Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец
Содержание
-
Общие понятия и сфера применения
-
Перечень баз персональных данных
-
Цель обработки персональных данных
-
Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных
-
Местонахождение базы персональных данных
-
Условия раскрытия информации о персональных данных третьим лицам
-
Защита персональных данных: способы защиты, ответственное лицо, сотрудники с доступом, срок хранения
-
Права субъекта персональных данных
-
Порядок работы с запросами субъекта персональных данных
-
Государственная регистрация базы персональных данных
1. Общие понятия и сфера применения
1.1. Определения терминов:
-
база персональных данных — именованная совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек;
-
ответственное лицо — лицо, назначенное для организации работы, связанной с защитой персональных данных при их обработке;
-
владелец базы персональных данных — физическое или юридическое лицо, которому законом или согласием субъекта данных предоставлено право на обработку персональных данных;
-
Государственный реестр баз персональных данных — единая государственная система учета зарегистрированных баз данных;
-
общедоступные источники персональных данных — справочники, каталоги, реестры и другие сборники открытой информации, опубликованные с ведома субъекта персональных данных. Социальные сети и интернет-ресурсы не считаются общедоступными источниками, если субъект данных прямо не указал, что размещает информацию для свободного распространения;
-
согласие субъекта персональных данных — добровольное документированное волеизъявление о разрешении на обработку персональных данных;
-
обезличивание данных — удаление сведений, которые позволяют идентифицировать лицо;
-
обработка персональных данных — любые действия, связанные со сбором, хранением, использованием, распространением, обезличиванием или уничтожением данных;
-
персональные данные — сведения о физическом лице, которое идентифицировано или может быть идентифицировано;
-
распорядитель базы данных — лицо, которому владелец или закон передал право на обработку персональных данных;
-
субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются;
-
третье лицо — любое лицо, кроме субъекта данных, владельца, распорядителя и уполномоченного госоргана;
-
особые категории данных — сведения о расовом происхождении, политических взглядах, религии, здоровье, сексуальной жизни и др.
1.2. Положение является обязательным для ответственного лица и сотрудников продавца, имеющих доступ к персональным данным.
2. Перечень баз персональных данных
2.1. Продавец является владельцем следующих баз:
-
база персональных данных контрагентов.
3. Цель обработки персональных данных
3.1. Обеспечение реализации гражданско-правовых отношений, предоставление и получение услуг, проведение расчетов за товары и услуги в соответствии с законодательством Украины, включая Налоговый кодекс и Закон «О бухгалтерском учете».
4. Порядок обработки персональных данных
4.1. Согласие субъекта — добровольное волеизъявление на обработку данных для определенной цели.
4.2. Согласие может предоставляться в форме:
-
бумажного документа с реквизитами;
-
электронного документа с реквизитами субъекта, желательно с электронной подписью;
-
отметки в электронной форме в информационной системе.
4.3. Согласие предоставляется при оформлении гражданско-правовых отношений.
4.4. Уведомление субъекта данных о внесении данных в базу осуществляется при оформлении отношений.
4.5. Обработка особых категорий данных (расовое происхождение, политические взгляды, здоровье, сексуальная жизнь) запрещена.
5. Местонахождение базы данных
Все базы данных, указанные в разделе 2, размещены по адресу продавца.
6. Условия раскрытия информации третьим лицам
6.1. Доступ определяется согласием субъекта данных или требованиями закона.
6.2. Доступ не предоставляется, если третье лицо не может обеспечить соблюдение закона.
6.3. Третье лицо подает письменный запрос.
6.4. В запросе указываются:
-
ФИО, адрес, реквизиты документа;
-
данные о юридическом лице (если заявитель юрлицо);
-
сведения о лице, на которого запрашиваются данные;
-
информация о базе данных;
-
перечень запрашиваемых данных;
-
цель или правовые основания запроса.
6.5. Срок рассмотрения — до 10 рабочих дней.
6.6. Если данные невозможно предоставить в срок, допускается отсрочка — до 45 дней.
6.7–6.10. Лицо уведомляется об отсрочке или отказе с указанием причин.
6.11. Отказ или отсрочка могут быть обжалованы в суде.
7. Защита персональных данных
7.1. Владелец использует технические и программные средства защиты информации.
7.2–7.4. Определено ответственное лицо, его обязанности и права (контроль, документация, уведомления о нарушениях, доступ к документам).
7.5–7.7. Сотрудники обязаны соблюдать закон, не разглашать данные и несут ответственность за нарушения.
7.8. Персональные данные не должны храниться дольше, чем необходимо для целей обработки.
8. Права субъекта персональных данных
Субъект имеет право:
-
знать местонахождение базы данных и владельца;
-
получать информацию об условиях доступа;
-
иметь доступ к своим персональным данным;
-
получать сведения о наличии данных в течение 30 дней;
-
требовать прекращения или ограничения обработки;
-
требовать изменения или уничтожения недостоверных данных;
-
защищать свои данные от незаконной обработки;
-
обращаться в госорганы;
-
применять правовые механизмы защиты.