Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание:

  1. Общие понятия и сфера применения

  2. Перечень баз персональных данных

  3. Цель обработки персональных данных

  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных

  5. Местонахождение базы персональных данных

  6. Условия раскрытия информации о персональных данных третьим лицам

  7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих должностных обязанностей, срок хранения персональных данных

  8. Права субъекта персональных данных

  9. Порядок работы с запросами субъекта персональных данных

  10. Государственная регистрация базы персональных данных

  11. Общие понятия и сфера применения

1.1. Определения:

  • База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

  • Ответственное лицо — назначенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом.

  • Владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не предусмотрено законом.

  • Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных.

  • Общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и иные систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субъект персональных данных размещает свои данные (за исключением случаев, когда субъект прямо указал, что персональные данные размещены с целью их свободного распространения и использования).

  • Согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.

  • Обезличивание персональных данных — удаление сведений, позволяющих идентифицировать личность.

  • Обработка персональных данных — любое действие или совокупность действий, совершаемых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.

  • Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

  • Распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы или по закону предоставлено право обрабатывать эти данные. Лицо, которому владельцем и/или распорядителем базы поручено выполнение технических работ с базой без доступа к содержанию персональных данных, не считается распорядителем.

  • Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных согласно закону.

  • Третье лицо — любое лицо, кроме субъекта персональных данных, владельца или распорядителя базы, и уполномоченного государственного органа по вопросам защиты персональных данных, которому данные передаются владельцем или распорядителем в соответствии с законом.

  • Особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или половой жизни.

1.2. Настоящее Положение обязательно к применению ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих должностных обязанностей.

  1. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

  • база персональных данных контрагентов.

  1. Цель обработки персональных данных

3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».

  1. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных согласно сформулированной цели их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать данный документ и физическое лицо;

  • электронный документ, содержащий обязательные реквизиты, позволяющие идентифицировать данный документ и физическое лицо. Добровольное волеизъявление целесообразно подтверждать электронной подписью субъекта персональных данных;

  • отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу, правах, определённых Законом Украины «О защите персональных данных», цели сбора данных и лицах, которым передаются персональные данные, осуществляется при оформлении гражданско-правовых отношений.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.

  1. Местонахождение базы персональных данных

5.1. Базы персональных данных, указанные в разделе 2 настоящего Положения, находятся по адресу продавца.

  1. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа третьих лиц к персональным данным определяется условиями согласия субъекта персональных данных, предоставленного владельцу базы данных, либо в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если данное лицо отказывается взять на себя обязательства по соблюдению требований Закона Украины «О защите персональных данных» или неспособно их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос на доступ (далее — запрос) к персональным данным владельцу базы персональных данных.

6.4. В запросе указываются:

  • фамилия, имя, отчество, место жительства (пребывания) и реквизиты документа, удостоверяющего личность (для физического лица — заявителя);

  • наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя, отчество лица, подтверждающего запрос, а также подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя);

  • фамилия, имя, отчество и другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;

  • сведения о базе персональных данных или о владельце либо распорядителе этой базы;

  • перечень запрашиваемых персональных данных;

  • цель и/или правовые основания для запроса.

6.5. Срок рассмотрения запроса не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы данных информирует лицо, подавшее запрос, что запрос будет удовлетворён или соответствующие персональные данные не подлежат предоставлению, с указанием оснований, определённых нормативно-правовым актом. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено законом.

6.6. Отсрочка доступа допускается, если необходимые данные невозможно предоставить в течение тридцати календарных дней с даты получения запроса. При этом общий срок рассмотрения запроса не должен превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке направляется третьему лицу в письменной форме с разъяснением порядка обжалования такого решения.

6.8. В уведомлении об отсрочке указываются:

  • фамилия, имя, отчество должностного лица;

  • дата отправки уведомления;

  • причина отсрочки;

  • срок, в течение которого будет выполнен запрос.

6.9. Отказ в доступе допускается, если доступ к персональным данным запрещён законом.

6.10. В уведомлении об отказе указываются:

  • фамилия, имя, отчество должностного лица, отказавшего в доступе;

  • дата отправки уведомления;

  • причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.

  1. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих должностных обязанностей, срок хранения персональных данных

7.1. Владелец базы персональных данных оснащён системными и программно-техническими средствами, а также средствами связи, предотвращающими потери, кражи, несанкционированное уничтожение, искажение, подделку, копирование информации и соответствующими требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом. Ответственное лицо назначается приказом владельца базы персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;

  • разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или трудовыми обязанностями;

  • обеспечить выполнение сотрудниками владельца базы требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы в части обработки и защиты персональных данных;

  • разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы, в том числе с указанием периодичности проведения контроля;

  • информировать владельца базы о нарушениях сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов не позднее одного рабочего дня с момента выявления нарушений;

  • обеспечить хранение документов, подтверждающих получение согласия субъекта персональных данных на обработку его данных и уведомление его о правах.

7.4. С целью выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, в том числе приказы и другие распорядительные документы, связанные с обработкой персональных данных;

  • делать копии полученных документов, в том числе файлов и записей, хранящихся в локальных сетях и автономных компьютерных системах;

  • участвовать в обсуждении вопросов, касающихся организации защиты персональных данных;

  • вносить предложения по улучшению деятельности и устранению выявленных недостатков в процессе обработки персональных данных;

  • запрашивать пояснения по вопросам обработки персональных данных;

  • подписывать и визировать документы в пределах своей компетенции.

7.5. Сотрудники, которые непосредственно обрабатывают и/или имеют доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренние документы владельца базы.

7.6. Сотрудники, имеющие доступ к персональным данным, в том числе обрабатывающие их, обязаны не допускать разглашения персональных данных любым способом, которые были им доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей. Такое обязательство сохраняется после прекращения ими деятельности, связанной с персональными данными, за исключением случаев, предусмотренных законом.

7.7. Лица, имеющие доступ к персональным данным и/или обрабатывающие их, несут ответственность за нарушение Закона Украины «О защите персональных данных» в соответствии с законодательством Украины.

7.8. Персональные данные не должны храниться дольше, чем это необходимо для целей, для которых такие данные хранятся, но в любом случае не дольше срока хранения, определённого согласием субъекта персональных данных.

  1. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать о местонахождении базы персональных данных, содержащей его персональные данные, её назначении и наименовании, местонахождении и/или месте жительства (пребывания) владельца или распорядителя этой базы либо дать соответствующее поручение на получение этой информации уполномоченным им лицам, за исключением случаев, установленных законом;

  • получать информацию об условиях предоставления доступа к персональным данным, в том числе информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;

  • на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;

  • получать не позднее тридцати календарных дней со дня поступления запроса (если иное не предусмотрено законом) ответ о том, хранятся ли его персональные данные в соответствующей базе, а также получать содержание своих персональных данных, которые хранятся;

  • предъявлять мотивированное требование с возражением против обработки своих персональных данных государственными органами, органами местного самоуправления при осуществлении ими полномочий, предусмотренных законом;

  • предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;

  • на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления недостоверных или порочащих честь, достоинство и деловую репутацию сведений;

  • обращаться по вопросам защиты своих прав в отношении персональных данных в государственные органы, органы местного самоуправления, в компетенцию которых входит осуществление защиты персональных данных;

  • использовать правовые средства в случае нарушения законодательства о защите персональных данных.

  1. Порядок работы с запросами субъекта персональных данных

9.1. Субъект персональных данных имеет право на получение любой информации о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, предусмотренных законом.

9.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.

9.3. Субъект персональных данных подает запрос на доступ (далее — запрос) к персональным данным владельцу базы персональных данных.

В запросе указываются:

  • фамилия, имя, отчество, место жительства (пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;

  • иные сведения, позволяющие идентифицировать личность субъекта персональных данных;

  • сведения о базе персональных данных, в отношении которой подается запрос, либо сведения о владельце или распорядителе этой базы;

  • перечень персональных данных, которые запрашиваются.

9.4. Срок рассмотрения запроса не может превышать десяти рабочих дней с момента его получения. В течение этого срока владелец базы персональных данных информирует субъекта персональных данных о том, что запрос будет удовлетворён либо соответствующие персональные данные не подлежат предоставлению, с указанием основания, определённого соответствующим нормативно-правовым актом.

9.5. Запрос удовлетворяется в течение тридцати календарных дней с момента его получения, если иное не предусмотрено законом.

  1. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».