Положение о обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание

  1. Общие понятия и область применения
  2. Список баз персональных данных
  3. Цель обработки персональных данных
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
  5. Местоположение базы персональных данных
  6. Условия раскрытия информации о персональных данных третьим лицам
  7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Порядок работы с запросами субъекта персональных данных
  10. Государственная регистрация базы персональных данных
  1. Общие понятия и область применения

1.1. Определение терминов:

База персональных данных - это названное собрание упорядоченных персональных данных в электронной форме и/или в форме карточек персональных данных.

Ответственное лицо - определенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом.

Владелец базы персональных данных - физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не предусмотрено законом.

Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных.

Общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с согласия субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, на которых субъект персональных данных размещает свои персональные данные (за исключением случаев, когда субъект персональных данных прямо указывает, что персональные данные размещены с целью их свободного распространения и использования).

Согласие субъекта персональных данных - любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки.

Обезличивание персональных данных - извлечение сведений, позволяющих идентифицировать личность.

Обработка персональных данных - любое действие или совокупность действий, выполненных полностью или частично в информационной (автоматизированной) системе и/или в карточках персональных данных, которые связаны с сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.

Персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Распорядник базы персональных данных - физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядником базы персональных данных лицо, которому владельцем и/или распорядником базы персональных данных поручено осуществлять работы технического характера с базой персональных данных без доступа к содержанию персональных данных.

Третья сторона - любое лицо, за исключением субъекта персональных данных, владельца или распорядника базы персональных данных и уполномоченного государственного органа по защите персональных данных, которой владельцем или распорядником базы персональных данных осуществляется передача персональных данных в соответствии с законом.

Особые категории данных - персональные данные о расовой или этнической принадлежности, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных объединениях, а также данные, касающиеся здоровья или сексуальной жизни.

1.2. Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

 

  1. Список баз данных персональных данных 2.1. Продавец является владельцем следующих баз персональных данных:
  • База персональных данных контрагентов.

  1. Цель обработки персональных данных 3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины "О бухгалтерском учете и финансовой отчетности в Украине".

  2. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных 4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки.

4.2. Согласие субъекта персональных данных может быть дано в следующих формах:

  • Документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо.
  • Электронный документ, который должен содержать обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных целесообразно удостоверять электронной подписью субъекта персональных данных.
  • Отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется во время оформления гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, о правах, определенных Законом Украины "О защите персональных данных", о цели сбора данных и лицах, которым передаются его персональные данные, осуществляется во время оформления гражданско-правовых отношений в соответствии с действующим законодательством.

4.5. Обработка персональных данных о расовой или этнической принадлежности, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных объединениях, а также данных, касающихся здоровья или сексуальной жизни (особые категории данных) запрещается.

  1. Местонахождение базы персональных данных 5.1. Указанные в разделе 2 данного Положения базы персональных данных находятся по адресу продавца.

  2. Условия раскрытия информации о персональных данных третьим лицам 6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьей лице не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины "О защите персональных данных" или неспособно их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос относительно доступа (далее - запрос) к персональным данным владельцу персональных данных.

6.4. В запросе указываются:

  • Фамилия, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица - заявителя);
  • Наименование, место нахождения юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);
  • Фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, касающееся которого делается запрос;
  • Сведения о базе персональных данных, касающейся которой делается запрос, или сведения о владельце или распорядителе этой базы персональных данных;
  • Перечень персональных данных, запрашиваемых;
  • Цель и/или правовые основания для запроса.

6.5. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных уведомляет заявителя о том, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, установленного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с момента поступления запроса. При этом общий срок разрешения вопросов, выдвинутых в запросе, не может превышать сорок пяти календарных дней.

6.7. Уведомление о задержке доступа до персональных данных третьим лицам должно быть направлено в письменной форме с пояснением порядка обжалования такого решения.

6.8. Отказ в предоставлении доступа к персональным данным третьим лицам допускается, если доступ к ним запрещен в соответствии с законом.

6.9. В уведомлении о отказе указываются:

  • Фамилия, имя и отчество должностного лица, который отказывает в доступе;
  • Дата отправки уведомления;
  • Причина отказа.

6.10. Решение о задержке или отказе в доступе к персональным данным может быть обжаловано в суде.

