Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych należących do sprzedawcy

Treść

  • Pojęcia ogólne i zakres stosowania.
  • Wykaz baz danych osobowych.
  • Cel przetwarzania danych osobowych.
  • Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi podmiotu danych osobowych.
  • Lokalizacja bazy danych osobowych.
  • Warunki ujawniania danych osobowych stronom trzecim.
  • Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych.
  • Prawa podmiotu danych osobowych.
  • Procedura rozpatrywania wniosków podmiotu danych osobowych.
  • Państwowa rejestracja bazy danych osobowych.

1. Pojęcia ogólne i zakres stosowania.

1.1. Definicje pojęć:

baza danych osobowych - nazwany zbiór uporządkowanych danych osobowych w formie elektronicznej i/lub w formie plików z danymi osobowymi;

osoba odpowiedzialna - wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem;

właściciel bazy danych osobowych - osoba fizyczna lub prawna, która jest upoważniona przez prawo lub za zgodą osoby, której dane dotyczą, do przetwarzania tych danych, zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych i procedury ich przetwarzania, chyba że prawo stanowi inaczej;

Państwowy Rejestr Baz Danych Osobowych to ujednolicony państwowy system informacyjny służący do zbierania, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;

publicznie dostępne źródła danych osobowych - spisy, książki adresowe, rejestry, listy, katalogi, inne usystematyzowane zbiory otwartych informacji zawierających dane osobowe, umieszczone i opublikowane za zgodą osoby, której dane dotyczą.

Sieci społecznościowe i zasoby internetowe, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (chyba że podmiot danych osobowych wyraźnie oświadczy, że dane osobowe są publikowane w celu ich bezpłatnego rozpowszechniania i wykorzystywania);

zgoda osoby, której dane dotyczą - każde udokumentowane, dobrowolne oświadczenie woli osoby, której dane dotyczą, wyrażające zgodę na przetwarzanie dotyczących jej danych osobowych zgodnie z ustalonym celem przetwarzania;

depersonalizacja danych osobowych oznacza usunięcie informacji umożliwiających identyfikację osoby;

przetwarzanie danych osobowych - każda czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych związanych ze zbieraniem, rejestrowaniem, gromadzeniem, przechowywaniem, adaptowaniem, modyfikowaniem, aktualizowaniem, wykorzystywaniem i rozpowszechnianiem (dystrybucją, sprzedażą, przekazywaniem), depersonalizacją, niszczeniem informacji o osobie fizycznej;

dane osobowe - informacje lub zestaw informacji o osobie fizycznej, która została zidentyfikowana lub może zostać zidentyfikowana;

administrator bazy danych osobowych - osoba fizyczna lub prawna upoważniona przez właściciela bazy danych osobowych lub na mocy prawa do przetwarzania tych danych.

Osoba, której właściciel i/lub administrator bazy danych osobowych powierzył wykonywanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych, nie jest administratorem danych osobowych;

podmiot danych osobowych - osoba fizyczna, której dane osobowe są przetwarzane zgodnie z prawem;

osoba trzecia - każda osoba, z wyjątkiem osoby, której dane dotyczą, właściciela lub administratora bazy danych osobowych oraz upoważnionego organu państwowego ds. ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;

szczególne kategorie danych - dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2. Niniejsze rozporządzenie jest obowiązkowe dla osoby odpowiedzialnej i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Lista baz danych osobowych.

2.1. Sprzedający jest właścicielem następujących baz danych osobowych:

baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych.

3.1. Celem przetwarzania danych osobowych w systemie jest przechowywanie i utrzymywanie danych kontrahenta zgodnie z art. 6, 7 ustawy Ukrainy "O ochronie danych osobowych":

3.2. Celem przetwarzania danych osobowych jest zapewnienie realizacji stosunków cywilnoprawnych, dostawy/odbioru i płatności za zakupione towary/usługi zgodnie z Kodeksem podatkowym Ukrainy, Ustawą Ukrainy "O rachunkowości i sprawozdawczości finansowej na Ukrainie".

4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach związanych z danymi osobowymi osoby, której dane dotyczą.

4.1 Zgoda osoby, której dane dotyczą, musi być dobrowolnym wyrażeniem woli osoby fizycznej w celu udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania. Zgoda osoby, której dane dotyczą, może zostać udzielona w następujących formach

  • dokument w formie papierowej ze szczegółami umożliwiającymi identyfikację dokumentu i osoby fizycznej;
  • dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu i osoby fizycznej. Dobrowolne wyrażenie przez osobę fizyczną zgody na przetwarzanie jej danych osobowych powinno być poświadczone podpisem elektronicznym osoby, której dane dotyczą.
  • oznaczenie na elektronicznej stronie dokumentu lub w pliku elektronicznym przetwarzanym w systemie informatycznym na podstawie udokumentowanych rozwiązań programowych i sprzętowych.

4.2. Zgoda osoby, której dane osobowe dotyczą, jest udzielana podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.

4.3. Powiadomienie osoby, której dane dotyczą, o włączeniu jej danych osobowych do bazy danych osobowych, prawach określonych w ustawie Ukrainy "O ochronie danych osobowych", celu gromadzenia danych i osobach, którym przekazywane są jej dane osobowe, odbywa się podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.

