Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец
Содержание
1. Общие понятия и сфера применения
2. Перечень баз персональных данных
3. Цель обработки персональных данных
4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
5. Местонахождение базы персональных данных
6. Условия раскрытия информации о персональных данных третьим лицам
7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных
8. Права субъекта персональных данных
9. Порядок работы с запросами субъекта персональных данных
10. Государственная регистрация базы персональных данных
1. Общие понятия и сфера применения
1.1. Определения терминов:
база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
ответственное лицо — назначенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;
владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, утверждающее цель обработки персональных данных в данной базе данных, устанавливающее состав этих данных и процедуры их обработки, если иное не предусмотрено законом;
Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, где субъект персональных данных оставляет свои персональные данные (кроме случаев, когда субъектом персональных данных прямо указано, что данные размещены с целью их свободного распространения и использования);
согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки;
обезличивание персональных данных — удаление сведений, позволяющих идентифицировать личность;
обработка персональных данных — любое действие или совокупность действий, осуществлённых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;
персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владельцем и/или распорядителем поручено выполнять технические работы с базой данных без доступа к содержанию персональных данных;
субъект персональных данных — физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;
третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владелец или распорядитель базы данных осуществляет передачу персональных данных в соответствии с законом;
особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни.
1.2. Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с исполнением своих служебных обязанностей.
2. Перечень баз персональных данных
2.1. Продавец является владельцем следующих баз персональных данных:
база персональных данных контрагентов.
3. Цель обработки персональных данных
3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставления, получения и осуществления расчётов за приобретённые товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учёте и финансовой отчётности в Украине».
4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.
4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:
документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо;
электронный документ, содержащий обязательные реквизиты, позволяющие идентифицировать данный документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных целесообразно удостоверять электронной подписью субъекта персональных данных;
отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.
4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, правах, определённых Законом Украины «О защите персональных данных», цели сбора данных и лицах, которым передаются его персональные данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.
5. Местонахождение базы персональных данных
5.1. Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу продавца.
6. Условия раскрытия информации о персональных данных третьим лицам
6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, либо в соответствии с требованиями закона.
6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» либо не в состоянии их обеспечить.
7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных
7.1. Владельцем базы персональных данных оборудованы системные, технические и организационные средства для обеспечения сохранности персональных данных, предотвращения несанкционированного доступа, уничтожения, искажения или блокирования информации.
7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, а также информирует сотрудников о положениях законодательства Украины в сфере защиты персональных данных.
7.3. Сотрудники, имеющие доступ к персональным данным, обязаны соблюдать конфиденциальность и использовать персональные данные исключительно для выполнения своих служебных обязанностей в рамках установленных целей обработки.
7.4. Персональные данные хранятся не дольше, чем это необходимо для целей, ради которых они были собраны, либо до момента прекращения гражданско-правовых отношений с субъектом персональных данных, если иное не предусмотрено законодательством Украины.
7.5. После достижения цели обработки или по истечении срока хранения персональные данные подлежат уничтожению или обезличиванию.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
– знать о местонахождении базы персональных данных, содержащей его персональные данные, её назначении и наименовании владельца или распорядителя;
– получать информацию об условиях предоставления доступа к персональным данным, включая сведения о третьих лицах, которым передаются его персональные данные;
– на доступ к своим персональным данным;
– получать не позднее тридцати календарных дней с момента поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;
– предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
– предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных, если данные обрабатываются незаконно или являются недостоверными;
– на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения вследствие умышленных сокрытий, непредоставления или несвоевременного их предоставления, а также на защиту от предоставления информации, недостоверной или порочащей честь, достоинство и деловую репутацию физического лица;
– обращаться с жалобами на обработку своих персональных данных к уполномоченному государственному органу по вопросам защиты персональных данных или в суд;
– применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
– вносить оговорку относительно ограничения права на обработку своих персональных данных при предоставлении согласия;
– отзывать согласие на обработку персональных данных;
– знать механизм автоматической обработки персональных данных;
– на защиту от автоматизированного решения, имеющего для него правовые последствия.
9. Порядок работы с запросами субъекта персональных данных
9.1. Субъект персональных данных имеет право направить запрос относительно доступа к своим персональным данным владельцу или распорядителю базы персональных данных.
9.2. Запрос направляется в письменной форме и должен содержать:
– фамилию, имя и отчество, место проживания (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
– информацию о базе персональных данных, относительно которой подаётся запрос, либо сведения о владельце или распорядителе этой базы;
– перечень запрашиваемых персональных данных;
– подпись и дату.
9.3. Срок рассмотрения запроса — не более десяти рабочих дней с момента его получения. За этот период владелец базы персональных данных обязан уведомить субъекта персональных данных о порядке доступа к информации.
9.4. Сам доступ к персональным данным предоставляется не позднее тридцати календарных дней с момента получения запроса.
9.5. Отказ в доступе к персональным данным допускается в случаях, предусмотренных законом, и должен быть мотивированным.
10. Государственная регистрация базы персональных данных