  1. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных 7.1. Владелец базы персональных данных оборудован системными и программно-техническими средствами и средствами связи, которые предотвращают утрату, кражу, несанкционировное уничтожение, искажение, подделку, копирование информации и соответствуют требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом. Ответственное лицо определяется приказом владельца базы персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • Знать законодательство Украины в области защиты персональных данных.
  • Разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными или служебными обязанностями.
  • Обеспечить выполнение сотрудниками владельца базы персональных данных требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных.
  • Разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, который, в частности, должен содержать нормы относительно периодичности осуществления такого контроля.
  • Сообщать владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, в течение не позднее одного рабочего дня с момента выявления таких нарушений.
  • Обеспечивать сохранность документов, подтверждающих предоставление субъектом персональных данных согласия на обработку его персональных данных и уведомление указанного субъекта о его правах.

7.4. Для выполнения своих обязанностей ответственное лицо имеет право:

  • Получать необходимые документы, в том числе приказы и другие распорядительные документы, выданные владельцем базы персональных данных и связанные с обработкой персональных данных.
  • Делать копии полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах.
  • Участвовать в обсуждении выполняемых им обязанностей по организации работы, связанной с защитой персональных данных при их обработке.
  • Вносить на рассмотрение предложения по улучшению деятельности и совершенствованию методов работы, выражать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных.
  • Получать пояснения по вопросам осуществления обработки персональных данных.
  • Подписывать и визировать документы в пределах своей компетенции.

7.5. Сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в области защиты персональных данных и внутренних документов, касающихся обработки и защиты персональных данных в базах персональных данных.

7.6. Сотрудники, имеющие доступ к персональным данным и осуществляющие их обработку, обязаны не разглашать каким-либо способом персональные данные, которые им были доверены или стали известными в связи с выполнением профессиональных, служебных или трудовых обязанностей. Это обязательство действует после прекращения ими деятельности, связанной с персональными данными, за исключением случаев, предусмотренных законом.

7.7. Лица, имеющие доступ к персональным данным и осуществляющие их обработку, несут ответственность в соответствии с законодательством Украины в случае нарушения ими требований Закона Украины «О защите персональных данных».

7.8. Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой такие данные хранятся, но в любом случае не дольше срока хранения данных, установленного согласием субъекта персональных данных на обработку этих данных.

  1. Права субъекта персональных данных 8.1. Субъект персональных данных имеет право:

    • Знать местонахождение базы персональных данных, которая содержит его персональные данные, ее назначение и наименование, местонахождение и/или место проживания (пребывания) владельца или распорядителя этой базы или дату выдачи соответствующего поручения на получение этой информации уполномоченными лицами, за исключением случаев, установленных законом.
    • Получать информацию о условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных.
    • Получать доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных.
    • Получать не позднее чем через тридцать календарных дней с дня поступления запроса, за исключением случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся.
    • Подавать мотивированный запрос о запрете обработки его персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом.
    • Подавать мотивированный запрос о изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными.
    • Защищать свои персональные данные от незаконной обработки и случайной утраты, уничтожения, повреждения вследствие умышленного утаивания, непредоставления или несвоевременного предоставления их, а также от предоставления информации, которая является недостоверной и порочит честь, достоинство и деловую репутацию физического лица.
    • Обращаться с вопросами защиты своих прав в отношении персональных данных к органам государственной власти, органам местного самоуправления, полномочия которых включают защиту персональных данных.
    • Применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

  2. Порядок работы с запросами субъекта персональных данных 9.1. Субъект персональных данных имеет право получать любую информацию о себе от любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, предусмотренных законом.

9.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.

9.3. Субъект персональных данных представляет запрос на доступ (далее - запрос) к персональным данным владельцу базы персональных данных.

Запрос должен содержать следующую информацию:

  • Фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных.
  • Другие сведения, позволяющие идентифицировать субъекта персональных данных.
  • Информация о базе персональных данных, касающаяся которой подается запрос, или информация о владельце или распорядителе этой базы.
  • Список персональных данных, запрашиваемых.

9.4. Срок рассмотрения запроса на предмет его удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение этого срока владелец базы персональных данных уведомляет субъекта персональных данных о том, будет ли запрос удовлетворен, или персональные данные не подлежат предоставлению, с указанием основания, установленного в соответствующем нормативно-правовом акте.

9.5. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, за исключением случаев, предусмотренных законом.

  1. Государственная регистрация баз персональных данных 10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины "О защите персональных данных".