Увійти

Країна

Мова

Кошик

Ваш кошик пустий

Політика конфіденційності

Положення про обробку і захист персональних даних у базах персональних даних, що належать Продавцю

Зміст

  1. Загальні поняття та сфера застосування

  2. Перелік баз персональних даних

  3. Мета обробки персональних даних

  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права, дії стосовно персональних даних суб’єкта

  5. Місце знаходження бази персональних даних

  6. Умови розкриття персональних даних третім особам

  7. Захист персональних даних: заходи захисту, відповідальна особа, працівники з безпосередньою обробкою та/або доступом, строк зберігання

  8. Права суб’єкта персональних даних

  9. Порядок розгляду запитів суб’єкта персональних даних

  10. Державна реєстрація баз персональних даних

1. Загальні поняття та сфера застосування

1.1. Визначення:

База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у вигляді картотек персональних даних.

Відповідальна особа – призначена особа, яка організовує захист персональних даних під час обробки відповідно до законодавства.

Володілець бази персональних даних (Контролер) – фізична або юридична особа, що на підставі закону або згоди суб’єкта персональних даних має право обробляти ці дані; визначає мету, обсяг і порядок обробки персональних даних, якщо інше не передбачено законом.

Державний реєстр баз персональних даних – єдина державна інформаційна система для реєстрації, накопичення і обробки інформації про зареєстровані бази персональних даних.

Загальнодоступні джерела персональних даних – довідники, адресні книги, реєстри, списки, каталоги чи інші систематизовані збірники відкритої інформації, що містять персональні дані, опубліковані за відома суб’єкта персональних даних. Соціальні мережі та загальні інтернет-ресурси не вважаються такими джерелами, якщо суб’єкт персональних даних прямо не дозволив їх публічне розповсюдження.

Згода суб’єкта персональних даних – будь-яке документоване добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних для чітко визначених цілей.

Знеособлення – видалення ідентифікуючих даних, що дозволяють визначити особу.

Обробка персональних даних – будь-які дії, що виконуються повністю або частково в інформаційній (автоматизованій) системі або картотеках і включають збирання, реєстрацію, накопичення, зберігання, адаптацію, зміну, поновлення, використання, поширення (у тому числі передання, продаж), знеособлення, знищення персональних даних.

Персональні дані – дані про фізичну особу, яка ідентифікована або може бути ідентифікована.

Розпорядник персональних даних (Процесор) – фізична або юридична особа, що уповноважена власником або законом на обробку персональних даних; не включає осіб, які виконують лише технічні завдання без доступу до персональних даних.

Суб’єкт персональних даних – фізична особа, чиї персональні дані обробляються відповідно до законодавства.

Третя особа – будь-яка особа, окрім суб’єкта персональних даних, володільця або розпорядника бази, чи уповноваженого державного органу, якій персональні дані передаються на законних підставах.

Особливі категорії даних – дані, що розкривають расове чи етнічне походження, політичні погляди, релігійні або філософські переконання, членство у політичних партіях або профспілках, а також дані про здоров’я чи статеве життя.

1.2. Ці Положення є обов’язковими для відповідальної особи та співробітників Продавця, які безпосередньо обробляють або мають доступ до персональних даних у зв’язку з виконанням службових обов’язків.

2. Перелік баз персональних даних

2.1. Продавець є власником такої бази персональних даних:

  • База персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних у системі є забезпечення реалізації цивільно-правових відносин; надання, отримання та облік розрахунків за придбані товари і послуги відповідно до Податкового кодексу України та Закону України «Про бухгалтерський облік та фінансову звітність в Україні».

4. Порядок обробки персональних даних

4.1. Згода суб’єкта персональних даних має бути добровільною, документованою і стосуватися чітко визначених цілей обробки.

4.2. Згода може бути надана у таких формах:

  • Паперовий документ із реквізитами, що дозволяють ідентифікувати документ і особу.

  • Електронний документ, що містить реквізити для ідентифікації, бажано засвідчений електронним підписом.

  • Відмітка на електронній формі або файлі через документовані технічні засоби.

4.3. Згода надається при укладенні цивільно-правових договорів відповідно до чинного законодавства.

4.4. Після укладення цивільно-правових відносин суб’єкта інформують про включення його персональних даних до бази, права за Законом України «Про захист персональних даних», мету збору та осіб, яким передаються дані.

4.5. Обробка особливих категорій персональних даних заборонена.

5. Місце знаходження бази персональних даних

5.1. Бази персональних даних, зазначені у розділі 2, розташовані за юридичною адресою Продавця.

6. Умови розкриття персональних даних третім особам

6.1. Доступ третіх осіб до персональних даних дозволяється лише на підставі згоди суб’єкта або у випадках, передбачених законом.

6.2. Треті особи повинні погодитися виконувати вимоги Закону «Про захист персональних даних» та мати можливість їх дотримуватися.

6.3. Третя особа подає запит, що містить повне ім’я, адресу, реквізити посвідчувального документа, назву бази або дані контролера, перелік даних, мету та правову підставу.

6.4–6.11. Запити розглядаються протягом 10 робочих днів; дані надаються у 30-денний строк, якщо законом не передбачено інше. Строк може бути продовжено до 45 днів із письмовим повідомленням про причини затримки. Підстави для відмови або затримки повідомляються письмово. Рішення підлягає оскарженню у судовому порядку.

7. Захист персональних даних

7.1. Володілець впроваджує технічні, організаційні та комунікаційні заходи захисту, що запобігають втраті, крадіжці, несанкціонованому знищенню, викривленню, підробці чи копіюванню інформації відповідно до національних та міжнародних стандартів.

7.2. Відповідальна особа офіційно призначається наказом і визначається у посадовій інструкції.

7.3. Обов’язки відповідальної особи включають:

  • знання законодавства у сфері захисту персональних даних;

  • розробку процедур доступу до персональних даних;

  • забезпечення дотримання співробітниками законодавства та внутрішніх регламентів;

  • повідомлення про порушення протягом одного робочого дня з моменту виявлення;

  • зберігання документів про надані згоди суб’єктів персональних даних.

7.4. Права відповідальної особи включають:

  • доступ до необхідних документів;

  • можливість робити копії документів;

  • участь у обговореннях питань захисту персональних даних;

  • внесення пропозицій щодо покращення процедур;

  • отримання пояснень із питань обробки персональних даних;

  • підписання і візування документів у межах своєї компетенції.

7.5. Працівники, які обробляють або мають доступ до персональних даних, зобов’язані дотримуватись законодавства України та внутрішніх документів щодо обробки та захисту даних.

7.6. Працівники зобов’язані не розголошувати персональні дані у будь-який спосіб навіть після завершення трудових відносин, якщо інше не передбачено законом.

7.7. Особи, що допустили порушення вимог Закону України «Про захист персональних даних», несуть відповідальність згідно із законодавством.

7.8. Персональні дані не повинні зберігатися довше, ніж необхідно для мети обробки, та в будь-якому разі не довше строку, погодженого із суб’єктом персональних даних.

8. Права суб’єкта персональних даних

8.1. Суб’єкт персональних даних має право:

  • Знати місцезнаходження бази персональних даних, її призначення, найменування, адресу володільця або розпорядника;

  • Отримувати інформацію про умови доступу до персональних даних і про третіх осіб, яким вони передаються;

  • Доступу до своїх персональних даних, що зберігаються у базі;

  • Отримувати протягом 30 календарних днів підтвердження про наявність його персональних даних у базі та доступ до них;

  • Заперечувати проти обробки персональних даних державними органами;

  • Вимагати виправлення чи видалення персональних даних, якщо вони обробляються незаконно або є недостовірними;

  • Захисту персональних даних від незаконної обробки, випадкової втрати, знищення, пошкодження, приховування, несвоєчасного або недостовірного надання;

  • Звертатися до органів державної влади або місцевого самоврядування щодо захисту персональних даних;

  • Використовувати правові засоби захисту у разі порушення законодавства про захист персональних даних.

9. Порядок розгляду запитів суб’єкта персональних даних

9.1. Суб’єкт персональних даних має право отримувати будь-яку інформацію про себе без зазначення мети запиту, якщо інше не передбачено законом.

9.2. Доступ до персональних даних для суб’єкта є безоплатним.

9.3. Письмовий запит повинен містити:

  • прізвище, ім’я, по батькові, місце проживання (перебування), реквізити документа, що посвідчує особу;

  • інші відомості, що дозволяють ідентифікувати суб’єкта;

  • інформацію про базу персональних даних або про володільця чи розпорядника;

  • перелік запитуваних персональних даних.

9.4–9.5. Запит розглядається протягом 10 робочих днів, і протягом 30 календарних днів суб’єкт персональних даних отримує відповідь, якщо інше не передбачено законом.

10. Державна реєстрація баз персональних даних

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».