Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание

  • Общие понятия и сфера применения

  • Перечень баз персональных данных

  • Цель обработки персональных данных

  • Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта

  • Местонахождение базы персональных данных

  • Условия раскрытия информации о персональных данных третьим лицам

  • Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением служебных обязанностей, срок хранения

  • Права субъекта персональных данных

  • Порядок работы с запросами субъекта персональных данных

  • Государственная регистрация базы персональных данных

1. Общие понятия и сфера применения

1.1. Определения терминов:

  • База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в виде картотек;

  • Ответственное лицо — определённое лицо, которое организует работу по защите персональных данных при их обработке в соответствии с законом;

  • Владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта данных предоставлено право на обработку этих данных, которое утверждает цель, состав данных и порядок обработки;

  • Государственный реестр баз персональных данных — единая государственная информационная система сбора и обработки сведений о зарегистрированных базах;

  • Общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и иные систематизированные сборники открытой информации, размещённые с ведома субъекта. Не считаются общедоступными соцсети и интернет-ресурсы, за исключением случаев явного указания субъекта;

  • Согласие субъекта — документированное добровольное волеизъявление лица на обработку его персональных данных;

  • Обезличивание — удаление сведений, позволяющих идентифицировать лицо;

  • Обработка — любые действия с персональными данными в информационных системах и/или картотеках: сбор, регистрация, накопление, хранение, адаптация, изменение, обновление, использование, распространение, обезличивание, уничтожение;

  • Персональные данные — информация о физическом лице, которое идентифицировано или может быть идентифицировано;

  • Распорядитель базы — лицо, уполномоченное владельцем или законом на обработку данных. Технический персонал без доступа к содержанию данных распорядителем не считается;

  • Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются;

  • Третье лицо — любое лицо, кроме субъекта, владельца, распорядителя базы и уполномоченного госоргана;

  • Особые категории данных — сведения о расовом/этническом происхождении, политических, религиозных, мировоззренческих убеждениях, членстве в партиях/профсоюзах, здоровье, половой жизни.

1.2. Настоящее Положение обязательно для ответственного лица и сотрудников продавца, имеющих доступ к персональным данным или обрабатывающих их.

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз:

  • База персональных данных контрагентов.

3. Цель обработки персональных данных

3.1. Цель — обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за товары и услуги согласно Налоговому кодексу Украины, Закону «О бухгалтерском учете и финансовой отчетности».

4. Порядок обработки персональных данных

4.1. Согласие субъекта должно быть добровольным волеизъявлением на обработку данных согласно определённой цели.
4.2. Согласие может быть в форме:

  • Бумажного документа с реквизитами;

  • Электронного документа с идентификацией и ЭЦП;

  • Отметки в электронном документе в информационной системе.
    4.3. Согласие предоставляется при оформлении гражданско-правовых отношений.
    4.4. Уведомление о включении данных, целях обработки, правах и получателях — также при оформлении отношений.
    4.5. Обработка особых категорий данных (о расе, религии, здоровье и др.) запрещена.

5. Условия раскрытия информации третьим лицам

5.1. Определяются условиями согласия или законом.
5.2. Доступ не предоставляется, если лицо отказывается соблюдать Закон.
5.3. Субъект подаёт письменный запрос.
5.4. В запросе: ФИО, адрес, данные удостоверения личности, данные о базе, цели и основания запроса.
5.5. Рассмотрение — до 10 рабочих дней. Уведомление — о предоставлении или отказе (с основанием).
5.6. При невозможности — отсрочка до 45 дней.
5.7–5.8. Уведомление об отсрочке с объяснением.
5.9–5.11. Возможен отказ, который можно обжаловать в суде.

6. Защита персональных данных

6.1. База защищена техническими и программными средствами, соответствующими стандартам.
6.2. Ответственное лицо определяется приказом и имеет должностную инструкцию.
6.3. Обязанности:

  • Знание законодательства;

  • Организация доступа сотрудников;

  • Контроль соблюдения внутренней политики;

  • Внутренний аудит;

  • Уведомление о нарушениях;

  • Хранение подтверждающих документов.
    6.4. Права ответственного лица:

  • Доступ к документам;

  • Копирование;

  • Участие в обсуждениях;

  • Внесение предложений;

  • Запрос разъяснений;

  • Подпись и визирование в пределах полномочий.
    6.5. Сотрудники обязаны соблюдать нормы законодательства и внутренние положения.
    6.6. Запрещено разглашение даже после прекращения работы.
    6.7. За нарушения — ответственность по закону.
    6.8. Данные хранятся не дольше срока, определённого согласия.

7. Права субъекта персональных данных

7.1. Субъект имеет право:

  • Знать местонахождение базы, её назначение, владельца;

  • Получать информацию об условиях доступа, третьих лицах;

  • Иметь доступ к данным;

  • Получать ответ на запрос в течение 30 дней;

  • Возражать против обработки;

  • Требовать изменения или удаления недостоверных данных;

  • Требовать защиты от незаконной обработки;

  • Обращаться в госорганы;

  • Использовать правовые средства защиты.

8. Порядок работы с запросами

8.1. Субъект может получить любые сведения о себе без указания цели (кроме исключений).
8.2. Доступ осуществляется бесплатно.
8.3. Запрос содержит:

  • ФИО, адрес, удостоверение личности;

  • Иные идентификационные сведения;

  • Сведения о базе и владельце;

  • Перечень запрашиваемых данных.
    8.4. Срок рассмотрения — до 10 рабочих дней.
    8.5. Удовлетворение запроса — до 30 календарных дней, если иное не предусмотрено законом.

9. Государственная регистрация базы

9.1. Регистрация осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных».