- Общие понятия и область применения.
- Перечень баз персональных данных.
- Цель обработки персональных данных.
- Порядок обработки персональных данных: получение согласия, сообщение о правах и действия с персональными данными субъекта персональных данных.
- Местонахождение базы персональных данных.
- Условия раскрытия информации о персональных данных третьим лицам.
- Защита персональных данных: способы защиты, ответственное лицо, лица, непосредственно осуществляющие обработку и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных.
- Права субъекта персональных данных.
- Порядок работы с запросами субъекта персональных данных.
- Государственная регистрация базы персональных данных.
- Общие понятия и область применения.
- Определение терминов:
база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных;
ответственное лицо — определенная лицо, которое организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом;
владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;
общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, другие систематизированы сборники открытой информации, содержащих персональные данные, размещенные и опубликованные с согласия субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субъект персональных данных оставляют свои персональные данные (кроме случаев, когда субъектом персональных данных прямо указано, что персональные данные размещены с целью их свободного распространения и использования);
согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с целью их обработки;
обезличивание персональных данных — изъятие сведений, которые позволяют идентифицировать личность;
обработка персональных данных — любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и / или в картотеках персональных данных, связанные со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице;
персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владельцем и / или распорядителем базы персональных данных поручено осуществлять работы технического характера с базой персональных данных без доступа к содержанию персональных данных;
субъект персональных данных — физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных; третье лицо - любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которой владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом;
особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни. - Данное Положение обязательно для применения ответственным лицом и сотрудниками продавца, непосредственно осуществляющих обработку и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.
- Определение терминов:
- Перечень баз персональных данных.
- Продавец является собственником следующих баз персональных данных:
- база персональных данных контрагенты.
- Продавец является собственником следующих баз персональных данных:
- Цель обработки персональных данных.
- Целью обработки персональных данных в системе является хранение и обслуживание данных контрагентов в соответствии со статьями 6, 7 Закона Украины «О защите персональных данных».
- Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставления / получения и осуществления расчетов за приобретенные товары / услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».
- Порядок обработки персональных данных: получение согласия, сообщение о правах и действия с персональными данными субъекта персональных данных.
- Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки. Согласие субъекта персональных данных может быть предоставлена в следующих формах:
- документ на бумажном носителе с реквизитами, позволяет идентифицировать этот документ и физическое лицо;
- электронный документ, который должен содержать обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных целесообразно удостоверять электронной подписью субъекта персональных данных.
- отметка на электронной странице документа или в электронном файле, обрабатываемой в информационной системе на основе документированных программно-технических решений.
- Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
- Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, права, определенные Законом Украины «О защите персональных данных», цель сбора данных и лиц, которым передаются его персональные данные осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательства.
- Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных) запрещается.
- Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки. Согласие субъекта персональных данных может быть предоставлена в следующих формах:
- Местонахождение базы персональных данных.
- Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу продавца или соот.
- Условия раскрытия информации о персональных данных третьим лицам.
- Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленной владельцу базы персональных данных на обработку этих данных, или в соответствии с требованиями закона.
- Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не может их обеспечить.
- Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее - запрос) к персональным данным владельцу базы персональных данных.
- В запросе указываются:
- прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника);
- фамилия, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица - заявителя);
- наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);
- фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;
- сведения о базе персональных данных, в отношении которого подается запрос, сведения о владельца или распорядителя этой базы;
- перечень персональных данных, запрашиваемых;
- Цель запроса.
- Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных доводит до сведения лица, подающего запрос, запрос будет довольно или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенной в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
- Все работники и подрядчики владельца базы персональных данных обязаны соблюдать требования конфиденциальности в отношении персональных данных и информации по счетам в ценных бумагах и ценных бумаг.
- Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, затронутых в запросе, не может превышать сорока пяти календарных дней.
- Сообщение об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.
- В сообщении об отсрочке указываются:
- фамилия, имя и отчество должностного лица;
- дата отправки сообщения;
- причина отсрочки;
- срок, в течение которого будет довольно запрос.
- Отказ в доступе к персональным данным допускается, если доступ к ним запрещен по закону.
- В сообщении об отказе указываются:
- фамилия, имя, отчество должностного лица, которое отказывает в доступе;
- дата отправки сообщения;
- причина отказа.
- Решение об отсрочке или отказе с доступе к персональным данным может быть обжаловано в уполномоченный государственный орган по вопросам защиты персональных данных, других органов государственной власти и органов местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных, или в суд.
- Защита персональных данных: способы защиты, ответственное лицо, лица, непосредственно осуществляющие обработку и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных.
- Владелец базы персональных данных оборудованы системными и программно-техническими средствами и средствами связи, которые предотвращают потери, кражи, несанкционированного уничтожения, искажения, подделки, копированию информации и отвечают требованиям международных и национальных стандартов.
- Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом. Ответственное лицо определяется внутренними политиками владельца базы персональных данных. Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке указываются во внутренней политике по обработке и защите персональных данных.
- Ответственное лицо обязано:
- знать законодательство Украины в сфере защиты персональных данных;
- разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональных или служебных или трудовых обязанностей;
- обеспечить выполнение сотрудниками владельца базы персональных данных требованиям законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных;
- разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, который, в частности, должен содержать нормы о периодичности осуществления такого контроля;
- сообщать владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных в срок не позднее одного рабочего дня с момента выявления таких нарушений;
- обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и сообщения указанного субъекта о его правах.
- С целью выполнения своих обязанностей ответственное лицо имеет право:
- получать необходимые документы, в том числе приказы и другие распорядительные документы, выданные Владельцем базы персональных данных, связанные с обработкой персональных данных;
- делать копии с полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
- участвовать в обсуждении выполняемых им обязанностей организации работы, связанной с защитой персональных данных при их обработке;
- вносить на рассмотрение предложения по улучшению деятельности и совершенствование методов работы, подавать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
- получать объяснения по вопросам осуществления обработки персональных данных;
- подписывать и визировать документы в пределах своей компетенции.
- Работники и подрядчики, непосредственно осуществляющих обработку и / или имеют доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей или обязательств по договору, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов, по обработке и защите персональных данных в базах персональных данных.
- Лица, имеющие доступ к персональным данным, в том числе, осуществляют их обработку обязаны не допускать разглашения в любой способ персональных данных, которые им было доверено или которые стали известны в связи с исполнением профессиональных или служебных или трудовых обязанности "связей. Такое обязательство действующее после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.
- Особы, имеющих доступ к персональным данным, в том числе, осуществляют их обработку в случае нарушения ими требований Закона Украины «О защите персональных данных» несут ответственность согласно законодательству Украины.
- Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой такие данные сохраняются, но в любом случае не более срока хранения данных, определенного согласия субъекта персональных данных на обработку этих данных.
- Права субъекта персональных данных.
- Субъект персональных данных имеет право:
- знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначение и наименование, местонахождение и / или место жительства (пребывания) владельца или распорядителя этой базы или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;
- получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
- на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
- получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, хранятся его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся;
- предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении полномочий, предусмотренных законом;
- предъявлять мотивированное требование об изменении или уничтожение своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
- на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочащих честь, достоинство и деловую репутацию физического лица;
- обращаться по вопросам защиты своих прав персональных данных в органы государственной власти, органов местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
- применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
- Субъект персональных данных имеет право:
- Порядок работы с запросами субъекта персональных данных.
- Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.
- Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.
- Субъект персональных данных подает запрос о доступе (далее - запрос) к персональным данным владельцу базы персональных данных.
В запросе указываются:- фамилия, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
- другие сведения, позволяющие идентифицировать личность субъекта персональных данных;
- сведения о базе персональных данных, в отношении которого подается запрос, сведения о владельца или распорядителя этой базы;
- перечень персональных данных, запрашиваемых.
- Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления.
- В течение этого срока владелец базы персональных данных доводит до сведения субъекта персональных данных, запрос будет довольно или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенной в соответствующем нормативно-правовом акте.
- Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
- Государственная регистрация базы персональных данных.
- Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных».