Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

 

Содержание

1. Общие понятия и область применения

2. Список баз персональных данных

5. Цель обработки персональных данных

4. Порядок обработки персональных данных: получение согласия, уведомления о правах и действиях с персональными данными субъекта персональных данных

5. Местонахождение базы персональных данных

6. Условия раскрытия информации о персональных данных третьим лицам

7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в исполнении своих служебных обязанностей, срок хранения персональных данных

8. Права субъекта персональных данных

9. Порядок работы с запросами субъекта персональных данных

10. Государственная регистрация базы персональных данных

1. Общие понятия и область применения

1.1. Определение терминов:

База персональных данных - ответственное лицо, организующее работу по защите персональных данных при их обработке, согласно закону, и именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, определенное лицо;

Обладателем базы персональных данных является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, утверждающее цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если выше не определен законом;

Государственный реестр баз персональных данных – это единственная государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

Общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, содержащие персональные размещенные и опубликованные сведения субъекта персональных данных. Социальные сети и интернет-ресурсы, где субъект персональных данных оставляет свои персональные данные (кроме случаев, когда субъект персональных данных указывает, что эти данные размещаются с целью их свободного распространения и использования), не считаются общедоступными источниками персональных данных;

Согласие субъекта персональных данных - это любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки;

Обезличивание персональных данных - это извлечение сведений, позволяющих идентифицировать личность;

Обработка персональных данных – это любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных с сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;

Персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

Распорядитель базы персональных данных – это физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Лицо, которому владельцем или распорядителем базы персональных данных поручено производить работы технического характера с базой персональных данных без доступа к содержанию персональных данных, не является распорядителем базы персональных данных;

Субъект персональных данных – это физическое лицо, в отношении которого в соответствии с законом осуществляется обработка персональных данных;

Третье лицо – это любое лицо, за исключением субъекта персональных данных, владельца или распорядителя бази персональных данных и уполномоченного государственного органа по защите персональных данных, которой владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом;

Особые категории данных - это персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни.

1.2. Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, непосредственно осуществляющими обработку и/или имеющими доступ к персональным данным в связи с исполнением своих служебных обязанностей.

 

2. Список баз персональных данных

2.1. Продавец является владельцем таких баз персональных данных:

– база персональных данных контрагентов.

 

3. Цель обработки персональных данных

3.1. Главной целью обработки персональных данных в системе является обеспечение выполнения гражданско-правовых отношений, предоставление, получение и реализация расчетов за приобретенные товары и услуги в соответствии с нормами Налогового кодекса Украины и Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».

 

4. Порядок обработки персональных данных: получение согласия, уведомления о правах и действиях с персональными данными субъекта персональных данных
4.1. Добровольным волеизъявлением физического лица есть необходимое условие для предоставления согласия на обработку его персональных данных в соответствии со сформулированной целью обработки.
4.2. Согласие субъекта персональных данных может быть выражено в следующих видах:


- бумажный документ с соответствующими реквизитами, позволяющими идентифицировать как документ, так и физическое лицо;


- электронный документ, где должны быть обязательные реквизиты, обеспечивающие идентификацию документа и физического лица. В случаях добровольного волеизъявления физического лица предоставить разрешение на обработку его персональных данных рекомендуется использовать его электронную подпись,


- отметка на электронной странице документа или электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений.


4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, его прав и целей сбора данных, а также лиц, которым передаются его персональные данные, происходит при оформлении гражданско-правовых отношений согласно действующему законодательству.

4.5. Запрещена обработка персональных данных по расовому или этническому происхождению, политическим, религиозным или мировоззренческим убеждениям, членству в политических партиях и профессиональных союзах, а также данным, касающимся здоровья или половой жизни (особые категории данных).

 


5. Местонахождение базы персональных данных

5.1. Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу продавца.

 

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Условия доступа третьих лиц к персональным данным определяются в соответствии с согласием, которое субъект персональных данных предоставляет владельцу персональных данных для их обработки или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьих лиц предоставляется только при условии, что указанное третье лицо принимает на себя обязательство выполнять требования Закона Украины «О защите персональных данных» или способно обеспечить их выполнение.

6.3. Субъект, связанный с персональными данными, может подать запрос о доступе к персональным данным владельцу базы персональных данных.

6.4. В запросе должны быть указаны:

- фамилия, имя и отчество, место жительства (нахождение) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица-заявителя);

- наименование, местонахождение юридического лица, подающего запрос, должность, фамилию, имя и отчество удостоверяющего запрос, подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица-заявителя);

- фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;

- сведения о базе персональных данных или владельца (распорядителя) этой базы;

- перечень запрашиваемых персональных данных;

- цель и/или правовые основания по запросу.

6.5. Срок рассмотрения запроса для решения вопросов доступа к персональным данным не может превышать десять рабочих дней с момента поступления запроса. В течение этого срока владельцем базы персональных данных сообщается лицо, подавшее запрос, о том, что запрос будет выполнен или персональные данные не подлежат предоставлению, с указанием на соответствующие основания, предусмотренные соответствующим нормативно-правовым актом. Удовлетворение запроса должно быть осуществлено в течение тридцати календарных дней со дня его поступления, если иное не определено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц может быть допущена в случаях, когда не может быть обеспечена передача данных в течение тридцати календарных дней со дня поступления запроса. Общий срок решения вопросов, вынесенных в запросе, не может превышать сорок пять календарных дней.

6.7. Третьему лицу, подавшему запрос, сообщается об отсрочке в письменной форме, с разъяснением порядка обжалования такого решения.

6.8. В сообщении об отсрочке указываются:

- фамилия, имя и отчество должностного лица;

- дата отправки сообщения;

- причина отсрочки;

- срок, в течение которого будет удовлетворен запрос.

