Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

 

Содержание

  1. Общие понятия и сфера применения

  2. Перечень баз персональных данных

  3. Цель обработки персональных данных

  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных

  5. Местонахождение базы персональных данных

  6. Условия раскрытия информации о персональных данных третьим лицам

  7. Защита персональных данных: способы защиты, ответственное лицо, работники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных

  8. Права субъекта персональных данных

  9. Порядок работы с запросами субъекта персональных данных

  10. Государственная регистрация базы персональных данных

 

1. Общие понятия и сфера применения

1.1. Определение терминов:

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

ответственное лицо — определённое лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;

владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, утверждающее цель обработки персональных данных в этой базе, состав этих данных и процедуры их обработки, если иное не установлено законом;

Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

публичные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, иные систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Не считаются публичными источниками персональных данных социальные сети и интернет-ресурсы, где субъект персональных данных оставляет свои персональные данные (кроме случаев, когда субъект персональных данных прямо указал, что персональные данные размещены с целью их свободного распространения и использования);

согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки;

обезличивание персональных данных — удаление сведений, которые позволяют идентифицировать лицо;

обработка персональных данных — любое действие или совокупность действий, полностью или частично совершаемых в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространение, реализация, передача), обезличиванием, уничтожением сведений о физическом лице;

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель базы персональных данных — физическое или юридическое лицо, которому владелец базы персональных данных поручает осуществление технических операций с базой персональных данных без доступа к содержанию персональных данных;

субъект персональных данных — физическое лицо, в отношении которого согласно закону осуществляется обработка его персональных данных;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по защите персональных данных, которому субъект персональных данных или законодательством предоставлено право на обработку этих данных;

особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях или профессиональных союзах, а также данные, касающиеся здоровья или интимной жизни.

1.2. Настоящее Положение является обязательным для применения ответственными лицами и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

 

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

— база персональных данных контрагентов.

 

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».

 

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в таких формах:

— документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо;
— электронный документ, который содержит обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных подтверждается электронной подписью субъекта персональных данных;
— отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется с целью реализации гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о его правах, о целях сбора данных и о лицах, которым передаются его персональные данные, производится при сборе персональных данных. Обработка персональных данных осуществляется для обеспечения реализации гражданско-правовых отношений в соответствии с действующим законодательством.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях или профессиональных союзах, а также данных, касающихся здоровья или интимной жизни (особых категорий данных), запрещается.

 

5. Местонахождение базы персональных данных

5.1. Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу продавца.

 

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, либо в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьих лиц не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не может их обеспечить.

6.3. Субъект персональных данных, обращаясь с персональными данными, подает запрос на доступ (далее — запрос) к персональным данным владельцу персональных данных.

6.4. В запросе указываются:
— фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физических лиц — заявителей);
— наименование, местонахождение юридического лица, а также фамилия, имя и отчество лица, которое подает запрос, подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридических лиц — заявителей);
— сведения о базе персональных данных, относительно которой подается запрос, или сведения о владельце либо распорядителе этой базы персональных данных;
— перечень запрашиваемых персональных данных;
— цель и/или правовые основания для запроса.

6.5. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы персональных данных сообщает лицу, подавшему запрос, что запрос будет удовлетворен либо персональные данные не подлежат предоставлению, с указанием оснований, определённых соответствующим нормативно-правовым актом. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с момента получения запроса. При этом общий срок решения вопроса, указанный в запросе, не может превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.8. В уведомлении об отсрочке указываются:
— фамилия, имя и отчество должностного лица;
— дата отправки уведомления;
— причина отсрочки;
— срок, в течение которого будет удовлетворен запрос.

6.9. Отказ в доступе к данным допускается, если доступ к ним запрещён согласно закону.

6.10. В уведомлении об отказе указываются:
— фамилия, имя и отчество должностного лица, отказавшего в доступе;
— дата отправки уведомления;
— причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.

 

7. Защита персональных данных: способы защиты, ответственное лицо, работники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владельцы баз персональных данных обязаны оборудовать системы и программно-технические средства связью, чтобы предотвращать потери, кражи, несанкционированное уничтожение, искажение, подделку, копирование информации и соответствовать национальным стандартам.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо определяется приказом Владельца базы персональных данных.

