Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание
Общие понятия и сфера применения
Перечень баз персональных данных
Цель обработки персональных данных
Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
Местонахождение базы персональных данных
Условия раскрытия информации о персональных данных третьим лицам
Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
Права субъекта персональных данных
Порядок работы с запросами субъекта персональных данных
Государственная регистрация базы персональных данных

1. Общие понятия и сфера применения
1.1. Определения терминов:

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в виде картотек персональных данных;

ответственное лицо — назначенное лицо, организующее работу, связанную с защитой персональных данных при их обработке в соответствии с законом;

владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, определяет состав этих данных и процедуры их обработки, если иное не установлено законом;

Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, иные систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Социальные сети и интернет-ресурсы, на которых субъект персональных данных оставляет свои персональные данные (за исключением случаев, когда субъект персональных данных прямо указывает, что персональные данные размещены с целью их свободного распространения и использования), не считаются общедоступными источниками;

согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии с определённой целью их обработки;

обезличивание персональных данных — удаление сведений, позволяющих идентифицировать личность;

обработка персональных данных — любое действие или совокупность действий, полностью или частично совершаемых в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем базы персональных данных лицо, которому владелец и/или распорядитель базы поручил выполнять технические работы с базой без доступа к содержанию персональных данных;

субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных в соответствии с законом;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владелец или распорядитель базы осуществляет передачу персональных данных в соответствии с законом;

особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или половой жизни.

1.2. Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, непосредственно осуществляющими обработку и/или имеющими доступ к персональным данным в связи с выполнением своих служебных обязанностей.

2. Перечень баз персональных данных
2.1. Продавец является владельцем следующих баз персональных данных:
база персональных данных контрагентов.

3. Цель обработки персональных данных
3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчётов за приобретённые товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учёте и финансовой отчётности в Украине».

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с определённой целью их обработки.

4.2. Согласие может быть предоставлено в следующих формах:

  • документ на бумажном носителе с реквизитами, позволяющими идентифицировать документ и лицо;

  • электронный документ с обязательными реквизитами, позволяющими идентифицировать документ и лицо. Добровольное волеизъявление желательно удостоверить электронной подписью субъекта данных;

  • отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основании документированных программно-технических решений.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его данных в базу, правах, определённых Законом Украины «О защите персональных данных», цели сбора данных и лицах, которым передаются данные, осуществляется при оформлении гражданско-правовых отношений.

4.5. Обработка данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в партиях и профсоюзах, а также данных о здоровье или половой жизни (особые категории) запрещается.

5. Местонахождение базы персональных данных
5.1. Базы персональных данных, указанные в разделе 2 настоящего Положения, находятся по адресу: [указать адрес местонахождения продавца].

6. Условия раскрытия информации о персональных данных третьим лицам
6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу базы персональных данных на обработку этих данных, либо в соответствии с требованиями закона.

6.2. Доступ к персональным данным не предоставляется третьему лицу, если указанное лицо отказывается взять на себя обязательство по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не может их обеспечить.

7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
7.1. Владелец базы персональных данных оснащает программные и технические средства средствами защиты персональных данных от несанкционированного доступа, копирования, изменения, уничтожения, других незаконных действий, обеспечивает соблюдение действующего законодательства Украины в сфере защиты персональных данных.

7.2. Ответственным за организацию работы, связанной с защитой персональных данных при их обработке, является назначенное приказом лицо.

7.3. Сотрудники, имеющие доступ к персональным данным, обязуются не раскрывать сведения, ставшие им известными в связи с выполнением профессиональных или служебных обязанностей. Такое обязательство действует после прекращения действия трудовых или иных отношений с субъектом персональных данных, кроме случаев, установленных законом.

7.4. Персональные данные хранятся не дольше, чем это необходимо для цели, для которой они собирались, но не менее срока, установленного законодательством Украины.

8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:

  1. знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении владельца или дать соответствующее поручение по получению этой информации своим уполномоченным лицам, за исключением случаев, установленных законом;

  2. получать информацию об условиях предоставления доступа к персональным данным, в том числе информацию о третьих лицах, которым передаются его персональные данные;

  3. на доступ к своим персональным данным;

  4. получать ответ о том, обрабатываются ли его персональные данные, а также содержание таких персональных данных не позднее, чем за 30 календарных дней с даты поступления запроса;

  5. предъявлять мотивированное требование владельцу персональных данных с возражением против их обработки;

  6. предъявлять мотивированное требование об изменении или уничтожении своих персональных данных, если данные обрабатываются незаконно или являются недостоверными;

  7. на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения, предоставления, распространения, а также от других незаконных действий;

  8. обращаться с жалобами на обработку своих персональных данных в Уполномоченный Верховной Рады Украины по правам человека или в суд;

  9. применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;

  10. вносить ограничения на право обработки своих персональных данных при предоставлении согласия;

  11. отзывать согласие на обработку персональных данных;

  12. знать механизм автоматической обработки персональных данных;

  13. на защиту от автоматического решения, имеющего для него правовые последствия.

9. Порядок работы с запросами субъекта персональных данных
9.1. Субъект персональных данных имеет право на получение любого сведений о себе при условии указания фамилии, имени и отчества, места жительства (места пребывания) и данных документа, удостоверяющего личность. Исключение составляет случай, когда такие данные можно получить только по предъявлению соответствующего документа.

9.2. Доступ субъекта персональных данных к данным о себе предоставляется бесплатно. Отсрочка доступа не допускается. При отказе доступ должен быть обоснован.

9.3. Решение об отсрочке или отказе в доступе доводится до сведения субъекта в письменной форме с разъяснением порядка обжалования.

9.4. Запрос должен содержать:

  • фамилию, имя и отчество, место жительства субъекта персональных данных;

  • другие данные, позволяющие идентифицировать личность;

  • суть запроса.

10. Государственная регистрация базы персональных данных
10.1. Государственная регистрация базы персональных данных осуществляется в порядке, установленном Законом Украины «О защите персональных данных».