أحكام معالجة وحماية البيانات الشخصية في قواعد البيانات الشخصية التي يمتلكها البائع
المحتوى
- المفاهيم العامة ومجال التطبيق
- قائمة قواعد البيانات الشخصية
- هدف معالجة البيانات الشخصية
- ترتيب معالجة البيانات الشخصية: الحصول على الموافقة، إبلاغ عن الحقوق وإجراءات البيانات الشخصية للموضوع المعني بالبيانات الشخصية
- موقع قاعدة البيانات الشخصية
- شروط الكشف عن المعلومات الشخصية لأطراف ثالثة
- حماية البيانات الشخصية: طرق الحماية، الشخص المسؤول، الموظفون الذين يقومون مباشرة بمعالجة و/أو لديهم وصول إلى البيانات الشخصية في سياق أداء واجباتهم الوظيفية، مدة الاحتفاظ بالبيانات الشخصية
- حقوق موضوع البيانات الشخصية
- إجراءات العمل مع طلبات موضوع البيانات الشخصية
- التسجيل الحكومي لقاعدة البيانات الشخصية
1. المفاهيم العامة ونطاق التطبيق
1.1. تعريف المصطلحات:
قاعدة بيانات الشخصية — مجموعة مرتبة من البيانات الشخصية في شكل إلكتروني و/أو في شكل ملفات بيانات شخصية؛
الشخص المسؤول — الشخص المحدد الذي ينظم العمل المتعلق بحماية البيانات الشخصية أثناء معالجتها، وفقًا للقانون؛
مالك قاعدة البيانات الشخصية — شخص طبيعي أو اعتباري، منح بموجب القانون أو بموافقة موضوع البيانات الشخصية الحق في معالجة هذه البيانات، الذي يحدد هدف معالجة البيانات الشخصية في هذه القاعدة البيانات، ويحدد مكونات هذه البيانات وإجراءات معالجتها، ما لم ينص القانون على خلاف ذلك؛
السجل الوطني لقاعدة البيانات الشخصية — النظام الحكومي الوحيد لجمع وتخزين ومعالجة المعلومات حول قواعد البيانات الشخصية المسجلة؛
المصادر العامة للبيانات الشخصية - دليل، كتب عناوين، سجلات، قوائم، كتالوجات، مجموعات أخرى منظمة من المعلومات المفتوحة التي تحتوي على بيانات شخصية، تم نشرها ومعرفتها من قبل موضوع البيانات الشخصية. لا تعتبر الشبكات الاجتماعية والموارد على الإنترنت التي يترك فيها موضوع البيانات الشخصية بياناته الشخصية (باستثناء الحالات التي يحدد فيها موضوع البيانات الشخصية بوضوح أن البيانات الشخصية تم نشرها لغرض انتشارها واستخدامها بحرية) مصادر عامة للبيانات الشخصية؛
موافقة موضوع البيانات الشخصية — أي تعبير موثق وطوعي عن إرادة الفرد بشأن منح الإذن لمعالجة بياناته الشخصية وفقًا للهدف المحدد لمعالجتها؛
إزالة الطابع الشخصي عن البيانات الشخصية — استخراج المعلومات التي تمكن من تحديد هوية الشخص؛
معالجة البيانات الشخصية - أي إجراء أو مجموعة من الإجراءات التي تتم بالكامل أو جزئيًا في نظام معلوماتي (آلي) و/أو في سجلات البيانات الشخصية، المتعلقة بجمع، تسجيل، تراكم، تخزين، تعديل، تغيير، تجديد، استخدام ونشر (توزيع، تنفيذ، نقل)، إلغاء تحديد الهوية، تدمير المعلومات عن شخص طبيعي؛
البيانات الشخصية - معلومات أو مجموعة من المعلومات عن شخص طبيعي يمكن التعرف عليه أو يمكن تحديده بشكل محدد؛
مدير قاعدة البيانات الشخصية - شخص طبيعي أو اعتباري، يمتلك قاعدة البيانات الشخصية أو مُنح بموجب القانون الحق في معالجة هذه البيانات. لا يُعتبر الشخص الذي تم تكليفه من قبل مالك و/أو مدير قاعدة البيانات الشخصية للقيام بأعمال فنية تتعلق بقاعدة البيانات الشخصية دون الوصول إلى محتوى البيانات الشخصية، مديرًا لقاعدة البيانات الشخصية؛
موضوع البيانات الشخصية - شخص طبيعي، يتم بموجب القانون معالجة بياناته الشخصية؛
الشخص الثالث - أي شخص، باستثناء موضوع البيانات الشخصية، مالك أو مدير قاعدة البيانات الشخصية والجهة الحكومية المخولة بشؤون حماية البيانات الشخصية، التي يتم نقل البيانات الشخصية إليها من قبل مالك أو مدير قاعدة البيانات الشخصية وفقًا للقانون؛
فئات البيانات الخاصة - البيانات الشخصية المتعلقة بالأصل العرقي أو الإثني، والمعتقدات السياسية أو الدينية أو الفلسفية، وعضوية الأحزاب السياسية والنقابات المهنية، بالإضافة إلى البيانات المتعلقة بالصحة أو الحياة الجنسية.
