Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание:

1. Общие понятия и область применения.
2. Перечень баз персональных данных.
3. Цель обработки персональных данных.
4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных.
5. Местонахождение базы персональных данных.
6. Условия раскрытия информации о персональных данных третьим лицам.
7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных.
8. Права субъекта персональных данных.
9. Порядок работы с запросами субъекта персональных данных.
10. Государственная регистрация базы персональных данных.

1. Общие понятия и область применения.

1.1. Определение терминов:

Персональная база данных – это совокупность персональных данных отсортированных в электронном виде и/или в виде персональных писем данных.

Ответственный – конкретное лицо, которое в соответствии с законодательством организует работу, связанную с защитой персональных данных при их обработке.

Владелец базы персональных данных – физическое или юридическое лицо, по закону или с согласия заинтересованного лица имеющее право на обработку таких данных, согласовав цель обработки персональных данных в этой базе данных, определяет состав данных и соответствующее методы обработки.

Государственный реестр баз персональных данных – является единственной государственной информационной системой для сбора, хранения и обработки информации о зарегистрированных базах персональных данных.

Общедоступные источники персональных данных – справочники, адресные книги, реестры и другие систематические сборники публичной информации, содержащие персональные данные, опубликованные и раскрытые с ведома субъекта персональных данных.

Социальные сети и онлайн ресурсы, в которых субъект оставляет свои персональные данные, не считаются общедоступными источниками персональной информации (если субъект данных прямо не указывает, что персональные данные публикуются для свободного распространения и использования).

Согласие субъекта данных – это любое добровольное и документально подтвержденное проявление желания лица дать разрешение на обработку своих персональных данных согласно заявленной цели их обработки.

Анонимизация персональных данных – экспорт (извлечение) персональной информации.

Обработка персональных данных – любое действие или совокупность действий, выполняемых полностью или частично в информационной системе (автоматизированной) и файлах персональных данных, связанных со сбором, записью, хранением, архивированием, персонализацией, модификацией, обновлением, использованием и распространением, деперсонализацией, уничтожением персональной информации.

Персональные данные – информация о лице, которое является или может быть конкретно идентифицировано.

Распорядитель базы персональных данных – физическое или юридическое лицо, которому дано право на обработку таких данных предоставленное владельцем базы персональных данных или законом.

Субъект персональных данных – это лицо, для которого обрабатываются его персональные данные в соответствии с законодательством.

Третье лицо – любое лицо, кроме субъекта персональных данных, владельца или распорядителя базы персональных данных и государственного органа, уполномоченного на защиту персональной информации, которому владелец или администратор базы персональных данных передает персональные данные в соответствии с законодательством.

Особыми категориями данных являются персональные данные о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, участие в политических партиях и профсоюзах, а также данные о здоровье или половой жизни.

1.2. Такое Положение обязательно для выполнения руководителем и сотрудниками продавца, обрабатывающих и/или имеющих непосредственный доступ к персональным данным в связи с исполнением служебных обязанностей.

2. Перечень баз персональных данных.

2.1. Продавец имеет следующие персональные базы данных:

• база персональных данных контрагентов

3. Цель обработки персональных данных.

3.1. Целью системы обработки персональных данных является хранение и обслуживание данных контрагентов в соответствии со статьями 6 и 7 Закона Украины «О защите персональных данных».

3.2. Целью обработки персональных данных является обеспечение осуществления гражданско-правовых отношений, предоставление/получение и оплата приобретенных товаров/услуг в соответствии с Налоговым кодексом Украины, Законом о бухгалтерском учете и финансовой отчетности в Украине.

4. Порядок обработки персональных данных: получение согласия, передача прав и действий персональных данных субъекта данных.

4.1. Согласие субъекта данных должно быть добровольным выражением воли субъекта данных дать согласие на обработку его или ее персональных данных в соответствии с заявленной целью их обработки. Согласие заинтересованного лица может быть представлено в следующих формах:

• Распечатанный документ с данными, идентифицирующими этот бумажный носитель и человека;
• Компьютерный документ, содержащий обязательные данные, позволяющие идентифицировать этот документ и физическое лицо. Добровольное заявление о намерении субъекта обрабатывать его или ее персональные данные должно быть подтверждено электронной подписью субъекта данных;
• Отметка в электронном файле, который размещается на веб-сайте или в информационной системе на основе документированных программных и аппаратных решений.

4.2. Согласие заинтересованного лица предоставляется при регистрации гражданского правоотношения в соответствии с действующим законодательством.

4.3. Раскрытие информации о субъекте персональных данных о включении его персональных данных в персональную базу данных, права, определенные Законодательством Украины «О защите персональных данных», цели сбора данных и лиц, которым его персональные данные будут переданы при оформлении гражданско-правовых отношений соответственно к действующему законодательству.

4.4. Запрещается обработка персональных данных, касающихся расового или этнического происхождения, политических взглядов, религиозных или идеологических убеждений, участия в политических партиях и профсоюзах, а также данных о здоровье или половой жизни (особые категории данных).

5. Местонахождение базы персональных данных.

5.1. Персональные базы данных, указанные в разделе 2 настоящих Правил должны храниться по адресу продавца.

6. Условия передачи персональных данных третьим лицам.

6.1. Процедура доступа к персональным данным третьих лиц основывается на условиях согласия субъекта данных, предоставленного владельцу персональной базы данных на обработку этих данных или в соответствии с требованиями действующего законодательства.

6.2. Доступ к персональным данным не будет предоставлен третьим лицам, если лицо отказывается выполнять требования Закона Украины «О защите персональных данных» или не может их предоставить.

6.3. Предметом отношений по персональным данным является запрос на доступ (далее – запрос) к персональным данным владельца персональной базы данных.

6.4. В запросе необходимо указать:

• фамилия, имя и отчество, место жительства (место) и реквизиты документа, удостоверяющего личность, подающую заявление (в случае физического лица – заявитель);
• название, местонахождение юридического лица-заявителя, должность, фамилия, имя и отчество лица, удостоверяющего заявку; Подтверждение соответствия содержания заявки полномочиям юридического лица (для юридического лица – заявителя);
• фамилия, имя и отчество, а также другая информация, позволяющая идентифицировать физическое лицо, на которое подается заявление;
• информация о личной базе данных, для которой создается программа, или информация о владельце или администраторе этой базы данных;
• список запрашиваемых персональных данных;
• цель запроса.

6.5. Срок рассмотрения заявления об удовлетворении не может превышать десяти рабочих дней со дня его получения.

В течение этого периода владелец личной базы данных уведомляет заявителя о том, что заявка будет соблюдена или что соответствующие персональные данные не будут предоставлены, указав причины, указанные в соответствующем правовом акте.

Заявление должно быть заполнено в течение тридцати календарных дней с момента получения, если иное не предусмотрено законом.

6.6. Все сотрудники владельца персональной базы данных обязаны соблюдать требования конфиденциальности персональных данных и информации о счетах депо и находящихся в обращении ценных бумагах.

6.7. Отложить доступ к персональным данным третьим лицам разрешается, если необходимые данные не могут быть предоставлены в течение 30 календарных дней с момента получения запроса. При этом общее время решения вопросов, поднятых в жалобе, не должно превышать сорока пяти календарных дней.

6.8. Отсрочка будет направлена в письменной форме третьей стороне, подавшей заявку, с указанием процедуры обжалования такого решения.

6.9. В уведомлении об отсрочке должно быть указано:

• фамилия, имя и отчество должностного лица;
• дата отправки сообщения;
• причина задержки;
• период, когда запрос будет исполнен.

6.10. Отказ в доступе к персональным данным допустим, если доступ к ним запрещен законом.

6.11. Письмо об отказе должно содержать:

• фамилия, имя, отчество должностного лица, отказывающего в доступе;
• дата отправки сообщения;
• причина отказа.

6.12. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в компетентный государственный орган защиты персональных данных, другие государственные органы и органы местного самоуправления, к полномочиям которых относится защита персональных данных, или в суд.

7. Защита персональных данных: методы защиты, ответственные лица, сотрудники, обрабатывающие и/или получающие доступ к персональным данным непосредственно в связи с выполнением своих служебных задач, длительность хранения персональных данных.

7.1. Владелец персональной базы данных оснащен системным программным обеспечением и средствами связи, которые предотвращают потерю, кражу, несанкционированное уничтожение, фальсификации, подделку информации и отвечают требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу по защите персональных данных при их обработке в соответствии с положениями законодательства. Ответственное лицо определяется от имени владельца личной базы данных.

Обязанности ответственного за организацию труда по защите персональных данных при их обработке указаны в должностной инструкции.

7.3. Ответственное лицо обязано:

• знать законодательство Украины в сфере защиты персональных данных;
• разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или трудовыми обязательствами;
• обеспечить соблюдение сотрудниками владельца персональной базы данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца персональной базы данных по обработке и защите персональных данных персональных баз данных;
• разработка процедуры (порядка) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца персональной базы данных по обработке и защите баз персональных данных, в конкретных стандартах, частота таких проверок должна содержать нормы по периодичности;
• информировать владельца персональной базы данных о фактах нарушения работниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца персональной базы данных по обработке и защите персональных данных в персональных базах данных не позднее одного рабочего дня с момента выявления таких нарушений;
• обеспечение хранения документов, подтверждающих согласие личности персональных данных на обработку его персональных данных и информирование субъекта данных о его правах.

