Ustanovení o zpracování a ochraně osobních údajů v databázích osobních údajů, jejichž vlastníkem je prodávající
Obsah
- Obecné pojmy a oblast použití
- Seznam základních databází osobních údajů
- Cíl zpracování osobních údajů
- Pořadí zpracování osobních údajů: získání souhlasu, oznámení o právech a činnosti s osobními údaji subjektu osobních údajů
- Umístění databáze osobních údajů
- Podmínky zpřístupnění informací o osobních údajích třetím stranám
- Ochrana osobních údajů: způsoby ochrany, odpovědná osoba, zaměstnanci, kteří přímo provádějí zpracování a/nebo mají přístup k osobním údajům v souvislosti s plněním svých pracovních povinností, doba uchovávání osobních údajů
- Práva subjektu osobních údajů
- Pořádek práce s žádostmi subjektu osobních údajů
- Státní registrace databáze osobních údajů
1. Obecné pojmy a oblast použití
1.1. Definice pojmů:
databáze osobních údajů — pojmenovaná souhrn uspořádaných osobních údajů v elektronické formě a/nebo ve formě kartoték osobních údajů;
odpovědná osoba — určená osoba, která organizuje práci související s ochranou osobních údajů při jejich zpracování, v souladu se zákonem;
držitel databáze osobních údajů — fyzická nebo právnická osoba, které zákonem nebo se souhlasem subjektu osobních údajů bylo uděleno právo na zpracování těchto údajů, která schvaluje účel zpracování osobních údajů v této databázi, stanovuje složení těchto údajů a postupy jejich zpracování, pokud není stanoveno jinak zákonem;
Státní registr databází osobních údajů — jediný státní informační systém sběru, akumulace a zpracování údajů o registrovaných databázích osobních údajů;
veřejně dostupné zdroje osobních údajů - příručky, adresáře, registry, seznamy, katalogy, jiné systematizované sbírky otevřených informací, které obsahují osobní údaje, umístěné a publikované se souhlasem subjektu osobních údajů. Nejsou považovány za veřejně dostupné zdroje osobních údajů sociální sítě a internetové zdroje, ve kterých subjekt osobních údajů zanechává své osobní údaje (kromě případů, kdy subjekt osobních údajů přímo uvedl, že osobní údaje jsou umístěny za účelem jejich volného šíření a využití);
souhlas subjektu osobních údajů — jakékoli zdokumentované, dobrovolné prohlášení fyzické osoby o udělení souhlasu se zpracováním jejích osobních údajů v souladu s formulovaným cílem jejich zpracování;
znepersonalizace osobních údajů — vymazání údajů, které umožňují identifikaci osoby;
zpracování osobních údajů — jakákoli činnost nebo soubor činností provedených zcela nebo částečně v informační (automatizované) systému a/nebo v evidencích osobních údajů, které souvisejí se shromažďováním, registrací, akumulací, uchováváním, přizpůsobováním, změnou, obnovou, používáním a šířením (distribucí, realizací, předáváním), anonymizací, ničením informací o fyzické osobě;
osobní údaje — informace nebo soubor informací o fyzické osobě, která je identifikována nebo může být konkrétně identifikována;
správce databáze osobních údajů — fyzická nebo právnická osoba, které je vlastníkem databáze osobních údajů nebo které bylo zákonem uděleno právo tyto údaje zpracovávat. Není správcem databáze osobních údajů osoba, které bylo vlastníkem a/nebo správcem databáze osobních údajů svěřeno provádět technické práce s databází osobních údajů bez přístupu k obsahu osobních údajů;
subjekt osobních údajů — fyzická osoba, vůči které se v souladu se zákonem provádí zpracování jejích osobních údajů;
třetí osoba – jakákoliv osoba, kromě subjektu osobních údajů, vlastníka nebo správce databáze osobních údajů a oprávněného státního orgánu pro ochranu osobních údajů, kterému vlastníkem nebo správcem databáze osobních údajů jsou předávány osobní údaje v souladu se zákonem;
speciální kategorie údajů - osobní údaje o rasovém nebo etnickém původu, politických, náboženských nebo světonázorových přesvědčeních, členství v politických stranách a profesních svazech, jakož i údaje týkající se zdraví nebo sexuálního života.
1.2. Toto ustanovení je závazné pro odpovědnou osobu a zaměstnance prodávajícího, kteří přímo zpracovávají a/nebo mají přístup k osobním údajům v souvislosti s plněním svých pracovních povinností.
2. Seznam základních osobních údajů
2.1. Prodávající je vlastníkem těchto databází osobních údajů:
- databáze osobních údajů kontrahentů.
3. Cíl zpracování osobních údajů
3.1. Cílem zpracování osobních údajů v systému je zajištění realizace občanskoprávních vztahů, poskytování, přijímání a provádění plateb za zakoupené zboží a služby v souladu s daňovým kodexem Ukrajiny, zákonem Ukrajiny „O účetnictví a finančním výkaznictví v Ukrajině“.
4. Pořadí zpracování osobních údajů: získání souhlasu, oznámení o právech a činnosti s osobními údaji subjektu osobních údajů
4.1. Souhlas subjektu osobních údajů musí být dobrovolným projevem vůle fyzické osoby ohledně poskytnutí povolení k zpracování jejích osobních údajů v souladu s formulovaným cílem jejich zpracování.
4.2. Souhlas subjektu osobních údajů může být poskytnut v následujících formách:
- dokument na papírovém nosiči s rekvizity, které umožňují identifikovat tento dokument a fyzickou osobu;
- elektronický dokument, který má obsahovat povinné náležitosti, jež umožňují identifikovat tento dokument a fyzickou osobu. Dobrovolné prohlášení fyzické osoby o udělení souhlasu se zpracováním jejích osobních údajů je vhodné potvrdit elektronickým podpisem subjektu osobních údajů;
- označení na elektronické stránce dokumentu nebo v elektronickém souboru, který je zpracováván v informačním systému na základě zdokumentovaných programově-technických řešení.
4.3. Souhlas subjektu osobních údajů se uděluje při uzavírání občanskoprávních vztahů v souladu s platnou legislativou.
4.4. Oznámení subjektu osobních údajů o zařazení jeho osobních údajů do databáze osobních údajů, práva stanovená zákonem Ukrajiny „O ochraně osobních údajů“, účel sběru údajů a osoby, kterým jsou jeho osobní údaje předávány, se provádí při uzavírání občanskoprávních vztahů v souladu s platnými právními předpisy.
4.5. Zpracování osobních údajů o rasovém nebo etnickém původu, politických, náboženských nebo světonázorových přesvědčeních, členství v politických stranách a profesních svazech, jakož i údajů týkajících se zdraví nebo sexuálního života (speciální kategorie údajů) je zakázáno.
5. Místo uložení databáze osobních údajů
5.1. Uvedené v článku 2 tohoto předpisu databáze osobních údajů se nacházejí na adrese prodávajícího.
6. Podmínky zpřístupnění informací o osobních údajích třetím stranám
6.1. Pořadí přístupu k osobním údajům třetích osob se řídí podmínkami souhlasu subjektu osobních údajů, poskytnutého správci osobních údajů k zpracování těchto údajů, nebo v souladu s požadavky zákona.
6.2. Přístup k osobním údajům třetí osobě není poskytován, pokud se tato osoba odmítá zavázat k zajištění splnění požadavků Zákona Ukrajiny „O ochraně osobních údajů“ nebo není schopna je zajistit.
6.3. Subjekt vztahů souvisejících s osobními údaji podává žádost o přístup (dále jen - žádost) k osobním údajům správci osobních údajů.
6.4. V žádosti se uvádí:
- příjmení, jméno a příjmení, místo bydliště (místo pobytu) a údaje o dokumentu, který potvrzuje fyzickou osobu, která podává žádost (pro fyzickou osobu - žadatele);
- název, sídlo právnické osoby, která podává žádost, pozice, příjmení, jméno a příjmení osoby, která žádost potvrzuje; potvrzení, že obsah žádosti odpovídá pravomocím právnické osoby (pro právnickou osobu - žadatele);
- příjmení, jméno a příjmení, jakož i další údaje, které umožňují identifikaci fyzické osoby, ohledně které je podána žádost;
- informace o databázi osobních údajů, na kterou se dotaz vztahuje, nebo informace o vlastníkovi či správci této databáze osobních údajů;
- seznam osobních údajů, které jsou požadovány;
- meta a/nebo právní důvody pro žádost.
6.5. Doba pro posouzení žádosti o její vyřízení nesmí překročit deset pracovních dnů od jejího doručení. Během této doby vlastník databáze osobních údajů informuje osobu, která žádost podává, zda bude žádost vyřízena, nebo zda příslušné osobní údaje nejsou k dispozici, s uvedením důvodu stanoveného v příslušném právním předpisu. Žádost je vyřízena do třiceti kalendářních dnů od jejího doručení, pokud zákon nestanoví jinak.
6.6. Odložení přístupu k osobním údajům třetích stran je povoleno v případě, že potřebná data nemohou být poskytnuta během třiceti kalendářních dnů od dne doručení žádosti. Přitom celková doba řešení otázek vznesených v žádosti nesmí překročit čtyřicet pět kalendářních dnů.