1.2. هذا النظام إلزامي للتطبيق من قبل الشخص المسؤول وموظفي البائع الذين يقومون مباشرة بمعالجة و/أو لديهم وصول إلى البيانات الشخصية فيما يتعلق بأداء واجباتهم الوظيفية.
2. قائمة قواعد البيانات الشخصية
2.1. البائع هو مالك قواعد البيانات الشخصية التالية:
- قاعدة بيانات المعلومات الشخصية للمتعاقدين.
3. هدف معالجة البيانات الشخصية
3.1. الهدف من معالجة البيانات الشخصية في النظام هو ضمان تنفيذ العلاقات المدنية، وتقديم واستلام وإجراء التسويات مقابل السلع والخدمات المشتراة وفقًا لقانون الضرائب في أوكرانيا، وقانون أوكرانيا "حول المحاسبة والتقارير المالية في أوكرانيا".
4. إجراءات معالجة البيانات الشخصية: الحصول على الموافقة، إبلاغ عن الحقوق والإجراءات المتعلقة بالبيانات الشخصية للموضوع المعني بالبيانات الشخصية
4.1. يجب أن تكون موافقة موضوع البيانات الشخصية تعبيرًا طوعيًا عن إرادة الشخص الطبيعي بشأن منح الإذن لمعالجة بياناته الشخصية وفقًا للغرض المحدد لمعالجتها.
4.2. يمكن تقديم موافقة موضوع البيانات الشخصية بأشكال مثل:
- وثيقة على ورق تحتوي على بيانات تتيح التعرف على هذه الوثيقة والشخص الطبيعي؛
- وثيقة إلكترونية يجب أن تحتوي على البيانات الإلزامية التي تتيح تحديد هذه الوثيقة والشخص الطبيعي. من المناسب توثيق الإرادة الطوعية للشخص الطبيعي بشأن منح الإذن لمعالجة بياناته الشخصية بتوقيع إلكتروني من قبل الشخص المعني بالبيانات الشخصية؛
- علامة على الصفحة الإلكترونية للوثيقة أو في الملف الإلكتروني، الذي يتم معالجته في النظام المعلوماتي بناءً على الحلول البرمجية والتقنية الموثقة.
4.3. يتم تقديم موافقة موضوع البيانات الشخصية عند إبرام العلاقات المدنية وفقًا للتشريعات السارية.
4.4. يتم إبلاغ موضوع البيانات الشخصية عن إدراج بياناته الشخصية في قاعدة البيانات الشخصية، والحقوق المحددة بموجب قانون أوكرانيا "عن حماية البيانات الشخصية"، والغرض من جمع البيانات والأشخاص الذين يتم نقل بياناته الشخصية إليهم أثناء إبرام العلاقات المدنية وفقًا للتشريعات السارية.
4.5. يُمنع معالجة البيانات الشخصية المتعلقة بالأصل العرقي أو الإثني، والمعتقدات السياسية أو الدينية أو الفلسفية، وعضوية الأحزاب السياسية والنقابات المهنية، وكذلك البيانات المتعلقة بالصحة أو الحياة الجنسية (فئات خاصة من البيانات).
5. موقع قاعدة البيانات الشخصية
5.1. تقع قواعد البيانات الشخصية المشار إليها في القسم 2 من هذه اللائحة في عنوان البائع.
6. شروط الكشف عن المعلومات المتعلقة بالبيانات الشخصية لأطراف ثالثة
6.1. يتم تحديد طريقة الوصول إلى البيانات الشخصية للأطراف الثالثة وفقًا لشروط موافقة موضوع البيانات الشخصية، المقدمة لمالك البيانات الشخصية لمعالجة هذه البيانات، أو وفقًا لمتطلبات القانون.
6.2. لا يتم منح الوصول إلى البيانات الشخصية لطرف ثالث إذا كانت هذه الجهة ترفض تحمل الالتزام بضمان الامتثال لمتطلبات قانون أوكرانيا "حول حماية البيانات الشخصية" أو غير قادرة على ضمان ذلك.
