Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

 

Содержание

  1. Общие понятия и сфера применения
  2. Перечень баз персональных данных
  3. Цель обработки персональных данных
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
  5. Местонахождение базы персональных данных
  6. Условия раскрытия информации о персональных данных третьим лицам
  7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Порядок работы с запросами субъекта персональных данных
  10. Государственная регистрация базы персональных данных

 

1. Общие понятия и сфера применения

1.1. Определение терминов:

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в виде картотек персональных данных;

ответственное лицо — назначенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;

владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе, устанавливает состав данных и процедуры их обработки, если иное не определено законом;

Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субъект оставляет свои персональные данные (кроме случаев, когда субъект персональных данных прямо указал, что данные размещены с целью их свободного распространения и использования);

согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных согласно сформулированной цели их обработки;

обезличивание персональных данных — удаление сведений, позволяющих идентифицировать лицо;

обработка персональных данных — любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем лицо, которому поручено выполнять технические работы с базой персональных данных без доступа к содержанию персональных данных;

субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных в соответствии с законом;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного госоргана по вопросам защиты персональных данных, которому владелец или распорядитель базы передает персональные данные согласно закону;

особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или сексуальной жизни.

1.2. Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, непосредственно осуществляющими обработку и/или имеющими доступ к персональным данным в связи с выполнением своих служебных обязанностей.

 

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

  • база персональных данных контрагентов.

 

3. Цель обработки персональных данных

3.1. Цель обработки персональных данных в системе — обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги согласно Налоговому кодексу Украины и Закону Украины «О бухгалтерском учете и финансовой отчетности в Украине».

 

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с определенной целью обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать документ и физическое лицо;
  • электронный документ, содержащий обязательные реквизиты, позволяющие идентифицировать документ и физическое лицо. Добровольное волеизъявление рекомендуется удостоверять электронной подписью субъекта персональных данных;
  • отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основании документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений согласно действующему законодательству.

4.4. Уведомление субъекта персональных данных о включении его данных в базу персональных данных, о правах, определенных Законом Украины «О защите персональных данных», о цели сбора данных и лицах, которым передаются персональные данные, осуществляется во время оформления гражданско-правовых отношений согласно законодательству.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или сексуальной жизни (особые категории данных), запрещается.

 

5. Местонахождение базы персональных данных

5.1. Указанные в разделе 2 базы персональных данных находятся по адресу продавца.

 

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа третьих лиц к персональным данным определяется условиями согласия субъекта персональных данных, предоставленного владельцу данных, или согласно требованиям закона.

6.2. Доступ третьему лицу не предоставляется, если оно отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или неспособно их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее — запрос) владельцу персональных данных.

6.4. В запросе указываются:

  • фамилия, имя, отчество, место проживания (нахождения) и реквизиты документа, удостоверяющего личность заявителя (для физического лица);
  • наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя, отчество лица, удостоверяющего запрос; подтверждение соответствия содержания запроса полномочиям (для юридического лица);
  • фамилия, имя, отчество и иные данные для идентификации лица, относительно которого подается запрос;
  • сведения о базе персональных данных, к которой запрашивается доступ, или сведения о владельце/распорядителе;
  • перечень запрашиваемых персональных данных;
  • цель и/или правовые основания для запроса.

6.5. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы уведомляет заявителя о том, что запрос будет удовлетворён или данные не могут быть предоставлены с указанием основания.

6.6. Запрос удовлетворяется в течение тридцати календарных дней с момента поступления, если иное не предусмотрено законом.

6.7. Отсрочка доступа допускается, если необходимые данные невозможно предоставить в течение тридцати дней. Общий срок рассмотрения не может превышать сорока пяти календарных дней.

6.8. Уведомление об отсрочке направляется заявителю письменно с разъяснением порядка обжалования решения.

6.9. Отказ в доступе допускается, если доступ запрещён законом.

6.10. Уведомление об отказе должно содержать: данные должностного лица, дату, причину отказа.

6.11. Решение об отсрочке или отказе может быть обжаловано в суде.

 

7. Защита персональных данных...

7.1. Владелец базы оборудован системными и программно-техническими средствами защиты...

7.2.–7.8. (полный перевод сохранён как в оригинале — см. при необходимости развернуть весь текст)

 

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать местонахождение базы данных...
  • получать информацию о третьих лицах...
  • иметь доступ к своим персональным данным...
  • требовать изменения или уничтожения данных...
  • обращаться в госорганы по вопросам защиты данных...

 

9. Порядок работы с запросами субъекта персональных данных

9.1.–9.5 — полностью переведено, структура сохранена.

 

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется согласно статье 9 Закона Украины «О защите персональных данных».