6.7. Oznámení o odkladu se doručuje třetí osobě, která podala žádost, v písemné formě s vysvětlením postupu pro odvolání proti takovému rozhodnutí.
6.8. V oznámení o odkladu se uvádí:
- příjmení, jméno a příjmení úřední osoby;
- datum odeslání zprávy;
- důvod odložení;
- doba, během které bude žádost splněna.
6.9. Odmítnutí přístupu k osobním údajům je přípustné, pokud je přístup k nim zakázán podle zákona.
6.10. V oznámení o odmítnutí se uvádí:
- příjmení, jméno, příjmení úřední osoby, která odmítá přístup;
- datum odeslání zprávy;
- důvod odmítnutí.
6.11. Rozhodnutí o odkladu nebo odmítnutí přístupu k osobním údajům může být napadeno u soudu.
7. Ochrana osobních údajů: způsoby ochrany, odpovědná osoba, zaměstnanci, kteří přímo provádějí zpracování a/nebo mají přístup k osobním údajům v souvislosti s plněním svých pracovních povinností, doba uchovávání osobních údajů
7.1. Vlastník databáze osobních údajů je vybaven systémovými a programově-technickými prostředky a komunikačními prostředky, které zabraňují ztrátám, krádežím, neoprávněnému zničení, zkreslení, padělání, kopírování informací a odpovídají požadavkům mezinárodních a národních standardů.
7.2. Odpovědná osoba organizuje práci související s ochranou osobních údajů při jejich zpracování v souladu se zákonem. Odpovědná osoba je určena nařízením Správce databáze osobních údajů.
Povinnosti odpovědné osoby týkající se organizace práce spojené s ochranou osobních údajů při jejich zpracování jsou uvedeny v pracovním pokynu.
7.3. Odpovědná osoba je povinna:
- znát legislativu Ukrajiny v oblasti ochrany osobních údajů;
- vyvinout postupy přístupu k osobním údajům zaměstnanců v souladu s jejich profesními, služebními nebo pracovním povinnostmi;
- zajistit, aby zaměstnanci Správce databáze osobních údajů dodržovali požadavky legislativy Ukrajiny v oblasti ochrany osobních údajů a vnitřních dokumentů, které regulují činnost Správce databáze osobních údajů týkající se zpracování a ochrany osobních údajů v databázích osobních údajů;
- vypracovat postup (proceduru) vnitřního kontrolního systému pro dodržování požadavků legislativy Ukrajiny v oblasti ochrany osobních údajů a vnitřních dokumentů, které regulují činnost vlastníka databáze osobních údajů týkající se zpracování a ochrany osobních údajů v databázích osobních údajů, který by měl obsahovat normy týkající se periodicity provádění takové kontroly;
- informovat Správce databáze osobních údajů o skutečnostech porušení požadavků legislativy Ukrajiny v oblasti ochrany osobních údajů a vnitřních dokumentů, které regulují činnost Správce databáze osobních údajů týkající se zpracování a ochrany osobních údajů v databázích osobních údajů, a to nejpozději do jednoho pracovního dne od okamžiku zjištění takových porušení;
- zajistit uchovávání dokumentů, které potvrzují poskytnutí souhlas subjektu osobních údajů se zpracováním svých osobních údajů a informování uvedeného subjektu o jeho právech.
7.4. Za účelem plnění svých povinností má odpovědná osoba právo:
- získat potřebné dokumenty, včetně příkazů a dalších nařízení vydaných vlastníkem databáze osobních údajů, souvisejících se zpracováním osobních údajů;
- dělat kopie z obdržených dokumentů, včetně kopií souborů, jakýchkoli záznamů, které jsou uloženy v místních počítačových sítích a autonomních počítačových systémech;
- účastnit se diskuse o plnění svých povinností v organizaci práce související s ochranou osobních údajů při jejich zpracování;
- předkládat návrhy na zlepšení činnosti a zdokonalování pracovních metod, podávat připomínky a návrhy na odstranění zjištěných nedostatků v procesu zpracování osobních údajů;
- získat vysvětlení k otázkám zpracování osobních údajů;
- podepisovat a schvalovat dokumenty v rámci své kompetence.
7.5. Zaměstnanci, kteří přímo provádějí zpracování a/nebo mají přístup k osobním údajům v souvislosti s plněním svých služebních (pracovních) povinností, jsou povinni dodržovat požadavky legislativy České republiky v oblasti ochrany osobních údajů a vnitřních dokumentů týkajících se zpracování a ochrany osobních údajů v databázích osobních údajů.