6.9. Отказ в доступе к персональным данным допускается, если этот доступ ограничен по закону.

6.10. В сообщении об отказе указываются:

- фамилия, имя и отчество должностного лица, отказывающего в доступе;

- дата отправки сообщения

– причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суд.

 

7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владельцы базы персональных данных оборудованы системными и программно-техническими средствами и средствами связи, которые предотвращают потери, кражи, несанкционированное уничтожение, искажение, подделку, копирование информации, и они отвечают требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, согласно закону. Ответственное лицо определяется приказом владельца персональных данных. Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.

7.3. Ответственное лицо обязано:
- знать законодательство Украины в сфере защиты персональных данных;
- разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или трудовыми обязанностями;
- обеспечить исполнение сотрудниками владельца базы персональных данных требований законодательства Украины и внутренних документов по защите персональных данных;
- разработать порядок внутреннего контроля за соблюдением требований законодательства Украины и внутренних документов по обработке и защите персональных данных в базах персональных данных, включая периодичность такого контроля;
- сообщать владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины и внутренних документов по обработке и защите персональных данных в срок не позднее одного рабочего дня с момента выявления таких нарушений;
- обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомления указанного субъекта о его правах.

7.4. Ответственное лицо имеет право:

- получать необходимые документы, включая приказы и другие распорядительные документы, выданные владельцем базы персональных данных;

- производить копии полученных документов, в том числе копии файлов, записей, хранятся в локальных сетях и автономных компьютерных системах;

- участвовать в обсуждении исполняемых обязанностей организации работы, связанной с защитой персональных данных;

- подавать предложения по улучшению деятельности и методов работы, вносить замечания и предложения по устранению выявленных недостатков в процессе обработки персональных данных;

- получать пояснения по осуществлению обработки персональных данных;

- подписывать и визировать документы внутри своей компетенции.

7.5. Работники, непосредственно осуществляющие обработку или имеющие доступ к персональным данным в связи с выполнением своих служебных или трудовых обязанностей, обязаны соблюдать требования законодательства Украины.

ины и внутренних документов по обработке и защите персональных данных в базах персональных данных.

7.6. Работники, имеющие доступ к персональным данным или осуществляющие их обработку, обязаны содержать конфиденциальность и не разглашать эти данные любым способом, кроме случаев, предусмотренных законом. Эта обязанность действует после прекращения деятельности, связанной с обработкой персональных данных.

7.7. Лица, которые имеют доступ к персональным данным или осуществляют их обработку, несут ответственность в соответствии с законодательством Украины за нарушение требований Закона "О защите персональных данных".

7.8. Персональные данные не должны храниться дольше, чем необходимо для целей, для которых они хранятся, и не дольше срока, определенного согласием субъекта персональных данных на обработку этих данных.

 

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет следующие права:

- Знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначении, наименовании и местонахождении или месте жительства (нахождения) владельца или распорядителя этой базы. Он также может предоставить поручение уполномоченным лицам для получения этой информации. Однако это право может быть ограничено случаями, предусмотренными законом.

- получать информацию об условиях предоставления доступа к его персональным данным, включая информацию о третьих лицах, которым передаются его данные, содержащиеся в соответствующей базе персональных данных.

- иметь доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных. Ответ на запрос о доступе к данным должен предоставляться не позднее, чем за 30 календарных дней со дня поступления запроса, за исключением случаев, предусмотренных законом.

– получать ответ, сохраняются ли его персональные данные в соответствующей базе персональных данных, а также получать содержание этих данных.

- иметь возможность высказать возражения по обработке его персональных данных органами государственной власти и органами местного самоуправления, если эта обработка осуществляется в рамках их полномочий, предусмотренных законом.

- иметь возможность требовать изменения или уничтожения своих персональных данных любым владельцем или распорядителем соответствующей базы данных, если эти данные обрабатываются незаконно или недостоверны.

- Защищать свои персональные данные от незаконной обработки, случайной потери, уничтожения или повреждения, а также от умышленного сокрытия, непредоставления или несвоевременного предоставления этих данных, а также от предоставления недостоверных или порочащих сведений о физическом лице.

- обращаться в органы государственной власти и органы местного самоуправления, отвечающие за защиту персональных данных, по вопросам защиты своих прав по этим данным.

- использовать средства правовой защиты в случае нарушения законодательства о защите персональных данных.

 

9. Порядок работы с запросами субъекта персональных данных

9.1. Субъект персональных данных имеет право на получение каких-либо сведений о себе от любого субъекта отношений, связанных с персональными данными, без необходимости указывать цель запроса, за исключением случаев, предусмотренных законом.

9.2. Право доступа субъекта персональных данных к информации о себе осуществляется безвозмездно.

9.3. Чтобы получить доступ к своим персональным данным, субъект персональных данных подает запрос владельцу базы персональных данных. В запросе должны быть указаны следующие данные:

- фамилия, имя и отчество субъекта персональных данных, а также место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта.
- другие сведения, позволяющие идентифицировать субъекта персональных данных.
- Информация о базе персональных данных, по которой подается запрос, или сведения о владельце или распорядителе этой базы.
- перечень запрашиваемых персональных данных.

9.4. Срок для рассмотрения запроса и принятия решения по его удовлетворению или отказу не может превышать десять рабочих дней с момента получения запроса. В течение этого срока владелец базы персональных данных должен уведомить субъекта персональных данных, будет ли запрос удовлетворен, или указать основание для отказа, определенное в соответствующих нормативно-правовых актах.

9.5. Запрос на получение персональных данных должен быть удовлетворен в течение тридцати календарных дней со дня его поступления, если законодательством не предусмотрен другой срок.

 

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных производится в соответствии со статьей 9 Закона Украины «О защите персональных данных».