Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец
Содержание
Общие понятия и сфера применения
Перечень баз персональных данных
Цель обработки персональных данных
Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
Местонахождение базы персональных данных
Условия раскрытия информации о персональных данных третьим лицам
Защита персональных данных: способы защиты, ответственное лицо, работники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
Права субъекта персональных данных
Порядок работы с запросами субъекта персональных данных
Государственная регистрация базы персональных данных
1. Общие понятия и сфера применения
1.1. Определение терминов:
база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
ответственное лицо — назначенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом;
владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не предусмотрено законом;
Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, где субъект персональных данных оставляет свои персональные данные (кроме случаев, когда субъект персональных данных прямо указал, что данные размещены с целью их свободного распространения и использования);
согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с определённой целью их обработки;
обезличивание персональных данных — удаление сведений, которые позволяют идентифицировать лицо;
обработка персональных данных — любое действие или совокупность действий, осуществлённых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, передачей), обезличиванием, уничтожением сведений о физическом лице;
персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владельцем и/или распорядителем поручено выполнение технических работ с базой данных без доступа к содержанию персональных данных;
субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных;
третье лицо — любое лицо, кроме субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому осуществляется передача персональных данных в соответствии с законом;
особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни.
1.2. Настоящее Положение является обязательным для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.
2. Перечень баз персональных данных
2.1. Продавец является владельцем следующих баз персональных данных:
база персональных данных контрагентов.
3. Цель обработки персональных данных
3.1. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчётов за приобретённые товары и услуги в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учёте и финансовой отчётности в Украине».
4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.
4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:
документ на бумажном носителе с реквизитами, позволяющими идентифицировать документ и физическое лицо;
электронный документ, содержащий обязательные реквизиты, позволяющие идентифицировать документ и физическое лицо. Добровольное волеизъявление физического лица целесообразно подтверждать электронной подписью субъекта персональных данных;
отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.
4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу, правах, определённых Законом Украины «О защите персональных данных», цели сбора данных и лицах, которым передаются персональные данные, осуществляется при оформлении гражданско-правовых отношений.
4.5. Обработка персональных данных, касающихся расового или этнического происхождения, политических, религиозных или мировоззренческих убеждений, членства в политических партиях и профсоюзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.
6. Условия раскрытия информации о персональных данных третьим лицам
6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных или в соответствии с требованиями закона.
6.2. Доступ к персональным данным не предоставляется, если лицо отказывается выполнять требования Закона Украины «О защите персональных данных» или не может их обеспечить.
6.3. Субъект отношений, связанных с персональными данными, подаёт запрос владельцу базы персональных данных.
6.4. В запросе указываются:
фамилия, имя, отчество, место проживания и реквизиты документа, удостоверяющего личность;
для юрлица — наименование, адрес, должность, ФИО представителя и подтверждение полномочий;
сведения о лице, относительно которого подаётся запрос;
информация о базе персональных данных или её владельце;
перечень запрашиваемых данных;
цель и/или правовое основание запроса.
6.5. Рассмотрение запроса осуществляется не более 10 рабочих дней со дня поступления. В течение этого срока владелец уведомляет заявителя о решении — предоставить данные или отказать с указанием оснований.
6.6. Запрос удовлетворяется в течение 30 календарных дней, если иное не установлено законом.
6.7. Отсрочка доступа допускается, если невозможно предоставить данные в срок, но не более чем на 45 дней.
6.8. Уведомление об отсрочке направляется заявителю с указанием ФИО ответственного лица, даты, причины и нового срока.
6.9. Отказ в доступе допускается, если это предусмотрено законом.
6.10. Решение об отказе или отсрочке может быть обжаловано в суде.
7. Защита персональных данных: способы защиты, ответственное лицо, работники, имеющие доступ к персональным данным, срок хранения
7.1. Владелец базы оснащён системными, программно-техническими и коммуникационными средствами, предотвращающими утрату, кражу, уничтожение, искажение или подделку информации.
7.2. Ответственное лицо назначается приказом владельца базы и организует работу по защите данных. Его обязанности определяются должностной инструкцией.
7.3. Ответственное лицо обязано:
знать законодательство Украины о защите персональных данных;
разработать процедуры доступа сотрудников к персональным данным;
обеспечивать соблюдение законодательства и внутренних документов;
организовать внутренний контроль за соблюдением требований законодательства;
уведомлять владельца базы о нарушениях не позднее одного рабочего дня после их выявления;
обеспечивать хранение документов, подтверждающих согласие субъектов и уведомления о правах.
7.4. Ответственное лицо имеет право:
получать необходимые документы, приказы и распоряжения;
делать копии документов и файлов;
участвовать в обсуждении вопросов защиты данных;
вносить предложения по улучшению процедур;
получать разъяснения и подписывать документы в пределах компетенции.
7.5. Работники, имеющие доступ к персональным данным, обязаны соблюдать законодательство и внутренние документы о защите данных.
7.6. Работники не имеют права разглашать персональные данные, ставшие им известными по службе, даже после прекращения трудовых отношений, кроме случаев, предусмотренных законом.
7.7. Лица, нарушившие Закон Украины «О защите персональных данных», несут ответственность согласно законодательству.
7.8. Персональные данные не хранятся дольше, чем это необходимо для целей обработки, но не дольше срока, установленного согласием субъекта персональных данных.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
знать о местонахождении базы, содержащей его данные, её назначении и владельце;
получать информацию об условиях доступа и третьих лицах, которым передаются его данные;
получать доступ к своим персональным данным;
получать ответ в течение 30 календарных дней о наличии и содержании своих данных;
подавать мотивированные возражения против обработки данных органами власти;
требовать изменения или уничтожения своих данных, если они обрабатываются незаконно или недостоверны;
защищать свои данные от незаконной обработки и утраты;
обращаться за защитой своих прав в органы власти;
применять правовые средства защиты при нарушении законодательства.
9. Порядок работы с запросами субъекта персональных данных
9.1. Субъект персональных данных имеет право получать любые сведения о себе без указания цели запроса, кроме случаев, установленных законом.
9.2. Доступ к своим данным осуществляется бесплатно.
9.3. В запросе указываются:
фамилия, имя, отчество, адрес и реквизиты документа, удостоверяющего личность;
иные сведения, позволяющие идентифицировать субъекта;
информация о базе данных или её владельце;
перечень запрашиваемых данных.
9.4. Срок рассмотрения запроса — до 10 рабочих дней. Владелец уведомляет заявителя о результате и основаниях отказа (при необходимости).
9.5. Запрос удовлетворяется в течение 30 календарных дней, если иное не установлено законом.
10. Государственная регистрация базы персональных данных
10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».