Все
Кошик0 товар(ів) - ₴0 0

  • Ваш кошик порожній!

0

Політика конфіденційності

ПОЛОЖЕННЯ ПРО ОБРОБКУ І ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

у базах персональних даних, володільцем яких є продавець

Зміст

  1. Загальні поняття та сфера застосування

  2. Перелік баз персональних даних

  3. Мета обробки персональних даних

  4. Порядок обробки персональних даних

  5. Місцезнаходження бази персональних даних

  6. Умови розкриття персональних даних третім особам

  7. Захист персональних даних

  8. Права суб’єкта персональних даних

  9. Порядок роботи із запитами

  10. Державна реєстрація баз персональних даних

1. Загальні поняття та сфера застосування

1.1. Терміни та визначення

База персональних даних — упорядкована сукупність персональних даних в електронній формі та/або у вигляді картотек.

Відповідальна особа — працівник, який організовує процеси захисту персональних даних відповідно до законодавства.

Володілець бази персональних даних — фізична або юридична особа, якій надано право обробляти персональні дані, визначати мету, склад та процедури обробки.

Державний реєстр баз персональних даних — державна система збору та обробки відомостей про зареєстровані бази.

Загальнодоступні джерела персональних даних — довідники, каталоги, відкриті реєстри.
Соціальні мережі та інтернет-ресурси не є загальнодоступними джерелами,
крім випадків, коли особа прямо зазначила, що розміщує дані для вільного поширення.

Згода суб’єкта персональних даних — добровільне документоване волевиявлення особи щодо дозволу на обробку її персональних даних.

Знеособлення персональних даних — видалення ідентифікаційних ознак.

Обробка персональних даних — будь-які дії зі збирання, зберігання, адаптації, зміни, використання, поширення чи знищення персональних даних.

Персональні дані — інформація про фізичну особу, яка ідентифікована або може бути ідентифікована.

Розпорядник бази персональних даних — особа, якій володілець передає право на обробку даних.
Особа, що виконує лише технічні роботи без доступу до змісту даних,
не є розпорядником.

Суб’єкт персональних даних — фізична особа, щодо якої здійснюється обробка даних.

Третя особа — будь-яка особа, що отримує дані, окрім суб’єкта, володільця бази, розпорядника та уповноваженого органу.

Особливі категорії даних — дані щодо раси, етнічного походження, політичних чи релігійних переконань, членства в організаціях, а також дані про здоров’я чи статеве життя.

1.2. Сфера застосування

Це Положення є обов’язковим для:

— відповідальної особи;
— працівників продавця, які мають доступ до персональних даних або здійснюють їх обробку під час виконання службових обов’язків.

2. Перелік баз персональних даних

2.1. Продавець є володільцем такої бази персональних даних:

— база персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних є забезпечення виконання цивільно-правових відносин,
надання та отримання послуг, а також здійснення розрахунків відповідно до законодавства України,
зокрема Податкового кодексу та Закону України «Про бухгалтерський облік та фінансову звітність».

4. Порядок обробки персональних даних

4.1. Згода суб’єкта персональних даних

Має бути добровільною та відповідати сформульованій меті обробки.

4.2. Форми надання згоди:

— документ на папері;
— електронний документ з ідентифікаційними реквізитами (бажано з електронним підписом);
— відмітка на електронній сторінці або файлі в інформаційній системі.

4.3. Згода надається під час оформлення цивільно-правових відносин.

4.4. Повідомлення суб’єкта включає:

— факт внесення даних у базу;
— права суб’єкта;
— мету збору;
— осіб, яким можуть бути передані дані.

4.5. Заборонено обробляти особливі категорії даних

(етнічне походження, релігія, політика, здоров’я, статеве життя).


5. Місцезнаходження бази персональних даних

5.1. База персональних даних, зазначена в розділі 2 цього Положення,
знаходиться за адресою продавця.

6. Умови розкриття інформації про персональні дані третім особам

6.1. Порядок доступу третіх осіб до персональних даних
визначається умовами згоди суб’єкта персональних даних
або вимогами закону.

6.2. Доступ третій особі не надається, якщо вона:

— відмовляється виконувати вимоги Закону України «Про захист персональних даних»;
— не може забезпечити належний рівень захисту персональних даних.

6.3. Суб’єкт відносин, пов’язаних з персональними даними,
подає володільцю бази персональних даних запит щодо доступу.

6.4. У запиті обов’язково зазначаються:

  • прізвище, ім’я, по батькові, місце проживання, реквізити документа, що посвідчує особу (для фізичної особи);

  • найменування, місцезнаходження юридичної особи, посада та ПІБ особи, що підписує запит,
    а також підтвердження того, що зміст запиту відповідає повноваженням юрособи (для юридичної особи);

  • ПІБ та інші відомості про фізичну особу, щодо якої робиться запит;

  • відомості про базу персональних даних або про володільця/розпорядника бази;

  • перелік персональних даних, які запитуються;

  • мета та/або правові підстави запиту.

6.5. Строк вивчення запиту — до 10 робочих днів з моменту надходження.

Протягом цього часу володілець бази:

— інформує заявника, що запит буде задоволено,
або
— повідомляє, що дані не можуть бути надані, із зазначенням нормативної підстави.

Запит задовольняється протягом 30 календарних днів, якщо інше не передбачено законом.

6.6. Відстрочка доступу можлива, якщо дані неможливо надати
протягом 30 календарних днів.
Загальний строк вирішення питання не може перевищувати 45 календарних днів.

6.7. Про відстрочку заявника повідомляють письмово
з роз’ясненням порядку оскарження.

