнім поширенням у межах законодавчо визначених цілей;

• передачею третім особам виключно у випадках, передбачених законом або цією Політикою;

• знеособленням (деперсоналізацією) та видаленням;

• знищенням даних після завершення строків їх зберігання чи відкликання згоди.

Обробка персональних даних здійснюється у повній відповідності до положень Закону України «Про захист персональних даних», Закону України «Про електронну ідентифікацію та електронні довірчі послуги», а також з урахуванням міжнародних стандартів і рекомендацій, у випадках, коли це застосовно.

4. Володілець персональних даних

Володільцем персональних даних виступає Кваліфікований надавач електронних довірчих послуг EDIN ID ТОВ «АТС».

Усі персональні дані, що надаються Користувачами в процесі отримання послуг, включаються до єдиної бази персональних даних, адміністрування та управління якою здійснює виключно Надавач.

Надавач, як володілець бази даних, забезпечує:

• правомірність та прозорість обробки персональних даних;

• їх зберігання з дотриманням вимог законодавства України та міжнародних стандартів у сфері захисту інформації;

• застосування необхідних організаційних і технічних заходів для захисту даних від несанкціонованого доступу, випадкової втрати, пошкодження або незаконного поширення;

• доступ до персональних даних виключно уповноваженим особам, які виконують професійні чи службові обов’язки та діють у межах наданих повноважень.

5. Склад персональних даних 

До складу персональних даних, що обробляються Надавачем для належного надання електронних довірчих послуг та виконання вимог чинного законодавства України, можуть входити такі відомості про Користувача:

• прізвище, ім’я та по батькові;

• дата народження;

• реквізити документа, що посвідчує особу (серія, номер, дата видачі, орган, що здійснив видачу), у тому числі паспорта громадянина України або іншого документа, який визнається законодавством України як належний засіб ідентифікації;

• реєстраційний номер облікової картки платника податків (ідентифікаційний код);

• адреса зареєстрованого місця проживання та/або фактичного місця проживання;

• номер мобільного телефону;

• адреса електронної пошти (e-mail).

У разі необхідності, передбаченої законодавством або умовами надання електронних довірчих послуг, Надавач також може здійснювати обробку додаткових ідентифікаційних даних Користувача (наприклад, даних про електронні підписи чи сертифікати ключів, відомостей з державних реєстрів, інформації про уповноважених представників юридичних осіб).

6. Мета обробки персональних даних

Обробка персональних даних Користувачів здійснюється Надавачем виключно в межах, визначених законодавством України, зокрема Законом України «Про захист персональних даних», а також із урахуванням положень Закону України «Про електронну ідентифікацію та електронні довірчі послуги» та міжнародних стандартів у сфері захисту інформації.

Основними цілями обробки персональних даних є:

• забезпечення належного надання Користувачам кваліфікованих електронних довірчих послуг відповідно до Регламенту роботи Надавача, розміщеного на офіційному вебсайті;

• організація та підтримка доступу до Онлайн-сервісу для здійснення операцій з особистим ключем підписувача та іншими електронними довірчими послугами;

• створення, персоналізація та подальше обслуговування особистого кабінету користувача електронних довірчих послуг;

• технічне та інформаційне забезпечення безперервного функціонування Онлайн-сервісу та його окремих модулів;

• здійснення реєстрації, автентифікації, авторизації та підтвердження дій Користувачів у Онлайн-сервісі;

• направлення Користувачам інформаційних повідомлень від Надавача (телефонні дзвінки, SMS, електронні листи тощо), необхідних для:

• підтвердження транзакцій або інших дій у Онлайн-сервісі;

• інформування про порядок надання кваліфікованих електронних довірчих послуг;

• надання важливих повідомлень щодо роботи Онлайн-сервісу та оновлення умов його використання;

• надсилання корисних роз’яснень або сервісних повідомлень, що сприяють зручному та безпечному користуванню послугами Надавача.

Надавач обробляє персональні дані виключно з метою виконання своїх законних обов’язків та договірних зобов’язань перед Користувачами, не допускаючи їх використання для інших цілей, що виходять за межі визначених цією Політикою.

