Положення про обробку і захист персональних даних

1. Загальні поняття та сфера застосування

1.1. Визначення термінів:

База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек.

Відповідальна особа — особа, яка організовує роботу із захисту персональних даних при їх обробці відповідно до закону.

Володілець бази персональних даних — фізична або юридична особа, якій надано право на обробку персональних даних, яка затверджує мету обробки, склад даних та процедури їх обробки.

Державний реєстр баз персональних даних — єдина державна інформаційна система збору та обробки відомостей про зареєстровані бази персональних даних.

Загальнодоступні джерела персональних даних — довідники, реєстри, каталоги та інші систематизовані збірники відкритої інформації, розміщені з відома суб'єкта. Соціальні мережі та інтернет-ресурси загальнодоступними джерелами не вважаються, крім випадків прямої вказівки суб'єкта.

Згода суб'єкта персональних даних — документоване добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних.

Знеособлення персональних даних — вилучення відомостей, що дозволяють ідентифікувати особу.

Обробка персональних даних — будь-яка дія в інформаційній системі та/або картотеках: збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання, поширення, знеособлення, знищення відомостей про фізичну особу.

Персональні дані — відомості про фізичну особу, яка ідентифікована або може бути ідентифікована.

Розпорядник бази персональних даних — особа, якій надано право обробляти персональні дані. Особа, що виконує лише технічні роботи без доступу до змісту даних, розпорядником не є.

Суб'єкт персональних даних — фізична особа, щодо якої здійснюється обробка персональних даних.

Третя особа — будь-яка особа, крім суб'єкта, володільця, розпорядника та уповноваженого державного органу, якій передаються персональні дані.

Особливі категорії даних — дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в партіях та профспілках, стан здоров'я або статеве життя.

1.2. Положення обов'язкове для відповідальної особи та співробітників продавця, які обробляють персональні дані або мають до них доступ.

2. Перелік баз персональних даних

2.1. Продавець є власником бази персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Мета обробки — забезпечення цивільно-правових відносин, надання та оплата товарів і послуг відповідно до Податкового кодексу України та Закону України «Про бухгалтерський облік та фінансову звітність в Україні».

4. Порядок обробки персональних даних

4.1. Згода суб'єкта персональних даних є добровільним волевиявленням на обробку його персональних даних відповідно до визначеної мети.

4.2. Форми надання згоди:

  • паперовий документ із реквізитами, що дозволяють ідентифікувати особу;
  • електронний документ із обов'язковими реквізитами та електронним підписом;
  • відмітка на електронній сторінці або у файлі інформаційної системи.

4.3. Згода надається під час оформлення цивільно-правових відносин.

4.4. Суб'єкт повідомляється про включення його даних до бази, про права за Законом України «Про захист персональних даних», мету збору та осіб, яким передаються дані — під час оформлення цивільно-правових відносин.

4.5. Обробка особливих категорій даних забороняється.

5. Місцезнаходження бази персональних даних

5.1. Бази персональних даних, зазначені у розділі 2, знаходяться за адресою продавця.

6. Умови розкриття персональних даних третім особам

6.1. Доступ третіх осіб до персональних даних визначається згодою суб'єкта або вимогами закону.

6.2. Доступ не надається особі, яка не бере на себе зобов'язань щодо виконання Закону України «Про захист персональних даних» або не може їх забезпечити.

6.3. Запит на доступ до персональних даних подається володільцю бази.

6.4. У запиті зазначаються:

  • ПІБ, місце проживання та реквізити документа особи-заявника (для фізичної особи);
  • найменування, місцезнаходження та посада уповноваженої особи (для юридичної особи);
  • ПІБ та інші відомості для ідентифікації суб'єкта, щодо якого подається запит;
  • відомості про базу або її володільця;
  • перелік даних, що запитуються;
  • мета та правові підстави запиту.

6.5. Строк розгляду запиту — не більше 10 робочих днів. Задоволення запиту — протягом 30 календарних днів, якщо інше не передбачено законом.

