Положення про обробку і захист персональних даних у базах персональних даних, володільцем яких є продавець

Зміст

  1. Загальні поняття та сфера застосування

  2. Перелік баз персональних даних

  3. Мета обробки персональних даних

  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних

  5. Місцезнаходження бази персональних даних

  6. Умови розкриття інформації про персональні дані третім особам

  7. Захист персональних даних: способи захисту, відповідальна особа, працівники з доступом, строк зберігання

  8. Права суб’єкта персональних даних

  9. Порядок роботи із запитами суб’єкта персональних даних

  10. Державна реєстрація бази персональних даних

1. Загальні поняття та сфера застосування

1.1. Визначення термінів:

  • база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек;

  • відповідальна особа — особа, призначена для організації роботи, пов’язаної із захистом персональних даних під час їх обробки;

  • володілець бази персональних даних — фізична або юридична особа, якій законом або згодою суб’єкта даних надано право на обробку персональних даних;

  • Державний реєстр баз персональних даних — єдина державна система обліку зареєстрованих баз даних;

  • загальнодоступні джерела персональних даних — довідники, каталоги, реєстри, опубліковані з відома суб’єкта даних. Соціальні мережі не є загальнодоступними, якщо суб’єкт не зазначив намір на вільне поширення;

  • згода суб’єкта — добровільне документоване волевиявлення на обробку персональних даних;

  • знеособлення даних — вилучення відомостей, що дають змогу ідентифікувати особу;

  • обробка персональних даних — будь-які дії зі збирання, зберігання, використання, поширення, знищення персональних даних;

  • персональні дані — відомості про фізичну особу, яка ідентифікована або може бути ідентифікована;

  • розпорядник бази даних — особа, якій надано право на обробку персональних даних;

  • суб’єкт персональних даних — фізична особа, чиї дані обробляються;

  • третя особа — будь-яка особа, окрім суб’єкта даних, володільця, розпорядника та уповноваженого державного органу;

  • особливі категорії даних — відомості про расове походження, релігійні переконання, здоров’я, статеве життя тощо.

1.2. Положення є обов’язковим для відповідальної особи та працівників продавця, які мають доступ до персональних даних.

2. Перелік баз персональних даних

2.1. Продавець є володільцем таких баз персональних даних:

  • база персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Забезпечення реалізації цивільно-правових відносин, надання та отримання послуг, проведення розрахунків відповідно до законодавства України, зокрема Податкового кодексу та Закону «Про бухгалтерський облік».

4. Порядок обробки персональних даних

4.1. Згода суб’єкта — добровільне волевиявлення на обробку даних відповідно до визначеної мети.

4.2. Згода може надаватися у формі:

  • паперового документа з реквізитами;

  • електронного документа з ідентифікаційними даними (бажано з ЕЦП);

  • відмітки в електронній формі в інформаційній системі.

4.3. Суб’єкт надає згоду під час оформлення цивільно-правових відносин.

4.4. Суб’єкта повідомляють про включення його даних до бази під час оформлення відповідних правовідносин.

4.5. Забороняється обробка особливих категорій даних (про здоров’я, політичні погляди, релігію тощо).

5. Місцезнаходження бази персональних даних

Усі бази, зазначені в розділі 2, знаходяться за адресою продавця.

6. Умови розкриття інформації третім особам

6.1. Доступ надається відповідно до згоди суб’єкта або вимог закону.

6.2. Доступ не надається, якщо третя особа не може забезпечити дотримання закону.

6.3. Третя особа подає письмовий запит.

6.4. Запит має містити:

  • ПІБ, адресу, реквізити документа особи;

  • дані юридичної особи (за потреби);

  • інформацію про суб’єкта, щодо якого робиться запит;

  • дані про базу даних;

  • перелік необхідних персональних даних;

  • мету або правові підстави запиту.

6.5. Вивчення запиту — до 10 робочих днів.

6.6. Допускається відстрочка — до 45 днів.

6.7–6.10. Суб’єкта повідомляють про відстрочку або відмову із зазначенням причин.

6.11. Відмову або відстрочку можна оскаржити в суді.

7. Захист персональних даних

7.1. Володілець забезпечує технічні та програмні засоби захисту інформації.

7.2–7.4. Визначено відповідальну особу, її права та обов’язки (контроль, документація, звітність, доступ до документів).

7.5–7.7. Працівники зобов’язані не розголошувати дані та дотримуватися закону. За порушення несуть відповідальність.

7.8. Дані не зберігаються довше, ніж це необхідно для визначеної мети.

8. Права суб’єкта персональних даних

Суб’єкт має право:

  • знати місцезнаходження бази та володільця;

  • отримувати інформацію про умови доступу;

  • мати доступ до своїх персональних даних;

  • отримувати інформацію про наявність своїх даних у базі протягом 30 днів;

  • заперечувати проти обробки;

  • вимагати змінення або знищення неправдивих чи незаконно оброблених даних;

  • захищати свої дані від незаконної обробки;

  • звертатися до державних органів;

  • застосовувати правові механізми захисту.

9. Порядок роботи із запитами суб’єкта персональних даних

9.1–9.2. Суб’єкт має право отримувати інформацію про себе безоплатно.

9.3. Запит повинен містити ПІБ, адресу, реквізити документа, дані для ідентифікації, інформацію про базу та перелік необхідних даних.

9.4–9.5. Розгляд — до 10 робочих днів, задоволення — до 30 календарних днів.

10. Державна реєстрація бази персональних даних

10.1. Реєстрація здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».