7. Строк зберігання персональних даних

Персональні дані Користувачів зберігаються Надавачем протягом усього періоду користування Онлайн-сервісом та дії правовідносин між Користувачем і Надавачем. Після завершення користування послугами або припинення дії правовідносин, дані можуть зберігатися виключно у строк, необхідний для виконання вимог законодавства України, зокрема щодо бухгалтерського обліку, податкової звітності, архівного зберігання чи вирішення можливих спорів.

Максимальний строк зберігання персональних даних не перевищує п’яти років, якщо інший, довший строк прямо не передбачений законодавством України чи міжнародними зобов’язаннями Надавача.

Після закінчення строку зберігання, персональні дані підлягають безпечному видаленню або знеособленню відповідно до встановлених процедур інформаційної безпеки та внутрішніх політик Надавача.

8. Права суб’єкта персональних даних

Відповідно до частини другої статті 8 Закону України «Про захист персональних даних», кожен суб’єкт персональних даних має гарантовані права щодо своїх персональних відомостей.

Користувач має право:

• Знати джерела збору своїх персональних даних, мету їх обробки, місцезнаходження бази даних, володільця або розпорядника персональних даних, а також уповноважувати третіх осіб на отримання цієї інформації (крім випадків, прямо передбачених законом).
• Отримувати інформацію про умови доступу до своїх персональних даних, включаючи відомості про третіх осіб, яким передаються його дані.
• Мати вільний доступ до власних персональних даних.
• Отримувати відповідь не пізніше 30 календарних днів з моменту подання запиту (якщо інший строк не передбачено законом) про те, чи здійснюється обробка його даних, а також ознайомлюватися зі змістом таких даних.
• Висловлювати заперечення щодо обробки своїх персональних даних шляхом подання вмотивованої вимоги володільцю.
• Вимагати змін або знищення персональних даних, якщо вони є недостовірними чи обробляються незаконно.
• Захищати свої дані від незаконної обробки, випадкової втрати, пошкодження чи знищення, а також від поширення недостовірної інформації, що може зашкодити честі, гідності або діловій репутації фізичної особи.
• Подавати скарги щодо обробки своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або звертатися до суду.
• Застосовувати правові засоби захисту у разі порушення законодавства про захист персональних даних.
• Встановлювати застереження щодо обмеження права на обробку своїх персональних даних під час надання згоди.
• Відкликати раніше надану згоду на обробку персональних даних.
• Отримувати інформацію про механізми автоматизованої обробки персональних даних.
• Не підлягати винятково автоматизованому рішенню, яке має для нього юридично значимі наслідки.

9. Передача персональних даних

Надавач забезпечує конфіденційність персональних даних Користувачів та передає їх третім особам лише у випадках, коли це є необхідним і правомірним. Передача здійснюється виключно в обсязі, що відповідає визначеним цілям обробки, та за умови дотримання вимог законодавства України у сфері захисту персональних даних.

Персональні дані Користувачів можуть передаватися:

• У випадках, прямо передбачених чинним законодавством України — на запити державних органів, органів досудового розслідування, судів та інших уповноважених суб’єктів.

• Фінансовим установам та учасникам платіжних систем в Україні — з метою проведення оплати за послуги Надавача, включаючи ідентифікацію платника, здійснення авторизації та забезпечення виконання платіжних операцій.

• Відокремленим пунктам реєстрації Надавача — у межах виконання процедур ідентифікації та верифікації Користувачів, передбачених Регламентом роботи Надавача.

• Партнерам та підрядникам Надавача — у випадках, коли це прямо необхідно для технічної підтримки роботи Онлайн-сервісу, адміністрування інфраструктури або виконання договірних зобов’язань. У таких випадках доступ надається лише на підставі договорів про конфіденційність та обробку персональних даних.

У всіх випадках Надавач гарантує, що треті особи, яким передаються персональні дані, зобов’язані дотримуватися вимог конфіденційності, забезпечувати належний рівень захисту інформації та використовувати дані виключно з метою, для якої вони були передані.

