Правила обработки и защиты персональных данных в базах данных персональных данных, принадлежащих продавцу

 

Содержание

  1. Общие концепции и сфера охвата
  2. Список баз данных персональных данных
  3. Цель обработки персональных данных
  4. Процедура обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
  5. Расположение базы данных персональных данных
  6. Условия раскрытия персональных данных третьим лицам
  7. Защита персональных данных: методы защиты ответственного лица, сотрудники, которые непосредственно обработать и/или иметь доступ к персональным данным в связи с выполнением ими своих служебных обязанностей, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Процедура работы с запросами субъекта персональных данных
  10. Государственная регистрация базы данных персональных данных
  1. Общие концепции и сфера охвата

1.1. Определение терминов:

база данных персональных данных - названный набор заказанных персональных данных в электронной форме и/или в виде файлов карт персональных данных;

ответственное лицо - назначенное лицо, которое организует работу, связанную с защитой персональных данных во время их обработки, в соответствии с законом;

владелец базы персональных данных - физическое или юридическое лицо, которому по закону или с согласия субъекта персональных данных право обрабатывать эти данные, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и порядок их обработки, если иное не указано законом;

Государственный реестр баз данных персональных данных является единой государственной информационной системой сбора, накопления и обработки информации о зарегистрированных базах данных персональных данных;

общедоступными источниками персональных данных являются каталоги, адресные книги, регистры, списки, каталоги, другие систематизированные коллекции открытой информации, содержащей персональные данные, размещенные и опубликованные с ведома субъекта персональных данных.

согласие субъекта персональных данных - любая документированная, добровольная волю физического лица на предоставление разрешения на обработку его/ее персональных данных в соответствии с заявленной целью их обработки;

анонимизация персональных данных - удаление информации, позволяющей идентифицировать человека;

обработка персональных данных - любые действия или набор действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в карточных файлах персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространение, продажа, передача), анонимизацией, уничтожением информации о человеке;

персональные данные - информация или набор информации о человеке, который идентифицирован или может быть конкретно идентифицирован;

менеджер базы персональных данных – физическое или юридическое лицо, которому владелец базы данных персональных данных или закон имеет право обрабатывать эти данные.

субъект персональных данных - физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его/ее персональных данных;

третья сторона - любое лицо, за исключением субъекта персональных данных, владельца или менеджера базы данных персональных данных и уполномоченного государственного органа по защите персональных данных, которому владелец или управляющий базой данных персональных данных передает персональные данные в соответствии с законом;

специальные категории данных - персональные данные о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или сексуальной жизни.

1.2. Это Положение является обязательным для использования ответственным лицом и работниками продавца, которые непосредственно обработать и/или иметь доступ к персональным данным в связи с выполнением ими своих служебных обязанностей.

 

2. Список баз данных персональных данных

2.1. Продавец является владельцем следующих баз данных персональных данных:

  1. базы персональных данных контрагентов.

 

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных в системе является обеспечение осуществления гражданско-юридических отношений, обеспечение, получение и осуществление платежей за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины "О бухгалтерской и финансовой отчетности в Украине".

 

4. Процедура обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным выражением воли физического лица к предоставлению разрешения на обработку его/ее персональных данных в соответствии с заявленной целью их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:

  1. документ на бумаге с подробной информацией, позволяющей идентифицировать этот документ и физическое лицо;
  2. электронный документ, который должен содержать обязательные сведения, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявиме физического лица разрешить обработку своих персональных данных должно быть заверено электронной подписью субъекта персональных данных;
  3. маркировка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированного программного обеспечения и технических решений.

4.3. Согласие субъекта персональных данных предоставляется при регистрации гражданско-юридических отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, права, определенные Законом Украины "О защите персональных данных", цели сбора данных и лиц, которым передаются его персональные данные, осуществляется при регистрации гражданско-юридических отношений в соответствии с действующим законодательством.

4.5. Запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или половой жизни (специальные категории данных).

