Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością sprzedawcy

Treść

  1. Ogólne pojęcia i zakres
  2. Lista baz danych osobowych
  3. Cel przetwarzania danych osobowych
  4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach związanych z danymi osobowymi podmiotu danych osobowych
  5. Lokalizacja bazy danych osobowych
  6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim
  7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
  8. Prawa podmiotu danych osobowych
  9. Procedura obsługi żądań podmiotu danych osobowych
  10. Rejestracja państwowa bazy danych osobowych

1. Ogólne pojęcia i zakres

1.1. Określenie warunków:

baza danych osobowych – nazwany zbiór uporządkowanych danych osobowych w postaci elektronicznej i/lub w formie plików danych osobowych;

osoba odpowiedzialna – wyznaczona osoba, która zgodnie z przepisami prawa organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania;

właścicielem bazy danych osobowych jest osoba fizyczna lub prawna, której przysługuje prawo do przetwarzania tych danych na podstawie przepisów prawa lub za zgodą podmiotu danych osobowych, który wyraża zgodę na cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych i sposobów ich przetwarzania, chyba że przepisy prawa stanowią inaczej;

Państwowy Rejestr Baz Danych Osobowych jest jednolitym państwowym systemem informacyjnym służącym do gromadzenia, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;

publicznie dostępne źródła danych osobowych – spisy, książki adresowe, rejestry, wykazy, katalogi, inne systematyczne zbiory jawnych informacji zawierających dane osobowe, umieszczane i publikowane przez znany podmiot danych osobowych. Portale społecznościowe i zasoby Internetu, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (chyba że podmiot danych osobowych wyraźnie oświadczy, że dane osobowe są zamieszczane w celu ich swobodnego rozpowszechniania i wykorzystania);

zgoda podmiotu danych osobowych – każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej w sprawie wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania;

depersonalizacja danych osobowych – usunięcie danych osobowych;

przetwarzanie danych osobowych – oznacza czynność lub zespół czynności wykonywanych w całości lub w części w systemie informacyjnym (zautomatyzowanym) i/lub w zbiorach danych osobowych, które związane są ze zbieraniem, rejestracją, gromadzeniem, przechowywaniem, adaptacją, zmianą, odnawianiem , wykorzystywanie i rozpowszechnianie (dystrybucja, wdrażanie, przekazywanie), depersonalizacja, niszczenie informacji o osobie fizycznej;

dane osobowe – informacje lub zbiór informacji o osobie fizycznej, która została zidentyfikowana lub może zostać konkretnie zidentyfikowana;

administratorem bazy danych osobowych jest osoba fizyczna lub prawna, która jest upoważniona przez właściciela bazy danych osobowych lub na podstawie przepisów prawa do przetwarzania tych danych. Osoba, której właściciel i/lub zarządca bazy danych osobowych zleci wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych, nie jest administratorem bazy danych osobowych;

podmiot danych osobowych – osoba fizyczna, w związku z którą zgodnie z prawem przetwarzane są jej dane osobowe;

strona trzecia – każda osoba, z wyjątkiem podmiotu danych osobowych, właściciela lub zarządcy bazy danych osobowych oraz organu państwowego uprawnionego do spraw ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;

szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2. Niniejsze rozporządzenie jest obowiązkowe dla osoby odpowiedzialnej oraz pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Wykaz baz danych osobowych

2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:

  • baza danych osobowych kontrahentów.

3. Cel przetwarzania danych osobowych

3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji cywilnych stosunków prawnych, dostarczanie, otrzymywanie i dokonywanie płatności za zakupione towary i usługi zgodnie z Ordynacją Podatkową Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej w Ukraina".

4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi podmiotu danych osobowych

4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem woli osoby fizycznej do wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z podanym celem ich przetwarzania.

4.2. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:

  • dokument na nośniku papierowym zawierający dane umożliwiające identyfikację tego dokumentu i osoby fizycznej;
  • dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu i osoby fizycznej. Wskazane jest poświadczenie dobrowolnego oświadczenia osoby fizycznej o wyrażeniu zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych;
  • notatka na elektronicznej stronie dokumentu lub w pliku elektronicznym, która jest przetwarzana w systemie informatycznym w oparciu o udokumentowane oprogramowanie i rozwiązania techniczne.

4.3. Zgoda podmiotu danych osobowych jest wyrażana podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.

4.4. Powiadomienie podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych oraz osobach, którym przekazywane są jego dane osobowe przekazanie danych odbywa się w trakcie rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.

4,5. Zabronione jest przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także danych związanych ze zdrowiem lub życiem seksualnym (szczególne kategorie danych).