6.6. Відстрочення допускається, якщо дані не можуть бути надані у 30-денний строк. Загальний строк не може перевищувати 45 календарних днів.

6.7. Повідомлення про відстрочення надається у письмовій формі з роз'ясненням порядку оскарження.

6.8. У повідомленні про відстрочення зазначаються: ПІБ посадової особи, дата відправлення, причина відстрочення, строк задоволення запиту.

6.9. Відмова у доступі допускається, якщо доступ до даних заборонено законом.

6.10. У повідомленні про відмову зазначаються: ПІБ посадової особи, дата відправлення, причина відмови.

6.11. Рішення про відстрочення або відмову може бути оскаржено до суду.

7. Захист персональних даних

7.1. Продавець використовує системні, програмно-технічні засоби та засоби зв'язку, які запобігають втраті, крадіжці, несанкціонованому знищенню, викривленню або копіюванню даних і відповідають вимогам міжнародних та національних стандартів.

7.2. Відповідальна особа призначається наказом володільця бази персональних даних. Обов'язки закріплюються у посадовій інструкції.

7.3. Відповідальна особа зобов'язана:

  • знати законодавство України у сфері захисту персональних даних;
  • розробити процедури доступу до даних відповідно до службових обов'язків співробітників;
  • забезпечити дотримання співробітниками вимог законодавства та внутрішніх документів;
  • розробити порядок внутрішнього контролю за дотриманням вимог законодавства;
  • повідомляти про порушення не пізніше одного робочого дня з моменту їх виявлення;
  • зберігати документи, що підтверджують згоду суб'єкта та повідомлення про його права.

7.4. Відповідальна особа має право отримувати необхідні документи та їх копії, брати участь в обговоренні питань захисту даних, вносити пропозиції щодо вдосконалення роботи з персональними даними.

7.5. Співробітники, які обробляють персональні дані або мають до них доступ, зобов'язані дотримуватись вимог законодавства та внутрішніх документів.

7.6. Співробітники не мають права розголошувати персональні дані — ні під час роботи, ні після її припинення, крім випадків, встановлених законом.

7.7. За порушення Закону України «Про захист персональних даних» співробітники несуть відповідальність згідно з законодавством України.

7.8. Персональні дані не зберігаються довше, ніж необхідно для досягнення мети їх обробки, і не довше строку, визначеного згодою суб'єкта.

8. Права суб'єкта персональних даних

8.1. Суб'єкт персональних даних має право:

  • знати про місцезнаходження бази, що містить його дані, її призначення та найменування, а також про володільця або розпорядника;
  • отримувати інформацію про умови доступу до персональних даних та про третіх осіб, яким вони передаються;
  • отримувати доступ до своїх даних у відповідній базі;
  • отримувати відповідь про наявність і зміст своїх даних протягом 30 календарних днів з дня запиту;
  • заперечувати проти обробки своїх даних органами державної влади або місцевого самоврядування;
  • вимагати зміни або знищення своїх даних, якщо вони обробляються незаконно або є недостовірними;
  • на захист своїх даних від незаконної обробки, втрати, знищення або надання недостовірних відомостей;
  • звертатися до органів державної влади та місцевого самоврядування з питань захисту персональних даних;
  • застосовувати засоби правового захисту у разі порушення законодавства.

9. Порядок роботи із запитами суб'єкта персональних даних

9.1. Суб'єкт має право отримати будь-які відомості про себе без зазначення мети запиту, крім випадків, встановлених законом. Доступ надається безоплатно.

9.2. Запит подається володільцю бази і містить:

  • ПІБ, місце проживання та реквізити документа суб'єкта;
  • інші відомості для ідентифікації суб'єкта;
  • відомості про базу або її володільця;
  • перелік даних, що запитуються.

9.3. Строк розгляду запиту — не більше 10 робочих днів. Задоволення — протягом 30 календарних днів, якщо інше не передбачено законом.

10. Державна реєстрація бази персональних даних

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».