Правила обработки и защиты персональных данных в базах данных персональных данных, принадлежащих продавцу

Содержание

  1. Общие концепции и сфера применения.
  2. Список баз данных персональных данных.
  3. Цель обработки персональных данных.
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных.
  5. Расположение базы данных персональных данных.
  6. Условия раскрытия персональных данных третьим лицам.
  7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, период хранения персональных данных.
  8. Права субъекта персональных данных.

1. Общие концепции и сфера применения.

1.1. Определение терминов:

база данных персональных данных — именованный набор упорядоченных персональных данных в электронном виде и / или в виде персональных карт данных;

ответственный человек — назначенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;

владелец базы данных персональных данных — физическое или юридическое лицо, которому по закону или с согласия субъекта персональных данных право обрабатывать эти данные, что подтверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и порядок их обработки, если иное не указано законом;

Государственный реестр баз персональных данных — единственная государственная информационная система для сбора, хранения и обработки информации в зарегистрированных базах данных персональных данных;

общедоступные источники персональных данных — каталоги, адресные книги, регистры, списки, каталоги, другие систематизированные коллекции открытой информации, которые содержат личные данные, опубликованные и опубликованные на основе знаний о предмете персональных данных.

Социальные сети и интернет-ресурсы, в которых субъект персональных данных оставляет свои персональные данные (, не считаются общедоступными источниками персональных данных, за исключением случаев, когда субъект персональных данных прямо указан, что личные данные публикуются с целью их бесплатного распространения и использования );

согласие субъекта персональных данных — любое документированное добровольное выражение воли лица предоставить разрешение на обработку его персональных данных в соответствии с сформулированной целью их обработки;

деперсонализация персональных данных — извлечение информации, которая позволяет идентифицировать;

обработка персональных данных — любые действия или набор действий, полностью или частично предпринятых в системе ( с автоматическим управлением ) и / или в карточке персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменениями, обновление, использование и распространение распространения (, внедрение, передача ), деперсонализация, уничтожение информации о человеке;

персональные данные — информация или набор информации о человеке, который идентифицирован или может быть конкретно идентифицирован;

менеджер базы данных персональных данных — физическое или юридическое лицо, которому владелец базы данных персональных данных или закона имеет право обрабатывать эти данные.

Лицо, являющееся владельцем и / или менеджером базы данных персональных данных, не является менеджером базы данных персональных данных технического характера с базой данных персональных данных без доступа к содержимому персональных данных;

субъект персональных данных — физическое лицо, в отношении которого закон обрабатывает его личные данные;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или менеджера базы данных персональных данных и уполномоченного государственного органа по защите персональных данных, которому владелец или менеджер базы данных персональных данных передается в соответствии с законом;

специальные категории данных — личные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или сексуальной жизни.

1.2. Настоящий Регламент является обязательным для применения ответственным лицом и сотрудниками продавца, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих официальных обязанностей.

2. Список баз данных персональных данных.

2.1. Продавец владеет следующими базами данных:

  • база данных персональных данных контрагентов.

3. Цель обработки персональных данных.

3.1. Целью обработки персональных данных в системе является хранение и ведение данных контрагентов в соответствии со статьями 6, 7 Закона Украины « О защите персональных данных »:.

3.2. Целью обработки персональных данных является обеспечение реализации гражданских отношений, предоставления / получения и расчета приобретенных товаров / услуг в соответствии с Налого кодексом Украины, Закон Украины « Об бухгалтерской и финансовой отчетности в Украине ».

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных.

4.1. Согласие субъекта персональных данных должно быть добровольным выражением воли лица предоставить разрешение на обработку его персональных данных в соответствии с сформулированной целью их обработки. Согласие субъекта персональных данных может быть дано в следующих формах:

  • документ на бумаге с подробностями, которые позволяют идентифицировать этот документ и человека;
  • электронный документ, который должен содержать обязательные данные, которые позволяют идентифицировать этот документ и человека. Добровольная воля лица предоставить разрешение на обработку его персональных данных должна быть подтверждена электронной подписью субъекта персональных данных.
  • отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированного программного обеспечения и технических решений.