7.3. Права и обязанности лиц, участвующих в организации работы, связанной с защитой персональных данных при их обработке, определяются в должностной инструкции.

7.4. Ответственное лицо обязано:
— знать законодательство Украины в сфере защиты персональных данных;
— разработать процедуру доступа к персональным данным сотрудников, выполняющих профессиональные или служебные обязанности;
— обеспечивать работников Владельца базы персональных данных документами законодательства Украины о защите персональных данных и внутренними документами, регулирующими деятельность Владельца базы персональных данных по обработке и защите персональных данных;
— разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных, а также обеспечивать проведение такого контроля;
— уведомлять Владельца базы персональных данных о фактах нарушения сотрудниками законодательства Украины о защите персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных, в срок не позднее одного рабочего дня с момента выявления таких нарушений;
— обеспечивать хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомление указанного субъекта о его правах.

7.4.3. С целью выполнения своих обязанностей ответственное лицо имеет право:
— получать необходимые документы, включая приказы и иные распорядительные документы, изданные Владельцем базы персональных данных, связанные с обработкой персональных данных;
— делать копии указанных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
— принимать участие в проведении проверок по вопросам обработки и защиты персональных данных при их обработке;
— вносить Владельцу базы предложений по организации деятельности и мерам по устранению выявленных нарушений в процессе обработки персональных данных;
— получать разъяснения по вопросам осуществления обработки персональных данных;
— подписывать и визировать документы в пределах своей компетенции.

7.5. Работники, которые непосредственно осуществляют обработку данных и/или имеют к ним доступ в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов Владельца базы персональных данных.

7.6. Работникам, получившим доступ к персональным данным, запрещается разглашать в любой форме и любым способом персональные данные, которые им были доверены, а также сведения о субъекте персональных данных, доступ к которым они получили при выполнении служебных обязанностей. Это правило действует и после прекращения трудовых отношений, если не установлено иное законодательством Украины.

7.7. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Украины.

7.8. Персональные данные хранятся не дольше срока, необходимого для целей, для которых такие данные собирались, но не дольше срока хранения данных, определённого согласием субъекта персональных данных на обработку этих данных.

 

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

— знать о местонахождении базы персональных данных, содержащей его персональные данные, её назначении и наименовании, местонахождении и/или месте проживания (пребывания) владельца или распорядителя этой базы либо предоставить соответствующее поручение для получения этой информации уполномоченным лицам, кроме случаев, установленных законом;

— получать информацию о своих правах в отношении предоставления доступа к персональным данным, в том числе информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;

— на доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных, кроме случаев, предусмотренных законом, включая сведения о том, хранятся ли его персональные данные и обрабатываются ли они;

— получать в течение тридцати календарных дней с момента поступления запроса, если иное не предусмотрено законом, ответ о том, обрабатываются ли его персональные данные в соответствующей базе персональных данных, а также получать содержание этих персональных данных, которые хранятся;

— предъявлять мотивированное требование владельцу базы персональных данных с возражением против обработки своих персональных данных;

— предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных владельцем или распорядителем этой базы, если они обрабатываются незаконно или являются недостоверными;

— на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, недостоверных или порочащих честь, достоинство и деловую репутацию физического лица;

— обращаться с жалобами на обработку своих персональных данных к органам государственной власти, органам местного самоуправления, в полномочия которых входит осуществление защиты персональных данных;

— применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

 

9. Порядок работы с запросами субъекта персональных данных

9.1. Субъект персональных данных имеет право подавать запрос о предоставлении любой информации о себе и любых отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.

9.2. Доступ субъекта персональных данных к своим персональным данным осуществляется бесплатно.

9.3. Субъект персональных данных подаёт запрос на доступ (далее — запрос) к владельцу базы персональных данных.

9.4. В запросе указываются:
— фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
— иные сведения, которые позволяют идентифицировать личность субъекта персональных данных;
— сведения о базе персональных данных, относительно которой подаётся запрос, либо сведения о владельце или распорядителе этой базы;
— перечень персональных данных, запрашиваемых субъектом.

9.4. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы персональных данных сообщает лицу, подавшему запрос, что запрос будет удовлетворён либо персональные данные не подлежат предоставлению, с указанием оснований, определённых соответствующим нормативно-правовым актом.

9.5. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено законом.

 

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».