Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание

  1. Общие понятия и сфера применения

  2. Перечень баз персональных данных

  3. Цель обработки персональных данных

  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта

  5. Местонахождение базы персональных данных

  6. Условия раскрытия информации о персональных данных третьим лицам

  7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих должностных обязанностей, срок хранения персональных данных

  8. Права субъекта персональных данных

  9. Порядок работы с запросами субъекта персональных данных

  10. Государственная регистрация базы персональных данных

1. Общие понятия и сфера применения

1.1. Определения терминов:

  • База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в виде картотек персональных данных.

  • Ответственное лицо — назначенное лицо, организующее работу, связанную с защитой персональных данных при их обработке, согласно закону.

  • Владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта предоставлено право на обработку данных, которое определяет цель, состав и порядок обработки персональных данных, если иное не предусмотрено законом.

  • Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных.

  • Общедоступные источники персональных данных — справочники, адресные книги, реестры и т. д., размещённые с ведома субъекта данных. Социальные сети и интернет-ресурсы не считаются такими источниками, кроме случаев, когда субъект прямо указал на свободное распространение своих данных.

  • Согласие субъекта персональных данных — любое документально зафиксированное, добровольное волеизъявление физического лица на обработку его данных.

  • Обезличивание персональных данных — удаление информации, позволяющей идентифицировать личность.

  • Обработка персональных данных — любые действия с персональными данными: сбор, регистрация, накопление, хранение, адаптация, изменение, распространение, уничтожение и т. д.

  • Персональные данные — сведения о физическом лице, которое идентифицировано или может быть идентифицировано.

  • Распорядитель базы персональных данных — лицо, которому владелец или закон предоставил право на обработку данных (не включает лиц, выполняющих технические работы без доступа к содержанию).

  • Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.

  • Третье лицо — любое лицо, за исключением субъекта, владельца или распорядителя базы, а также уполномоченного госоргана.

  • Особые категории данных — данные о расовом или этническом происхождении, политических, религиозных, мировоззренческих убеждениях, членстве в партиях и профсоюзах, а также данные о здоровье и половой жизни.

1.2. Настоящее Положение обязательно для выполнения ответственным лицом и сотрудниками продавца, которые обрабатывают или имеют доступ к персональным данным в связи с исполнением служебных обязанностей.

2. Перечень баз персональных данных
Продавец является владельцем следующих баз:

  • база персональных данных контрагентов.

3. Цель обработки персональных данных
Целью обработки является обеспечение реализации гражданско-правовых отношений, предоставление и получение услуг, проведение расчетов согласно Налоговому кодексу Украины, Закону Украины «О бухгалтерском учете и финансовой отчетности в Украине».

4. Порядок обработки персональных данных

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать данный документ и физическое лицо;

  • электронный документ, содержащий обязательные реквизиты, позволяющие идентифицировать данный документ и физическое лицо. Добровольное волеизъявление лица относительно предоставления разрешения на обработку его персональных данных желательно подтверждать электронной подписью субъекта персональных данных;

  • отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, о правах, определённых Законом Украины «О защите персональных данных», о цели сбора данных и лицах, которым передаются его персональные данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.

5. Местонахождение базы персональных данных

5.1. Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу продавца.

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа третьих лиц к персональным данным определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на их обработку, либо в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если такое лицо отказывается взять на себя обязательства по обеспечению соблюдения требований Закона Украины «О защите персональных данных» либо не в состоянии их обеспечить.

6.3. Субъект правоотношений, связанных с персональными данными, подаёт запрос о доступе (далее — запрос) к персональным данным владельцу персональных данных.

6.4. В запросе указываются:

  • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность лица, подающего запрос (для физического лица — заявителя);

  • наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение соответствия содержания запроса полномочиям юридического лица (для юридического лица — заявителя);

  • фамилия, имя и отчество, а также иные сведения, позволяющие идентифицировать физическое лицо, в отношении которого подаётся запрос;

  • сведения о базе персональных данных, в отношении которой подаётся запрос, либо сведения о владельце или распорядителе данной базы;

  • перечень запрашиваемых персональных данных;

  • цель и/или правовые основания запроса.

6.5. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его получения. В течение этого срока владелец базы персональных данных уведомляет лицо, подавшее запрос, о том, что запрос будет удовлетворён либо соответствующие персональные данные не подлежат предоставлению с указанием оснований, предусмотренных соответствующим нормативно-правовым актом. Запрос удовлетворяется в течение тридцати календарных дней с момента его получения, если иное не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если запрашиваемые данные не могут быть предоставлены в течение тридцати календарных дней с момента получения запроса. При этом общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.8. В уведомлении об отсрочке указываются:

  • фамилия, имя и отчество должностного лица;

  • дата отправки уведомления;

  • причина отсрочки;

  • срок, в течение которого запрос будет удовлетворён.

