Правила обработки и защиты персональных данных в базах данных персональных данных, принадлежащих продавцу
Содержание
- Общие концепции и сфера применения.
- Список баз данных персональных данных.
- Цель обработки персональных данных.
- Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных.
- Расположение базы данных персональных данных.
- Условия раскрытия персональных данных третьим лицам.
- Защита персональных данных: методы защиты, ответственное лицо, сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, период хранения персональных данных.
- Права субъекта персональных данных.
1. Общие концепции и сфера применения.
1.1. Определение терминов:
база данных персональных данных — именованный набор упорядоченных персональных данных в электронном виде и / или в виде персональных карт данных;
ответственный человек — назначенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;
владелец базы данных персональных данных — физическое или юридическое лицо, которому по закону или с согласия субъекта персональных данных право обрабатывать эти данные, что подтверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и порядок их обработки, если иное не указано законом;
Государственный реестр баз персональных данных — единственная государственная информационная система для сбора, хранения и обработки информации в зарегистрированных базах данных персональных данных;
общедоступные источники персональных данных — каталоги, адресные книги, регистры, списки, каталоги, другие систематизированные коллекции открытой информации, которые содержат личные данные, опубликованные и опубликованные на основе знаний о предмете персональных данных.
Социальные сети и интернет-ресурсы, в которых субъект персональных данных оставляет свои персональные данные (, не считаются общедоступными источниками персональных данных, за исключением случаев, когда субъект персональных данных прямо указан, что личные данные публикуются с целью их бесплатного распространения и использования );
согласие субъекта персональных данных — любое документированное добровольное выражение воли лица предоставить разрешение на обработку его персональных данных в соответствии с сформулированной целью их обработки;
деперсонализация персональных данных — извлечение информации, которая позволяет идентифицировать;
обработка персональных данных — любые действия или набор действий, полностью или частично предпринятых в системе ( с автоматическим управлением ) и / или в карточке персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменениями, обновление, использование и распространение распространения (, внедрение, передача ), деперсонализация, уничтожение информации о человеке;
персональные данные — информация или набор информации о человеке, который идентифицирован или может быть конкретно идентифицирован;
менеджер базы данных персональных данных — физическое или юридическое лицо, которому владелец базы данных персональных данных или закона имеет право обрабатывать эти данные.
Лицо, являющееся владельцем и / или менеджером базы данных персональных данных, не является менеджером базы данных персональных данных технического характера с базой данных персональных данных без доступа к содержимому персональных данных;
субъект персональных данных — физическое лицо, в отношении которого закон обрабатывает его личные данные;
третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или менеджера базы данных персональных данных и уполномоченного государственного органа по защите персональных данных, которому владелец или менеджер базы данных персональных данных передается в соответствии с законом;
специальные категории данных — личные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или сексуальной жизни.
1.2. Настоящий Регламент является обязательным для применения ответственным лицом и сотрудниками продавца, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих официальных обязанностей.
2. Список баз данных персональных данных.
2.1. Продавец владеет следующими базами данных:
- база данных персональных данных контрагентов.
3. Цель обработки персональных данных.
3.1. Целью обработки персональных данных в системе является хранение и ведение данных контрагентов в соответствии со статьями 6, 7 Закона Украины « О защите персональных данных »:.
3.2. Целью обработки персональных данных является обеспечение реализации гражданских отношений, предоставления / получения и расчета приобретенных товаров / услуг в соответствии с Налого кодексом Украины, Закон Украины « Об бухгалтерской и финансовой отчетности в Украине ».
4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных.
4.1. Согласие субъекта персональных данных должно быть добровольным выражением воли лица предоставить разрешение на обработку его персональных данных в соответствии с сформулированной целью их обработки. Согласие субъекта персональных данных может быть дано в следующих формах:
- документ на бумаге с подробностями, которые позволяют идентифицировать этот документ и человека;
- электронный документ, который должен содержать обязательные данные, которые позволяют идентифицировать этот документ и человека. Добровольная воля лица предоставить разрешение на обработку его персональных данных должна быть подтверждена электронной подписью субъекта персональных данных.
- отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированного программного обеспечения и технических решений.
4.2. Согласие субъекта персональных данных дается при формировании гражданских отношений в соответствии с действующим законодательством.
4,3. Уведомление субъекта персональных данных о включении его персональных данных в базу данных персональных данных, права, определенные Законом Украины « О защите персональных данных », цели сбора данных и лиц, на которые передаются его личные данные во время формирования гражданских отношений в соответствии с действующим законодательством.
4.4. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, в отношении здоровья или сексуальной жизни ( специальные категории данных ) запрещены.
5. Расположение базы данных персональных данных.
5.1. База данных персональных данных, указанная в разделе 2 настоящих Правил, находится по адресу продавца.
6. Условия раскрытия персональных данных третьим лицам.
6.1. Процедура доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставляемых владельцу базы данных персональных данных для обработки этих данных, или в соответствии с требованиями закона.
6.2. Доступ к персональным данным не предоставляется третьей стороне, если указанное лицо отказывается принять меры для обеспечения соблюдения требований Закона Украины « О защите персональных данных » или не может их предоставить.
6.3. Субъект отношения персональных данных запрашивает доступ к ( в дальнейшем — запрос ) к персональным данным владельца базы данных персональных данных.
6.4. Запрос гласит:
- фамилия, имя и отчество, место жительства ( место жительства ) и детали документа, удостоверяющего лицо, запрашивающее ( для лица — заявитель );
- имя, местонахождение запрашивающего юридического лица, должность, фамилия, имя и отцовская сторона лица, подтверждающего запрос; подтверждение, что содержание запроса соответствует полномочиям юридического лица ( для юридического лица — заявитель );
- фамилия, имя и отчество, а также другая информация, которая позволяет идентифицировать человека, в отношении которого сделан запрос;
- информация о базе данных персональных данных, в отношении которых подается запрос, или информация о владельце или менеджере этой базы данных;
- список запрашиваемых персональных данных;
- цель запроса.
6,5. Срок изучения запроса на его удовлетворение не может превышать десяти рабочих дней с даты его получения.
В течение этого периода владелец базы данных персональных данных должен сообщить лицу, запрашивающему, что запрос будет удовлетворен или что соответствующие персональные данные не подлежат представлению, с указанием оснований, определено в соответствующем правовом акте.
Запрос удовлетворяется в течение тридцати календарных дней с даты его получения, если иное не предусмотрено законом.
6,6. Все сотрудники владельца базы данных персональных данных обязаны соблюдать требования конфиденциальности персональных данных и информации о счетах в ценных бумагах и обращении с ценными бумагами.
6,7. Отсрочка доступа к персональным данным третьих лиц допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с даты получения запроса. В то же время общее решение вопросов, поднятых в запросе, не может превышать сорок пять календарных дней.
6,8. Уведомление об отсрочке должно быть сообщено третьей стороне, представившей запрос в письменном виде, с объяснением процедуры обжалования такого решения.
6,9. В уведомлении об отсрочке должно быть указано:
- имя, имя и отчество чиновника;
- дата отправки сообщения;
- причина отсрочки;
- период, в течение которого запрос будет удовлетворен.
6,10. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен законом.
6.11. В уведомлении об отказе должно быть указано:
- имя, имя родителя чиновника, который отказывается в доступе;
- дата отправки сообщения;
- причина отказа.
6,12. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в уполномоченном государственном органе по защите персональных данных, других государственных органов и местных органов власти, в чьи полномочия входит защита персональных данных или в суд.
7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, период хранения персональных данных.
7.1. Владелец базы данных персональных данных оснащен системой и программным обеспечением, а также средствами связи, которые предотвращают потери, кражи, несанкционированного уничтожения, искажения, подделку, копирование информации и соответствуют требованиям международных и национальных стандартов.
7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо определяется по распоряжению владельца базы данных персональных данных.
Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указаны в официальных инструкциях.
