Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание:

  1. Общие положения и сфера применения
  2. Перечень баз персональных данных
  3. Цель обработки персональных данных
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных
  5. Местонахождение базы персональных данных
  6. Условия раскрытия информации о персональных данных третьим лицам
  7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих должностных обязанностей, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Порядок работы с запросами субъекта персональных данных
  10. Государственная регистрация базы персональных данных

1. Общие положения и сфера применения

1.1 Определения:

  • База персональных данных: именованная совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных.
  • Ответственное лицо: назначенный сотрудник, организующий работу по защите персональных данных при их обработке в соответствии с законом.
  • Владелец базы персональных данных: физическое или юридическое лицо, которому предоставлено право обрабатывать данные в соответствии с законом или с согласия субъекта персональных данных. Владелец определяет цель обработки, устанавливает состав данных и процедуры их обработки, если иное не предусмотрено законом.
  • Государственный реестр баз персональных данных: единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных.
  • Общедоступные источники персональных данных: справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, содержащие персональные данные, опубликованные или предоставленные с согласия субъекта персональных данных. Социальные сети и интернет-ресурсы, где субъекты размещают свои персональные данные, не считаются общедоступными источниками, если субъект не указал, что данные предназначены для свободного распространения.
  • Согласие субъекта персональных данных: любая задокументированная, добровольная воля физического лица, дающая разрешение на обработку их персональных данных для определенной цели.
  • Обезличивание персональных данных: удаление сведений, позволяющих идентифицировать личность.
  • Обработка персональных данных: любые действия или совокупность действий, полностью или частично осуществляемых в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанные со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием, распространением (передачей), обезличиванием, уничтожением информации о физическом лице.
  • Персональные данные: сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано.
  • Распорядитель базы персональных данных: физическое или юридическое лицо, которому владелец базы персональных данных или закон предоставили право на обработку этих данных. Лицо, которому владелец и/или распорядитель базы поручили выполнять технические работы с базой данных без доступа к содержанию персональных данных, не считается распорядителем.
  • Субъект персональных данных: физическое лицо, чьи персональные данные обрабатываются в соответствии с законом.
  • Третье лицо: любое лицо, кроме субъекта персональных данных, владельца или распорядителя базы данных, а также уполномоченного государственного органа по вопросам защиты персональных данных, которому предоставляется доступ к данным в соответствии с законом.
  • Особые категории данных: персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях или профсоюзах, а также данные, касающиеся здоровья или сексуальной жизни.

1.2 Сфера применения положения:

Настоящее Положение обязательно для исполнения ответственным лицом и сотрудниками продавца, которые непосредственно обрабатывают или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

2. Перечень баз персональных данных

2.1 Продавец является владельцем следующих баз персональных данных:

  • База персональных данных контрагентов.

3. Цель обработки персональных данных

3.1

Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины и Законом Украины "О бухгалтерском учете и финансовой отчетности в Украине."

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными

4.1 Согласие субъекта персональных данных:

Согласие субъекта персональных данных должно быть добровольным волеизъявлением, предоставляющим разрешение на обработку персональных данных для конкретной цели.

4.2 Формы предоставления согласия:

  • Документ в бумажной форме с реквизитами, позволяющими идентифицировать документ и физическое лицо.
  • Электронный документ с обязательными реквизитами для идентификации документа и физического лица. Электронная подпись может служить подтверждением добровольности.
  • Отметка в электронном файле или на странице документа в информационной системе.

4.3 Момент предоставления согласия:

Согласие предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4 Уведомление субъекта о правах:

Субъект персональных данных уведомляется о включении его данных в базу, правах, определенных Законом Украины "О защите персональных данных," целях обработки и о лицах, которым передаются его данные.

4.5 Запрещенные категории данных:

Обработка данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях, профсоюзах, а также данных о здоровье или сексуальной жизни запрещена.

5. Местонахождение базы персональных данных

5.1

Базы персональных данных, указанные в разделе 2 настоящего Положения, находятся по адресу продавца.

6. Условия раскрытия информации о персональных данных третьим лицам

6.1

Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу базы данных на обработку данных, либо в соответствии с требованиями законодательства.

6.2

Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается принять на себя обязательства по обеспечению выполнения требований Закона Украины "О защите персональных данных" или не способно их обеспечить.

6.3

Субъект отношений, связанных с персональными данными, подает запрос на доступ к персональным данным владельцу базы данных.

6.4 В запросе указываются:

  • Фамилия, имя, отчество, место проживания (нахождения) и реквизиты документа, удостоверяющего личность физического лица, подающего запрос (для физического лица).
  • Наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя, отчество лица, удостоверяющего запрос, а также подтверждение, что содержание запроса соответствует полномочиям юридического лица (для юридического лица).
  • Фамилия, имя, отчество и другие сведения, позволяющие идентифицировать физическое лицо, на которое подан запрос.
  • Информация о базе данных, к которой относится запрос, или информация о владельце или распорядителе базы данных.
  • Перечень персональных данных, которые запрашиваются.
  • Цель и/или правовые основания для запроса.

6.5

Срок изучения запроса не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы данных уведомляет заявителя, что запрос будет удовлетворен, либо разъясняет причины, по которым данные не могут быть предоставлены, с указанием правовой основы.

6.6

Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено законодательством.