4.2. Согласие субъекта персональных данных дается при формировании гражданских отношений в соответствии с действующим законодательством.

4,3. Уведомление субъекта персональных данных о включении его персональных данных в базу данных персональных данных, права, определенные Законом Украины « О защите персональных данных », цели сбора данных и лиц, на которые передаются его личные данные во время формирования гражданских отношений в соответствии с действующим законодательством.

4.4. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, в отношении здоровья или сексуальной жизни ( специальные категории данных ) запрещены.

5. Расположение базы данных персональных данных.

5.1. База данных персональных данных, указанная в разделе 2 настоящих Правил, находится по адресу продавца.

6. Условия раскрытия персональных данных третьим лицам.

6.1. Процедура доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставляемых владельцу базы данных персональных данных для обработки этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным не предоставляется третьей стороне, если указанное лицо отказывается принять меры для обеспечения соблюдения требований Закона Украины « О защите персональных данных » или не может их предоставить.

6.3. Субъект отношения персональных данных запрашивает доступ к ( в дальнейшем — запрос ) к персональным данным владельца базы данных персональных данных.

6.4. Запрос гласит:

  • фамилия, имя и отчество, место жительства ( место жительства ) и детали документа, удостоверяющего лицо, запрашивающее ( для лица — заявитель );
  • имя, местонахождение запрашивающего юридического лица, должность, фамилия, имя и отцовская сторона лица, подтверждающего запрос; подтверждение, что содержание запроса соответствует полномочиям юридического лица ( для юридического лица — заявитель );
  • фамилия, имя и отчество, а также другая информация, которая позволяет идентифицировать человека, в отношении которого сделан запрос;
  • информация о базе данных персональных данных, в отношении которых подается запрос, или информация о владельце или менеджере этой базы данных;
  • список запрашиваемых персональных данных;
  • цель запроса.

6,5. Срок изучения запроса на его удовлетворение не может превышать десяти рабочих дней с даты его получения.

В течение этого периода владелец базы данных персональных данных должен сообщить лицу, запрашивающему, что запрос будет удовлетворен или что соответствующие персональные данные не подлежат представлению, с указанием оснований, определено в соответствующем правовом акте.

Запрос удовлетворяется в течение тридцати календарных дней с даты его получения, если иное не предусмотрено законом.

6,6. Все сотрудники владельца базы данных персональных данных обязаны соблюдать требования конфиденциальности персональных данных и информации о счетах в ценных бумагах и обращении с ценными бумагами.

6,7. Отсрочка доступа к персональным данным третьих лиц допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с даты получения запроса. В то же время общее решение вопросов, поднятых в запросе, не может превышать сорок пять календарных дней.

6,8. Уведомление об отсрочке должно быть сообщено третьей стороне, представившей запрос в письменном виде, с объяснением процедуры обжалования такого решения.

6,9. В уведомлении об отсрочке должно быть указано:

  • имя, имя и отчество чиновника;
  • дата отправки сообщения;
  • причина отсрочки;
  • период, в течение которого запрос будет удовлетворен.

6,10. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен законом.

6.11. В уведомлении об отказе должно быть указано:

  • имя, имя родителя чиновника, который отказывается в доступе;
  • дата отправки сообщения;
  • причина отказа.

6,12. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в уполномоченном государственном органе по защите персональных данных, других государственных органов и местных органов власти, в чьи полномочия входит защита персональных данных или в суд.

7. Защита персональных данных: методы защиты, ответственное лицо, сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, период хранения персональных данных.

7.1. Владелец базы данных персональных данных оснащен системой и программным обеспечением, а также средствами связи, которые предотвращают потери, кражи, несанкционированного уничтожения, искажения, подделку, копирование информации и соответствуют требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо определяется по распоряжению владельца базы данных персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указаны в официальных инструкциях.

