Повідомлення про обробку персональних даних

Додаток № 1 до Опитувальника компанії Deloitte¹  

для цілей реалізації комплексу заходів, направлених на запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі – AML, абрев. від англ. Anti-Money Laundering), – для  дотримання вимог законодавства, здійснення активного моніторингу та звітування про підозрілу діяльність.   

Це Повідомлення надається відповідно до вимог Законодавства про захист даних².  

Рішення Контролера персональних даних (володільця персональних даних) щодо цілей обробки    

Deloitte¹ – Товариство з обмеженою відповідальністю «Делойт енд Туш Юкрейніан Сервісез Компані», реєстраційний номер: 25642478, адреса: Україна, вул. Жилянська, 48, 50a, Київ, 01033, (далі – Deloitte) як юридична особа, на яку покладено виконання вимог Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» № 361-IX від 6 грудня 2019 року; Наказу Міністерства фінансів України «Про затвердження Положення про здійснення фінансового моніторингу суб’єктами первинного фінансового моніторингу, державне регулювання і нагляд за діяльністю яких здійснює Міністерство фінансів України» № 282 від 7 червня 2024 року та інших застосовних нормативно-правових актів (далі – Закон), збирає та обробляє ваші персональні дані в обсязі і для цілей, визначених у цьому Повідомленні.  

Мета збирання та обробки персональних даних  

Персональні дані збираються та обробляються з метою дотримання вимог Закону.  

Види персональних даних  

Deloitte збирає та обробляє види даних, зазначених в Опитувальнику.   

Категорії Суб’єктів персональних даних   

Відповідно до Закону, дані збираються від або стосовно Суб’єктів даних, як-от:  

• законний представник, уповноважений представник або повноправний власник довіреності, що встановлює ділові відносини з Deloitte від імені клієнта Deloitte, який може бути юридичною особою, суб’єктом міжнародного права, підприємцем, трастом або суб’єктом цивільного права; 
• кінцевий бенефіціарний власник клієнта Deloitte; 
• виконавчий орган клієнта Deloitte, особи, що мають право розпоряджатися рахунками та/або майном клієнта Deloitte, а також інші особи, ідентифікація та верифікація яких можуть бути необхідними в певних випадках, коли цього вимагає Закон.  

Законність обробки персональних даних  

Персональні дані збираються з метою дотримання вимог Закону.  

Як зазначено вище, надання персональних даних для зазначеної мети є обов’язковим. Ненадання персональних даних матиме правові наслідки, передбачені Законом, які можуть призвести до:  

• невиконання зобов’язань щодо співпраці у сфері AML, покладених на клієнтів згідно із Законом; 
• невиконання AML-процедур Deloitte; 
• невстановлення ділових відносин з клієнтом; 
• повідомлення про підозру компетентному органу.   

Дані збираються безпосередньо від вищезазначених Суб’єктів персональних даних або від уповноваженого персоналу клієнта Deloitte, або опосередковано із загальнодоступних джерел та/або документації, наданої Суб’єктом даних чи уповноваженими працівниками клієнта Deloitte. Електронні дані зберігаються так, що до них має доступ тільки уповноважений персонал Deloitte.  

Реципієнти даних/категорії фізичних або юридичних осіб, які мають доступ до персональних даних, що обробляються  

Працівники Deloitte CE забезпечують виконання вимог Закону, дотримання Політики Deloitte щодо протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, та фінансуванню тероризму, а також реалізацію AML-Політики Deloitte CE та AML-програми Deloitte CE.  

Deloitte CE затверджує Процесорів даних, які надають Deloitte CE адміністративні послуги та додаткові послуги з ІТ-підтримки на підставі відповідної письмової згоді/договору.  

Строк обробки персональних даних   

Персональні дані зберігаються протягом періоду, визначеного Законом, тобто протягом п’яти років від дати закінчення ділових відносин. Після закінчення зазначеного періоду персональні дані повністю видаляються.  

Безпека обробки даних  

Deloitte CE зобов’язується застосовувати технологічні, фізичні, адміністративні та процедурні засоби безпеки відповідно до всіх прийнятих у галузі стандартів, щоб забезпечувати захист, конфіденційність, цілісність та доступність усіх персональних даних, що обробляються; запобігати несанкціонованому використанню чи несанкціонованому доступу до персональних даних та витоку персональних даних (інцидентам безпеки) відповідно до інструкцій і політики Deloitte CE та вимог чинного законодавства. Deloitte CE має сертифікат відповідності стандарту ISO 27001, загальновизнаному у сфері інформаційної безпеки.   

Права Суб’єкта персональних даних 

Суб’єкт персональних даних має право подавати запит на отримання доступу до своїх персональних даних, виправлення або видалення персональних даних, встановлення обмежень щодо обробки персональних даних у тій мірі, в якій це дозволяє Закон. Суб’єкт даних може висловити заперечення проти обробки своїх персональних даних (в окремих випадках, визначених у Законодавстві про захист даних), а також реалізовувати своє право на перенесення даних та інші права, визначені Статтею 8 Закону України № 2297-VI «Про захист персональних даних». Усі описані вище права можна реалізувати, надіславши письмове повідомлення на адресу: ceuaprivacy@deloittece.com.  

Кожний Суб’єкт персональних даних має право подати скаргу до локального наглядового органу з питань захисту персональних даних в Україні (Уповноваженого Верховної Ради України з прав людини (Омбудсмена)) у тому разі, коли, на його думку, обробка його/її персональних даних порушує Законодавство про захист даних.