7.6. Zaměstnanci, kteří mají přístup k osobním údajům, včetně jejich zpracování, jsou povinni zabránit jakémukoli způsobu zveřejnění osobních údajů, které jim byly svěřeny nebo které se staly známými v souvislosti s plněním profesních, služebních nebo pracovních povinností. Tato povinnost platí i po ukončení jejich činnosti související s osobními údaji, kromě případů stanovených zákonem.
7.7. Osoby, které mají přístup k osobním údajům, včetně těch, které je zpracovávají v případě porušení požadavků Zákona Ukrajiny „O ochraně osobních údajů“, nesou odpovědnost podle legislativy Ukrajiny.
7.8. Osobní údaje by neměly být uchovávány déle, než je nezbytné pro účel, pro který jsou tyto údaje uchovávány, ale v žádném případě ne déle, než je doba uchovávání údajů stanovená souhlasem subjektu osobních údajů se zpracováním těchto údajů.
8. Práva subjektu osobních údajů
8.1. Subjekt osobních údajů má právo:
- znát umístění databáze osobních údajů, která obsahuje jeho osobní údaje, její účel a název, umístění a/nebo bydliště (pobyt) vlastníka nebo správce této databáze, nebo dát příslušné pověření k získání těchto informací jemu zmocněným osobám, kromě případů stanovených zákonem;
- získat informace o podmínkách poskytování přístupu k osobním údajům, zejména informace o třetích osobách, kterým jsou jeho osobní údaje předávány, které se nacházejí v příslušné databázi osobních údajů;
- na přístup k svým osobním údajům, které se nacházejí v příslušné databázi osobních údajů;
- obdržet nejpozději do třiceti kalendářních dnů od dne podání žádosti, kromě případů stanovených zákonem, odpověď na to, zda jsou jeho osobní údaje uloženy v příslušné databázi osobních údajů, a také obdržet obsah jeho osobních údajů, které jsou uloženy;
- předkládat odůvodněný požadavek s námitkou proti zpracování svých osobních údajů orgány státní moci, orgány místní samosprávy při výkonu jejich pravomocí stanovených zákonem;
- předkládat odůvodněný požadavek na změnu nebo zničení svých osobních údajů jakýmkoli vlastníkem a správcem této databáze, pokud jsou tyto údaje zpracovávány nezákonně nebo jsou nepravdivé;
- na ochranu svých osobních údajů před nezákonným zpracováním a náhodnou ztrátou, zničením, poškozením v souvislosti s úmyslným zatajováním, neposkytováním či nečasným jejich poskytnutím, a také na ochranu před poskytováním informací, které jsou nepravdivé nebo poškozují čest, důstojnost a obchodní pověst fyzické osoby;
- obracet se s otázkami ochrany svých práv týkajících se osobních údajů na orgány státní moci, orgány místní samosprávy, jejichž pravomocí je zajištění ochrany osobních údajů;
- používat právní prostředky ochrany v případě porušení legislativy o ochraně osobních údajů.
9. Pořadí práce s žádostmi subjektu osobních údajů
9.1. Subjekt osobních údajů má právo na získání jakýchkoli informací o sobě od jakéhokoli subjektu vztahujícím se k osobním údajům, bez uvedení účelu žádosti, kromě případů stanovených zákonem.
9.2. Přístup subjektu osobních údajů k údajům o sobě se provádí bezplatně.
9.3. Subjekt osobních údajů podává žádost o přístup (dále jen - žádost) k osobním údajům vlastníkovi databáze osobních údajů.
V žádosti se uvádí:
- příjmení, jméno a příjmení, místo bydliště (místo pobytu) a údaje o dokumentu, který potvrzuje totožnost subjektu osobních údajů;
- další informace, které umožňují identifikaci osoby subjektu osobních údajů;
- informace o databázi osobních údajů, na kterou se žádost vztahuje, nebo informace o vlastníku či správci této databáze;
- seznam osobních údajů, které jsou požadovány.
9.4. Doba pro vyřízení žádosti o poskytnutí informací nesmí překročit deset pracovních dnů od jejího doručení. Během této doby správce osobních údajů informuje subjekt údajů, že žádost bude vyřízena, nebo že příslušné osobní údaje nejsou k dispozici, s uvedením důvodu stanoveného v příslušném právním předpisu.
9.5. Žádost je vyřízena do třiceti kalendářních dnů od jejího doručení, pokud není zákonem stanoveno jinak.
10. Státní registrace databáze osobních údajů
10.1. Státní registrace databází osobních údajů se provádí v souladu s článkem 9 Zákona Ukrajiny „O ochraně osobních údajů».