Положение про обработку и защиту персональных данных в базах персональных даных,владельцем которых является продавец:

Содержание

  1. Общие понятия и сфера применения
  2. Перечень баз персональных данных
  3. Цель обработки персональных даных
  4. Порядок обработки персональных даных: получение согласия, уведомление о правах и действиях с персональными данными субьекта персональных данных
  5. Местоположение базы персональных данных
  6. Условия раскрытия информации про персональные данные третим лицам
  7. Защита персональных данных: способы защиты,ответственное лицо,работники,которые непосредственно совершают обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей,срок хранения персональных данных
  8. Права субьекта персональных данных
  9. Порядок работи с запросами субьекта персональных данных
  10. Государственная регистрация базы персональных данных

 

1. Общие понятия и сфера применения

1.1. Определения терминов:

база персональных данных — именуемая сукупность упорядоченных персональных данных в електронной форме и/или в форме картотек персональных данных;

ответственное лицо — определенное лицо, которое организовывает работу, связанную с защитой персональных данных при их обработке, соответственно закону;

владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субьекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если другое не определено законом;

Государственный реестр баз персональных данных — единственная государственная информационная система сбора, накопления и обработки ведомостей про зарегистрированные базы персональных данных;

Общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, другие систематизированные зборники открытой информации, которые содержат персональные данные, размещены и опубликованы с ведома субьекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субьекты персональных данных оставляют свои персональные данные (кроме случаев, когда субьектом персональных данных прямо указано, что персональные данные размещены с целью их свободного распространения и использования);

Согласие субьекта персональных данных — любое документированное, добровольное волеизьявление физического лица относительно предоставления разрешения на обработку его персональных данных соответственно сформулированной цели их обработки;

Обезличивание персональных данных — изьятие ведомостей, которые позволяют идентифицировать личность;

обработка персональных данных — любое действие или сукупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со збором, регистрацией, накоплением, хранением, адаптированием, сменой, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением ведомостей о физическом лице;

персональные данные — ведомости или сукупность ведомостей о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владельцем и/или распорядителем базы персональных данных поручено осуществлять работи технического характера с базой персональных данных без доступа к содержанию персональных данных;

субьект персональных данных — физическое лицо, по отношению которого соответственно закона осуществляется обработка его персональных данных;

третье лицо — любое лицо, за исключением субьекта персональных данных, владельца либо распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных даных осуществляется передача персональных данных соответственно закона;

особые категории данных — персональные данные о рассовом либо этничном происхождении, политические, религийные или мировозренческие убеждения, членство в политических партиях и профессиональных сообществах, а также данных, которые касаются здоровья или половой жизни.

1.2. Данное Положение обязательное для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с исполнением своих служебных обязанностей.

 

2. Перечень баз персональных данных

2.1. Продавец является владельцем таких баз персональных данных:

  • база персональных данных контрагентов.

 

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги соответственно  Налоговому кодексу Украины, Закона Украины «О бухгалтерском учете и финансовой отчетности в Украине».

 

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действий с персональными данными субьекта персональных данных

4.1. Согласие субьекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии сформулированной цели их обработки.

4.2. Согласие субьекта персональных данных может быть предоставлено в таких формах:

  • документ на бумажном носителе с реквизитами, который дает возможность идентифицировать этот документ и физическое лицо;
  • электронный документ, который должен содержать обязательные реквизиты, которые дают возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных целесообразно удостоверять електронной подписью субьекта персональных данных;
  • отметка на електронной странице документа или в електронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субьекта персональных данных предоставляется во время оформления гражданско-правовых отношений в соответствии действующему законодательству.

4.4. Уведомление субьекта персональных данных о включении его персональных даных в базу персональных данных, права, определены Законом Украины «О защите персональных данных», цель збора данных и лиц, которым передаются его персональные данные осуществляется во время оформления гражданско-правовых отношений в соответствии  действующего законодательства.

