Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание

  • Общие понятия и сфера применения

  • Перечень баз персональных данных

  • Цель обработки персональных данных

  • Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

  • Местонахождение базы персональных данных

  • Условия раскрытия информации о персональных данных третьим лицам

  • Защита персональных данных: способы защиты, ответственное лицо, работники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением служебных обязанностей, срок хранения персональных данных

  • Права субъекта персональных данных

  • Порядок работы с запросами субъекта персональных данных

  • Государственная регистрация базы персональных данных

1. Общие понятия и сфера применения

1.1. Определение терминов:

База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Ответственное лицо — определённое лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом.

Владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в данной базе, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом.

Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных.

Общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Социальные сети и интернет-ресурсы не считаются общедоступными источниками персональных данных (кроме случаев, когда субъект прямо указал, что данные размещены для свободного распространения и использования).

Согласие субъекта персональных данных — любое документированное добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.

Обезличивание персональных данных — удаление сведений, позволяющих идентифицировать лицо.

Обработка персональных данных — любое действие или совокупность действий в информационной системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием, распространением, передачей, обезличиванием, уничтожением сведений о физическом лице.

Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы или законом предоставлено право обрабатывать эти данные.

Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.

Третье лицо — любое лицо, кроме субъекта персональных данных, владельца или распорядителя базы и уполномоченного государственного органа по вопросам защиты персональных данных, которому передаются персональные данные в соответствии с законом.

Особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в партиях и профсоюзах, а также данные о здоровье или половой жизни.

1.2.

Настоящее Положение является обязательным для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением служебных обязанностей.

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

  • база персональных данных контрагентов.

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и проведение расчётов за приобретённые товары и услуги в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учёте и финансовой отчётности в Украине».

4. Порядок обработки персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением о предоставлении разрешения на обработку его персональных данных.

4.2. Согласие может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать документ и лицо;

  • электронный документ с обязательными реквизитами и электронной подписью;

  • отметка на электронной странице или в электронном файле в информационной системе.

4.3. Согласие предоставляется при оформлении гражданско-правовых отношений.

4.4. Уведомление субъекта о включении его данных в базу, правах и цели сбора осуществляется при оформлении правоотношений.

4.5. Обработка особых категорий данных запрещается.

5. Местонахождение базы персональных данных

5.1. Базы персональных данных находятся по адресу продавца.

6. Условия раскрытия персональных данных третьим лицам

6.1. Доступ третьих лиц определяется согласием субъекта или законом.
6.2. Доступ не предоставляется лицу, которое не гарантирует соблюдение закона.
6.3–6.11. Запрос подаётся владельцу базы и рассматривается в сроки:

  • до 10 рабочих дней — уведомление о результате рассмотрения;

  • до 30 календарных дней — удовлетворение запроса;

  • возможно продление до 45 календарных дней;

  • отказ или отсрочка могут быть обжалованы в суде.

7. Защита персональных данных

7.1. Владелец использует технические и программные средства защиты информации в соответствии с национальными и международными стандартами.

7.2. Ответственное лицо назначается приказом владельца базы.

7.3. Ответственное лицо обязано:

  • знать законодательство в сфере защиты персональных данных;

  • разработать процедуры доступа сотрудников;

  • контролировать соблюдение законодательства;

  • хранить документы, подтверждающие согласие субъектов.

7.4. Ответственное лицо имеет право:

  • получать необходимые документы;

  • делать копии;

  • вносить предложения по улучшению процессов;

  • подписывать документы в пределах компетенции.

7.5–7.7. Работники обязаны соблюдать требования законодательства и не разглашать персональные данные. Нарушения влекут ответственность согласно законодательству Украины.

7.8. Персональные данные не хранятся дольше, чем это необходимо для цели обработки.

8. Права субъекта персональных данных

Субъект имеет право:

  • знать о местонахождении базы и её назначении;

  • получать информацию о третьих лицах, которым передаются данные;

  • получать доступ к своим данным;

  • получать ответ в течение 30 календарных дней;

  • требовать изменения или уничтожения данных;

  • защищать свои права в государственных органах или суде.

9. Порядок работы с запросами

9.1. Субъект имеет право бесплатно получить информацию о себе.
9.2. Запрос подаётся владельцу базы.
9.3. Срок рассмотрения — до 10 рабочих дней.
9.4. Ответ предоставляется в течение 30 календарных дней.

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».