Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością sprzedawcy
Treść
Ogólne pojęcia i zakres
Lista baz danych osobowych
Cel przetwarzania danych osobowych
Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi podmiotu danych osobowych
Lokalizacja bazy danych osobowych
Warunki udostępniania informacji o danych osobowych podmiotom trzecim
Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający i/lub mający dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych
Prawa podmiotu danych osobowych
Procedura obsługi żądań ze strony podmiotu danych osobowych
Państwowa rejestracja bazy danych osobowych
1. Ogólne pojęcia i zakres
1.1. Określenie warunków:
baza danych osobowych – określany jako zbiór uporządkowanych danych osobowych w postaci elektronicznej i/lub w formie plików danych osobowych;
osoba odpowiedzialna – określona osoba, która zgodnie z przepisami prawa organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania;
właściciel bazy danych osobowych – osoba fizyczna lub prawna, której przysługuje prawo do przetwarzania tych danych na podstawie przepisów prawa lub za zgodą osoby, której dane dotyczą, która wyraża zgodę na cel przetwarzania danych osobowych w tej bazie, ustala skład tej bazy danych dane i sposoby ich przetwarzania, chyba że przepisy prawa stanowią inaczej;
Państwowy Rejestr Baz Danych Osobowych – ujednolicony państwowy system informacyjny służący do gromadzenia, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
publicznie dostępne źródła danych osobowych – spisy, książki adresowe, rejestry, wykazy, katalogi, inne systematyczne zbiory jawnej informacji zawierającej dane osobowe zamieszczane i publikowane ze znajomością tematu danych osobowych. Portale społecznościowe i zasoby Internetu, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (z wyjątkiem przypadków, gdy podmiot danych osobowych wyraźnie oświadczy, że dane osobowe są zamieszczane w celu ich bezpłatnego rozpowszechniania oraz używać);
zgoda podmiotu danych osobowych – każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej w sprawie wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z podanym celem ich przetwarzania;
depersonalizacja danych osobowych – usunięcie danych osobowych;
przetwarzanie danych osobowych – oznacza czynność lub zespół czynności wykonywanych w całości lub w części w systemie informacyjnym (zautomatyzowanym) i/lub w zbiorach danych osobowych, związaną ze zbieraniem, rejestracją, gromadzeniem, przechowywaniem, adaptacją, modyfikacją, aktualizacją, wykorzystywaniem i dystrybucja (dystrybucja, sprzedaż, przekazywanie), depersonalizacja, niszczenie informacji o osobie;
dane osobowe – informacja lub zbiór informacji o osobie fizycznej, która została zidentyfikowana lub może zostać konkretnie zidentyfikowana;
zarządca bazy danych osobowych – osoba fizyczna lub prawna, której przysługuje prawo do przetwarzania tych danych przez właściciela bazy danych osobowych lub na podstawie przepisów prawa. Osoba, której właściciel i/lub zarządca bazy danych osobowych powierza wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych, nie jest zarządcą bazy danych osobowych;
podmiot danych osobowych – osoba fizyczna, w stosunku do której zgodnie z prawem przetwarzane są jej dane osobowe;
strona trzecia – każda osoba, z wyjątkiem podmiotu danych osobowych, właściciela lub zarządcy bazy danych osobowych oraz upoważnionego państwowego organu ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe dane zgodnie z prawem;
szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub seksualności.
1.2. Niniejsze rozporządzenie jest obowiązkowe do stosowania przez osobę odpowiedzialną i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Wykaz baz danych osobowych
2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:
baza danych osobowych kontrahentów
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, dostarczanie, otrzymywanie i dokonywanie płatności
nabył towary i usługi zgodnie z Kodeksem podatkowym Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie”.
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi podmiotu danych osobowych
4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem woli osoby fizycznej w zakresie wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z podanym celem ich przetwarzania.
4.2. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:
dokument w formie papierowej zawierający szczegółowe informacje umożliwiające identyfikację tego dokumentu i osoby;
dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu i osoby. Wskazane jest poświadczenie dobrowolnego wyrażenia woli osoby fizycznej w sprawie wyrażenia zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych;
znak na stronie dokumentu elektronicznego lub w pliku elektronicznym, który przetwarzany jest w systemie informatycznym w oparciu o udokumentowane rozwiązania programowe i sprzętowe.
4.3. Zgoda podmiotu danych osobowych jest udzielana przy formalizowaniu stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.
4.4. Wiadomość podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych oraz osobach, którym przekazywane są jego dane osobowe przekazanie danych odbywa się przy rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.
4,5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub seksualności (szczególne kategorie danych) jest zabronione.
5. Lokalizacja bazy danych osobowych
5.1. Bazy danych osobowych określone w ust. 2 niniejszego Regulaminu znajdują się pod adresem Sprzedawcy.
6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim
6.1. Tryb dostępu do danych osobowych osób trzecich określają warunki zgody podmiotu danych osobowych przekazanej właścicielowi danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.
6.2. Dostępu do danych osobowych nie udziela się osobie trzeciej, jeżeli osoba ta odmówi podjęcia się obowiązku zapewnienia zgodności z wymogami Ustawy Ukrainy „O ochronie danych osobowych” lub nie może ich zapewnić.
6.3. Podmiot relacji związanych z danymi osobowymi składa wniosek o udostępnienie danych osobowych (zwany dalej żądaniem) do właściciela danych osobowych.
6.4. We wniosku określa się:
nazwisko, imię i patronimika, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę składającą wniosek (w przypadku osoby fizycznej – wnioskodawca);
imię i nazwisko, siedziba osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i patronimik osoby potwierdzającej wniosek; potwierdzenie, że treść żądania odpowiada uprawnieniom osoby prawnej (w przypadku osoby prawnej – wnioskodawcy);
nazwisko, imię i nazwisko rodowe oraz inne informacje pozwalające na identyfikację osoby, której dotyczy żądanie;
informację o bazie danych osobowych, której dotyczy żądanie, lub informację o właścicielu lub zarządcy tej bazy danych osobowych;
lista żądanych danych osobowych;
celu i/lub podstawie prawnej na żądanie.
6.5. Termin rozpatrzenia wniosku w celu jego zaspokojenia nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych informuje osobę składającą żądanie, że żądanie zostanie uwzględnione lub nie zostaną przekazane dane osobowe, wskazując podstawę określoną w właściwym regulacyjnym akcie prawnym. Żądanie zostaje zrealizowane w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
6.6. Opóźnienie dostępu do danych osobowych osób trzecich jest dopuszczalne w przypadku braku możliwości dostarczenia niezbędnych danych w terminie trzydziestu dni kalendarzowych od dnia otrzymania żądania. W takim przypadku łączny termin na rozstrzygnięcie kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.
6.7. O odroczeniu zawiadamia się osobę trzecią, która złożyła wniosek w formie pisemnej, z wyjaśnieniem trybu odwołania się od takiej decyzji.
6.8. W zawiadomieniu o odroczeniu należy wskazać:
nazwisko, imię i patronim urzędnika;
data wysłania wiadomości;
powód opóźnienia;
termin, w jakim żądanie zostanie spełnione.
6.9. Dopuszczalna jest odmowa dostępu do danych osobowych, jeżeli dostęp do nich jest zabroniony przez przepisy prawa.
6.10. Komunikat o odmowie zawiera:
nazwisko, imię, patronimika urzędnika odmawiającego dostępu;
data wysłania wiadomości;
powód odrzucenia.
6.11. Od decyzji o opóźnieniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.
7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający i/lub mający dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych jest wyposażony w narzędzia systemowe i programowe oraz sprzętowe i komunikacyjne, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszerstwu, kopiowaniu informacji oraz spełniają wymagania norm międzynarodowych i krajowych.
7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z przepisami prawa. Osoba odpowiedzialna jest ustalana na podstawie zarządzenia właściciela bazy danych osobowych.
Obowiązki osoby odpowiedzialnej za organizację pracy związanej z ochroną danych osobowych podczas ich przetwarzania wskazane są w opisie stanowiska.
7.3. Osoba odpowiedzialna jest zobowiązana:
znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
opracowuje procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi, służbowymi lub służbowymi;
zapewnić, że pracownicy właściciela bazy danych osobowych spełniają wymogi ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych dane w bazach danych osobowych;
opracować procedurę (procedurę) kontroli wewnętrznej nad przestrzeganiem wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazy danych, które w szczególności powinny zawierać standardy częstotliwości takiej kontroli realizacji;
informować właściciela bazy danych osobowych o faktach naruszeń przez pracowników wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych danych osobowych w bazach danych osobowych nie później niż w terminie jednego dnia roboczego od momentu stwierdzenia naruszeń;
zapewnić przechowywanie dokumentów potwierdzających wyrażenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz powiadomienie określonego podmiotu o przysługujących mu prawach.
