Правила обработки и защиты персональных данных в базах данных персональных данных, принадлежащих продавцу
Содержание
- Общие концепции и сфера охвата
- Список баз данных персональных данных
- Цель обработки персональных данных
- Процедура обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
- Расположение базы данных персональных данных
- Условия раскрытия персональных данных третьим лицам
- Защита персональных данных: методы защиты ответственного лица, сотрудники, которые непосредственно обработать и/или иметь доступ к персональным данным в связи с выполнением ими своих служебных обязанностей, срок хранения персональных данных
- Права субъекта персональных данных
- Процедура работы с запросами субъекта персональных данных
- Государственная регистрация базы данных персональных данных
- Общие концепции и сфера охвата
1.1. Определение терминов:
база данных персональных данных - названный набор заказанных персональных данных в электронной форме и/или в виде файлов карт персональных данных;
ответственное лицо - назначенное лицо, которое организует работу, связанную с защитой персональных данных во время их обработки, в соответствии с законом;
владелец базы персональных данных - физическое или юридическое лицо, которому по закону или с согласия субъекта персональных данных право обрабатывать эти данные, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и порядок их обработки, если иное не указано законом;
Государственный реестр баз данных персональных данных является единой государственной информационной системой сбора, накопления и обработки информации о зарегистрированных базах данных персональных данных;
общедоступными источниками персональных данных являются каталоги, адресные книги, регистры, списки, каталоги, другие систематизированные коллекции открытой информации, содержащей персональные данные, размещенные и опубликованные с ведома субъекта персональных данных.
согласие субъекта персональных данных - любая документированная, добровольная волю физического лица на предоставление разрешения на обработку его/ее персональных данных в соответствии с заявленной целью их обработки;
анонимизация персональных данных - удаление информации, позволяющей идентифицировать человека;
обработка персональных данных - любые действия или набор действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в карточных файлах персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространение, продажа, передача), анонимизацией, уничтожением информации о человеке;
персональные данные - информация или набор информации о человеке, который идентифицирован или может быть конкретно идентифицирован;
менеджер базы персональных данных – физическое или юридическое лицо, которому владелец базы данных персональных данных или закон имеет право обрабатывать эти данные.
субъект персональных данных - физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его/ее персональных данных;
третья сторона - любое лицо, за исключением субъекта персональных данных, владельца или менеджера базы данных персональных данных и уполномоченного государственного органа по защите персональных данных, которому владелец или управляющий базой данных персональных данных передает персональные данные в соответствии с законом;
специальные категории данных - персональные данные о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или сексуальной жизни.
1.2. Это Положение является обязательным для использования ответственным лицом и работниками продавца, которые непосредственно обработать и/или иметь доступ к персональным данным в связи с выполнением ими своих служебных обязанностей.
2. Список баз данных персональных данных
2.1. Продавец является владельцем следующих баз данных персональных данных:
- базы персональных данных контрагентов.
3. Цель обработки персональных данных
3.1. Целью обработки персональных данных в системе является обеспечение осуществления гражданско-юридических отношений, обеспечение, получение и осуществление платежей за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины "О бухгалтерской и финансовой отчетности в Украине".
4. Процедура обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
4.1. Согласие субъекта персональных данных должно быть добровольным выражением воли физического лица к предоставлению разрешения на обработку его/ее персональных данных в соответствии с заявленной целью их обработки.
4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:
- документ на бумаге с подробной информацией, позволяющей идентифицировать этот документ и физическое лицо;
- электронный документ, который должен содержать обязательные сведения, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявиме физического лица разрешить обработку своих персональных данных должно быть заверено электронной подписью субъекта персональных данных;
- маркировка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированного программного обеспечения и технических решений.
4.3. Согласие субъекта персональных данных предоставляется при регистрации гражданско-юридических отношений в соответствии с действующим законодательством.
4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, права, определенные Законом Украины "О защите персональных данных", цели сбора данных и лиц, которым передаются его персональные данные, осуществляется при регистрации гражданско-юридических отношений в соответствии с действующим законодательством.