5. Lokalizacja bazy danych osobowych

5.1. Baza danych osobowych, o której mowa w ust. 2 niniejszego Regulaminu, znajduje się pod adresem Sprzedawcy.

6. Warunki udostępniania danych osobowych podmiotom trzecim

6.1. Tryb dostępu do danych osobowych osób trzecich określają warunki zgody podmiotu danych osobowych, udzielonej przez właściciela danych osobowych na przetwarzanie tych danych, lub zgodnie z wymogami prawa.

6.2. Dostępu do danych osobowych nie udziela się osobie trzeciej, jeżeli wskazana osoba odmówi podjęcia obowiązków zapewniających spełnienie wymogów Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3. Podmiot relacji związanej z danymi osobowymi składa wniosek o udostępnienie danych osobowych (dalej – żądanie) do właściciela danych osobowych.

6.4. We wniosku stwierdza się:

  • nazwisko, imię i patronimika, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku osoby fizycznej – wnioskodawca);
  • imię i nazwisko, siedziba osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i patronimik osoby potwierdzającej wniosek; potwierdzenie, że treść żądania odpowiada uprawnieniom osoby prawnej (w przypadku osoby prawnej – wnioskodawcy);
  • nazwisko, imię i nazwisko rodowe oraz inne informacje umożliwiające identyfikację osoby fizycznej, w sprawie której kierowane jest żądanie;
  • informację o bazie danych osobowych, której dotyczy wniosek, lub informację o właścicielu lub zarządcy tej bazy danych osobowych;
  • lista żądanych danych osobowych;
  • cel i/lub podstawę prawną żądania.

6,5. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych udowadnia znanej osobie składającej żądanie, że żądanie zostanie spełnione lub że dane osobowe nie podlegają udostępnieniu, wskazując podstawy określone w odpowiednim regulacyjnym akcie prawnym. Żądanie zostaje zrealizowane w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.

6.6. Opóźnienie dostępu do danych osobowych osób trzecich jest dopuszczalne w przypadku braku możliwości dostarczenia niezbędnych danych w terminie trzydziestu dni kalendarzowych od dnia otrzymania żądania. Jednocześnie łączny termin na rozwiązanie kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.

6.7. O odroczeniu powiadamia się osobę trzecią, która złożyła wniosek w formie pisemnej, wraz z wyjaśnieniem trybu odwołania się od takiej decyzji.

6.8. W zawiadomieniu o odroczeniu czytamy:

  • nazwisko, imię i patronimik urzędnika;
  • datę wysłania wiadomości;
  • powód opóźnienia;
  • okres, w którym wniosek zostanie uwzględniony.

6.9. Dopuszczalna jest odmowa dostępu do danych osobowych, jeżeli dostęp do nich jest zabroniony przez przepisy prawa.

6.10. W zawiadomieniu o odrzuceniu znajduje się informacja:

  • nazwisko, imię, patronimika urzędnika odmawiającego dostępu;
  • datę wysłania wiadomości;
  • powód odmowy.

6.11. Od decyzji o opóźnieniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.

7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych

7.1. Właściciel bazy danych osobowych jest wyposażony w system i oprogramowanie oraz narzędzia komunikacyjne, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji i spełniają wymagania standardów międzynarodowych i krajowych.

7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem. Osoba odpowiedzialna jest ustalana na podstawie polecenia Właściciela bazy danych osobowych.

Obowiązki osoby odpowiedzialnej w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania określone są w opisie stanowiska.

7.3. Osoba odpowiedzialna jest zobowiązana do:

  • znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
  • opracowuje procedury dostępu do danych osobowych pracowników zgodnie z pełnionymi przez nich obowiązkami zawodowymi, służbowymi lub służbowymi;
  • w celu zapewnienia, że ​​pracownicy Właściciela bazy danych osobowych spełniają wymogi ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych dane w bazach danych osobowych;
  • opracowanie procedury (procedury) kontroli wewnętrznej nad przestrzeganiem wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazy danych, które w szczególności powinny zawierać normy dotyczące cykliczności takiej kontroli;
  • informowania Właściciela bazy danych osobowych o faktach naruszeń przez pracowników wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochronę danych osobowych w bazach danych osobowych nie później niż w terminie jednego dnia roboczego od momentu wykrycia naruszeń;
  • zapewnić przechowywanie dokumentów potwierdzających wyrażenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz powiadomienie określonego podmiotu o przysługujących mu prawach.