4.5. Обработка персональных данных о рассовом или етническом похождении, политические, религийные или мировозримые убеждения, членство в политических партиях и профессиональных сообществах, а также данных, которые касаются здоровья или половой жизни (особенные категории данных) запрещаются.

 

5. Местоположение базы персональных данных

5.1. Указанные в разделе 2 этого Положения базы персональных данных находятся по адресу продавца.

 

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субьекта персональных данных, предоставленого владельцу персональных данных на обработку этих данных, или в соответствии требованиям закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательство касаемо обеспечения исполнения требований Закона Украины «О защите персональных данных» или не в состоянии их обеспечить.

6.3. Субьект отношений, связанный с персональными данными, подает запрос относительно доступа (далее — запрос) к персональным данным владельцу персональных данных.

6.4. В запросе указывается:

  • фамилия, имя и отчество, место проживания (место нахождения) и реквизиты документа, который удостоверяет физическое лицо, которое подает запрос (для физического лица — заявителя);
  • наименование, местонахождения юридического лица, которое подает запрос, должность, фамилия, имя и отчество лица, которое удостоверяет запрос; подтверждение того, что содержание запроса соответствует полномочиям юридически и лица (для юридического лица — заявителя);
  • фамилия, имя и отчество, а также другие ведомости, которые позволяют идентифицировать физическое лицо, относительно которого делается запрос;
  • сведения о базе персональных данных, относительно которой подается запрос, или ведомости о владельце или распорядителе этой базы персональных данных;
  • перечень персональных данных, которые запрашиваются;
  • цель и/или правовые основания для запроса.

6.5. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с дня его поступления. На протяжении этого срока владелец базы персональных данных доводит до ведома лица, которое подает запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течении тридцати календарных дней с дня его поступления, если другое не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течении тридцати календарных дней с дня поступления запроса. При этом общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке доводится к сведению третьего лица, которое подало запрос, в письменной форме с разьяснением порядка обжалования такого решения.

6.8. В сообщении об отсрочке указываются:

  • фамилия, имя и отчество должностного лица;
  • дата отправления сообщения;
  • причина отсрочки;
  • срок, на протяжении которого будет удовлетворено запрос.

6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законом.

6.10. В сообщении об отказе указываются:

  • фамилия, имя, отчество должностного лица, которое отказывает в доступе;
  • дата отправления сообщения;
  • причина отказа.

6.11. Решение об отсрочке или отказ в доступе к персональным данным может быть обжалован в суде.

 

7. Защита персональных данных: способы защиты, ответственное лицо, работники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владельца базы персональных данных оборудовано системными и программно-техническими средствами и средствами связи, которые предотвращают потери, кражи, несанкционированному уничтожению, искривлению, подделыванию, копированию информации и отвечают требованиям международных и национальных стандартов.

7.2. Ответственное лицо организовывает работу, связанную с защитой персональных данных при их обработке, соответственно закона. Ответственное лицо определяется приказом владельца базы персональных данных.

Обязанности ответственного лица касаемо организации работи, связанной с защитой персональных данных при их обработке указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;
  • разработать процедуры доступа к персональным данным сотрудников соответственно их профессиональных или служебных либо трудовых обязанностей;
  • обеспечить выполнение сотрудниками Владельца базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, которые регулируют деятельность Владельца базы персональных данных касаемо обработки и защиты персональных данных в базах персональных данных;
  • разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, которые регулируют деятельность Владельца базы персональных данных относительно обработки и защиты персональных данных в базах персональных данных, который, в частности, должен содержать нормы относительно периодичности совершения такого контроля;
  • уведомлять Владельца базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, которые регулируют деятельность Владельца базы персональных данных относительно обработки и защиты персональных данных в базах персональных данных в срок не позже одного рабочего дня с момента обнаружения таких нарушений;
  • обеспечить хранение документов, которые подтверждают предоставление субьектом персональных данных согласия на обработку своих персональных данных и уведомления указанного субьекта о его правах.

