Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

 

Содержание

  1. Общие понятия и сфера применения
  2. Перечень баз персональных данных
  3. Цели обработки персональных данных
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
  5. Местонахождение базы персональных данных
  6. Условия раскрытия информации о персональных данных третьим лицам
  7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Порядок работы с запросами субъекта персональных данных
  10. Государственная регистрация базы персональных данных

 

1. Общие понятия и сфера применения

1.1. Основные термины:

База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в виде картотек персональных данных.

Ответственное лицо — лицо, назначенное владельцем базы персональных данных, которое организует работу, связанную с защитой персональных данных при их обработке.

Владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку данных.

Государственный реестр баз персональных данных — единая государственная информационная система сбора и обработки сведений о зарегистрированных базах персональных данных.

Общедоступные источники персональных данных — справочники, адресные книги, реестры и иные систематизированные сборники открытой информации, опубликованные с ведома субъекта персональных данных. Социальные сети и интернет-ресурсы не считаются общедоступными, если субъект специально не заявил о свободном распространении своих данных.

Согласие субъекта персональных данных — любое документированное добровольное волеизъявление относительно разрешения на обработку данных.

Обезличивание персональных данных — удаление сведений, позволяющих идентифицировать лицо. Обработка персональных данных — любое действие, связанное со сбором, регистрацией, накоплением, хранением, изменением, использованием, распространением, обезличиванием или уничтожением персональных данных.

Персональные данные — любая информация о физическом лице, которое идентифицировано или может быть идентифицировано.

Распорядитель базы персональных данных — лицо, которому владельцем базы предоставлено право на обработку данных.

Субъект персональных данных — физическое лицо, о котором собираются и обрабатываются персональные данные.

Третье лицо — любое лицо, кроме субъекта персональных данных, владельца, распорядителя базы и государственных органов, которым данные могут передаваться по закону.

Особые категории данных — сведения о расовом или этническом происхождении, политических, религиозных убеждениях, членстве в партиях и профсоюзах, а также данные о здоровье или сексуальной жизни.

1.2. Настоящее Положение является обязательным для выполнения всеми сотрудниками продавца, которые имеют доступ к персональным данным или осуществляют их обработку.

 

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующей базы: база персональных данных контрагентов.

 

3. Цели обработки персональных данных

3.1. Цель обработки — обеспечение реализации гражданско-правовых отношений, предоставление и получение услуг, выполнение расчётов за товары и услуги согласно законодательству Украины.

 

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо;
  • электронный документ, который должен содержать обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных целесообразно подтверждать электронной подписью субъекта персональных данных;
  • отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, правах, предусмотренных Законом Украины «О защите персональных данных», цели сбора данных и лицах, которым передаются его персональные данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.

 

5. Местонахождение базы персональных данных

5.1. Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу продавца.

 

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, либо в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не в состоянии их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее — запрос) к персональным данным владельцу персональных данных.

6.4. В запросе указываются:

  • фамилия, имя и отчество, место проживания (место пребывания) и реквизиты документа, удостоверяющего личность физического лица, подающего запрос (для физического лица — заявителя);
  • наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос;
  • подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя);
  • фамилия, имя и отчество, а также иные сведения, позволяющие идентифицировать физическое лицо, по отношению к которому делается запрос;
  • сведения о базе персональных данных, по которой подается запрос, либо сведения о владельце или распорядителе этой базы персональных данных;
  • перечень персональных данных, запрашиваемых в доступе;
  • цель и/или правовые основания запроса.

6.5. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы персональных данных доводит до сведения лица, подающего запрос, будет ли запрос удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с момента поступления запроса. При этом общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.

6.7. Сообщение об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.8. В сообщении об отсрочке указываются:

  • фамилия, имя и отчество должностного лица;
  • дата отправки сообщения;
  • причина отсрочки;
  • срок, в течение которого запрос будет удовлетворен.

6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законом.

6.10. В сообщении об отказе указываются:

  • фамилия, имя, отчество должностного лица, отказывающего в доступе;
  • дата отправки сообщения;
  • причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.

 

7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владелец базы персональных данных оснащен системными и программно-техническими средствами и средствами связи, предотвращающими потери, кражи, несанкционированное уничтожение, искажение, подделку, копирование информации и соответствующими требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо определяется приказом Владельца базы персональных данных. Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;
  • разрабатывать процедуры доступа сотрудников к персональным данным в соответствии с их профессиональными, служебными или трудовыми обязанностями;
  • обеспечивать выполнение сотрудниками Владельца базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных;
  • разрабатывать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, который, в частности, должен содержать нормы относительно периодичности осуществления такого контроля;
  • уведомлять Владельца базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, не позднее одного рабочего дня с момента обнаружения таких нарушений;
  • обеспечивать хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных, а также уведомление указанного субъекта о его правах.

7.4. В целях выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, в том числе приказы и другие распорядительные документы, изданные Владельцем базы персональных данных, связанные с обработкой персональных данных;
  • делать копии полученных документов, включая копии файлов и любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
  • участвовать в обсуждении выполняемых им обязанностей по организации работы, связанной с защитой персональных данных при их обработке;
  • вносить на рассмотрение предложения по улучшению деятельности и совершенствованию методов работы, подавать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
  • получать разъяснения по вопросам осуществления обработки персональных данных;
  • подписывать и визировать документы в пределах своей компетенции.

7.5. Сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих обработку и защиту персональных данных в базах персональных данных.

7.6. Сотрудники, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, за исключением случаев, установленных законом.

7.7. Лица, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, в случае нарушения ими требований Закона Украины «О защите персональных данных» несут ответственность в соответствии с законодательством Украины.

7.8. Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой такие данные хранятся, но в любом случае не дольше срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных.

 

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать о местонахождении базы персональных данных, содержащей его персональные данные, её назначении, а также наименование, местонахождение и/или место проживания (пребывания) владельца или распорядителя этой базы, либо дать соответствующее поручение об получении этой информации уполномоченным им лицам, за исключением случаев, установленных законом;
  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
  • иметь доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
  • получать не позднее тридцати календарных дней с момента поступления запроса, за исключением случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание своих персональных данных, которые хранятся;
  • предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
  • предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любому владельцу и распорядителю этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
  • защищать свои персональные данные от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также защиту от предоставления сведений, которые являются недостоверными или порочат честь, достоинство и деловую репутацию физического лица;
  • обращаться по вопросам защиты своих прав в отношении персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
  • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

 

9. Порядок работы с запросами субъекта персональных данных

9.1. Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, установленных законом.

9.2. Доступ субъекта персональных данных к сведениям о себе осуществляется бесплатно.

9.3. Субъект персональных данных подает запрос о доступе (далее — запрос) к персональным данным владельцу базы персональных данных. В запросе указываются:

  • фамилия, имя и отчество, место проживания (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
  • иные сведения, позволяющие идентифицировать личность субъекта персональных данных;
  • сведения о базе персональных данных, по которой подается запрос, либо сведения о владельце или распорядителе этой базы;
  • перечень персональных данных, запрашиваемых в доступе.

9.4. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы персональных данных доводит до сведения субъекта персональных данных, будет ли запрос удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.

9.5. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено законом.

 

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных».