Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец
Содержание
Общие понятия и область применения
Список баз персональных данных
Цель обработки персональных данных
Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
Местонахождение базы персональных данных
Условия раскрытия информации о персональных данных третьим лицам
Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных
Права субъекта персональных данных
Порядок работы с запросами субъекта персональных данных
Государственная регистрация базы персональных данных
1. Общие понятия и область применения
1.1. Определение терминов:
база персональных данных - именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
ответственное лицо — определенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, согласно закону;
владелец базы персональных данных - физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, утверждающее цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определен законом;
Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субъект персональных данных оставляют свои персональные данные (кроме случаев, когда субъект персональных данных прямо указано, что персональные данные размещены с целью их свободного распространения и использования);
согласие субъекта персональных данных - любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки;
обезличивание персональных данных — изъятие сведений, позволяющих идентифицировать личность;
обработка персональных данных - любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;
персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель базы персональных данных - физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владельцем и/или распорядителем базы персональных данных поручено осуществлять работы технического характера с базой персональных данных без доступа к содержанию персональных данных;
субъект персональных данных — физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;
третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом;
особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.
1.2. Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, непосредственно осуществляющими обработку и/или имеющими доступ к персональным данным в связи с выполнением своих служебных обязанностей.
2. Список баз персональных данных
2.1. Продавец является владельцем таких баз персональных данных:
база персональных данных контрагентов
3. Цель обработки персональных данных
3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги отвечает требованиям законодательства Украины».
4. Порядок обработки персональных данных: получение согласия, уведомления о правах и действиях с персональными данными субъекта персональных данных
4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.
4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:
документ на бумажном носителе с реквизитами, что позволяет идентифицировать этот документ и физическое лицо;
электронный документ, который должен содержать обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных целесообразно удостоверять электронной подписью субъекта персональных данных;
отметка на электронной странице документа или в электронном файле, которая обрабатывается в информационной системе на основе документированных программно-технических решений.
4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.4. Сообщение субъекта персональных данных о включении его персональных данных в базу персональных данных, права, определенные законодательством Украины, цель сбора данных и лиц, которым передаются его персональные данные осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных) запрещается.
5. Местонахождение базы персональных данных
5.1. Указанные в разделе 2 этого Положения базы персональных данных находятся по адресу продавца.
6. Условия раскрытия информации о персональных данных третьим лицам
6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, или в соответствии с требованиями закона.
6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательство по обеспечению выполнения требований законодательства Украины или не может их обеспечить.
6.3. Субъект отношений, связанных с персональными данными, подает запрос относительно доступа (далее — запрос) к персональным данным владельцу персональных данных.
6.4. В запросе указываются:
фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица — заявителя);
наименование, местонахождение юридического лица, подающего запрос, должность, фамилию, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя);
фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;
сведения о базе персональных данных, относительно которой подается запрос, или сведения о владельце или распорядителе этой базы персональных данных;
перечень запрашиваемых персональных данных;
цель и/или правовые основания по запросу.
6.5. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных доводит до сведения лица, подающего запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
6.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.
6.7. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.
6.8. В сообщении об отсрочке указываются:
фамилия, имя и отчество должностного лица;
дата отправки сообщения;
причина отсрочки;
срок, в течение которого будет удовлетворен запрос.
6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен согласно закону.
6.10. В сообщении об отказе указываются:
фамилия, имя, отчество должностного лица, отказывающего в доступе;
дата отправки сообщения;
причина отказа.
6.11. Решение об отсрочке или отказе от доступа к персональным данным может быть обжаловано в суд.
7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением своих служебных обязанностей, срок хранения персональных данных
7.1. Владельцы базы персональных данных оборудованы системными и программно-техническими средствами и средствами связи, которые предотвращают потери, кражи, несанкционированное уничтожение, искривление, подделку, копирование информации и соответствуют требованиям международных и национальных стандартов.
7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, согласно закону. Ответственное лицо определяется приказом владельца базы персональных данных.
Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке указываются в должностной инструкции.
7.3. Ответственное лицо обязано:
знать законодательство Украины в сфере защиты персональных данных;
разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными или служебными или трудовыми обязанностями;
обеспечить выполнение сотрудниками владельца базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных;
разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Обладателя базы персональных данных по обработке и защите персональных данных в базах персональных данных, которая, в частности, должна содержать нормы по периодичности осуществления такого контроля;
сообщать владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных в срок не позднее одного рабочего дня с момента выявления таких нарушений ;
обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомление указанного субъекта о его правах.
7.4. С целью выполнения своих обязанностей ответственное лицо имеет право:
получать необходимые документы, в том числе приказы и другие распорядительные документы, выданные Обладателем базы персональных данных, связанные с обработкой персональных данных;
делать копии из полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
участвовать в обсуждении выполняемых им обязанностей организации работы, связанной с защитой персональных данных при их обработке;
вносить на рассмотрение предложения по улучшению деятельности и совершенствованию методов работы, подавать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
получать пояснения по вопросам осуществления обработки персональных данных;
подписывать и визировать документы в пределах своей компетенции.
7.5. Работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов, по обработке и защите персональных данных в базах персональных данных.
7.6. Работники, имеющие доступ к персональным данным, в том числе, осуществляющие их обработку обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. связей. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.
7.7.Лица, имеющие доступ к персональным данным, в том числе, осуществляют их обработку в случае нарушения ими требований законодательства Украины, несут ответственность согласно законодательству Украины.
7.8. Персональные данные не должны храниться дольше, чем это необходимо для целей, для которых такие данные хранятся, но в любом случае не дольше срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначении и наименовании, местонахождении и/или местожительстве (нахождении) владельца или распорядителя этой базы или дать соответствующее поручение по получению этой информации уполномоченным им лицам, кроме случаев, установленных законом;
получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, сохраняют ли
его персональные данные в соответствующей базе персональных данных, а также получать содержание его хранящихся персональных данных;
предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или недостоверны;
на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или честными. ;
обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
применять средства правовой защиты при нарушении законодательства о защите персональных данных.
9. Порядок работы с запросами субъекта персональных данных
9.1. Субъект персональных данных имеет право на получение каких-либо сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.
9.2. Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно.
9.3. Субъект персональных данных подает запрос о доступе (далее — запрос) к персональным данным владельцу базы персональных данных.
В запросе указываются:
фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
другие сведения, позволяющие идентифицировать личность субъекта персональных данных;
сведения о базе персональных данных, в отношении которой подается запрос, или сведения о владельце или распорядителе этой базы;
перечень запрашиваемых персональных данных.
9.4. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных доводит до сведения субъекта персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.
9.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
10. Государственная регистрация базы персональных данных
10.1. Государственная регистрация баз персональных данных осуществляется в соответствии с законодательством Украины.