 

5. Расположение базы данных персональных данных

5.1. Базу данных персональных данных, указанную в разделе 2 настоящего Положения, можно найти по адресу продавца.

 

6. Сроки раскрытия персональных данных третьим лицам

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленных владельцу персональных данных для обработки этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьей стороне не предоставляется, если это лицо отказывается взять на себя обязательств по обеспечению соблюдения требований Закона Украины "О защите персональных данных" или не в состоянии их предоставить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос на доступ (ересинафтер, именуемый запросом) к персональным данным владельца персональных данных.

6.4. В запросе говорится:

  • фамилия, имя и покровительственное, место жительства (место жительства) и сведения о документе, удостоверяющий лицо, подающее запрос (для физического лица - заявителя);
  • имя, местонахождение юридического лица, подающее запрос, должность, фамилию, фамилию и покровительство лица, удостоверяющее запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);
  • фамилия, имя и покровительственное, а также другая информация, позволяющая идентифицировать лицо, которому сделан запрос;
  • информация о базе персональных данных, в отношении которой подан запрос, будь то информация о владельце или менеджере этой базы персональных данных;
  • список запрошенных персональных данных;
  • цели и/или юридических оснований для запроса.

6.5. Срок изучения просьбы о ее удовлетворении не может превышать десяти рабочих дней с даты ее получения. В течение этого периода владелец базы персональных данных обращает внимание лица, запрашивающего, что запрос будет удовлетворен или соответствующие персональные данные не будут предоставлены, указывая основания, указанные в соответствующем нормативном акте. Запрос удовлетворяется в течение тридцати календарных дней с даты его получения, если иное не предусмотрено законом.

6.6. Задержка с доступом к персональным данным третьих сторон допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с даты получения запроса. В то же время общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке доведено до сведения третьей стороны, подавший запрос, в письменном виде разъясню процедуру обжалования такого решения.

6.8. В уведомлении об отсрочке говорится:

  • фамилия, имя и покровительство должностного лица;
  • дата отправки сообщения;
  • причина отсрочки;
  • период, в течение которого запрос будет удовлетворен.

6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законом.

6.10. В уведомлении об отказе говорится:

  • фамилия, имя, покровительство должностного лица, которое отказывается в доступе;
  • дата отправки сообщения;
  • причиной сбоя.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.

 

7. Защита персональных данных: методы защиты ответственного лица, сотрудники, которые непосредственно обработать и/или имеют доступ к персональным данным в связи с выполнением ими своих служебных обязанностей, срок хранения персональных данных

7.1. Владелец базы данных персональных данных оснащен системными и программными средствами и средствами связи, которые предотвращают потери, кражи, несанкционированное уничтожение, искажения, подделку, копирование информации и отвечают требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных во время их обработки, в соответствии с законом. Ответственное лицо определяется по распоряжению Владельца базы данных персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указаны в описании должностных обязанностей.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в области защиты персональных данных;
  • разработать процедуры доступа к персональным данным работников в соответствии с их профессиональными или служебными или трудовыми обязанностями;
  • обеспечить выполнение владельцем базы персональных данных требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах данных персональных данных;
  • разработать процедуру (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы данных персональных данных по обработке и защите персональных данных в базах данных персональных данных, которые, в частности, должны содержать нормы относительно частоты такого контроля;
  • уведомить владельца базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных в течение не позднее одного рабочего дня с даты выявления таких нарушений;
  • обеспечить хранение документов, подтверждающих предоставление персональных данных согласия на обработку их персональных данных и уведомление указанного субъекта о его правах.

7.4. Для выполнения своих обязанностей ответственное лицо имеет право:

  • получение необходимых документов, включая распоряжения и другие нормативные документы, выданные Владельцем базы данных персональных данных, связанные с обработкой персональных данных;
  • сделать копии полученных документов, включая копии файлов, любые записи, хранящиеся в локальных компьютерных сетях и автономных компьютерных системах;
  • участие в обсуждении обязанностей, выполняемых им, по организации работы, связанной с защитой персональных данных при их обработке;
  • представить предложения по совершенствованию деятельности и совершенствованию методов работы, представить замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
  • получать разъяснения по обработке персональных данных;
  • подписать и представить документы в пределах своей компетенции.