4.5. Запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или половой жизни (специальные категории данных).
5. Расположение базы данных персональных данных
5.1. Базу данных персональных данных, указанную в разделе 2 настоящего Положения, можно найти по адресу продавца.
6. Сроки раскрытия персональных данных третьим лицам
6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленных владельцу персональных данных для обработки этих данных, или в соответствии с требованиями закона.
6.2. Доступ к персональным данным третьей стороне не предоставляется, если это лицо отказывается взять на себя обязательств по обеспечению соблюдения требований Закона Украины "О защите персональных данных" или не в состоянии их предоставить.
6.3. Субъект отношений, связанных с персональными данными, подает запрос на доступ (ересинафтер, именуемый запросом) к персональным данным владельца персональных данных.
6.4. В запросе говорится:
- фамилия, имя и покровительственное, место жительства (место жительства) и сведения о документе, удостоверяющий лицо, подающее запрос (для физического лица - заявителя);
- имя, местонахождение юридического лица, подающее запрос, должность, фамилию, фамилию и покровительство лица, удостоверяющее запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);
- фамилия, имя и покровительственное, а также другая информация, позволяющая идентифицировать лицо, которому сделан запрос;
- информация о базе персональных данных, в отношении которой подан запрос, будь то информация о владельце или менеджере этой базы персональных данных;
- список запрошенных персональных данных;
- цели и/или юридических оснований для запроса.
6.5. Срок изучения просьбы о ее удовлетворении не может превышать десяти рабочих дней с даты ее получения. В течение этого периода владелец базы персональных данных обращает внимание лица, запрашивающего, что запрос будет удовлетворен или соответствующие персональные данные не будут предоставлены, указывая основания, указанные в соответствующем нормативном акте. Запрос удовлетворяется в течение тридцати календарных дней с даты его получения, если иное не предусмотрено законом.
6.6. Задержка с доступом к персональным данным третьих сторон допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с даты получения запроса. В то же время общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.
6.7. Уведомление об отсрочке доведено до сведения третьей стороны, подавший запрос, в письменном виде разъясню процедуру обжалования такого решения.
6.8. В уведомлении об отсрочке говорится:
- фамилия, имя и покровительство должностного лица;
- дата отправки сообщения;
- причина отсрочки;
- период, в течение которого запрос будет удовлетворен.
6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законом.
6.10. В уведомлении об отказе говорится:
- фамилия, имя, покровительство должностного лица, которое отказывается в доступе;
- дата отправки сообщения;
- причиной сбоя.
6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.
7. Защита персональных данных: методы защиты ответственного лица, сотрудники, которые непосредственно обработать и/или имеют доступ к персональным данным в связи с выполнением ими своих служебных обязанностей, срок хранения персональных данных
7.1. Владелец базы данных персональных данных оснащен системными и программными средствами и средствами связи, которые предотвращают потери, кражи, несанкционированное уничтожение, искажения, подделку, копирование информации и отвечают требованиям международных и национальных стандартов.
7.2. Ответственное лицо организует работу, связанную с защитой персональных данных во время их обработки, в соответствии с законом. Ответственное лицо определяется по распоряжению Владельца базы данных персональных данных.
Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указаны в описании должностных обязанностей.
7.3. Ответственное лицо обязано:
- знать законодательство Украины в области защиты персональных данных;
- разработать процедуры доступа к персональным данным работников в соответствии с их профессиональными или служебными или трудовыми обязанностями;
- обеспечить выполнение владельцем базы персональных данных требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах данных персональных данных;
- разработать процедуру (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы данных персональных данных по обработке и защите персональных данных в базах данных персональных данных, которые, в частности, должны содержать нормы относительно частоты такого контроля;
- уведомить владельца базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных в течение не позднее одного рабочего дня с даты выявления таких нарушений;
- обеспечить хранение документов, подтверждающих предоставление персональных данных согласия на обработку их персональных данных и уведомление указанного субъекта о его правах.
7.4. Для выполнения своих обязанностей ответственное лицо имеет право:
- получение необходимых документов, включая распоряжения и другие нормативные документы, выданные Владельцем базы данных персональных данных, связанные с обработкой персональных данных;
- сделать копии полученных документов, включая копии файлов, любые записи, хранящиеся в локальных компьютерных сетях и автономных компьютерных системах;
- участие в обсуждении обязанностей, выполняемых им, по организации работы, связанной с защитой персональных данных при их обработке;
- представить предложения по совершенствованию деятельности и совершенствованию методов работы, представить замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
- получать разъяснения по обработке персональных данных;
- подписать и представить документы в пределах своей компетенции.
7.5. Работники, которые непосредственно обрабатывают и/или имеют доступ к персональным данным в связи с исполнением ими своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в области защиты персональных данных и внутренних документов, касающихся обработки и защиты персональных данных в базах данных персональных данных.
7.6. Работники, которые имеют доступ к персональным данным, включая их обработку, обязаны каким-либо образом не раскрывать персональные данные, которым они были поручены или которые стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действует после прекращения их деятельности, связанной с персональными данными, за исключением случаев, установленных законом.
7.7. Лица, которые имеют доступ к персональным данным, в том числе их обработку в случае нарушения требований Закона Украины "О защите персональных данных", несут ответственность в соответствии с законодательством Украины.
7.8. Личные данные не должны храниться дольше, чем это необходимо для целей хранения таких данных, но в любом случае не дольше периода хранения данных, определяемого согласием субъекта персональных данных для обработки этих данных.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
- знать местонахождение базы персональных данных, содержащую его/ее личные данные, ее назначение и имя, местонахождение и/или место жительства (пребывания) владельца или руководителя этой базы данных или дать соответствующее указание получать эту информацию уполномоченным лицам, за исключением случаев, установленных законом;
- получение информации об условиях предоставления доступа к персональным данным, в частности информации о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
- доступ к вашим персональным данным, содержащимся в соответствующей базе персональных данных;
- получить не позднее тридцати календарных дней с даты получения запроса, за исключением случаев, предусмотренных законом, ответ на вопрос о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержимое его хранимых персональных данных;
- сделать мотивированную просьбу с возражением против обработки их персональных данных государственными органами, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
- сделать заумный запрос на изменение или уничтожение ваших персональных данных любым владельцем и менеджером этой базы данных, если эти данные обрабатываются незаконно или ненадежны;
- для защиты ваших персональных данных от незаконной обработки и случайных потерь, уничтожения, ущерба в результате преднамеренного сокрытия, непредовремени или несвоевременного предоставления их, а также для защиты от предоставления недостоверной или порочит честь, достоинство и деловую репутацию физического лица;
- обращаться за защитой своих прав в отношении персональных данных в государственные органы, местные органы самоуправления, полномочия которых включают защиту персональных данных;
- применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
9. Процедура работы с запросами субъекта персональных данных
9.1. Субъект персональных данных имеет право получать любую информацию о себе от любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, установленных законом.
9.2. Доступ к персональным данным, подлежащим сбору за данные о себе, является бесплатным.
9.3. Субъект персональных данных представляет запрос на доступ (ересинафтер, именуемый запросом) к персональным данным владельца базы данных персональных данных.
В запросе указывается:
- фамилия, имя и покровительство, место жительства (место жительства) и сведения о документе, удостоверяющий личность субъекта персональных данных;
- другая информация, позволяющая идентифицировать личность субъекта персональных данных;
- информация о базе персональных данных, в отношении которой подан запрос, будь то информация о владельце или менеджере этой базы данных;
- список запрошенных персональных данных.
9.4. Срок изучения просьбы о ее удовлетворении не может превышать десяти рабочих дней со дня ее получения. В течение этого периода владелец базы персональных данных доказывает субъекту персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, указывая основу, указанную в соответствующем нормативном акте.
9.5. Просьба удовлетворяется в течение тридцати календарных дней с даты ее получения, если иное не предусмотрено законом.
10. Государственная регистрация базы данных персональных данных
10.1. Государственная регистрация баз данных персональных данных осуществляется в соответствии со статьей 9 ЗаконаУкраины "О защите персональных данных".