Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец

Содержание

Общие понятия и сфера применения
Перечень баз персональных данных
Цель обработки персональных данных
Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта персональных данных
Местонахождение базы персональных данных
Условия раскрытия информации о персональных данных третьим лицам
Защита персональных данных: способы защиты, ответственное лицо, сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
Права субъекта персональных данных
Порядок работы с запросами субъекта персональных данных
Государственная регистрация базы персональных данных

1. Общие понятия и сфера применения

1.1. Определение терминов:

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

ответственное лицо — определённое лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;

владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в данной базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не предусмотрено законом;

Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и иные систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Социальные сети и интернет-ресурсы, в которых субъект персональных данных размещает свои персональные данные, не считаются общедоступными источниками (кроме случаев, когда субъект прямо указал, что данные размещены с целью их свободного распространения и использования);

согласие субъекта персональных данных — любое документированное добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки;

обезличивание персональных данных — исключение сведений, позволяющих идентифицировать лицо;

обработка персональных данных — любое действие или совокупность действий, осуществляемых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (передачей), обезличиванием, уничтожением сведений о физическом лице;

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные. Не является распорядителем лицо, которому поручены технические работы без доступа к содержанию персональных данных;

субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных;

третье лицо — любое лицо, кроме субъекта персональных данных, владельца или распорядителя базы и уполномоченного государственного органа по вопросам защиты персональных данных, которому осуществляется передача персональных данных;

особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные о состоянии здоровья или половой жизни.

1.2.

Настоящее Положение обязательно для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

база персональных данных контрагентов.

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчётов за приобретённые товары и услуги в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учёте и финансовой отчётности в Украине».

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действия с персональными данными субъекта

4.1. Получение согласия субъекта персональных данных

Согласие субъекта персональных данных должно быть добровольным, конкретным и информированным.
Оно может предоставляться в письменной форме или в иной форме, позволяющей сделать вывод о его предоставлении.

Согласие предоставляется для конкретной цели обработки персональных данных.

4.2. Уведомление субъекта персональных данных

Субъект персональных данных уведомляется о:

  • включении его персональных данных в соответствующую базу персональных данных;

  • цели обработки персональных данных;

  • составе и содержании собранных персональных данных;

  • правах, определённых законодательством Украины о защите персональных данных;

  • лицах, которым передаются его персональные данные.

Уведомление осуществляется в момент сбора персональных данных.

4.3. Действия с персональными данными

Обработка персональных данных включает:

  • сбор;

  • регистрацию;

  • накопление;

  • хранение;

  • адаптацию;

  • изменение;

  • обновление;

  • использование;

  • распространение (передачу);

  • обезличивание;

  • уничтожение.

Обработка осуществляется в соответствии с целью, определённой настоящим Положением.

5. Местонахождение базы персональных данных

Базы персональных данных находятся по месту осуществления деятельности владельца базы персональных данных.

Обработка может осуществляться с использованием информационно-телекоммуникационных систем, в том числе размещённых на защищённых серверах.

6. Условия раскрытия информации о персональных данных третьим лицам

Передача персональных данных третьим лицам осуществляется исключительно в случаях:

  • получения согласия субъекта персональных данных;

  • необходимости исполнения гражданско-правовых обязательств;

  • требований законодательства Украины;

  • по обоснованному требованию государственных органов в пределах их полномочий.

Передача осуществляется с соблюдением режима защиты персональных данных.

7. Защита персональных данных

7.1. Способы защиты

Владелец базы персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от:

  • незаконной обработки;

  • утраты;

  • уничтожения;

  • повреждения;

  • несанкционированного доступа.

7.2. Ответственное лицо

Ответственное лицо организует работу по защите персональных данных, контролирует соблюдение требований законодательства и внутренних документов.

7.3. Сотрудники, имеющие доступ к персональным данным

Доступ к персональным данным предоставляется только сотрудникам, которым он необходим для выполнения служебных обязанностей.

Такие сотрудники обязаны:

  • не допускать разглашения персональных данных;

  • обеспечивать их конфиденциальность;

  • соблюдать требования законодательства и настоящего Положения.

7.4. Срок хранения персональных данных

Персональные данные хранятся не дольше, чем это необходимо для достижения цели их обработки, либо в сроки, установленные законодательством Украины.

8. Права субъекта персональных данных

Субъект персональных данных имеет право:

  • знать о местонахождении базы персональных данных;

  • получать информацию об условиях предоставления доступа к своим данным;

  • получать доступ к своим персональным данным;

  • требовать изменения или уничтожения своих персональных данных;

  • отозвать согласие на обработку персональных данных;

  • защищать свои права в судебном порядке.

9. Порядок работы с запросами субъекта персональных данных

Субъект персональных данных имеет право направлять владельцу базы письменный запрос о доступе к своим персональным данным.

Ответ предоставляется в сроки, установленные законодательством Украины.

В случае отказа в доступе субъекту направляется мотивированный письменный ответ.

10. Государственная регистрация базы персональных данных

Регистрация базы персональных данных осуществляется в соответствии с требованиями законодательства Украины.