7.4. W celu wypełnienia swoich obowiązków osoba odpowiedzialna ma prawo do:

  • otrzymania niezbędnych dokumentów, w tym zarządzeń i innych dokumentów administracyjnych wydanych przez Właściciela bazy danych osobowych, związanych z przetwarzaniem danych osobowych;
  • sporządzać kopie otrzymanych dokumentów, w tym kopie akt, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
  • do wzięcia udziału w dyskusji na temat swoich obowiązków w zakresie organizacji pracy związanych z ochroną danych osobowych podczas ich przetwarzania;
  • rozpatrywania propozycji usprawnień działań i udoskonalenia metod pracy, zgłaszania uwag i możliwości usunięcia zidentyfikowanych uchybień w procesie przetwarzania danych osobowych;
  • otrzymania wyjaśnień w kwestiach związanych z przetwarzaniem danych osobowych;
  • podpisują i uwierzytelniają dokumenty w granicach swoich kompetencji.

7,5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracy), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych, dotyczących przetwarzania i ochrona danych osobowych w bazach danych osobowych.

7.6. Pracownicy mający dostęp do danych osobowych, w tym ich przetwarzanie, zobowiązani są do nieujawniania w żaden sposób danych osobowych im powierzonych lub które stały się znane w związku z wykonywaniem obowiązków zawodowych, służbowych lub pracowniczych Obowiązek taki obowiązuje po zaprzestaniu przez nich czynności związanych z danymi osobowymi, z wyjątkiem przypadków przewidzianych przez przepisy prawa.

7.7 Osoby mające dostęp do danych osobowych, w tym osoby je przetwarzające, w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.

7.8. Dane osobowe nie mogą być przechowywane dłużej, niż jest to konieczne do celu, dla którego te dane są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony zgodą podmiotu danych osobowych na przetwarzanie tych danych.

8. Prawa podmiotu danych osobowych

8.1. Podmiot danych osobowych ma prawo:

  • poznania lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej celu oraz nazwy, lokalizacji i/lub miejsca zamieszkania (zamieszkania) właściciela lub administratora tej bazy danych lub wydania odpowiednich instrukcji w celu uzyskania tych informacji osoby przez niego upoważnione, z wyjątkiem przypadków przewidzianych przez prawo;
  • otrzymania informacji o warunkach zapewnienia dostępu do danych osobowych, w szczególności informacji o podmiotach trzecich, którym przekazywane są jego dane osobowe, zawartych w odpowiedniej bazie danych osobowych;
  • dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
  • do otrzymania nie później niż trzydzieści dni kalendarzowych od dnia otrzymania żądania, z wyjątkiem przypadków przewidzianych przez przepisy prawa, odpowiedzi, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, a także do otrzymania treści swoich danych osobowych przechowywane dane;
  • wnieść uzasadniony wniosek w sprawie sprzeciwu wobec przetwarzania Twoich danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania przysługujących im uprawnień przewidzianych przepisami prawa;
  • zgłosić uzasadnione żądanie zmiany lub zniszczenia swoich danych osobowych przez dowolnego właściciela i administratora tej bazy danych, jeżeli dane te są przetwarzane niezgodnie z prawem lub są nierzetelne;
  • ochrony Twoich danych osobowych przed niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w związku z ich umyślnym zatajeniem, niepodaniem lub nieterminowym ich podaniem, a także ochroną przed podaniem informacji nierzetelnych lub hańbiących honor, godność i reputację biznesową osób osoba fizyczna;
  • zwracać się z problemem ochrony swoich praw dotyczących danych osobowych do organów państwowych, organów samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych;
  • zastosować środki prawne w przypadku naruszenia przepisów o ochronie danych osobowych.

9. Tryb obsługi żądań podmiotu danych osobowych

9.1. Podmiot danych osobowych ma prawo otrzymać wszelkie informacje o sobie od dowolnego podmiotu relacji związanych z danymi osobowymi, bez określenia celu żądania, z wyjątkiem przypadków przewidzianych przez prawo.

9.2. Dostęp podmiotu danych osobowych do danych o jego osobie jest bezpłatny.

9.3. Podmiot danych osobowych składa wniosek o udostępnienie danych osobowych (dalej – żądanie) do właściciela bazy danych osobowych.

We wniosku stwierdza się:

  • nazwisko, imię i patronimika, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość podmiotu danych osobowych;
  • inne informacje umożliwiające identyfikację tożsamości podmiotu danych osobowych;
  • informację o bazie danych osobowych, w związku z którą złożono żądanie, lub informację o właścicielu lub zarządcy tej bazy;
  • wykaz wymaganych danych osobowych.

9.4. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych udowadnia znanemu podmiotowi danych osobowych, że żądanie zostanie spełnione lub dane osobowe nie podlegają udostępnieniu, wskazując podstawy określone w odpowiednim regulacyjnym akcie prawnym.

9,5. Żądanie zostaje zrealizowane w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.

10. Rejestracja państwowa bazy danych osobowych

10.1. Państwowa rejestracja baz danych osobowych odbywa się zgodnie z art. 9 ustawy Ukrainy "O ochronie danych osobowych”.