7,3. Ответственное лицо обязано:
- знать законодательство Украины в области защиты персональных данных;
- разработать процедуры доступа к личным данным сотрудников в соответствии с их профессиональными или служебными или рабочими обязанностями;
- обеспечить внедрение сотрудниками базы данных персональных данных требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирование деятельности Владельца баз данных персональных данных в отношении обработки и защиты персональных данных в базах данных персональных данных;
- разработать процедуру ( процедуры ) внутреннего контроля за соблюдением требований украинского законодательства в области защиты персональных данных и внутренних документов, регулирование деятельности Владельца базы данных персональных данных в отношении обработки и защиты персональных данных в базах данных персональных данных, которые, в частности, должны содержать правила о частоте такого контроля;
- информировать держателя базы данных о персональных данных о фактах нарушений сотрудниками требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирование деятельности Владельца базы данных персональных данных в отношении обработки и защиты персональных данных в базах данных персональных данных в течение периода не позднее одного рабочего дня с момента обнаружения таких нарушений;
- обеспечить хранение документов, подтверждающих согласие лица на обработку его персональных данных и уведомление о правах указанного субъекта.
7,4. Для выполнения своих обязанностей ответственное лицо имеет право:
- получать необходимые документы, включая заказы и другие административные документы, выданные Владельцем базы данных персональных данных, связанные с обработкой персональных данных;
- делать копии полученных документов, включая копии файлов, любые записи, хранящиеся в локальных вычислительных сетях и автономных компьютерных системах;
- участвовать в обсуждении его обязанностей по организации работы, связанной с защитой персональных данных при их обработке;
- вносить предложения по улучшению деятельности и совершенствованию методов работы, представлять комментарии и варианты устранения выявленных недостатков в процессе обработки персональных данных;
- получать объяснения по обработке персональных данных;
- подписывать и вешать документы в пределах своей компетенции.
7,5. Сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих официальных обязательств, обязаны соблюдать требования украинского законодательства в области защиты персональных данных и внутренних документов, по обработке и защите персональных данных в базах данных персональных данных.
7,6. Сотрудники, имеющие доступ к персональным данным, включая их обработку, обязаны никоим образом не разрешать разглашение персональных данных, которые были им доверены или стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действует после прекращения деятельности, связанной с персональными данными, за исключением случаев, предусмотренных законом.
7,7.Лица, имеющие доступ к персональным данным, в том числе обрабатывают их в случае нарушения требований Закона Украины « О защите персональных данных », несут ответственность в соответствии с законодательством Украины.
7,8. Персональные данные не должны храниться дольше, чем это необходимо для целей хранения таких данных, но в любом случае не дольше срока хранения, определяется с согласия субъекта персональных данных на обработку этих данных.
8. Права субъекта персональных данных.
8.1. Тема персональных данных имеет право:
- знать о местонахождении базы данных персональных данных, которая содержит его персональные данные, их назначение и имя, местоположение и / или место жительства ( пребывание ) владельца или управляющего этой базой или дать соответствующий приказ на получение этой информации ее уполномоченным лицам, за исключением случаев, установленных законом;
- получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе данных персональных данных;
- получить доступ к своим персональным данным, содержащимся в соответствующей базе данных персональных данных;
- получать не позднее тридцати календарных дней с даты получения запроса, за исключением случаев, предусмотренных законом, ответ о том, хранятся ли его личные данные в соответствующей базе данных персональных данных, и получать содержимое своих личных данных, хранящихся;
- подать мотивированное требование с возражением против обработки их персональных данных государственными органами, местными органами власти при осуществлении своих полномочий, предусмотренных законом;
- сделать мотивированный запрос на изменение или уничтожение своих персональных данных любым владельцем и менеджером этой базы данных, если эти данные обрабатываются незаконно или неточны;
- защищать свои персональные данные от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным сокрытием, непредоставлением или поздним предоставлением, а также для защиты от предоставления информации, которые ненадежны или позорят честь, достоинство и деловую репутацию человека;
- решать вопросы защиты своих прав в отношении персональных данных государственным органам, местным органам власти, к полномочиям которых принадлежит защита персональных данных;
- применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.