7.4. С целью выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, в том числе приказы и другие распорядительные документы, выданных Владельцем базы персональных данных, связанных с обработкой персональных данных;
  • делать копии по полученным документам, в том числе копии файлов, любых записей, которые хранятся в локальных вычислительных сетях и автономных компьютерных системах;
  • брать участие в обсуждении исполняемых им обязанностей организации работи, связанной с защитой персональных данных при их обработке;
  • вносить на рассмотрение предложения относительно улучшения деятельности и усовершенствования методов работи, вносить замечания и варианты устранения обнаруженных недостатков в процессе обработки персональных данных;
  • получать обьяснения по вопросам совершения обработки персональных данных;
  • подписывать и визировать документы в рамках своей компетенции.

7.5. Работники, которые непосредственно совершают обработку и/или имеют доступ к персональным данным в связи с исполнением своих служебных (трудовых) обязанностей обязаны придерживатся требований законодательства Украины в сфере защиты персональных данных и внутренних документов, относительно обработки и защиты персональных данных в базах персональных данных.

7.6. Работники, которые имеют доступ к персональным данным, в том числе, осуществляют их обработку обязаны не допускать разглашения в любой способ персональных данных, которые им было доверено или которые стали известны в связи с исполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действующее после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.

7.7.Лица, которые имеют доступ к персональным данным, в том числе, совершают их обработку в случае нарушения ими требований Закона Украины «О защите персональных данных» несут ответственность согласно законодательства Украины.

7.8. Персональные данные не должны хранится дольше, чем это необходимо для цели, для которой такие данные хранятся, но в любом случае не дольше срока хранения данных, определенного согласием субьекта персональных данных на обработку этих данных.

 

8. Права субьекта персональных данных

8.1. Субьект персональных данных имеет право:

  • знать о местонахождении базы персональных данных, которая содержит его персональные данные, ее применения и наименования, местонахождения и/или место проживания (пребывания) владельца или распорядителя этой базы или дать соответствующее поручение относительно получения этой информации уполномоченым им лицам, кроме случаев, установленных законом;
  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лиц, которым передаются его персональные данные, которые содержатся в соответствующей базе персональных данных;
  • на доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных;
  • получать не позже чем за тридцать календарных дней с дня поступления запроса, кроме случаев, предусмотреных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся;
  • предъявлять мотивированное требование с возражениями против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
  • предьявлять мотивированное требование относительно смены или уничтожения своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
  • на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или позорят честь, достоинство и деловую репутацию физического лица;
  • обращатся по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых принадлежит совершение защиты персональных данных;
  • применять средства правовой защиты в случае нарушения законодательства про защиту персональных данных.

 

9. Порядок работи с запросами субьекта персональных данных

9.1. Субьект персональных данных имеет право на получение любых ведомостей про себя у любого субьекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.

9.2. Доступ субьекта персональных данных к данным о себе осуществляются бесплатно.

9.3. Субьект персональных данных подает запрос относительно доступа (далее — запрос) к персональным данным владельцу базы персональных данных.

В запросе указываются:

  • фамилия, имя и отчество, место проживания (место пребывания) и реквизиты документа, который удостоверяет личность субьекта персональных данных;
  • другие ведомости, которые дают возможность идентифицировать лицо субьекта персональных данных;
  • ведомости о базе персональных данных, относительно которой подается запрос, или ведомости о владельце или распорядителя этой базы;
  • перечень персональных данных, которые запрашиваются.

9.4. Срок изучения вопроса на предмет его удовлетворения не может превышать десяти рабочих дней с дня его поступления. На протяжении этого срока владелец базы персональных данных доводит до ведома субьекта персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенной в соответствующем нормативно-правовом акте.

9.5. Запрос удовлетворяется в течении тридцати календарных дней с дня его поступления, если другое не предусмотрено законом.

 

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии статье 9 Закона Украины «О защите персональных данных».