4.4. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, członkostwa w partiach politycznych i związkach zawodowych, a także danych związanych ze zdrowiem lub życiem seksualnym (specjalne kategorie danych) jest zabronione.

5. Lokalizacja bazy danych osobowych.

5.1. Bazy danych osobowych określone w sekcji 2 niniejszego Regulaminu znajdują się pod adresem sprzedawcy.

6. Warunki ujawniania danych osobowych osobom trzecim.

6.1. Procedura dostępu do danych osobowych osób trzecich jest określona warunkami zgody osoby, której dane dotyczą, udzielonej właścicielowi bazy danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.

6.2. Dostęp do danych osobowych nie zostanie przyznany osobie trzeciej, jeśli osoba ta odmawia podjęcia zobowiązań w celu zapewnienia zgodności z wymogami ustawy Ukrainy "O ochronie danych osobowych" lub nie jest w stanie ich zapewnić.

6.3. Podmiot relacji związanych z danymi osobowymi składa wniosek o dostęp (zwany dalej "wnioskiem") do danych osobowych do właściciela bazy danych osobowych.

6.4. Wniosek powinien zawierać:

  • nazwisko, imię i nazwisko rodowe, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość osoby składającej wniosek (w przypadku osoby fizycznej - wnioskodawcy)
  • nazwę, siedzibę osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i nazwisko rodowe osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (w przypadku osoby prawnej - wnioskodawcy);
  • nazwisko, imię i nazwisko rodowe, a także inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy danych;
  • wykaz danych osobowych, których dotyczy wniosek;
  • cel wniosku.

6.5. Termin rozpatrzenia wniosku nie może przekroczyć dziesięciu dni roboczych od daty jego otrzymania.

W tym okresie właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie uwzględniony lub odpowiednie dane osobowe nie zostaną udostępnione, wskazując powody określone w odpowiednim regulacyjnym akcie prawnym.

Żądanie zostanie spełnione w ciągu trzydziestu dni kalendarzowych od daty jego otrzymania, chyba że prawo stanowi inaczej.

6.6. Wszyscy pracownicy właściciela bazy danych osobowych są zobowiązani do przestrzegania wymogów poufności dotyczących danych osobowych oraz informacji o rachunkach papierów wartościowych i obrocie papierami wartościowymi.
6.7. Odroczenie dostępu do danych osobowych osób trzecich jest dozwolone, jeśli wymagane dane nie mogą zostać dostarczone w ciągu trzydziestu dni kalendarzowych od daty otrzymania wniosku. W takim przypadku całkowity okres na rozwiązanie kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.

6.8. Zawiadomienie o odroczeniu zostanie przekazane osobie trzeciej, która złożyła wniosek, na piśmie wraz z wyjaśnieniem procedury odwołania się od takiej decyzji.

6.9. Zawiadomienie o odroczeniu zawiera

  • nazwisko, imię i nazwisko rodowe urzędnika;
  • datę wysłania zawiadomienia;
  • powód opóźnienia;
  • termin, w którym żądanie zostanie spełnione.

6.10 Odmowa dostępu do danych osobowych jest dozwolona, jeśli dostęp do nich jest zabroniony przez prawo.

6.11 Zawiadomienie o odmowie powinno zawierać

  • nazwisko, imię, patronimię urzędnika odmawiającego dostępu;
  • datę wysłania powiadomienia;
  • powód odmowy.

6.12 Od decyzji o odroczeniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do upoważnionego organu państwowego ds. ochrony danych osobowych, innych organów państwowych i organów samorządu terytorialnego upoważnionych do ochrony danych osobowych lub do sądu.

7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych oraz okres przechowywania danych osobowych.

7.1. Właściciel bazy danych osobowych jest wyposażony w system, oprogramowanie i sprzęt oraz środki komunikacji, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji i spełniają wymagania norm międzynarodowych i krajowych.

7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z przepisami prawa. Osobę odpowiedzialną wyznacza Właściciel Bazy Danych Osobowych w drodze zarządzenia.

Obowiązki osoby odpowiedzialnej w zakresie organizacji prac związanych z ochroną danych osobowych w trakcie ich przetwarzania określa opis stanowiska pracy.
7.3. Osoba odpowiedzialna jest zobowiązana do

  • znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
  • opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub obowiązkami związanymi z zatrudnieniem;
  • dopilnować, aby pracownicy Administratora Danych Osobowych przestrzegali wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Administratora Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
  • opracować procedurę (procedurę) wewnętrznej kontroli zgodności z wymogami ustawodawstwa Ukrainy w dziedzinie ochrony danych osobowych i wewnętrznymi dokumentami regulującymi działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych, która w szczególności powinna zawierać zasady dotyczące częstotliwości takiej kontroli;
  • powiadomić Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych w ciągu jednego dnia roboczego od daty wykrycia takich naruszeń;

  • zapewnić przechowywanie dokumentów potwierdzających, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych i poinformowała o przysługujących jej prawach.

7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo do:

  • otrzymania niezbędnych dokumentów, w tym zarządzeń i innych dokumentów administracyjnych wydanych przez Właściciela bazy danych osobowych związanych z przetwarzaniem danych osobowych;
  • sporządzania kopii otrzymanych dokumentów, w tym kopii plików, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
  • uczestniczyć w dyskusji na temat swoich obowiązków w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
  • zgłaszania propozycji usprawnienia działań i metod pracy, zgłaszania uwag i możliwości wyeliminowania stwierdzonych uchybień w procesie przetwarzania danych osobowych;
  • przyjmowania wyjaśnień w sprawach związanych z przetwarzaniem danych osobowych;
  • podpisywania i zatwierdzania dokumentów w zakresie swoich kompetencji.

7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.

7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym ci, którzy je przetwarzają, nie mogą w żaden sposób ujawniać danych osobowych, które zostały im powierzone lub które stały się znane w związku z wykonywaniem obowiązków zawodowych lub służbowych lub zatrudnieniem. Obowiązek ten obowiązuje po zaprzestaniu wykonywania czynności związanych z danymi osobowymi, z wyjątkiem przypadków określonych w przepisach prawa.

7.7 Osoby, które mają dostęp do danych osobowych, w tym osoby, które je przetwarzają, w przypadku naruszenia wymogów ustawy Ukrainy "O ochronie danych osobowych" ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.

7.8. Dane osobowe nie będą przechowywane dłużej niż jest to konieczne do celów, dla których są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony przez zgodę podmiotu danych osobowych na przetwarzanie takich danych.

8. Prawa osoby, której dane dotyczą.

8.1. Podmiot danych osobowych ma prawo do:

  • poznania lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej przeznaczenia oraz imienia i nazwiska, lokalizacji i/lub miejsca zamieszkania (pobytu) właściciela lub administratora tej bazy danych lub wydania odpowiedniego polecenia w celu uzyskania tych informacji osobom przez niego upoważnionym, z wyjątkiem przypadków określonych przepisami prawa;
  • otrzymywania informacji o warunkach przyznawania dostępu do danych osobowych, w szczególności informacji o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
  • dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
  • do otrzymania odpowiedzi na pytanie, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, nie później niż trzydzieści dni kalendarzowych od daty otrzymania wniosku, z wyjątkiem przypadków przewidzianych przez prawo, a także do otrzymania treści jego danych osobowych, które są przechowywane;
  • do złożenia uzasadnionego wniosku zawierającego sprzeciw wobec przetwarzania jego danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania ich uprawnień przewidzianych prawem;
  • do złożenia uzasadnionego wniosku o zmianę lub zniszczenie jego danych osobowych przez dowolnego właściciela i administratora tej bazy danych, jeśli dane te są przetwarzane nielegalnie lub są niewiarygodne;
  • do ochrony swoich danych osobowych przed bezprawnym przetwarzaniem i przypadkową utratą, zniszczeniem, uszkodzeniem w wyniku celowego ukrycia, niedostarczenia lub nieterminowego dostarczenia, a także do ochrony przed dostarczaniem informacji, które są niedokładne lub zniesławiające honor, godność i reputację biznesową osoby fizycznej;
  • zwracania się o ochronę swoich praw w zakresie danych osobowych do organów państwowych i samorządowych uprawnionych do ochrony danych osobowych;
  • ubiegania się o środki prawne w przypadku naruszenia przepisów o ochronie danych osobowych.

9. Procedura rozpatrywania wniosków podmiotu danych osobowych.

9.1. Podmiot danych osobowych ma prawo do uzyskania wszelkich informacji na swój temat od każdego podmiotu stosunków związanych z danymi osobowymi, bez określania celu żądania, z wyjątkiem przypadków określonych w przepisach prawa.

9.2. Dostęp podmiotu danych osobowych do danych o sobie jest bezpłatny.

9.3. Podmiot danych osobowych składa wniosek o dostęp (dalej - wniosek) do danych osobowych do właściciela bazy danych osobowych.

Wniosek powinien zawierać

  • nazwisko, imię i nazwisko rodowe, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu tożsamości osoby, której dane dotyczą;
  • inne informacje pozwalające zidentyfikować tożsamość osoby, której dane dotyczą;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy danych;
  • wykaz żądanych danych osobowych.

9.4. Termin rozpatrzenia wniosku nie może przekroczyć dziesięciu dni roboczych od daty jego otrzymania.

9.5. W tym terminie właściciel bazy danych osobowych informuje osobę, której dane dotyczą, że żądanie zostanie spełnione lub odpowiednie dane osobowe nie zostaną udostępnione, wskazując powody określone w odpowiednim regulacyjnym akcie prawnym.

9.6. Żądanie zostanie spełnione w ciągu trzydziestu dni kalendarzowych od daty jego otrzymania, chyba że prawo stanowi inaczej.

10. Państwowa rejestracja bazy danych osobowych.

10.1. Państwowa rejestracja baz danych osobowych odbywa się zgodnie z art. 9 ustawy Ukrainy "O ochronie danych osobowych".