7.4. Для выполнения своих задач ответственное лицо имеет право:

• получать необходимые документы, в частности, приказы владельца персональной базы данных и другие административные документы, связанные с обработкой персональных данных;
• производить копии полученных документов, в том числе копии файлов, всех записей, хранящихся в локальных компьютерных сетях и автономных компьютерных системах;
• участвовать в обсуждении выполняемых им обязанностей по организации работы, связанной с защитой персональных данных при их обработке;
• вносить предложения по усовершенствованию деятельности и методов работы, вносить комментарии и способы устранения выявленных недостатков в обработке персональных данных;
• получать пояснения по обработке персональных данных;
• подписывать и визировать документы внутри своей компетенции.

7.5. Сотрудники, непосредственно обрабатывающие персональные данные в связи с выполнением своих служебных (рабочих) задач и/или имеющие к ним доступ, обязаны соблюдать требования законодательства Украины в области защиты персональных данных и внутренних документов, связанных с обработкой и защитой персональных данных в персональных базах данных.

7.6. Сотрудники, имеющие доступ к персональным данным, в том числе обрабатывающие их, обязаны не допускать разглашения в какой-либо форме вверенные им персональные данные или данные, которые стали известны в связи с выполнением профессиональных, официальных или трудовых обязательств. Такое обязательство применяется после окончания их деятельности по персональным данным, если иное не предусмотрено законом.

7.7 Лица, имеющие доступ к персональным данным, в том числе те, кто их обрабатывает, несут ответственность за нарушения требования Закона Украины «О защите персональных данных», в соответствии с законодательством Украины.

7.8. Персональные данные не должны храниться дольше, чем это необходимо для целей, для которых эти данные хранятся, но в любом случае не дольше срока хранения данных, определяемого согласием субъекта данных на обработку этих данных.

8. Права субъекта персональных данных.

8.1. Субъект данных имеет право:

• знать местонахождение персональной базы данных с ее персональными данными, ее назначение и имя, местонахождение и/или местожительство (место) владельца или администратора этой базы данных или соответствующие инструкции по получению этой информации от уполномоченного лица, если иное не предусмотрено законом;
• получать информацию об условиях доступа к персональным данным, в частности, информацию о третьих лицах, которым будут переданы его персональные данные, содержащиеся в соответствующей персональной базе данных;
• на доступ к своим личным данным, содержащимся в соответствующей персональной базе данных;
• не позднее тридцати календарных дней после получения запроса, если иное не предусмотрено законом, получить ответ о том, хранятся ли его личные данные в соответствующей личной базе данных, а также получить содержание своих данных хранящихся в соответствующей личной базе данных;
• подать мотивированный запрос, чтобы оспорить обработку своих персональных данных государственными или местными органами власти при исполнении ими установленных законом полномочий;
• подать целевой запрос на изменение или уничтожение своих личных данных владельцем и администратором этой базы данных, если эти данные обрабатываются незаконно или ненадежны;
• на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения вследствие умышленного сокрытия, не предоставления или несвоевременного предоставления, а также от предоставления сведений, недостоверных или порочащих честь, достоинство и деловую репутацию физического лица;
• обращаться за защитой своих прав по персональным данным в государственные органы и органы местного самоуправления, в полномочия которых входит осуществление защиты персональных данных;
• обжаловать нарушение правовых норм по защите персональных данных.

9. Порядок обработки запросов от субъекта персональных данных.

9.1. Субъект персональных данных имеет право получать всю информацию о себе у любого субъекта отношений, связанных с персональными данными, по персональным данным без указания цели запроса, если иное не предусмотрено законом.

9.2. Доступ субъекта персональных данных к данным о своей личности осуществляется бесплатно.

9.3. Лицо, касающееся персональных данных, направляет запрос на доступ (далее – запрос) к персональным данным владельцу персональной базы данных.

В запросе указываются:

• фамилия, имя, отчество, место жительства, данные удостоверения личности заинтересованного лица;
• другая информация, позволяющая идентифицировать субъект персональных данных;
• информация о личной базе данных, для которой создается программа, или информация о владельце или менеджере этой базы данных;
• перечень запрашиваемых личных данных.

9.4. Срок рассмотрения заявления об удовлетворении не может превышать десяти рабочих дней со дня его получения.

9.5. В течение этого периода владелец личной базы данных должен уведомить лицо, касающееся персональных данных, о том, что запрос будет выполнен или что соответствующие личные данные не могут быть предоставлены, с указанием причины отказа в соответствующем правовом акте.

9.6. Запрос будет исполнен в течение тридцати календарных дней с момента его получения, если иное не предусмотрено законодательством.

10. Государственная регистрация базы персональных данных.

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных».