ПОЛОЖЕННЯ
Розділ 1. ЗАГАЛЬНІ ВИМОГИ ТА МЕТА
- Цим Положенням про оброку і захист персональних даних у базах персональних даних (далі — Положення) регулюються відносини, пов'язані із захистом персональних даних під час їх обробки в рамках діяльності Продавця
- Положення дає визначення основним поняттям, що стосуються персональних даних (далі - ПД); містить мету обробки ПД; процедуру обробки ПД; права суб’єктів ПД; порядок захисту ПД; інші вимоги законодавства України із захисту ПД .
Розділ 2. ВИЗНАЧЕННЯ ТЕРМІНІВ
- У цьому Положенні нижченаведені терміни вживаються в такому значенні:
- база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
- відповідальна особа — визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до законодавства України про захист ПД;
- володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
- Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
- загальнодоступні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб’єкта персональних даних. Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та інтернет-ресурси, в яких суб’єкт персональних даних залишають свої персональні дані (окрім випадків, коли суб’єктом персональних даних прямо зазначено, що персональні дані розміщені з метою їх вільного поширення та використання);
- згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
- знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;
- обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
- персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
- розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
- суб'єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
- третя особа — будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;
- особливі категорії даних — персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.
Розділ 3. БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ, ВОЛОДІЛЬЦЕМ ТА РОЗПОРЯДНИКОМ ЯКИХ Є ПРОДАВЕЦЬ
Продавець є володільцем бази персональних даних «Контрагенти».
Розділ 4. МЕТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
- Метою обробки ПД є зберігання та обслуговування даних контрагентів, відповідно до ст. 6, 7 Закону України «Про захист персональних даних», та реалізація цивільно-правових відносин надання/отримання та здійснення розрахунків за придбані товари/послуги відповідно до податкового законодавства України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні».
Розділ 5. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
- Згода суб'єкта персональних даних має бути добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
- Згода суб’єкта персональних даних може бути вираженою у паперовій формі або в електронній з відміткою на електронній сторінці веб-сайту чи в електронному файлі, що обробляється в інформаційній системі.
- Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя (особливі категорії даних) забороняється.
Розділ 6. УМОВИ РОЗКРИТТЯ ІНФОРМАЦІЇ ПРО ПЕРСОНАЛЬНІ ДАНІ ТРЕТІМ ОСОБАМ
- Порядок доступу до ПД третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.
- Доступ до ПД третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.
- Суб'єкт відносин, пов'язаних з ПД, подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.
- У запиті зазначаються:
- прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
- найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
- прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
- відомості про БПД, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
- перелік ПД, що запитуються;
- мета запиту.
- Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку володілець БПД доводить до відома особи, яка подає запит, що запит буде задоволене або відповідні ПД не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно- правовому акті. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
- Усі працівники Володільця бази персональних даних зобов'язані додержуватися вимог конфіденційності щодо ПД.
- Відстрочення доступу до ПД третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.
- Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.
- У повідомленні про відстрочення зазначаються:
- прізвище, ім'я та по батькові посадової особи;
- дата відправлення повідомлення;
- причина відстрочення;
- строк, протягом якого буде задоволене запит.
- У запиті зазначаються:
- Відмова у доступі до ПД допускається, якщо доступ до них заборонено згідно із законом.
- У повідомленні про відмову зазначаються:
- прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
- дата відправлення повідомлення;
- причина відмови.
Рішення про відстрочення або відмову в доступі до ПД може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту ПД, або до суду.
Розділ 7. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
- Володілець бази персональних даних обладнаний системними і програмно-технічними засобами та засобами зв'язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню інформації і відповідають вимогам міжнародних та національних стандартів.
- Особи, які безпосередньо здійснюють обробку та/або мають доступ до ПД у зв’язку з виконанням своїх службових (трудових) обов’язків зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Володільця бази персональних даних щодо обробки і захисту ПД у БПД.
- Особи, що мають доступ до ПД, у тому числі, здійснюють їх обробку зобов’язані не допускати розголошення у будь-який спосіб ПД, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з ПД, крім випадків, установлених законом.
- Особи, що мають доступ до ПД, у тому числі, здійснюють їх обробку у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно законодавства України.
- Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних та/або про працю.
- Строк зберігання ПД, що містяться у документації з персоналу Продавця визначається відповідно до Переліку типових документів, що утворюються в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, із зазначенням строків зберігання документів, затвердженого наказом Головного архівного управління при Кабінеті Міністрів України від 20.07.1998 року № 41.
Розділ 8. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
- Суб'єкт персональних даних має право:
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
- звертатися з питань захисту своїх прав щодо ПД до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
- на захист своїх ПД від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх ПД будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
- пред'являти вмотивовану вимогу із запереченням проти обробки своїх ПД органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його ПД у відповідній БПД, а також отримувати зміст його ПБ, які зберігаються;
- на доступ до своїх ПД, що містяться у відповідній БПД;
- отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про третіх осіб, яким передаються його ПД, що містяться у відповідній БПД;
Розділ 9. ПОРЯДОК РОБОТИ З ЗАПИТАМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
- Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з ПД, без зазначення мети запиту, крім випадків, установлених законом.
- Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
- Суб’єкт персональних даних подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.
- У запиті зазначаються:
- прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує особу суб’єкта персональних даних;
- інші відомості, що дають змогу ідентифікувати особу суб’єкта персональних даних;
- відомості про БПД, стосовно якої подається запит, чи відомості про володільця чи
- розпорядника цієї бази;
- перелік ПД, що запитуються.
- Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку володілець БПД доводить до відома суб’єкта персональних даних, що запит буде задоволене або відповідні ПД не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно- правовому акті. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.