Положение о порядке обработки и защите персональных данных, содержащихся в базах данных, владельцем которых является Продавец
Содержание
1. Термины и сфера действия
Ответственное лицо — назначенный сотрудник, координирующий обеспечение безопасности персональных данных в процессе их обработки в соответствии с законодательными нормами.
Владелец базы персональных данных — физическое или юридическое лицо, получившее законное или согласованное с субъектом право на обработку персональных данных, определяющее цель, состав и порядок такой обработки.
· Термины и сфера действия
· Перечень баз персональных данных
· Цели обработки персональных данных
· Порядок обработки данных: согласие, уведомление и действия с персональной информацией
· Местонахождение баз данных
· Условия предоставления информации третьим лицам
· Защита данных: методы, ответственные лица, сроки хранения
· Права субъекта персональных данных
· Обработка обращений субъектов персональных данных
· Государственная регистрация баз данных
1.1. Под базой персональных данных понимается совокупность структурированных персональных данных, представленных в электронной форме и/или на материальных носителях (в виде картотек).
Государственный реестр баз персональных данных — централизованная государственная информационная система учета зарегистрированных баз персональных данных.
Общедоступные источники персональных данных — справочники, каталоги, адресные книги и иные систематизированные ресурсы с публичной информацией. Исключением являются интернет-ресурсы, включая социальные сети, если только субъект не указал явное разрешение на распространение своих данных.
Согласие субъекта персональных данных — оформленное документально, добровольное волеизъявление на обработку персональных данных в рамках определённой цели.
Обезличивание — процесс удаления данных, позволяющих идентифицировать личность.
Обработка — любые действия, совершаемые с персональными данными, включая сбор, хранение, изменение, распространение, уничтожение и обезличивание.
Персональные данные — сведения, относящиеся к идентифицированному или потенциально идентифицируемому лицу.
Распорядитель базы — физическое или юридическое лицо, наделённое правом обработки данных от имени владельца базы.
Субъект персональных данных — лицо, чьи персональные данные обрабатываются.
Третье лицо — любые лица, не являющиеся субъектом данных, владельцем или распорядителем базы данных, получающие доступ к персональным данным в рамках законодательства.
Особые категории данных — сведения о расовой, этнической принадлежности, убеждениях, членстве в организациях, здоровье и интимной жизни.
1.2. Положение подлежит обязательному соблюдению ответственным лицом и работниками Продавца, имеющими доступ к персональным данным в рамках исполнения должностных обязанностей.
2. Перечень баз персональных данных
2.1. Продавец является владельцем следующих баз данных персонального характера:
- база персональных данных контрагентов
3. Цели обработки персональных данных
3.1. Обработка персональных данных осуществляется в целях обеспечения надлежащего исполнения гражданско-правовых обязательств, оказания услуг, получения и выполнения финансовых расчётов в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учёте и финансовой отчётности».
4. Порядок обработки данных: согласие, уведомление и действия с персональной информацией
4.1. Согласие субъекта персональных данных выражается в добровольной и документально зафиксированной форме, подтверждающей разрешение на обработку данных с конкретной целью.
4.2. Согласие может быть предоставлено в следующих формах:
- бумажный документ с реквизитами, позволяющими идентифицировать личность и документ;
- электронный документ с аналогичными обязательными реквизитами;
- отметка на цифровом документе или файле в информационной системе, оформленная с использованием подтверждённых программно-технических решений.
4.3. Предоставление согласия осуществляется при оформлении гражданско-правовых отношений в порядке, установленном действующим законодательством.
4.4. Уведомление субъекта об обработке его персональных данных, правах, целях обработки и лицах, которым они могут быть переданы, предоставляется одновременно с оформлением правовых отношений.
4.5. Обработка особых категорий персональных данных (о расовой или этнической принадлежности, политических, религиозных убеждениях, членстве в партиях и профсоюзах, здоровье или интимной жизни) не допускается.
5. Местонахождение баз данных
5.1. Базы данных, указанные в разделе 2 настоящего Положения, физически размещены по адресу нахождения Продавца.
6. Условия предоставления информации третьим лицам
6.1. Предоставление доступа третьим лицам осуществляется в пределах согласия субъекта персональных данных или согласно действующему законодательству.
6.2. В случае отказа третьего лица принять обязательства по обеспечению защиты персональных данных, доступ не предоставляется.
6.3. Запрос на доступ к персональным данным подаётся субъектом в письменной или электронной форме.
6.4. Запрос должен содержать:
- полные ФИО и место жительства (пребывания) заявителя, реквизиты удостоверяющего документа;
- наименование и данные организации, подающей запрос (если применимо);
- данные лица, к которому запрашиваются сведения;
- информация о базе данных и её владельце или распорядителе;
- перечень запрашиваемых данных и цель запроса.
6.5. Рассмотрение запроса осуществляется в течение 10 рабочих дней, а ответ предоставляется в срок до 30 календарных дней, если иное не предусмотрено законом.
6.6. При невозможности удовлетворения запроса в срок допускается отсрочка, о чём направляется письменное уведомление.
6.7. В уведомлении об отсрочке указываются данные ответственного лица, дата, причина и предполагаемый срок удовлетворения.
6.8. Отказ в доступе возможен при наличии установленных законом ограничений.
6.9. В случае отказа направляется мотивированное сообщение с указанием причины отказа и данных ответственного лица.
6.10. Отказ или отсрочка могут быть обжалованы в судебном порядке.
7. Защита данных: методы, ответственные лица, сроки хранения
7.1. Владелец базы данных обеспечивает техническую и программную защиту персональных данных, включая меры, предотвращающие утрату, несанкционированный доступ, фальсификацию и распространение данных, соответствующие требованиям национальных и международных стандартов.
7.2. Ответственное лицо назначается для организации мероприятий по защите персональных данных. Его обязанности регламентированы должностной инструкцией.
7.3. Ответственное лицо обязано:
- знать законодательство Украины о персональных данных;
- организовать доступ работников к данным в пределах служебных полномочий;
- контролировать соблюдение внутренней политики по защите данных;
- уведомлять руководство о нарушениях в срок не позднее одного рабочего дня с момента их выявления;
- обеспечивать хранение документов, подтверждающих получение согласия и уведомление субъектов данных.
7.4. Ответственное лицо имеет право:
- запрашивать и копировать документы, касающиеся обработки персональных данных;
- участвовать в обсуждении процедур обработки и защиты данных;
- вносить предложения по улучшению политики в сфере защиты персональных данных;
- требовать объяснений по вопросам обработки персональных данных;
- подписывать документы в пределах своей компетенции.
7.5. Сотрудники, имеющие доступ к персональным данным, обязаны соблюдать законодательство о защите данных и внутренние нормативы компании.
7.6. Запрещается разглашение персональных данных после прекращения трудовых или служебных отношений, за исключением случаев, предусмотренных законом.
7.7. Лица, нарушившие требования законодательства о персональных данных, несут ответственность в соответствии с действующим законодательством Украины.
7.8. Персональные данные хранятся не дольше периода, необходимого для достижения цели их обработки, либо в срок, определённый согласием субъекта персональных данных.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
- знать местонахождение и назначение базы данных, содержащей его данные;
- получать информацию об условиях предоставления доступа к его данным;
- получить доступ к своим данным и сведения о третьих лицах, которым они были переданы;
- получать в течение 30 календарных дней ответ на запрос о наличии и содержании своих персональных данных;
- подавать мотивированные требования относительно ограничения или прекращения обработки своих данных;
- требовать изменения или удаления недостоверных или незаконно обработанных данных;
- защищать свои персональные данные от неправомерной обработки и распространения;
- обращаться в государственные органы по вопросам защиты прав в сфере персональных данных;
- применять предусмотренные законом средства правовой защиты.
9. Обработка обращений субъектов персональных данных
9.1. Субъект персональных данных вправе получить информацию о себе от владельца или распорядителя базы персональных данных без необходимости указывать цель запроса, если иное не предусмотрено законодательством.
9.2. Доступ предоставляется без взимания платы.
9.3. Запрос должен содержать:
- полные ФИО, адрес, реквизиты удостоверяющего документа;
- данные, позволяющие идентифицировать личность;
- информация о базе данных, владельце или распорядителе;
- перечень запрашиваемых данных.
9.4. Срок рассмотрения запроса — до 10 рабочих дней.
9.5. Ответ на запрос предоставляется не позднее 30 календарных дней со дня его получения, если иное не предусмотрено законом.
10. Государственная регистрация баз данных
10.1. Государственная регистрация баз персональных данных осуществляется в порядке, установленном статьёй 9 Закона Украины «О защите персональных данных».