Обробка та зберігання персональних даних може здійснюватися із використанням хмарних сервісів та дата-центрів, що знаходяться за межами ЄС/ЄЕЗ. У таких випадках Надавач застосовує Стандартні договірні положення (SCC) та укладає угоди про обробку даних (DPA), що гарантують належний рівень захисту.

10. Захист персональних даних

Надавач застосовує комплекс організаційних, технічних та правових заходів, спрямованих на забезпечення цілісності, конфіденційності та доступності персональних даних Користувачів. Метою цих заходів є недопущення несанкціонованого доступу, випадкової втрати, незаконного розкриття, зміни чи знищення персональної інформації.

Захист персональних даних гарантується на всіх етапах їх життєвого циклу: від моменту збору та реєстрації — до зберігання, обробки та видалення. Це включає:

• використання сертифікованих апаратно-програмних засобів захисту інформації;

• шифрування даних під час їх передавання та зберігання;

• застосування систем автентифікації та контролю доступу до інформаційних ресурсів;

• постійний моніторинг подій безпеки та ведення журналів аудиту;

• резервне копіювання та відновлення даних у випадку технічних збоїв;

• проведення регулярних перевірок, тестувань та оновлення систем інформаційної безпеки.

Внутрішній доступ до персональних даних користувачів вебсайту та Онлайн-сервісу надається лише тим співробітникам Надавача, які мають на це належні повноваження та потребують такої інформації для виконання своїх посадових обов’язків. Усі такі співробітники зобов’язані дотримуватися політик конфіденційності та несуть відповідальність за порушення вимог щодо захисту персональних даних.

Крім того, під час проведення регламентних або ремонтних робіт Надавач гарантує застосування процедур, що виключають несанкціонований доступ до баз персональних даних.

11. Використання технології cookie при відвідуванні/користуванні Вебсайтом

Для забезпечення належного функціонування вебсайту та підвищення зручності користування, Надавач може застосовувати технологію cookie — невеликі текстові файли, що зберігаються на пристрої Користувача під час відвідування вебсайту.

Файли cookie не містять конфіденційної інформації та не становлять загрози для пристроїв Користувачів. Їх використання дозволяє:

• забезпечити стабільну та безпечну роботу вебсайту і Онлайн-сервісу;

• спростити процес автентифікації та зберігати налаштування Користувача;

• формувати анонімну статистику використання сервісів;

• оптимізувати відображення інформаційних та рекламних повідомлень;

• покращувати якість надання кваліфікованих електронних довірчих послуг.

Типи файлів cookie, які можуть використовуватися Надавачем:

• Сеансові файли cookie — тимчасові файли, що зберігаються на пристрої Користувача до моменту закриття браузера та автоматично видаляються після завершення сеансу роботи.

• Постійні файли cookie — залишаються на пристрої Користувача протягом визначеного часу або до їх самостійного видалення. Такі файли дозволяють вебсайту розпізнавати браузер Користувача при наступних відвідуваннях та зберігати його індивідуальні налаштування.

Крім цього, використовуються такі категорії cookie:

• Необхідні (strictly necessary cookies) – забезпечують роботу вебсайт та сервісів.
  Аналітичні (analytics cookies) – допомагають отримувати анонімну статистику.

• Функціональні (functional cookies) – зберігають індивідуальні налаштування Користувача.

• Маркетингові (marketing cookies) – для персоналізованих повідомлень та реклами.

Користувач може керувати налаштуваннями cookie через банер згоди. Використання cookie здійснюється відповідно до GDPR та Директиви ЄС ePrivacy.

Користувач має можливість у будь-який час керувати налаштуваннями cookie через параметри свого браузера, у тому числі обмежувати або повністю забороняти їх використання. При цьому слід враховувати, що відключення cookie може вплинути на повноцінне функціонування деяких сервісів і зручність користування вебсайтом.

12. Отримання ip-адреси та технічної інформації 

Під час відвідування вебсайту Надавача сервер автоматично реєструє технічну інформацію про доступ Користувача. Зокрема, можуть зберігатися такі дані:

• IP-адреса пристрою або інтернет-провайдера Користувача;

• вебресурс (реферер), з якого здійснено перехід на вебсайт Надавача;

• сторінки вебсайту, які були відвідані Користувачем;

• дата, час і тривалість сеансу користування вебсайтом;

• інформація про тип браузера, операційну систему та технічні параметри пристрою Користувача;

• інші відомості, що автоматично передаються браузером при відвідуванні вебсайту.

• Зазначена інформація використовується Надавачем виключно для:

• забезпечення належного функціонування вебсайту та Онлайн-сервісу;

• діагностики технічних проблем та моніторингу стабільності роботи систем;

• підвищення рівня безпеки, включно з виявленням і запобіганням випадкам несанкціонованого доступу чи шахрайських дій;

• формування узагальненої статистики відвідувань та вдосконалення користувацького досвіду.

Отримані технічні дані не використовуються для ідентифікації конкретних осіб, за винятком випадків, прямо передбачених законодавством України (наприклад, за запитами правоохоронних органів).

13. Обмеження відповідальності Надавача

Надавач вживає всіх можливих заходів для належного функціонування вебсайту та Онлайн-сервісу, однак не несе відповідальності за обставини, що виходять за межі його контролю, зокрема:

• технічні збої чи перебої в роботі серверів та обладнання, що не належать Надавачу;

• неналежне функціонування або відмову у роботі постачальників послуг доступу до мережі Інтернет, що може призвести до тимчасової відсутності чи обмеження доступу Користувачів до вебсайту та Онлайн-сервісу;

• витоки інформації або несанкціонований доступ до персональних даних, спричинені діями чи бездіяльністю третіх осіб, які не перебувають у правовому чи технічному підпорядкуванні Надавача;

• самостійне розкриття Користувачем своїх персональних даних у сторонніх мобільних застосунках, програмних інтерфейсах, сервісах чи на вебсайтах, що не контролюються Надавачем.

Користувач усвідомлює, що безпека персональних даних значною мірою залежить також від його власних дій, зокрема від правильності збереження доступів до особистого кабінету, дотримання рекомендацій з інформаційної безпеки та утримання від розголошення персональних відомостей третім особам.

14. Посилання на Вебсайті

Вебсайт Надавача може містити гіперпосилання на інші інтернет-ресурси, що належать або адмініструються третіми особами. Такі посилання наведені виключно для зручності Користувачів та не означають, що Надавач схвалює чи несе відповідальність за вміст, політики або практики зазначених вебсайтів.

Надавач не контролює діяльність третіх осіб та не відповідає за:

• зміст інформації, опублікованої на сторонніх вебсайтах;

• правила користування такими ресурсами;

• дотримання третіми особами вимог щодо захисту та конфіденційності персональних даних Користувачів;

• будь-які наслідки, що можуть виникнути внаслідок відвідування чи використання сторонніх вебсайтів.

Ця Політика конфіденційності поширюється виключно на вебсайт та Онлайн-сервіс Надавача. Вона не регулює порядок обробки персональних даних Користувачів на сторонніх ресурсах.

Користувачеві рекомендується дотримуватися обережності під час переходу за зовнішніми посиланнями, перевіряти надійність та безпечність таких вебсайтів, а також самостійно ознайомлюватися з їхніми політиками конфіденційності та умовами використання.

15. Додаткова інформація

Надавач залишає за собою право вносити зміни та доповнення до цієї Політики конфіденційності з метою її актуалізації відповідно до вимог законодавства України, міжнародних стандартів у сфері захисту персональних даних та практики надання електронних довірчих послуг. Усі оновлення набирають чинності з моменту їх опублікування на офіційному вебсайті Надавача, якщо інше не передбачено чинним законодавством.

Користувачам рекомендується періодично переглядати цю Політику, щоб бути поінформованими про зміни у правилах збору, обробки та захисту їхніх персональних даних.

У разі виникнення запитань, пропозицій, зауважень чи скарг щодо положень цієї Політики або порядку обробки персональних даних, Користувач може звернутися до Надавача: