Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych, których właścicielem jest sprzedawca
Spis treści
- Ogólne pojęcia i zakres stosowania
- Wykaz baz danych osobowych
- Cel przetwarzania danych osobowych
- Procedura przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach i działaniach z danymi osobowymi podmiotu danych
- Lokalizacja bazy danych osobowych
- Warunki ujawniania informacji o danych osobowych osobom trzecim
- Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający i/lub mający dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
- Prawa podmiotu danych
- Procedura postępowania z wnioskami podmiotu danych
- Rejestracja państwowa bazy danych osobowych
1. Ogólne pojęcia i zakres stosowania
1.1. Definicje terminów:
baza danych osobowych — nazwany zbiór uporządkowanych danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;
osoba odpowiedzialna — wyznaczona osoba, która organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania, zgodnie z prawem;
właściciel bazy danych osobowych — osoba fizyczna lub prawna, której prawo do przetwarzania tych danych zostało przyznane przez prawo lub za zgodą podmiotu danych, która ustala cel przetwarzania danych osobowych w tej bazie danych, określa skład tych danych i procedury ich przetwarzania, chyba że ustawa stanowi inaczej;
Państwowy rejestr baz danych osobowych — jednolity państwowy system informacyjny gromadzenia, akumulacji i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
ogólnodostępne źródła danych osobowych — katalogi, książki adresowe, rejestry, listy, katalogi, inne uporządkowane zbiory otwartych informacji, zawierające dane osobowe, umieszczone i opublikowane za wiedzą podmiotu danych. Sieci społecznościowe i zasoby internetowe, w których podmiot danych pozostawia swoje dane osobowe (z wyjątkiem przypadków, gdy podmiot danych wyraźnie wskazuje, że dane osobowe są umieszczone w celu ich swobodnego rozpowszechniania i wykorzystania), nie są uznawane za ogólnodostępne źródła danych osobowych;
zgoda podmiotu danych — jakiekolwiek udokumentowane, dobrowolne wyrażenie woli osoby fizycznej dotyczące udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania;
anonimizacja danych osobowych — usunięcie informacji, które umożliwiają identyfikację osoby;
przetwarzanie danych osobowych — jakakolwiek czynność lub zbiór czynności wykonywanych całkowicie lub częściowo w systemie informacyjnym (zautomatyzowanym) i/lub w kartotekach danych osobowych, które są związane z gromadzeniem, rejestrowaniem, akumulacją, przechowywaniem, adaptacją, zmianą, odnawianiem, używaniem i rozpowszechnianiem (dystrybucją, sprzedażą, przekazywaniem), anonimizacją, niszczeniem informacji o osobie fizycznej;
dane osobowe — informacje lub zbiór informacji o osobie fizycznej, która jest zidentyfikowana lub może być jednoznacznie zidentyfikowana;
administrator bazy danych osobowych — osoba fizyczna lub prawna, której właściciel bazy danych osobowych lub prawo przyznało prawo do przetwarzania tych danych. Nie jest administratorem bazy danych osobowych osoba, której właściciel i/lub administrator bazy danych osobowych powierzył wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych;
podmiot danych — osoba fizyczna, w odniesieniu do której zgodnie z prawem przetwarzane są jej dane osobowe;
osoba trzecia — każda osoba, z wyjątkiem podmiotu danych, właściciela lub administratora bazy danych osobowych i upoważnionego organu państwowego ds. ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;
szczególne kategorie danych — dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.
1.2. Niniejszy regulamin jest obowiązkowy do stosowania przez osobę odpowiedzialną i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Wykaz baz danych osobowych
2.1. Sprzedawca jest właścicielem takich baz danych osobowych:
- baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, świadczenie, otrzymywanie i dokonywanie rozliczeń za nabyte towary i usługi zgodnie z Kodeksem Podatkowym Ukrainy, Ustawą Ukrainy "O rachunkowości i sprawozdawczości finansowej w Ukrainie".
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach i działaniach z danymi osobowymi podmiotu danych
4.1. Zgoda podmiotu danych powinna być dobrowolnym wyrażeniem woli osoby fizycznej dotyczącym udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania.
4.2. Zgoda podmiotu danych może być wyrażona w następujących formach:
- dokument na nośniku papierowym z danymi umożliwiającymi identyfikację tego dokumentu i osoby fizycznej;
- elektroniczny dokument, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu i osoby fizycznej. Dobrowolne wyrażenie woli osoby fizycznej dotyczące udzielenia zgody na przetwarzanie jej danych osobowych jest wskazane do potwierdzenia elektronicznym podpisem podmiotu danych;
- znacznik na stronie elektronicznej dokumentu lub w pliku elektronicznym przetwarzanym w systemie informacyjnym na podstawie udokumentowanych rozwiązań programowo-technicznych.
4.3. Zgoda podmiotu danych jest udzielana podczas zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.
4.4. Informowanie podmiotu danych o włączeniu jego danych osobowych do bazy danych osobowych, prawa określone w Ustawie Ukrainy "O ochronie danych osobowych", cel zbierania danych oraz osoby, którym przekazywane są jego dane osobowe, odbywa się podczas zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.
4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przek onań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.
5. Lokalizacja bazy danych osobowych
5.1. Bazy danych osobowych wymienione w punkcie 2 niniejszego regulaminu znajdują się pod adresem sprzedawcy.
6. Warunki ujawniania informacji o danych osobowych osobom trzecim
6.1. Warunki dostępu do danych osobowych osób trzecich są określone przez warunki zgody podmiotu danych udzielonej właścicielowi danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.
6.2. Dostęp do danych osobowych osoby trzeciej nie jest udzielany, jeśli ta osoba odmawia przyjęcia na siebie zobowiązań dotyczących zapewnienia wykonania wymogów Ustawy Ukrainy "O ochronie danych osobowych" lub jest niezdolna do ich zapewnienia.
6.3. Podmiot stosunków związanych z danymi osobowymi składa wniosek o dostęp (dalej — wniosek) do danych osobowych właścicielowi danych osobowych.
6.4. We wniosku wskazuje się:
- nazwisko, imię i ojcostwo, miejsce zamieszkania (pobytu) i dane dokumentu potwierdzającego tożsamość osoby fizycznej składającej wniosek (dla osoby fizycznej — wnioskodawcy);
- nazwa, lokalizacja osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i ojcostwo osoby potwierdzającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej — wnioskodawcy);
- nazwisko, imię i ojcostwo oraz inne dane umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;
- informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy;
- lista danych osobowych, które są żądane;
- cel i/lub podstawy prawne wniosku.
6.5. Rozpatrzenie wniosku pod kątem jego zadowolenia nie może trwać dłużej niż dziesięć dni roboczych od dnia jego otrzymania. W ciągu tego okresu właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie zaspokojony lub że odpowiednie dane osobowe nie podlegają ujawnieniu, z podaniem przyczyny określonej w odpowiednim akcie prawnym. Wniosek jest zaspokajany w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że ustawa stanowi inaczej.
6.6. Opóźnienie w dostępie do danych osobowych osób trzecich jest dozwolone, jeśli niezbędne dane nie mogą być udostępnione w ciągu trzydziestu dni kalendarzowych od dnia otrzymania wniosku. W takim przypadku ogólny termin rozstrzygnięcia kwestii poruszonych we wniosku nie może przekraczać czterdziestu pięciu dni kalendarzowych.
6.7. Informacja o opóźnieniu jest przekazywana osobie trzeciej, która złożyła wniosek, w formie pisemnej z wyjaśnieniem procedury odwołania się od takiej decyzji.
6.8. W powiadomieniu o opóźnieniu wskazuje się:
- nazwisko, imię i ojcostwo osoby urzędowej;
- data wysłania powiadomienia;
- przyczyna opóźnienia;
- termin, w którym wniosek zostanie
- zaspokojony.
6.9. Odmowa dostępu do danych osobowych jest dozwolona, jeśli dostęp do nich jest zabroniony zgodnie z prawem.
6.10. W powiadomieniu o odmowie wskazuje się:
- nazwisko, imię, ojcostwo osoby urzędowej, która odmawia dostępu;
- data wysłania powiadomienia;
- przyczyna odmowy.
6.11. Decyzja o odroczeniu lub odmowie dostępu do danych osobowych może być zaskarżona do sądu.
7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający i/lub mający dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych jest wyposażony w systemowe i programowo-techniczne środki oraz środki komunikacji, które zapobiegają utracie, kradzieży, nieautoryzowanemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji i są zgodne z międzynarodowymi i krajowymi standardami.
7.2. Osoba odpowiedzialna organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania, zgodnie z prawem. Osoba odpowiedzialna jest wyznaczana przez rozkaz właściciela bazy danych osobowych.
Obowiązki osoby odpowiedzialnej dotyczące organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania są określone w instrukcji stanowiskowej.
7.3. Osoba odpowiedzialna jest zobowiązana:
- znać ustawodawstwo Ukrainy w dziedzinie ochrony danych osobowych;
- opracować procedury dostępu do danych osobowych pracowników zgodnie z ich zawodowymi lub służbowymi lub pracowniczymi obowiązkami;
- zapewnić wykonanie przez pracowników właściciela bazy danych osobowych wymogów ustawodawstwa Ukrainy w dziedzinie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
- opracować procedurę (procedury) wewnętrznej kontroli przestrzegania wymogów ustawodawstwa Ukrainy w dziedzinie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych, która powinna zawierać normy dotyczące częstotliwości przeprowadzania takiej kontroli;
- informować właściciela bazy danych osobowych o faktach naruszeń przez pracowników wymogów ustawodawstwa Ukrainy w dziedzinie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych w terminie nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
- zapewnić przechowywanie dokumentów potwierdzających udzielenie przez podmiot danych zgody na przetwarzanie jego danych osobowych oraz informowanie wskazanego podmiotu o jego prawach.
7.4. W celu wykonania swoich obowiązków osoba odpowiedzialna ma prawo:
- otrzymywać niezbędne dokumenty, w tym rozkazy i inne akty zarządcze wydane przez właściciela bazy danych osobowych, związane z przetwarzaniem danych osobowych;
- robić kopie otrzymanych dokumentów, w tym kopie plików, wszelkich zapisów przechowywanych w lokalnych
- sieciach komputerowych i autonomicznych systemach komputerowych;
- uczestniczyć w dyskusjach dotyczących wykonywanych przez siebie obowiązków organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
- składać do rozpatrzenia propozycje dotyczące poprawy działalności i doskonalenia metod pracy, zgłaszać uwagi i warianty usuwania wykrytych niedociągnięć w procesie przetwarzania danych osobowych;
- otrzymywać wyjaśnienia w sprawach przetwarzania danych osobowych;
- podpisywać i wizować dokumenty w ramach swojej kompetencji.
7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani przestrzegać wymogów ustawodawstwa Ukrainy w dziedzinie ochrony danych osobowych oraz wewnętrznych dokumentów dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.
7.6. Pracownicy mający dostęp do danych osobowych, w tym przetwarzający je, są zobowiązani nie ujawniać w żaden sposób danych osobowych, które zostały im powierzone lub które stały się im znane w związku z wykonywaniem zawodowych lub służbowych lub pracowniczych obowiązków. Takie zobowiązanie obowiązuje po zaprzestaniu działalności związanej z danymi osobowymi, chyba że ustawa stanowi inaczej.
7.7. Osoby mające dostęp do danych osobowych, w tym przetwarzające je, w przypadku naruszenia przez nie wymogów Ustawy Ukrainy "O ochronie danych osobowych", ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.
7.8. Dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne do celu, dla którego dane te są przechowywane, ale w każdym przypadku nie dłużej niż okres przechowywania danych określony zgoda podmiotu danych na przetwarzanie tych danych.
8. Prawa podmiotu danych
8.1. Podmiot danych ma prawo:
- wiedzieć o lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej przeznaczeniu i nazwie, lokalizacji i/lub miejscu zamieszkania (pobytu) właściciela lub administratora tej bazy lub udzielić odpowiedniego zlecenia dotyczącego uzyskania tych informacji upoważnionym przez siebie osobom, z wyjątkiem przypadków określonych w ustawie;
- otrzymywać informacje o warunkach udzielania dostępu do danych osobowych, w tym informacje o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
- mieć dostęp do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
- otrzymywać nie później niż w ciągu trzydziestu dni kalendarzowych od dnia otrzymania wniosku, z wyjątkiem przypadków przewidzianych w ustawie, odpowiedź na pytanie, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, oraz otrzymywać treść swoich danych osobowych przechowywanych;
- wnosić uzasadniony sprzeciw wobec przetwarzania swoich danych osobowych przez organy władzy państwowej, organy samorządu terytorialnego podczas wykonywania ich uprawnień przewidzianych w ustawie;
- wnosić uzasadniony wniosek dotyczący zmiany lub zniszczenia swoich danych osobowych przez dowolnego właściciela i administratora tej bazy, jeśli te dane są
- przetwarzane niezgodnie z prawem lub są nieprawdziwe;
- ochronę swoich danych osobowych przed nielegalnym przetwarzaniem i przypadkową utratą, zniszczeniem, uszkodzeniem w związku z umyślnym ukrywaniem, nieudostępnianiem lub nieudostępnianiem ich w odpowiednim czasie, a także przed udostępnianiem informacji, które są nieprawdziwe lub naruszają honor, godność i reputację osoby fizycznej;
- zwracać się w sprawach ochrony swoich praw dotyczących danych osobowych do organów władzy państwowej, organów samorządu terytorialnego, do kompetencji których należy ochrona danych osobowych;
- stosować środki ochrony prawnej w przypadku naruszenia ustawodawstwa o ochronie danych osobowych.
9. Procedura postępowania z wnioskami podmiotu danych
9.1. Podmiot danych ma prawo otrzymać jakiekolwiek informacje o sobie od dowolnego podmiotu stosunków związanych z danymi osobowymi bez podawania celu wniosku, z wyjątkiem przypadków określonych w ustawie.
9.2. Dostęp podmiotu danych do danych o sobie jest realizowany bezpłatnie.
9.3. Podmiot danych składa wniosek o dostęp (dalej — wniosek) do danych osobowych właścicielowi bazy danych osobowych.
We wniosku wskazuje się:
- nazwisko, imię i ojcostwo, miejsce zamieszkania (pobytu) i dane dokumentu potwierdzającego tożsamość podmiotu danych;
- inne dane umożliwiające identyfikację podmiotu danych;
- informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy;
- lista danych osobowych, które są żądane.
9.4. Rozpatrzenie wniosku pod kątem jego zadowolenia nie może trwać dłużej niż dziesięć dni roboczych od dnia jego otrzymania. W ciągu tego okresu właściciel bazy danych osobowych informuje podmiot danych, że wniosek zostanie zaspokojony lub że odpowiednie dane osobowe nie podlegają ujawnieniu, z podaniem przyczyny określonej w odpowiednim akcie prawnym.
9.5. Wniosek jest zaspokajany w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że ustawa stanowi inaczej.
10. Rejestracja państwowa bazy danych osobowych
10.1. Rejestracja państwowa baz danych osobowych jest realizowana zgodnie z artykułem 9 Ustawy Ukrainy "O ochronie danych osobowych".