Règlement sur le traitement et la protection des données personnelles dans les bases de données personnelles appartenant au vendeur
Contenu
- Concepts généraux et portée
- Liste des bases de données personnelles
- Finalité du traitement des données personnelles
- Procédure de traitement des données personnelles : obtention du consentement, notification des droits et actions avec les données personnelles du sujet des données personnelles
- L'emplacement de la base de données personnelle
- Conditions de divulgation d'informations sur les données personnelles à des tiers
- Protection des données personnelles : méthodes de protection, personne responsable, employés qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles, durée de conservation des données personnelles
- Droits du sujet des données personnelles
- Procédure de traitement des demandes du sujet des données personnelles
- Enregistrement par l'État de la base de données personnelles
1. Concepts généraux et portée
1.1. Définition des termes:
base de données personnelles - un ensemble nommé de données personnelles organisées sous forme électronique et/ou sous forme de fichiers de données personnelles;
personne responsable - une personne désignée qui organise les travaux liés à la protection des données personnelles lors de leur traitement, conformément à la loi;
le propriétaire d'une base de données personnelles est une personne physique ou morale qui a le droit de traiter ces données en vertu de la loi ou avec le consentement de la personne concernée, qui approuve la finalité du traitement des données personnelles dans cette base de données, établit la composition de ces données et des modalités de leur traitement, sauf disposition contraire de la loi;
Le Registre national des bases de données personnelles est un système d'information national unique permettant de collecter, d'accumuler et de traiter des informations sur les bases de données personnelles enregistrées;
sources de données personnelles accessibles au public - annuaires, carnets d'adresses, registres, listes, catalogues, autres collections systématiques d'informations ouvertes contenant des données personnelles, placées et publiées par un sujet connu de données personnelles. Les réseaux sociaux et les ressources Internet dans lesquels le sujet des données personnelles laisse ses données personnelles ne sont pas considérés comme des sources de données personnelles accessibles au public (sauf si le sujet des données personnelles déclare expressément que les données personnelles sont publiées dans le but de leur libre distribution et utilisation);
consentement du sujet des données personnelles - toute expression documentée et volontaire de la volonté d'une personne physique concernant l'octroi de l'autorisation pour le traitement de ses données personnelles conformément à la finalité formulée de leur traitement;
dépersonnalisation des données personnelles - suppression des informations personnellement identifiables;
traitement de données personnelles - toute action ou ensemble d'actions effectuées en tout ou en partie dans un système d'information (automatisé) et/ou dans des fichiers de données personnelles, qui sont liées à la collecte, à l'enregistrement, à l'accumulation, au stockage, à l'adaptation, à la modification, au renouvellement, utilisation et diffusion (distribution, mise en œuvre, transfert), dépersonnalisation, destruction d'informations sur une personne physique;
données personnelles - informations ou ensemble d'informations sur une personne physique qui est identifiée ou peut être spécifiquement identifiée;
le responsable du traitement de la base de données personnelles est une personne physique ou morale autorisée par le propriétaire de la base de données personnelles ou par la loi à traiter ces données. Une personne chargée par le propriétaire et/ou le gestionnaire de la base de données personnelle d'effectuer des travaux techniques avec la base de données personnelle sans accès au contenu des données personnelles n'est pas un administrateur de base de données personnelle;
sujet des données personnelles - une personne physique pour laquelle, conformément à la loi, ses données personnelles sont traitées;
tiers - toute personne, à l'exception du sujet des données personnelles, le propriétaire ou le gestionnaire de la base de données personnelles et l'organisme public autorisé pour les questions de protection des données personnelles, à qui le propriétaire ou le gestionnaire de la base de données personnelles transfère des données personnelles conformément à la loi;
catégories particulières de données - données personnelles sur l'origine raciale ou ethnique, les convictions politiques, religieuses ou idéologiques, l'appartenance à des partis politiques et à des syndicats, ainsi que les données liées à la santé ou à la vie sexuelle.
1.2. Ce règlement est obligatoire pour la personne responsable et les employés du vendeur qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles.
2. Liste des bases de données personnelles
2.1. Le vendeur est propriétaire des bases de données personnelles suivantes:
- base de données des données personnelles des contreparties.