7.5. Работники, которые непосредственно обрабатывают и/или имеют доступ к персональным данным в связи с исполнением ими своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в области защиты персональных данных и внутренних документов, касающихся обработки и защиты персональных данных в базах данных персональных данных.

7.6. Работники, которые имеют доступ к персональным данным, включая их обработку, обязаны каким-либо образом не раскрывать персональные данные, которым они были поручены или которые стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действует после прекращения их деятельности, связанной с персональными данными, за исключением случаев, установленных законом.

7.7. Лица, которые имеют доступ к персональным данным, в том числе их обработку в случае нарушения требований Закона Украины "О защите персональных данных", несут ответственность в соответствии с законодательством Украины.

7.8. Личные данные не должны храниться дольше, чем это необходимо для целей хранения таких данных, но в любом случае не дольше периода хранения данных, определяемого согласием субъекта персональных данных для обработки этих данных.

 

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать местонахождение базы персональных данных, содержащую его/ее личные данные, ее назначение и имя, местонахождение и/или место жительства (пребывания) владельца или руководителя этой базы данных или дать соответствующее указание получать эту информацию уполномоченным лицам, за исключением случаев, установленных законом;
  • получение информации об условиях предоставления доступа к персональным данным, в частности информации о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
  • доступ к вашим персональным данным, содержащимся в соответствующей базе персональных данных;
  • получить не позднее тридцати календарных дней с даты получения запроса, за исключением случаев, предусмотренных законом, ответ на вопрос о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержимое его хранимых персональных данных;
  • сделать мотивированную просьбу с возражением против обработки их персональных данных государственными органами, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
  • сделать заумный запрос на изменение или уничтожение ваших персональных данных любым владельцем и менеджером этой базы данных, если эти данные обрабатываются незаконно или ненадежны;
  • для защиты ваших персональных данных от незаконной обработки и случайных потерь, уничтожения, ущерба в результате преднамеренного сокрытия, непредовремени или несвоевременного предоставления их, а также для защиты от предоставления недостоверной или порочит честь, достоинство и деловую репутацию физического лица;
  • обращаться за защитой своих прав в отношении персональных данных в государственные органы, местные органы самоуправления, полномочия которых включают защиту персональных данных;
  • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

 

9. Процедура работы с запросами субъекта персональных данных

9.1. Субъект персональных данных имеет право получать любую информацию о себе от любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, установленных законом.

9.2. Доступ к персональным данным, подлежащим сбору за данные о себе, является бесплатным.

9.3. Субъект персональных данных представляет запрос на доступ (ересинафтер, именуемый запросом) к персональным данным владельца базы данных персональных данных.

В запросе указывается:

  • фамилия, имя и покровительство, место жительства (место жительства) и сведения о документе, удостоверяющий личность субъекта персональных данных;
  • другая информация, позволяющая идентифицировать личность субъекта персональных данных;
  • информация о базе персональных данных, в отношении которой подан запрос, будь то информация о владельце или менеджере этой базы данных;
  • список запрошенных персональных данных.

9.4. Срок изучения просьбы о ее удовлетворении не может превышать десяти рабочих дней со дня ее получения. В течение этого периода владелец базы персональных данных доказывает субъекту персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, указывая основу, указанную в соответствующем нормативном акте.

9.5. Просьба удовлетворяется в течение тридцати календарных дней с даты ее получения, если иное не предусмотрено законом.

 

10. Государственная регистрация базы данных персональных данных

10.1. Государственная регистрация баз данных персональных данных осуществляется в соответствии со статьей 9 ЗаконаУкраины "О защите персональных данных".