у базах персональних даних, володільцем яких є продавець
Загальні поняття та сфера застосування
Перелік баз персональних даних
Мета обробки персональних даних
Порядок обробки персональних даних
Місцезнаходження бази персональних даних
Умови розкриття персональних даних третім особам
Захист персональних даних
Права суб’єкта персональних даних
Порядок роботи із запитами
Державна реєстрація баз персональних даних
База персональних даних — упорядкована сукупність персональних даних в електронній формі та/або у вигляді картотек.
Відповідальна особа — працівник, який організовує процеси захисту персональних даних відповідно до законодавства.
Володілець бази персональних даних — фізична або юридична особа, якій надано право обробляти персональні дані, визначати мету, склад та процедури обробки.
Державний реєстр баз персональних даних — державна система збору та обробки відомостей про зареєстровані бази.
Загальнодоступні джерела персональних даних — довідники, каталоги, відкриті реєстри.
Соціальні мережі та інтернет-ресурси не є загальнодоступними джерелами,
крім випадків, коли особа прямо зазначила, що розміщує дані для вільного поширення.
Згода суб’єкта персональних даних — добровільне документоване волевиявлення особи щодо дозволу на обробку її персональних даних.
Знеособлення персональних даних — видалення ідентифікаційних ознак.
Обробка персональних даних — будь-які дії зі збирання, зберігання, адаптації, зміни, використання, поширення чи знищення персональних даних.
Персональні дані — інформація про фізичну особу, яка ідентифікована або може бути ідентифікована.
Розпорядник бази персональних даних — особа, якій володілець передає право на обробку даних.
Особа, що виконує лише технічні роботи без доступу до змісту даних,
не є розпорядником.
Суб’єкт персональних даних — фізична особа, щодо якої здійснюється обробка даних.
Третя особа — будь-яка особа, що отримує дані, окрім суб’єкта, володільця бази, розпорядника та уповноваженого органу.
Особливі категорії даних — дані щодо раси, етнічного походження, політичних чи релігійних переконань, членства в організаціях, а також дані про здоров’я чи статеве життя.
Це Положення є обов’язковим для:
— відповідальної особи;
— працівників продавця, які мають доступ до персональних даних або здійснюють їх обробку під час виконання службових обов’язків.
2.1. Продавець є володільцем такої бази персональних даних:
— база персональних даних контрагентів.
3.1. Метою обробки персональних даних є забезпечення виконання цивільно-правових відносин,
надання та отримання послуг, а також здійснення розрахунків відповідно до законодавства України,
зокрема Податкового кодексу та Закону України «Про бухгалтерський облік та фінансову звітність».
Має бути добровільною та відповідати сформульованій меті обробки.
— документ на папері;
— електронний документ з ідентифікаційними реквізитами (бажано з електронним підписом);
— відмітка на електронній сторінці або файлі в інформаційній системі.
— факт внесення даних у базу;
— права суб’єкта;
— мету збору;
— осіб, яким можуть бути передані дані.
(етнічне походження, релігія, політика, здоров’я, статеве життя).
5.1. База персональних даних, зазначена в розділі 2 цього Положення,
знаходиться за адресою продавця.
6.1. Порядок доступу третіх осіб до персональних даних
визначається умовами згоди суб’єкта персональних даних
або вимогами закону.
6.2. Доступ третій особі не надається, якщо вона:
— відмовляється виконувати вимоги Закону України «Про захист персональних даних»;
— не може забезпечити належний рівень захисту персональних даних.
6.3. Суб’єкт відносин, пов’язаних з персональними даними,
подає володільцю бази персональних даних запит щодо доступу.
прізвище, ім’я, по батькові, місце проживання, реквізити документа, що посвідчує особу (для фізичної особи);
найменування, місцезнаходження юридичної особи, посада та ПІБ особи, що підписує запит,
а також підтвердження того, що зміст запиту відповідає повноваженням юрособи (для юридичної особи);
ПІБ та інші відомості про фізичну особу, щодо якої робиться запит;
відомості про базу персональних даних або про володільця/розпорядника бази;
перелік персональних даних, які запитуються;
мета та/або правові підстави запиту.
6.5. Строк вивчення запиту — до 10 робочих днів з моменту надходження.
Протягом цього часу володілець бази:
— інформує заявника, що запит буде задоволено,
або
— повідомляє, що дані не можуть бути надані, із зазначенням нормативної підстави.
Запит задовольняється протягом 30 календарних днів, якщо інше не передбачено законом.
6.6. Відстрочка доступу можлива, якщо дані неможливо надати
протягом 30 календарних днів.
Загальний строк вирішення питання не може перевищувати 45 календарних днів.
6.7. Про відстрочку заявника повідомляють письмово
з роз’ясненням порядку оскарження.
ПІБ посадової особи;
дата відправлення повідомлення;
причина відстрочки;
строк, протягом якого буде задоволено запит.
6.9. Відмова у доступі допускається, якщо такий доступ заборонений законом.
ПІБ посадової особи, що відмовляє;
дата відправлення;
причина відмови.
6.11. Рішення про відстрочку або відмову в доступі
може бути оскаржено до суду.
Володілець бази персональних даних використовує системні, програмно-технічні
і телекомунікаційні засоби, які:
— запобігають втратам,
— захищають від крадіжок,
— несанкціонованого знищення, викривлення, підроблення, копіювання інформації,
та відповідають вимогам національних та міжнародних стандартів.
Відповідальна особа:
— призначається наказом володільця бази персональних даних;
— організовує роботу, пов’язану із захистом персональних даних;
— має чітко визначені обов’язки в посадовій інструкції.
Відповідальна особа зобов’язана:
знати законодавство України у сфері захисту персональних даних;
розробити та впровадити процедури доступу до персональних даних для співробітників;
забезпечити, щоб співробітники дотримувалися законодавства та внутрішніх документів;
розробити процедуру внутрішнього контролю (з визначеною періодичністю перевірок);
повідомляти володільця бази про порушення протягом одного робочого дня від моменту виявлення;
забезпечити зберігання документів, що підтверджують:
— згоду суб’єкта на обробку;
— факт інформування суб’єкта про його права.
Відповідальна особа має право:
отримувати необхідні документи (накази, розпорядження, інструкції);
робити копії документів і файлів, що стосуються обробки персональних даних;
брати участь в обговоренні питань захисту даних;
вносити пропозиції щодо покращення процесів обробки і захисту даних;
вимагати пояснення від співробітників щодо обробки персональних даних;
підписувати і візувати документи в межах своєї компетенції.
Працівники, які мають доступ до персональних даних:
зобов’язані дотримуватись законодавства України
та внутрішніх документів щодо обробки й захисту персональних даних;
несуть персональну відповідальність за порушення порядку обробки та захисту даних.
Працівники, які мають доступ до персональних даних:
— не мають права розголошувати персональні дані у будь-який спосіб;
— зобов’язані зберігати конфіденційність навіть після припинення трудових відносин,
якщо інше не передбачено законом.
Особи, що мають доступ до персональних даних та порушують вимоги
Закону України «Про захист персональних даних»,
несуть відповідальність згідно з чинним законодавством.
Персональні дані не зберігаються довше, ніж це необхідно для мети їх обробки,
але в будь-якому разі:
— не довше строку, визначеного згодою суб’єкта персональних даних.
8.1. Суб’єкт персональних даних має право:
знати:
— місцезнаходження бази персональних даних;
— її призначення і найменування;
— місцезнаходження або адресу володільця/розпорядника;
отримувати інформацію про умови надання доступу до персональних даних,
включно з інформацією про третіх осіб, яким передаються дані;
мати доступ до своїх персональних даних, що зберігаються в базі;
отримувати протягом 30 календарних днів відповідь:
— чи обробляються його персональні дані;
— який саме зміст цих даних зберігається;
подавати вмотивовану вимогу із запереченням проти обробки його персональних даних
органами державної влади та місцевого самоврядування;
подавати вмотивовану вимогу щодо:
— зміни або
— знищення його персональних даних,
якщо дані обробляються незаконно або є недостовірними;
на захист персональних даних від:
— незаконної обробки;
— випадкової втрати, знищення, пошкодження;
— надання недостовірних відомостей;
— поширення інформації, що ганьбить честь, гідність або репутацію;
звертатися до державних органів та органів місцевого самоврядування
з питань захисту прав щодо персональних даних;
використовувати засоби правового захисту у разі порушення законодавства
про захист персональних даних.
9.1. Суб’єкт персональних даних має право отримувати будь-які відомості про себе
від будь-якого суб’єкта відносин, пов’язаних з персональними даними,
без зазначення мети запиту, якщо інше не передбачено законом.
9.2. Доступ суб’єкта до його персональних даних є безоплатним.
9.3. Запит щодо доступу до персональних даних подається володільцю бази.
У запиті зазначаються:
ПІБ, місце проживання, реквізити документа, що посвідчує особу;
інші ідентифікаційні відомості;
інформація про базу даних або про її володільця/розпорядника;
перелік запитуваних персональних даних.
9.4. Строк розгляду запиту — до 10 робочих днів з моменту надходження.
Протягом цього строку володілець повідомляє, чи буде запит задоволено,
або вказує правову підставу для відмови.
9.5. Запит задовольняється протягом 30 календарних днів,
якщо інше не передбачено законом.
10.1. Державна реєстрація бази (баз) персональних даних
здійснюється відповідно до статті 9 Закону України
«Про захист персональних даних».