Положение об обработке и защите персональных данных

1. Общие понятия и сфера применения

1.1. Определение терминов:

База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек.

Ответственное лицо — лицо, которое организует работу по защите персональных данных при их обработке в соответствии с законом.

Владелец базы персональных данных — физическое или юридическое лицо, которому предоставлено право на обработку персональных данных, утверждающее цель обработки, состав данных и процедуры их обработки.

Государственный реестр баз персональных данных — единая государственная информационная система сбора и обработки сведений о зарегистрированных базах персональных данных.

Общедоступные источники персональных данных — справочники, реестры, каталоги и иные систематизированные сборники открытой информации, размещённые с ведома субъекта. Социальные сети и интернет-ресурсы общедоступными источниками не считаются, кроме случаев прямого указания субъекта.

Согласие субъекта персональных данных — документированное добровольное волеизъявление физического лица на обработку его персональных данных.

Обезличивание персональных данных — удаление сведений, позволяющих идентифицировать личность.

Обработка персональных данных — любое действие в информационной системе и/или картотеках: сбор, регистрация, накопление, хранение, адаптация, изменение, обновление, использование, распространение, обезличивание, уничтожение сведений о физическом лице.

Персональные данные — сведения о физическом лице, которое идентифицировано или может быть идентифицировано.

Распорядитель базы персональных данных — лицо, которому предоставлено право обрабатывать персональные данные. Лицо, выполняющее лишь технические работы без доступа к содержанию данных, распорядителем не является.

Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.

Третье лицо — любое лицо, кроме субъекта, владельца, распорядителя и уполномоченного государственного органа, которому передаются персональные данные.

Особые категории данных — данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в партиях и профсоюзах, состоянии здоровья или половой жизни.

1.2. Положение обязательно для ответственного лица и сотрудников продавца, которые обрабатывают персональные данные или имеют к ним доступ.

2. Перечень баз персональных данных

2.1. Продавец является владельцем базы персональных данных контрагентов.

3. Цель обработки персональных данных

3.1. Цель обработки — обеспечение гражданско-правовых отношений, предоставление и оплата товаров и услуг в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учёте и финансовой отчётности в Украине».

4. Порядок обработки персональных данных

4.1. Согласие субъекта персональных данных — добровольное волеизъявление на обработку его персональных данных в соответствии с определённой целью.

4.2. Формы предоставления согласия:

  • бумажный документ с реквизитами, позволяющими идентифицировать лицо;
  • электронный документ с обязательными реквизитами и электронной подписью;
  • отметка на электронной странице или в файле информационной системы.

4.3. Согласие предоставляется при оформлении гражданско-правовых отношений.

4.4. Субъект уведомляется о включении его данных в базу, о правах по Закону Украины «О защите персональных данных», цели сбора и лицах, которым передаются данные — при оформлении гражданско-правовых отношений.

4.5. Обработка особых категорий данных запрещена.

5. Местонахождение базы персональных данных

5.1. Базы персональных данных, указанные в разделе 2, находятся по адресу продавца.

6. Условия раскрытия персональных данных третьим лицам

6.1. Доступ третьих лиц к персональным данным определяется согласием субъекта или требованиями закона.

6.2. Доступ не предоставляется лицу, которое не принимает на себя обязательств по соблюдению Закона Украины «О защите персональных данных» или не может их обеспечить.

6.3. Запрос на доступ к персональным данным подаётся владельцу базы.

6.4. В запросе указываются:

  • ФИО, место проживания и реквизиты документа лица-заявителя (для физического лица);
  • наименование, местонахождение и должность уполномоченного лица (для юридического лица);
  • ФИО и иные сведения для идентификации субъекта, в отношении которого подаётся запрос;
  • сведения о базе или её владельце;
  • перечень запрашиваемых данных;
  • цель и правовые основания запроса.

6.5. Срок рассмотрения запроса — не более 10 рабочих дней. Удовлетворение запроса — в течение 30 календарных дней, если иное не предусмотрено законом.

6.6. Отсрочка допускается, если данные не могут быть предоставлены в 30-дневный срок. Общий срок не может превышать 45 календарных дней.

6.7. Уведомление об отсрочке предоставляется в письменной форме с разъяснением порядка обжалования. В уведомлении указываются: ФИО должностного лица, дата отправления, причина отсрочки, срок удовлетворения запроса.

6.8. Отказ в доступе допускается, если доступ к данным запрещён законом. В уведомлении об отказе указываются: ФИО должностного лица, дата отправления, причина отказа.

6.9. Решение об отсрочке или отказе может быть обжаловано в суде.

7. Защита персональных данных

7.1. Продавец использует системные, программно-технические средства и средства связи, которые предотвращают потерю, кражу, несанкционированное уничтожение, искажение или копирование данных и соответствуют требованиям международных и национальных стандартов.

7.2. Ответственное лицо назначается приказом владельца базы персональных данных. Обязанности закрепляются в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;
  • разработать процедуры доступа к данным в соответствии со служебными обязанностями сотрудников;
  • обеспечить соблюдение сотрудниками требований законодательства и внутренних документов;
  • разработать порядок внутреннего контроля за соблюдением требований законодательства;
  • уведомлять о нарушениях не позднее одного рабочего дня с момента их выявления;
  • хранить документы, подтверждающие согласие субъекта и уведомление о его правах.

7.4. Ответственное лицо вправе получать необходимые документы и их копии, участвовать в обсуждении вопросов защиты данных, вносить предложения по совершенствованию работы с персональными данными.

7.5. Сотрудники, обрабатывающие персональные данные или имеющие к ним доступ, обязаны соблюдать требования законодательства и внутренних документов.

7.6. Сотрудники не вправе разглашать персональные данные — ни в период работы, ни после её прекращения, кроме случаев, установленных законом.

7.7. За нарушение Закона Украины «О защите персональных данных» сотрудники несут ответственность в соответствии с законодательством Украины.

7.8. Персональные данные не хранятся дольше, чем необходимо для достижения цели их обработки, и не дольше срока, определённого согласием субъекта.

8. Права субъекта персональных данных

8.1. Субъект персональных данных вправе:

  • знать о местонахождении базы, содержащей его данные, её назначении, наименовании, а также о владельце или распорядителе;
  • получать информацию об условиях доступа к персональным данным и о третьих лицах, которым они передаются;
  • получать доступ к своим данным в соответствующей базе;
  • получать ответ о наличии и содержании своих данных в течение 30 календарных дней с даты запроса;
  • возражать против обработки своих данных органами государственной власти или местного самоуправления;
  • требовать изменения или уничтожения своих данных, если они обрабатываются незаконно или являются недостоверными;
  • на защиту своих данных от незаконной обработки, потери, уничтожения или предоставления недостоверных сведений;
  • обращаться в органы государственной власти и местного самоуправления по вопросам защиты персональных данных;
  • применять средства правовой защиты в случае нарушения законодательства.

9. Порядок работы с запросами субъекта персональных данных

9.1. Субъект вправе получить любые сведения о себе без указания цели запроса, кроме случаев, установленных законом. Доступ предоставляется бесплатно.

9.2. Запрос подаётся владельцу базы и содержит:

  • ФИО, место проживания и реквизиты документа субъекта;
  • иные сведения для идентификации субъекта;
  • сведения о базе или её владельце;
  • перечень запрашиваемых данных.

9.3. Срок рассмотрения запроса — не более 10 рабочих дней. Удовлетворение — в течение 30 календарных дней, если иное не предусмотрено законом.

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».