6.3. يقدم موضوع العلاقات المتعلقة بالبيانات الشخصية طلبًا للوصول (المشار إليه لاحقًا - الطلب) إلى البيانات الشخصية لمالك البيانات الشخصية.
6.4. في الطلب يتم الإشارة إلى:
- الاسم، اللقب واسم الأب، مكان الإقامة (مكان التواجد) وبيانات الوثيقة التي تثبت هوية الشخص الذي يقدم الطلب (للفرد - مقدم الطلب)؛
- اسم، موقع الكيان القانوني الذي يقدم الطلب، المنصب، اللقب، الاسم واسم الأب للشخص الذي يصدق الطلب؛ تأكيد أن محتوى الطلب يتوافق مع صلاحيات الكيان القانوني (للكيان القانوني - مقدم الطلب)؛
- اسم العائلة، الاسم واسم الأب، بالإضافة إلى معلومات أخرى تتيح التعرف على الشخص الطبيعي الذي يتم تقديم الطلب بشأنه؛
- معلومات عن قاعدة البيانات الشخصية التي يتم تقديم الطلب بشأنها، أو معلومات عن مالك أو مدير هذه القاعدة من البيانات الشخصية؛
- قائمة البيانات الشخصية المطلوبة؛
- الأهداف و/أو الأسس القانونية للطلب.
6.5. لا يمكن أن تتجاوز فترة دراسة الطلب من حيث تلبيته عشرة أيام عمل من تاريخ استلامه. خلال هذه الفترة، يقوم مالك قاعدة البيانات الشخصية بإبلاغ الشخص الذي يقدم الطلب بأن الطلب سيتم تلبيته أو أن البيانات الشخصية المعنية لا يمكن تقديمها، مع الإشارة إلى الأساس المحدد في التشريع المعني. يتم تلبية الطلب خلال ثلاثين يومًا تقويميًا من تاريخ استلامه، ما لم ينص القانون على خلاف ذلك.
6.6. يُسمح بتأجيل الوصول إلى البيانات الشخصية للأطراف الثالثة في حالة عدم إمكانية تقديم البيانات المطلوبة خلال ثلاثين يومًا تقويميًا من تاريخ استلام الطلب. وفي هذه الحالة، لا يمكن أن يتجاوز المدة الإجمالية لحل المسائل المثارة في الطلب خمسة وأربعين يومًا تقويميًا.
6.7. يتم إبلاغ الطرف الثالث الذي قدم الطلب بقرار التأجيل كتابيًا مع توضيح إجراءات الطعن في هذا القرار.
6.8. في رسالة التأجيل يتم الإشارة إلى:
- اسم العائلة، الاسم واسم الأب للشخص المسؤول؛
- تاريخ إرسال الرسالة؛
- سبب التأجيل؛
- المدة الزمنية التي سيتم خلالها تلبية الطلب.
6.9. يُسمح برفض الوصول إلى البيانات الشخصية إذا كان الوصول إليها محظورًا بموجب القانون.
6.10. في رسالة الرفض يتم الإشارة إلى:
- اسم العائلة، الاسم، اسم الأب للشخص المسؤول الذي يرفض الوصول؛
- تاريخ إرسال الرسالة؛
- سبب الرفض.
6.11. يمكن الطعن في القرار بشأن تأجيل أو رفض الوصول إلى البيانات الشخصية أمام المحكمة.
7. حماية البيانات الشخصية: طرق الحماية، الشخص المسؤول، الموظفون الذين يقومون مباشرة بمعالجة و/أو لديهم وصول إلى البيانات الشخصية في سياق أداء واجباتهم الوظيفية، مدة الاحتفاظ بالبيانات الشخصية
7.1. تم تجهيز مالك قاعدة البيانات الشخصية بوسائل تقنية وبرمجية وأنظمة اتصالات تمنع الفقدان والسرقة والتدمير غير المصرح به والتشويه والتزوير ونسخ المعلومات وتلبي متطلبات المعايير الدولية والوطنية.
7.2. الشخص المسؤول ينظم العمل المتعلق بحماية البيانات الشخصية أثناء معالجتها، وفقًا للقانون. يتم تعيين الشخص المسؤول بموجب قرار من مالك قاعدة البيانات الشخصية.
تُحدد واجبات الشخص المسؤول عن تنظيم العمل المتعلق بحماية البيانات الشخصية أثناء معالجتها في الوصف الوظيفي.
7.3. يجب على الشخص المسؤول الالتزام بـ:
- معرفة التشريعات الأوكرانية في مجال حماية البيانات الشخصية؛
- تطوير إجراءات الوصول إلى البيانات الشخصية للموظفين وفقًا لواجباتهم المهنية أو الوظيفية أو العمالية؛
- توفير تنفيذ موظفي مالك قاعدة البيانات لمتطلبات التشريعات الأوكرانية في مجال حماية البيانات الشخصية والمستندات الداخلية التي تنظم أنشطة مالك قاعدة البيانات فيما يتعلق بمعالجة وحماية البيانات الشخصية في قواعد البيانات الشخصية؛
- تطوير إجراءات (إجراءات) الرقابة الداخلية على الامتثال لمتطلبات التشريعات الأوكرانية في مجال حماية البيانات الشخصية والمستندات الداخلية التي تنظم أنشطة مالك قاعدة البيانات الشخصية فيما يتعلق بمعالجة وحماية البيانات الشخصية في قواعد البيانات الشخصية، والتي يجب أن تتضمن، من بين أمور أخرى، معايير تتعلق بتكرار تنفيذ هذه الرقابة؛
- إبلاغ مالك قاعدة البيانات الشخصية عن حالات انتهاك الموظفين لمتطلبات التشريعات الأوكرانية في مجال حماية البيانات الشخصية والمستندات الداخلية التي تنظم نشاط مالك قاعدة البيانات الشخصية فيما يتعلق بمعالجة وحماية البيانات الشخصية في قواعد البيانات الشخصية في موعد لا يتجاوز يوم عمل واحد من لحظة اكتشاف هذه الانتهاكات؛
- توفير تخزين الوثائق التي تؤكد منح موضوع البيانات الشخصية موافقته على معالجة بياناته الشخصية وإبلاغ هذا الموضوع بحقوقه.
7.4. بهدف تنفيذ واجباتها، يحق للشخص المسؤول ما يلي:
- الحصول على الوثائق اللازمة، بما في ذلك الأوامر وغيرها من الوثائق التنظيمية، الصادرة عن مالك قاعدة البيانات الشخصية، المتعلقة بمعالجة البيانات الشخصية؛
- عمل نسخ من الوثائق المستلمة، بما في ذلك نسخ من الملفات، وأي سجلات محفوظة في الشبكات الحاسوبية المحلية والأنظمة الحاسوبية المستقلة؛
- المشاركة في مناقشة المهام التي يقوم بها في تنظيم العمل المتعلق بحماية البيانات الشخصية أثناء معالجتها؛
- تقديم اقتراحات لتحسين الأداء وتطوير أساليب العمل، وتقديم ملاحظات واقتراحات لإزالة العيوب المكتشفة في عملية معالجة البيانات الشخصية؛
- الحصول على توضيحات بشأن معالجة البيانات الشخصية؛
- توقيع وتصديق الوثائق ضمن نطاق اختصاصه.
7.5. يجب على الموظفين الذين يقومون مباشرة بمعالجة و/أو لديهم وصول إلى البيانات الشخصية في سياق أداء واجباتهم الوظيفية (العمالية) الالتزام بمتطلبات التشريعات الأوكرانية في مجال حماية البيانات الشخصية والمستندات الداخلية المتعلقة بمعالجة وحماية البيانات الشخصية في قواعد البيانات الشخصية.
7.6. يجب على الموظفين الذين لديهم وصول إلى البيانات الشخصية، بما في ذلك معالجة هذه البيانات، عدم السماح بكشف أي بيانات شخصية تم الوثوق بها لهم أو التي أصبحت معروفة لهم في سياق أداء واجباتهم المهنية أو الوظيفية أو العمالية. يظل هذا الالتزام ساريًا بعد انتهاء نشاطهم المتعلق بالبيانات الشخصية، باستثناء الحالات التي ينص عليها القانون.
7.7. الأشخاص الذين لديهم حق الوصول إلى البيانات الشخصية، بما في ذلك، يقومون بمعالجتها في حالة انتهاكهم لمتطلبات قانون أوكرانيا "حول حماية البيانات الشخصية" يتحملون المسؤولية وفقًا للتشريعات الأوكرانية.
7.8. يجب ألا تُخزن البيانات الشخصية لفترة أطول من اللازم للغرض الذي تم تخزين هذه البيانات من أجله، ولكن في جميع الأحوال، يجب ألا تتجاوز فترة تخزين البيانات المدة المحددة بموافقة صاحب البيانات الشخصية على معالجة هذه البيانات.
8. حقوق موضوع البيانات الشخصية
8.1. يحق لصاحب البيانات الشخصية:
- معرفة موقع قاعدة البيانات الشخصية التي تحتوي على بياناته الشخصية، والغرض منها واسمها، وموقعها و/أو مكان إقامة (إقامة) مالك أو مدير هذه القاعدة أو إعطاء التوجيه المناسب للحصول على هذه المعلومات للأشخاص المخولين بذلك، باستثناء الحالات التي ينص عليها القانون؛
- الحصول على معلومات حول شروط تقديم الوصول إلى البيانات الشخصية، بما في ذلك المعلومات عن الأطراف الثالثة التي يتم نقل بياناته الشخصية إليها، والتي توجد في قاعدة البيانات الشخصية المعنية؛
- للوصول إلى بياناتك الشخصية الموجودة في قاعدة البيانات الشخصية المعنية؛
- يجب الحصول على الرد في موعد لا يتجاوز ثلاثين يومًا تقويميًا من تاريخ تقديم الطلب، باستثناء الحالات المنصوص عليها في القانون، حول ما إذا كانت بياناته الشخصية محفوظة في قاعدة البيانات الشخصية المعنية، وكذلك الحصول على محتوى بياناته الشخصية المخزنة؛
- تقديم طلب مبرر للاعتراض على معالجة بياناته الشخصية من قبل السلطات الحكومية والسلطات المحلية أثناء ممارسة صلاحياتها المنصوص عليها في القانون؛
- تقديم طلب مبرر لتغيير أو حذف بياناته الشخصية من قبل أي مالك أو مسؤول عن هذه القاعدة، إذا كانت هذه البيانات تتم معالجتها بشكل غير قانوني أو كانت غير دقيقة؛
- لحماية بياناتك الشخصية من المعالجة غير القانونية والفقدان العرضي أو التدمير أو التلف بسبب الإخفاء المتعمد أو عدم تقديمها أو تقديمها في الوقت غير المناسب، وكذلك لحماية نفسك من تقديم معلومات غير دقيقة أو تشوه الشرف والكرامة والسمعة التجارية للفرد؛
- التوجه بشأن مسائل حماية حقوقهم المتعلقة بالبيانات الشخصية إلى السلطات الحكومية، والسلطات المحلية، التي تتولى مسؤوليات حماية البيانات الشخصية؛
- تطبيق وسائل الحماية القانونية في حالة انتهاك التشريعات المتعلقة بحماية البيانات الشخصية.
9. إجراءات العمل مع طلبات موضوع البيانات الشخصية
9.1. يحق لموضوع البيانات الشخصية الحصول على أي معلومات عن نفسه من أي طرف ذو علاقة بالبيانات الشخصية، دون الحاجة لذكر هدف الطلب، باستثناء الحالات التي ينص عليها القانون.
9.2. يتم الوصول إلى بيانات الشخص المعني بالبيانات عن نفسه مجانًا.
9.3. يقدم موضوع البيانات الشخصية طلبًا للوصول (المشار إليه لاحقًا - الطلب) إلى البيانات الشخصية لمالك قاعدة البيانات الشخصية.
يتم الإشارة في الطلب إلى:
- اسم العائلة، الاسم واسم الأب، مكان الإقامة (مكان التواجد) وبيانات الوثيقة التي تثبت هوية الشخص المعني بالبيانات الشخصية؛
- معلومات أخرى تتيح تحديد هوية الشخص المعني بالبيانات الشخصية؛
- معلومات عن قاعدة البيانات الشخصية التي يتم تقديم الطلب بشأنها، أو معلومات عن مالك أو مدير هذه القاعدة؛
- قائمة البيانات الشخصية المطلوبة.
9.4. لا يمكن أن تتجاوز فترة دراسة الطلب من حيث تلبيته عشرة أيام عمل من تاريخ استلامه. خلال هذه الفترة، يقوم مالك قاعدة البيانات الشخصية بإبلاغ موضوع البيانات الشخصية بأن الطلب سيتم تلبيته أو أن البيانات الشخصية المعنية لا يمكن تقديمها، مع الإشارة إلى الأساس المحدد في التشريع المعني.
9.5. يتم تلبية الطلب خلال ثلاثين يومًا تقويميًا من تاريخ استلامه، ما لم ينص القانون على خلاف ذلك.
10. التسجيل الرسمي لقاعدة البيانات الشخصية
10.1. يتم التسجيل الحكومي لقاعدة البيانات الشخصية وفقًا للمادة 9 من قانون أوكرانيا «عن حماية البيانات الشخصية».