6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещён в соответствии с законом.

6.10. В уведомлении об отказе указываются:

  • фамилия, имя и отчество должностного лица, отказавшего в доступе;

  • дата отправки уведомления;

  • причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в судебном порядке.

7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владелец базы персональных данных оснащён системными и программно-техническими средствами и средствами связи, которые предотвращают потери, кражи, несанкционированное уничтожение, искажение, подделку, копирование информации и соответствуют требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо назначается приказом владельца базы персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, определяются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;

  • разработать процедуры доступа сотрудников к персональным данным в соответствии с их профессиональными, служебными или трудовыми обязанностями;

  • обеспечивать соблюдение сотрудниками владельца базы требований законодательства Украины и внутренних документов по защите и обработке персональных данных;

  • разработать порядок (процедуру) внутреннего контроля соблюдения требований законодательства и внутренних документов, регулирующих обработку и защиту персональных данных, который должен включать нормы о периодичности такого контроля;

  • информировать владельца базы персональных данных о нарушениях требований законодательства и внутренних документов в срок не позднее одного рабочего дня с момента выявления таких нарушений;

  • обеспечивать хранение документов, подтверждающих предоставление субъектом согласия на обработку персональных данных и уведомление субъекта о его правах.

7.4. С целью выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, включая приказы и распоряжения, касающиеся обработки персональных данных;

  • делать копии полученных документов, включая файлы и записи, хранящиеся в локальных и автономных системах;

  • участвовать в обсуждении вопросов, связанных с организацией защиты персональных данных;

  • вносить предложения по улучшению деятельности, предлагать меры устранения выявленных недостатков;

  • получать разъяснения по вопросам обработки персональных данных;

  • подписывать и визировать документы в пределах своей компетенции.

7.5. Сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины и внутренних документов по обработке и защите персональных данных.

7.6. Сотрудники, имеющие доступ к персональным данным, включая тех, кто их обрабатывает, обязаны не разглашать персональные данные любым способом, если они стали им известны при выполнении служебных обязанностей. Это обязательство сохраняется и после прекращения такой деятельности, кроме случаев, установленных законом.

7.7. Лица, имеющие доступ к персональным данным, несут ответственность за нарушение требований Закона Украины «О защите персональных данных» в соответствии с законодательством Украины.

7.8. Персональные данные не должны храниться дольше, чем необходимо для цели, ради которой они были собраны, но в любом случае — не дольше срока хранения, установленного согласием субъекта персональных данных.

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать местонахождение базы персональных данных, содержащей его персональные данные, её назначение и наименование, а также местонахождение и/или место проживания (нахождения) владельца или распорядителя этой базы, либо дать соответствующее поручение уполномоченным им лицам на получение такой информации, за исключением случаев, установленных законом;

  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе;

  • на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;

  • получить не позднее чем через тридцать календарных дней с момента получения запроса (если иное не предусмотрено законом) ответ о том, хранятся ли его персональные данные в соответствующей базе, а также получить содержание таких персональных данных;

  • предъявлять обоснованное требование об отказе от обработки своих персональных данных органами государственной власти и органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;

  • предъявлять обоснованное требование об изменении или уничтожении своих персональных данных любым владельцем или распорядителем базы, если такие данные обрабатываются незаконно или являются недостоверными;

  • на защиту своих персональных данных от незаконной обработки, случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, ненаданием или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочат честь, достоинство и деловую репутацию физического лица;

  • обращаться по вопросам защиты своих прав относительно персональных данных в государственные органы, органы местного самоуправления, в компетенцию которых входит защита персональных данных;

  • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

  • 9. Порядок работы с запросами субъекта персональных данных

    9.1. Субъект персональных данных имеет право получать любые сведения о себе у любого субъекта правоотношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, установленных законом.

    9.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.

    9.3. Субъект персональных данных подаёт запрос о доступе (далее — запрос) к персональным данным владельцу базы персональных данных.

    В запросе указываются:

  • фамилия, имя и отчество, место жительства (нахождения) и реквизиты документа, удостоверяющего личность субъекта персональных данных;

  • иные сведения, позволяющие идентифицировать личность субъекта персональных данных;

  • сведения о базе персональных данных, к которой подаётся запрос, либо сведения о владельце или распорядителе этой базы;

  • 9.4. Срок рассмотрения запроса с целью принятия решения о его удовлетворении не может превышать десяти рабочих дней со дня его получения. В течение этого срока владелец базы персональных данных информирует субъекта персональных данных о том, что запрос будет удовлетворён или соответствующие персональные данные не подлежат предоставлению с указанием основания, предусмотренного соответствующим нормативно-правовым актом.

    9.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его получения, если иное не предусмотрено законом

  •  

  • перечень персональных данных, которые запрашиваются.

  • 10. Государственная регистрация базы персональных данных

    10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».

  •