Положення про обробку і захист персональних даних у базах персональних даних, адміністратором яких є продавець

Зміст

  1. Загальні поняття та сфера застосування

  2. Перелік баз персональних даних

  3. Мета обробки персональних даних

  4. Порядок обробки персональних даних

  5. Місцезнаходження бази персональних даних

  6. Умови розкриття інформації третім особам

  7. Захист персональних даних

  8. Права суб’єкта персональних даних

  9. Порядок роботи з запитами суб’єкта

  10. Державна реєстрація баз персональних даних

1. Загальні поняття та сфера застосування

1.1. Терміни:

  • база персональних даних — впорядкована сукупність персональних даних в електронній або паперовій формі;

  • відповідальна особа — особа, визначена для організації процесів захисту персональних даних;

  • адміністратор бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта надано право на обробку персональних даних, яка визначає мету, склад даних та порядок їх обробки, якщо інше не встановлено законом;

  • Державний реєстр баз персональних даних — державна система обліку зареєстрованих баз;

  • загальнодоступні джерела персональних даних — довідники, списки, реєстри тощо, опубліковані з відома суб’єкта;

  • згода суб’єкта персональних даних — документоване добровільне волевиявлення щодо дозволу на обробку даних;

  • знеособлення персональних даних — видалення ідентифікуючих відомостей;

  • обробка персональних даних — будь-які дії щодо даних: збирання, зберігання, зміна, передача, знищення тощо;

  • персональні дані — інформація про ідентифіковану фізичну особу;

  • розпорядник бази персональних даних — особа, якій адміністратор або закон надає право обробляти дані;

  • суб’єкт персональних даних — фізична особа, щодо якої здійснюється обробка;

  • третя особа — будь-яка особа, крім суб’єкта, адміністратора, розпорядника та уповноваженого державного органу;

  • особливі категорії даних — дані про етнічне походження, політичні чи релігійні переконання, стан здоров’я, статеве життя тощо.

1.2.

Положення є обов’язковим для всіх співробітників продавця та відповідальної особи, які здійснюють обробку персональних даних або мають доступ до них.

2. Перелік баз персональних даних

2.1. Продавець є адміністратором таких баз персональних даних:

  • база персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Мета обробки — забезпечення виконання цивільно-правових відносин, проведення розрахунків за товари та послуги відповідно до законодавства України.

4. Порядок обробки персональних даних

4.1–4.5.

  • Згода суб’єкта є добровільною.

  • Може надаватися письмово, електронно або шляхом відповідної позначки в інформаційній системі.

  • Повідомлення суб’єкта про включення його даних до бази здійснюється під час оформлення правовідносин.

  • Обробка особливих категорій даних заборонена.

5. Місцезнаходження бази персональних даних

5.1. Бази персональних даних зберігаються за юридичною адресою продавця.

6. Умови розкриття персональних даних третім особам

6.1–6.11.

  • Порядок доступу визначається умовами згоди суб’єкта або законом.

  • Інформація надається третім особам лише за умови дотримання ними вимог щодо захисту даних.

  • Запити розглядаються адміністратором бази персональних даних у встановлені строки.

  • Можлива відстрочка або відмова з підстав, передбачених законом.

  • Рішення може бути оскаржене в судовому порядку.

7. Захист персональних даних

7.1. Адміністратор бази забезпечує технічні й організаційні заходи для захисту даних.

7.2–7.4.

  • Відповідальна особа організовує систему захисту персональних даних.

  • Вона зобов’язана контролювати дотримання законодавства й внутрішніх процедур.

  • Має право отримувати необхідні документи, копії файлів, вносити пропозиції щодо покращення захисту даних тощо.

7.5–7.8.

  • Працівники з доступом до даних зобов’язані не розголошувати їх.

  • Несуть відповідальність згідно із законом.

  • Строк зберігання персональних даних не може перевищувати строк, визначений метою обробки або згодою суб’єкта.

8. Права суб’єкта персональних даних

Суб’єкт має право на:

  • інформацію про місцезнаходження бази та адміністратора;

  • інформацію про умови доступу до своїх даних;

  • доступ до власних даних;

  • отримання відповіді на запит у встановлений строк;

  • подання вимог про зміну або знищення даних;

  • захист даних від незаконної обробки;

  • звернення до державних органів;

  • захист своїх прав у судовому порядку.

9. Порядок роботи із запитами суб’єкта

9.1–9.5.

  • Суб’єкт має право безоплатно отримувати інформацію про себе.

  • Запит подається адміністратору бази.

  • Адміністратор розглядає запит до 10 робочих днів і надає відповідь у строк до 30 календарних днів.

10. Державна реєстрація баз персональних даних

10.1. Реєстрація здійснюється згідно зі статтею 9 Закону України «Про захист персональних даних».