7.4. W celu wypełnienia swoich obowiązków osoba odpowiedzialna ma prawo:
otrzymać niezbędne dokumenty, w tym zarządzenia i inne dokumenty administracyjne wydawane przez Właściciela bazy danych osobowych, związane z przetwarzaniem danych osobowych;
sporządzać kopie otrzymanych dokumentów, w tym kopie akt, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
brać udział w dyskusji na temat swoich obowiązków w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
zgłaszać do rozpatrzenia propozycje usprawnień działań i udoskonalenia metod pracy, zgłaszać uwagi i możliwości usunięcia zidentyfikowanych uchybień w procesie przetwarzania danych osobowych;
otrzymać wyjaśnienia w kwestiach związanych z przetwarzaniem danych osobowych;
podpisują i zatwierdzają dokumenty w zakresie swoich kompetencji.
7,5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracy), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych, na przetwarzanie i ochrona danych osobowych w bazach danych osobowych.
7.6. Pracownicy mający dostęp do danych osobowych, w tym osoby je przetwarzające, mają obowiązek nie dopuścić do ujawnienia w jakikolwiek sposób danych osobowych, które zostały im powierzone lub które stały się znane w związku z wykonywaniem obowiązków zawodowych, służbowych lub pracowniczych. znajomości. Obowiązek ten obowiązuje po zakończeniu przez nich czynności związanych z danymi osobowymi, z wyjątkiem przypadków przewidzianych przez przepisy prawa.
7.7 Osoby mające dostęp do danych osobowych, w tym osoby je przetwarzające, w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.
7.8. Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do celów, dla których dane są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony zgodą osoby, której dane osobowe są przetwarzane.
8. Prawa podmiotu danych osobowych
8.1. Podmiot danych osobowych ma prawo:
wiedzieć o lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej celu oraz nazwie, lokalizacji i/lub miejscu zamieszkania
e (odnalezienie) właściciela lub zarządcy tej bazy danych lub wydanie odpowiednich instrukcji w celu uzyskania tych informacji osobom przez niego upoważnionym, z wyjątkiem przypadków przewidzianych przez prawo;
otrzymać informację o warunkach zapewnienia dostępu do danych osobowych, w szczególności informacji o podmiotach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
otrzymać w terminie nie dłuższym niż trzydzieści dni kalendarzowych od dnia otrzymania żądania, z wyjątkiem przypadków przewidzianych przez przepisy prawa, odpowiedź, czy jego dane osobowe znajdują się w odpowiedniej bazie danych osobowych, a także otrzymać treść przechowywanych swoich danych osobowych dane;
wniesienia uzasadnionego żądania, wniesienia sprzeciwu wobec przetwarzania Twoich danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania przysługujących im uprawnień przewidzianych przepisami prawa;
złożyć uzasadniony wniosek o zmianę lub zniszczenie swoich danych osobowych przez dowolnego właściciela i zarządcę tej bazy danych, jeżeli dane te są przetwarzane niezgodnie z prawem lub są nierzetelne;
ochrony Twoich danych osobowych przed niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem na skutek umyślnego zatajenia, niepodania lub nieterminowego przekazania, a także ochroną przed podaniem informacji nierzetelnych lub uczciwych;
skontaktować się z organami państwowymi i organami samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych, w sprawie ochrony ich praw dotyczących danych osobowych;
stosować środki prawne w przypadku naruszenia przepisów o ochronie danych osobowych.
9. Tryb obsługi żądań podmiotu danych osobowych
9.1. Podmiot danych osobowych ma prawo otrzymać wszelkie informacje o sobie od dowolnego podmiotu relacji związanych z danymi osobowymi, bez określenia celu żądania, z wyjątkiem przypadków przewidzianych przez prawo.
9.2. Podmiot danych osobowych ma dostęp do danych osobowych bezpłatnie.
9.3. Podmiot danych osobowych składa wniosek o udostępnienie danych osobowych (zwany dalej wnioskiem) do właściciela bazy danych osobowych.
We wniosku określa się:
nazwisko, imię i nazwisko rodowe, miejsce zamieszkania (miejsce pobytu) oraz dane dotyczące dokumentu tożsamości podmiotu danych osobowych;
inne informacje pozwalające zidentyfikować podmiot danych osobowych;
informację o bazie danych osobowych, której dotyczy wniosek, lub informację o właścicielu lub zarządcy tej bazy;
wykaz żądanych danych osobowych.
9.4. Termin rozpatrzenia wniosku w celu jego zaspokojenia nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych informuje podmiot danych osobowych, że żądanie zostanie spełnione lub dane osobowe nie zostaną przekazane, wskazując podstawę określoną w właściwym regulacyjnym akcie prawnym.
9,5. Żądanie zostaje zrealizowane w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
10. Rejestracja państwowa bazy danych osobowych
10.1. Państwowa rejestracja baz danych osobowych odbywa się zgodnie z art. 9 ustawy Ukrainy „O ochronie danych osobowych”.