7,3. Ответственное лицо обязано:

  • знать законодательство Украины в области защиты персональных данных;
  • разработать процедуры доступа к личным данным сотрудников в соответствии с их профессиональными или служебными или рабочими обязанностями;
  • обеспечить внедрение сотрудниками базы данных персональных данных требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирование деятельности Владельца баз данных персональных данных в отношении обработки и защиты персональных данных в базах данных персональных данных;
  • разработать процедуру ( процедуры ) внутреннего контроля за соблюдением требований украинского законодательства в области защиты персональных данных и внутренних документов, регулирование деятельности Владельца базы данных персональных данных в отношении обработки и защиты персональных данных в базах данных персональных данных, которые, в частности, должны содержать правила о частоте такого контроля;
  • информировать держателя базы данных о персональных данных о фактах нарушений сотрудниками требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирование деятельности Владельца базы данных персональных данных в отношении обработки и защиты персональных данных в базах данных персональных данных в течение периода не позднее одного рабочего дня с момента обнаружения таких нарушений;
  • обеспечить хранение документов, подтверждающих согласие лица на обработку его персональных данных и уведомление о правах указанного субъекта.

7,4. Для выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, включая заказы и другие административные документы, выданные Владельцем базы данных персональных данных, связанные с обработкой персональных данных;
  • делать копии полученных документов, включая копии файлов, любые записи, хранящиеся в локальных вычислительных сетях и автономных компьютерных системах;
  • участвовать в обсуждении его обязанностей по организации работы, связанной с защитой персональных данных при их обработке;
  • вносить предложения по улучшению деятельности и совершенствованию методов работы, представлять комментарии и варианты устранения выявленных недостатков в процессе обработки персональных данных;
  • получать объяснения по обработке персональных данных;
  • подписывать и вешать документы в пределах своей компетенции.

7,5. Сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих официальных обязательств, обязаны соблюдать требования украинского законодательства в области защиты персональных данных и внутренних документов, по обработке и защите персональных данных в базах данных персональных данных.

7,6. Сотрудники, имеющие доступ к персональным данным, включая их обработку, обязаны никоим образом не разрешать разглашение персональных данных, которые были им доверены или стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действует после прекращения деятельности, связанной с персональными данными, за исключением случаев, предусмотренных законом.

7,7.Лица, имеющие доступ к персональным данным, в том числе обрабатывают их в случае нарушения требований Закона Украины « О защите персональных данных », несут ответственность в соответствии с законодательством Украины.

7,8. Персональные данные не должны храниться дольше, чем это необходимо для целей хранения таких данных, но в любом случае не дольше срока хранения, определяется с согласия субъекта персональных данных на обработку этих данных.

8. Права субъекта персональных данных.

8.1. Тема персональных данных имеет право:

  • знать о местонахождении базы данных персональных данных, которая содержит его персональные данные, их назначение и имя, местоположение и / или место жительства ( пребывание ) владельца или управляющего этой базой или дать соответствующий приказ на получение этой информации ее уполномоченным лицам, за исключением случаев, установленных законом;
  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе данных персональных данных;
  • получить доступ к своим персональным данным, содержащимся в соответствующей базе данных персональных данных;
  • получать не позднее тридцати календарных дней с даты получения запроса, за исключением случаев, предусмотренных законом, ответ о том, хранятся ли его личные данные в соответствующей базе данных персональных данных, и получать содержимое своих личных данных, хранящихся;
  • подать мотивированное требование с возражением против обработки их персональных данных государственными органами, местными органами власти при осуществлении своих полномочий, предусмотренных законом;
  • сделать мотивированный запрос на изменение или уничтожение своих персональных данных любым владельцем и менеджером этой базы данных, если эти данные обрабатываются незаконно или неточны;
  • защищать свои персональные данные от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным сокрытием, непредоставлением или поздним предоставлением, а также для защиты от предоставления информации, которые ненадежны или позорят честь, достоинство и деловую репутацию человека;
  • решать вопросы защиты своих прав в отношении персональных данных государственным органам, местным органам власти, к полномочиям которых принадлежит защита персональных данных;
  • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.