6.7

Отсрочка доступа к персональным данным допускается, если запрошенные данные не могут быть предоставлены в течение тридцати календарных дней с момента поступления запроса. При этом общий срок решения вопросов, указанных в запросе, не может превышать сорока пяти календарных дней.

6.8 Уведомление об отсрочке содержит:

  • Фамилию, имя, отчество должностного лица.
  • Дату отправки уведомления.
  • Причину отсрочки.
  • Срок, в течение которого запрос будет удовлетворен.

6.9

Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законом.

6.10 Уведомление об отказе содержит:

  • Фамилию, имя, отчество должностного лица, отказавшего в доступе.
  • Дату отправки уведомления.
  • Причину отказа.

6.11

Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.

7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, срок хранения

7.1

Владелец базы персональных данных обязан использовать системные и программно-технические средства и средства связи, которые предотвращают утрату, кражу, несанкционированное уничтожение, искажение, подделку или копирование информации и соответствуют международным и национальным стандартам.

7.2

Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законодательством. Ответственное лицо назначается приказом владельца базы данных.

Обязанности ответственного лица по организации защиты персональных данных указываются в его должностной инструкции.

7.3 Обязанности ответственного лица:

  • Знать законодательство Украины в сфере защиты персональных данных.
  • Разработать процедуры доступа сотрудников к персональным данным в соответствии с их профессиональными обязанностями.
  • Обеспечить выполнение сотрудниками владельца базы данных требований законодательства Украины о защите персональных данных и внутренних документов, регулирующих обработку данных.
  • Разрабатывать порядок внутреннего контроля за соблюдением законодательства и внутренних регламентов.
  • Уведомлять владельца базы данных о нарушениях, допущенных сотрудниками, в срок не позднее одного рабочего дня с момента их выявления.
  • Обеспечить сохранность документов, подтверждающих согласие субъекта персональных данных на обработку данных и уведомление о его правах.

7.4 Права ответственного лица:

  • Получать документы, связанные с обработкой персональных данных.
  • Делать копии документов, включая электронные записи.
  • Участвовать в обсуждении вопросов защиты персональных данных.
  • Вносить предложения по улучшению методов защиты данных.
  • Получать объяснения по вопросам обработки данных.

7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, срок хранения (продолжение)

7.5

Сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих должностных обязанностей, обязаны соблюдать требования законодательства Украины о защите персональных данных и внутренних регламентов, регулирующих обработку и защиту данных в базах персональных данных.

7.6

Сотрудники, имеющие доступ к персональным данным, в том числе занимающиеся их обработкой, обязаны не допускать разглашения персональных данных любым способом. Это обязательство сохраняется и после прекращения их деятельности, связанной с обработкой персональных данных, за исключением случаев, предусмотренных законом.

7.7

Лица, имеющие доступ к персональным данным, в случае нарушения требований Закона Украины "О защите персональных данных," несут ответственность в соответствии с законодательством Украины.

7.8

Персональные данные не должны храниться дольше, чем это необходимо для целей, ради которых они собираются, но в любом случае не дольше срока, определенного согласием субъекта персональных данных.

8. Права субъекта персональных данных

8.1 Субъект персональных данных имеет право:

  • Знать местонахождение базы персональных данных, содержащей его данные, ее назначение, название, место нахождения и/или место жительства (нахождения) владельца или распорядителя этой базы, а также делегировать получение этой информации уполномоченному лицу, за исключением случаев, установленных законом.
  • Получать информацию об условиях доступа к своим персональным данным, включая информацию о третьих лицах, которым передаются его данные.
  • Доступ к своим персональным данным, содержащимся в соответствующей базе.
  • Получить в течение тридцати календарных дней с момента запроса ответ о том, хранятся ли его данные в базе, а также доступ к содержимому этих данных.
  • Выдвигать обоснованные требования об отказе в обработке своих персональных данных государственными органами или органами местного самоуправления, если такая обработка осуществляется вне их полномочий.
  • Выдвигать обоснованные требования о внесении изменений или удалении своих персональных данных, если они обрабатываются незаконно или являются недостоверными.
  • Требовать защиты своих данных от незаконной обработки, случайной утраты, уничтожения или повреждения, а также от предоставления недостоверной или порочащей информации.
  • Обращаться в государственные органы и органы местного самоуправления по вопросам защиты персональных данных.
  • Применять правовые меры защиты в случае нарушения законодательства о защите персональных данных.

9. Порядок работы с запросами субъекта персональных данных

9.1

Субъект персональных данных имеет право получать любую информацию о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, установленных законом.

9.2

Доступ к данным предоставляется субъекту персональных данных бесплатно.

9.3

Субъект персональных данных подает запрос (далее – "запрос") владельцу базы данных.

9.4 Запрос должен содержать:

  • Фамилию, имя, отчество, место проживания (нахождения) и реквизиты документа, удостоверяющего личность субъекта персональных данных.
  • Другие данные, позволяющие идентифицировать субъекта персональных данных.
  • Информацию о базе персональных данных или владельце базы.
  • Перечень персональных данных, которые запрашиваются.

9.5

Срок рассмотрения запроса не может превышать десяти рабочих дней с момента его получения. В течение этого срока владелец базы данных уведомляет субъекта персональных данных о том, будет ли запрос удовлетворен, либо предоставляет обоснование отказа.

9.6

Запрос удовлетворяется в течение тридцати календарных дней с момента его получения, если иное не предусмотрено законодательством.

10. Государственная регистрация базы персональных данных

10.1

Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины "О защите персональных данных."