3. Finalité du traitement des données personnelles
3.1. Le but du traitement des données personnelles dans le système est d'assurer la mise en œuvre des relations juridiques civiles, la fourniture, la réception et le paiement des biens et services achetés conformément au Code des impôts de l'Ukraine, à la loi de l'Ukraine « sur la comptabilité et l'information financière en Ukraine".
4. La procédure de traitement des données personnelles: obtention du consentement, notification des droits et actions avec les données personnelles du sujet des données personnelles
4.1. Le consentement de la personne concernée doit être une expression volontaire de la volonté de la personne d'autoriser le traitement de ses données personnelles conformément à la finalité formulée de leur traitement.
4.2. Le consentement de la personne concernée peut être donné sous les formes suivantes:
- un document sur support papier comportant des indications permettant l'identification de ce document et d'une personne physique;
- un document électronique, qui doit contenir des informations obligatoires permettant l'identification de ce document et d'une personne physique. Il est opportun de certifier la déclaration volontaire de consentement d'une personne physique au traitement de ses données personnelles par une signature électronique de la personne concernée;
- une note sur une page électronique d'un document ou dans un fichier électronique qui est traitée dans un système d'information sur la base de logiciels et de solutions techniques documentés.
4.3. Le consentement du sujet des données personnelles est donné lors de l'enregistrement des relations juridiques civiles conformément à la législation en vigueur.
4.4. La notification au sujet des données personnelles concernant l'inclusion de ses données personnelles dans la base de données personnelles, les droits définis par la loi ukrainienne "sur la protection des données personnelles", le but de la collecte de données et les personnes auxquelles ses données personnelles le transfert des données s'effectue lors de l'enregistrement des relations juridiques civiles conformément à la législation en vigueur.
4.5. Le traitement de données personnelles relatives à l'origine raciale ou ethnique, aux convictions politiques, religieuses ou idéologiques, à l'appartenance à des partis politiques et à des syndicats, ainsi que des données liées à la santé ou à la vie sexuelle (catégories particulières de données) est interdit.
5. Localisation de la base de données personnelles
5.1. La base de données personnelles spécifiée à l'article 2 du présent règlement se trouve à l'adresse du vendeur.
6. Conditions de divulgation des données personnelles à des tiers
6.1. La procédure d'accès aux données personnelles de tiers est déterminée par les termes du consentement du sujet des données personnelles, donné par le propriétaire des données personnelles au traitement de ces données, ou conformément aux exigences de la loi.
6.2. L'accès aux données personnelles n'est pas accordé à un tiers si la personne spécifiée refuse de s'acquitter des obligations visant à assurer le respect des exigences de la loi ukrainienne « sur la protection des données personnelles » ou est incapable de les garantir.
6.3. Le sujet des relations liées aux données personnelles soumet une demande d'accès (ci-après - demande) aux données personnelles au propriétaire des données personnelles.
6.4. La demande précise:
- nom, prénom et patronyme, lieu de résidence (lieu de séjour) et détails du document certifiant la personne physique qui présente la demande (pour une personne physique - le demandeur);
- nom, localisation de la personne morale présentant la demande, fonction, nom, prénom et patronyme de la personne certifiant la demande ; confirmation que le contenu de la demande correspond à l'autorité de la personne morale (pour une personne morale - le demandeur);
- nom, prénom et patronyme, ainsi que d'autres informations permettant l'identification de la personne physique pour laquelle la demande est faite;
- des informations sur la base de données personnelles pour laquelle la demande est soumise, ou des informations sur le propriétaire ou le gestionnaire de cette base de données personnelles;
- liste des données personnelles demandées;
- l'objet et/ou la base juridique de la demande.
6.5. Le délai d'étude de la demande pour sa satisfaction ne peut excéder dix jours ouvrables à compter de la date de sa réception. Pendant cette période, le propriétaire de la base de données personnelles prouve à la personne connue qui présente la demande que la demande sera satisfaite ou que les données personnelles concernées ne sont pas soumises à fourniture, en indiquant les motifs définis dans l'acte juridique réglementaire pertinent. La demande est satisfaite dans un délai de trente jours calendaires à compter de la date de sa réception, sauf disposition contraire de la loi.
6.6. Le retard de l'accès aux données personnelles de tiers est autorisé si les données nécessaires ne peuvent être fournies dans un délai de trente jours calendaires à compter de la date de réception de la demande. Dans le même temps, le délai total pour résoudre les problèmes soulevés dans la demande ne peut excéder quarante-cinq jours calendaires.
6.7. Un avis de report sera donné au tiers qui a présenté la demande par écrit en expliquant la procédure de recours contre une telle décision.
6.8. L’avis de report précise:
- nom, prénom et patronyme du fonctionnaire;
- la date d'envoi du message;
- la raison du retard;
- la période pendant laquelle la demande sera accordée.
6.9. Le refus d'accès aux données personnelles est autorisé si l'accès à celles-ci est interdit par la loi.
6.10. L'avis de rejet indique:
- nom, prénom, patronyme du fonctionnaire refusant l'accès;
- la date d'envoi du message;
- motif du refus.
6.11. La décision de retarder ou de refuser l'accès aux données personnelles peut faire l'objet d'un recours devant le tribunal.
7. Protection des données personnelles : modalités de protection, personne responsable, employés qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions, durée de conservation des données personnelles
7.1. Le propriétaire de la base de données personnelles est doté d'un système, de logiciels et d'outils de communication qui évitent la perte, le vol, la destruction non autorisée, la déformation, la falsification, la copie des informations et répondent aux exigences des normes internationales et nationales.
7.2. Le responsable organise les travaux liés à la protection des données personnelles lors de leur traitement conformément à la loi. La personne responsable est déterminée par arrêté du Propriétaire de la base de données personnelle.
Les devoirs du responsable en matière d'organisation du travail lié à la protection des données personnelles lors de leur traitement sont précisés dans la description de poste.
7.3. La personne responsable est tenue de:
- connaître la législation de l'Ukraine dans le domaine de la protection des données personnelles;
- élaborer des procédures d'accès aux données personnelles des employés conformément à leurs fonctions professionnelles ou officielles ou de travail;
- s'assurer que les employés du Propriétaire de la base de données personnelles respectent les exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et les documents internes réglementant les activités du Propriétaire de la base de données personnelles concernant le traitement et la protection des données personnelles données dans les bases de données personnelles;
- développer une procédure (procédure) de contrôle interne sur le respect des exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes réglementant les activités du propriétaire d'une base de données personnelle concernant le traitement et la protection des données personnelles à caractère personnel des bases de données, qui devraient notamment contenir des normes concernant la périodicité d'un tel contrôle;
- informer le propriétaire de la base de données personnelles des faits de violations par les employés des exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes réglementant les activités du propriétaire de la base de données personnelles concernant le traitement et la protection des données personnelles les données dans les bases de données personnelles au plus tard un jour ouvrable à compter de la détection de telles violations;
- assurer le stockage des documents confirmant la fourniture par le sujet des données personnelles du consentement au traitement de ses données personnelles et la notification du sujet spécifié sur ses droits.
7.4. Afin de remplir ses fonctions, la personne responsable a le droit de:
- recevoir les documents nécessaires, y compris les commandes et autres documents administratifs émis par le propriétaire de la base de données personnelles, liés au traitement des données personnelles;
- faire des copies des documents reçus, y compris des copies de fichiers, de tout enregistrement stocké dans les réseaux informatiques locaux et les systèmes informatiques autonomes;
- participer à la discussion de ses devoirs d'organisation du travail liés à la protection des données personnelles lors de leur traitement;
- examiner les propositions d'amélioration des activités et des méthodes de travail, soumettre des commentaires et des options pour éliminer les déficiences identifiées dans le processus de traitement des données personnelles ;
- recevoir des explications sur les questions de traitement des données personnelles;
- signer et authentifier les documents dans les limites de leur compétence.
7.5. Les employés qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles (de travail) sont tenus de se conformer aux exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes, concernant le traitement. et la protection des données personnelles dans les bases de données personnelles.
7.6. Les employés qui ont accès aux données personnelles, y compris leur traitement, sont tenus de ne divulguer en aucune manière les données personnelles qui leur sont confiées ou qui sont devenues connues dans le cadre de l'exercice de fonctions professionnelles ou officielles ou de travail de l'entreprise. Une telle obligation est valable après la cessation des activités liées aux données personnelles, sauf dans les cas prévus par la loi.
7.7. Les personnes qui ont accès aux données personnelles, y compris celles qui les traitent, en cas de violation des exigences de la loi ukrainienne «Sur la protection des données personnelles» sont responsables conformément à la législation ukrainienne.
7.8. Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles ces données sont stockées, mais en aucun cas plus longtemps que la durée de conservation des données déterminée par le consentement de la personne concernée au traitement de ces données.
8. Droits du sujet des données personnelles
8.1. La personne concernée a le droit:
- connaître l'emplacement de la base de données personnelles qui contient ses données personnelles, sa finalité et son nom, localisation et/ou lieu de résidence (résidence) du propriétaire ou de l'administrateur de cette base de données, ou donner les instructions appropriées pour obtenir ces informations à les personnes autorisées par lui, sauf dans les cas prévus par la loi;
- recevoir des informations sur les conditions d'accès aux données personnelles, en particulier des informations sur les tiers auxquels ses données personnelles sont transférées, contenues dans la base de données personnelles correspondante ;
- accéder à vos données personnelles contenues dans la base de données personnelles correspondante;
- recevoir au plus tard trente jours calendaires à compter de la date de réception de la demande, sauf dans les cas prévus par la loi, une réponse indiquant si ses données personnelles sont stockées dans la base de données personnelles concernée, ainsi que de recevoir le contenu de ses données personnelles les données stockées;
- présenter une réclamation motivée avec une objection au traitement de vos données personnelles par les autorités de l'État, les collectivités locales dans l'exercice de leurs pouvoirs prévus par la loi;
- faire une demande motivée de modification ou de destruction de vos données personnelles auprès de tout propriétaire et administrateur de cette base de données, si ces données sont traitées illégalement ou ne sont pas fiables;
- pour protéger vos données personnelles contre le traitement illégal et la perte accidentelle, la destruction, les dommages dus à une dissimulation intentionnelle, à un défaut de fourniture ou à une fourniture intempestive, ainsi qu'à la protection contre la fourniture d'informations peu fiables ou qui déshonorent l'honneur, la dignité et la réputation commerciale d'une personne physique;
- adresser les questions de protection de ses droits concernant les données personnelles aux autorités de l'État, aux organes d'autonomie locale, dont les compétences incluent la protection des données personnelles;
- appliquer les voies de recours en cas de violation de la législation sur la protection des données personnelles.
9. Procédure de traitement des demandes du sujet des données personnelles
9.1. Le sujet des données personnelles a le droit de recevoir toute information le concernant de tout sujet de relations liées aux données personnelles, sans préciser l'objet de la demande, sauf dans les cas prévus par la loi.
9.2. L'accès de la personne concernée aux données la concernant est gratuit.
9.3. Le sujet des données personnelles soumet une demande d'accès (ci-après - demande) aux données personnelles au propriétaire de la base de données personnelles.
La demande précise:
- nom, prénom et patronyme, lieu de résidence (lieu de séjour) et détails du document certifiant l'identité de la personne concernée;
- d'autres informations permettant d'identifier la personne concernée par les données personnelles;
- des informations sur la base de données personnelles pour laquelle la demande est soumise, ou des informations sur le propriétaire ou le gestionnaire de cette base;
- liste des données personnelles demandées.
9.4. Le délai d'étude de la demande pour sa satisfaction ne peut excéder dix jours ouvrables à compter de la date de sa réception. Pendant cette période, le propriétaire de la base de données personnelles prouve au sujet connu des données personnelles que la demande sera satisfaite ou que les données personnelles pertinentes ne sont pas soumises à fourniture, en indiquant les motifs définis dans l'acte juridique réglementaire pertinent.
9.5. La demande est satisfaite dans un délai de trente jours calendaires à compter de la date de sa réception, sauf disposition contraire de la loi.
10. Enregistrement public de la base de données personnelles
10.1. L'enregistrement par l'État des bases de données personnelles est effectué conformément à l'article 9 de la loi ukrainienne "Sur la protection des données personnelles".