Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

 

Содержание

  1. Общие понятия и область применения
  2. Список баз персональных данных
  3. Цель обработки персональных данных
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
  5. Местонахождение базы персональных данных
  6. Условия раскрытия информации о персональных данных третьим лицам
  7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Порядок работы с запросами субъекта персональных данных
  10. Государственная регистрация базы персональных данных
  11. Файлы cookie

 

1. Общие понятия и область применения

1.1. Определение терминов:

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

ответственное лицо — уполномоченное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;

владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое определяет цели обработки персональных данных в данной базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не предусмотрено законом;

Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

общедоступные источники персональных данных —

справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники общедоступной информации, содержащие персональные данные, размещенные и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субъект персональных данных оставляет свои персональные данные (за исключением случаев, когда субъектом персональных данных прямо указано, что персональные данные размещены с целью их свободного распространения и использования);

согласие субъекта персональных данных — любое задокументированное добровольное волеизъявление физического лица о предоставлении согласия на обработку его персональных данных в соответствии с указанной целью их обработки;

обезличивание персональных данных — извлечение сведений, позволяющих идентифицировать личность;

обработка персональных данных — любое действие или совокупность действий, совершаемых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

управляющий базой персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владельцем и/или распорядителем базы персональных данных поручено выполнять работы технического характера с базой персональных данных без доступа к содержанию персональных данных;

субъект персональных данных — физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом;

особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или половой жизни.

1.2. Настоящее Положение обязательно к исполнению ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

 

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

  • база данных персональных данных контрагентов.

 

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных в системе является обеспечение осуществления гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».

 

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно представлять собой добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с заявленной целью их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо;
  • электронный документ, который должен содержать обязательные реквизиты, позволяющие идентифицировать данный документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных целесообразно заверить электронной подписью субъекта персональных данных;
  • отметка на электронной странице документа или в электронном файле, обрабатываемая в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, правах, определенных Законом Украины «О защите персональных данных», целях сбора данных и лицах, которым передаются его персональные данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.

 

5. Местонахождение базы персональных данных

5.1. Базы персональных данных, указанные в разделе 2 настоящего Положения, находятся по адресу продавца.

 

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не в состоянии их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее — запрос) к персональным данным владельцу персональных данных.

6.4. В запросе указываются:

  • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность физического лица, подающего запрос (для физического лица — заявителя);

  • наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя);

  • фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого подается запрос;

  • сведения о базе персональных данных, в отношении которой подается запрос, или сведения о владельце или распорядителе этой базы персональных данных;

  • перечень запрашиваемых персональных данных;

  • цель и/или правовые основания для запроса.

6.5. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных доводит до сведения лица, подающего запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, затронутых в запросе, не может превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.8. В уведомлении об отсрочке указываются:

  • фамилия, имя и отчество должностного лица;
  • дата отправки уведомления;
  • причина отсрочки;
  • срок, в течение которого будет удовлетворен запрос.

6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен законом.

6.10. В уведомлении об отказе указываются:

  • фамилия, имя, отчество должностного лица, отказывающего в доступе;
  • дата отправки уведомления;
  • причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.

 

7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владелец базы персональных данных оснащен системными и программно-техническими средствами, а также средствами связи, которые предотвращают утрату, кражу, несанкционированное уничтожение, искажение, подделку и копирование информации и соответствуют требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо назначается приказом владельца базы персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;

  • разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или трудовыми обязанностями;

  • обеспечить выполнение сотрудниками Владельца базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных в отношении обработки и защиты персональных данных в базах персональных данных;

  • разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных в отношении обработки и защиты персональных данных в базах персональных данных, который, в частности, должен содержать нормы относительно периодичности осуществления такого контроля;

  • сообщать Владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных в отношении обработки и защиты персональных данных в базах персональных данных, в срок не позднее одного рабочего дня с момента выявления таких нарушений;

  • обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомление указанного субъекта о его правах.

7.4. В целях выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, в том числе приказы и другие распорядительные документы, изданные владельцем базы персональных данных и связанные с обработкой персональных данных;

  • делать копии полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
    участвовать в обсуждении выполняемых им обязанностей по организации работы, связанной с защитой персональных данных при их обработке;

  • вносить на рассмотрение предложения по улучшению деятельности и совершенствованию методов работы, подавать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;

  • получать разъяснения по вопросам осуществления обработки персональных данных;

  • подписывать и визировать документы в пределах своей компетенции.

7.5. Сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов, касающихся обработки и защиты персональных данных в базах персональных данных.

7.6. Сотрудники, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, обязаны не допускать разглашения каким-либо образом персональных данных, которые им были доверены или которые стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.

7.7. Лица, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, в случае нарушения ими требований Закона Украины «О защите персональных данных» несут ответственность в соответствии с законодательством Украины.

7.8. Персональные данные не должны храниться дольше, чем это необходимо для целей, для которых такие данные хранятся, но в любом случае не дольше срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных.

 

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать о местонахождении базы персональных данных, содержащей его персональные данные, о её назначении и названии, а также о месте нахождения и/или месте жительства (пребывания) владельца или распорядителя этой базы, либо дать соответствующее поручение на получение этой информации уполномоченным им лицам, за исключением случаев, предусмотренных законом;

  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;

  • на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;

  • получать не позднее чем через тридцать календарных дней со дня поступления запроса, за исключением случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся;

  • предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;

  • предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;

  • на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредставлением или несвоевременным их представлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочат честь, достоинство и деловую репутацию физического лица;

  • обращаться по вопросам защиты своих прав в отношении персональных данных в органы государственной власти и органы местного самоуправления, в полномочия которых входит обеспечение защиты персональных данных;
  • использовать средства правовой защиты в случае нарушения законодательства о защите персональных данных.

 

9. Порядок работы с запросами субъекта персональных данных

9.1. Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, предусмотренных законом.

9.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.

9.3. Субъект персональных данных подает запрос о доступе (далее — запрос) к персональным данным владельцу базы персональных данных.

В запросе указываются:

  • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
  • прочие сведения, позволяющие идентифицировать личность субъекта персональных данных;
  • сведения о базе персональных данных, в отношении которой подается запрос, или
  • сведения о владельце или распорядителе этой базы;
  • перечень запрашиваемых персональных данных.

9.4. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных доводит до сведения субъекта персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.

9.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

 

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».

 

11. Файлы cookie.

Наш сайт использует файлы cookie для улучшения работы пользователей, сбора аналитики и настройки рекламных предложений. Используя наш сайт, вы соглашаетесь на использование файлов cookie в соответствии с настоящей Политикой