6.8. У повідомленні про відстрочку зазначаються:

  • ПІБ посадової особи;

  • дата відправлення повідомлення;

  • причина відстрочки;

  • строк, протягом якого буде задоволено запит.

6.9. Відмова у доступі допускається, якщо такий доступ заборонений законом.

6.10. У повідомленні про відмову зазначаються:

  • ПІБ посадової особи, що відмовляє;

  • дата відправлення;

  • причина відмови.

6.11. Рішення про відстрочку або відмову в доступі
може бути оскаржено до суду.

7. Захист персональних даних

7.1. Технічний захист

Володілець бази персональних даних використовує системні, програмно-технічні
і телекомунікаційні засоби, які:

— запобігають втратам,
— захищають від крадіжок,
— несанкціонованого знищення, викривлення, підроблення, копіювання інформації,

та відповідають вимогам національних та міжнародних стандартів.

7.2. Відповідальна особа

Відповідальна особа:

— призначається наказом володільця бази персональних даних;
— організовує роботу, пов’язану із захистом персональних даних;
— має чітко визначені обов’язки в посадовій інструкції.

7.3. Обов’язки відповідальної особи

Відповідальна особа зобов’язана:

  • знати законодавство України у сфері захисту персональних даних;

  • розробити та впровадити процедури доступу до персональних даних для співробітників;

  • забезпечити, щоб співробітники дотримувалися законодавства та внутрішніх документів;

  • розробити процедуру внутрішнього контролю (з визначеною періодичністю перевірок);

  • повідомляти володільця бази про порушення протягом одного робочого дня від моменту виявлення;

  • забезпечити зберігання документів, що підтверджують:

    — згоду суб’єкта на обробку;
    — факт інформування суб’єкта про його права.

7.4. Права відповідальної особи

Відповідальна особа має право:

  • отримувати необхідні документи (накази, розпорядження, інструкції);

  • робити копії документів і файлів, що стосуються обробки персональних даних;

  • брати участь в обговоренні питань захисту даних;

  • вносити пропозиції щодо покращення процесів обробки і захисту даних;

  • вимагати пояснення від співробітників щодо обробки персональних даних;

  • підписувати і візувати документи в межах своєї компетенції.

7.5. Обов’язки працівників

Працівники, які мають доступ до персональних даних:

  • зобов’язані дотримуватись законодавства України
    та внутрішніх документів щодо обробки й захисту персональних даних;

  • несуть персональну відповідальність за порушення порядку обробки та захисту даних.

7.6. Конфіденційність

Працівники, які мають доступ до персональних даних:

— не мають права розголошувати персональні дані у будь-який спосіб;
— зобов’язані зберігати конфіденційність навіть після припинення трудових відносин,
якщо інше не передбачено законом.

7.7. Відповідальність

Особи, що мають доступ до персональних даних та порушують вимоги
Закону України «Про захист персональних даних»,
несуть відповідальність згідно з чинним законодавством.

7.8. Строк зберігання персональних даних

Персональні дані не зберігаються довше, ніж це необхідно для мети їх обробки,
але в будь-якому разі:

— не довше строку, визначеного згодою суб’єкта персональних даних.

8. Права суб’єкта персональних даних

8.1. Суб’єкт персональних даних має право:

  • знати:

    — місцезнаходження бази персональних даних;
    — її призначення і найменування;
    — місцезнаходження або адресу володільця/розпорядника;

  • отримувати інформацію про умови надання доступу до персональних даних,
    включно з інформацією про третіх осіб, яким передаються дані;

  • мати доступ до своїх персональних даних, що зберігаються в базі;

  • отримувати протягом 30 календарних днів відповідь:

    — чи обробляються його персональні дані;
    — який саме зміст цих даних зберігається;

  • подавати вмотивовану вимогу із запереченням проти обробки його персональних даних
    органами державної влади та місцевого самоврядування;

  • подавати вмотивовану вимогу щодо:

    — зміни або
    — знищення його персональних даних,
    якщо дані обробляються незаконно або є недостовірними;

  • на захист персональних даних від:

    — незаконної обробки;
    — випадкової втрати, знищення, пошкодження;
    — надання недостовірних відомостей;
    — поширення інформації, що ганьбить честь, гідність або репутацію;

  • звертатися до державних органів та органів місцевого самоврядування
    з питань захисту прав щодо персональних даних;

  • використовувати засоби правового захисту у разі порушення законодавства
    про захист персональних даних.

9. Порядок роботи з запитами суб’єкта персональних даних

9.1. Суб’єкт персональних даних має право отримувати будь-які відомості про себе
від будь-якого суб’єкта відносин, пов’язаних з персональними даними,
без зазначення мети запиту, якщо інше не передбачено законом.

9.2. Доступ суб’єкта до його персональних даних є безоплатним.

9.3. Запит щодо доступу до персональних даних подається володільцю бази.

У запиті зазначаються:

  • ПІБ, місце проживання, реквізити документа, що посвідчує особу;

  • інші ідентифікаційні відомості;

  • інформація про базу даних або про її володільця/розпорядника;

  • перелік запитуваних персональних даних.

9.4. Строк розгляду запиту — до 10 робочих днів з моменту надходження.
Протягом цього строку володілець повідомляє, чи буде запит задоволено,
або вказує правову підставу для відмови.

9.5. Запит задовольняється протягом 30 календарних днів,
якщо інше не передбачено законом.

10. Державна реєстрація бази персональних даних

10.1. Державна реєстрація бази (баз) персональних даних
здійснюється відповідно до статті 9 Закону України
«Про захист персональних даних».