Règlement sur le traitement et la protection des données personnelles dans les bases de données personnelles, dont le propriétaire est le vendeur
Contenu
- Concepts généraux et domaine d'application
- Liste des bases de données personnelles
- Objectif du traitement des données personnelles
- Ordre de traitement des données personnelles : obtention du consentement, information sur les droits et actions concernant les données personnelles de la personne concernée
- Emplacement de la base de données personnelles
- Conditions de divulgation des informations personnelles à des tiers
- Protection des données personnelles : méthodes de protection, personne responsable, employés qui effectuent directement le traitement et/ou ont accès aux données personnelles dans le cadre de l'exécution de leurs fonctions, durée de conservation des données personnelles
- Droits de la personne concernée par les données personnelles
- Procédure de traitement des demandes de la personne concernée
- Enregistrement public de la base de données personnelles
1. Concepts généraux et domaine d'application
1.1. Définition des termes :
base de données personnelles — un ensemble nommé de données personnelles ordonnées sous forme électronique et/ou sous forme de fichiers de données personnelles ;
personne responsable — personne désignée qui organise le travail lié à la protection des données personnelles lors de leur traitement, conformément à la loi;
propriétaire de la base de données personnelles — personne physique ou morale à qui la loi ou avec le consentement de la personne concernée a accordé le droit de traiter ces données, qui approuve l'objectif du traitement des données personnelles dans cette base de données, établit la composition de ces données et les procédures de leur traitement, sauf disposition contraire de la loi ;
Registre national des bases de données personnelles — le système d'information national unique pour la collecte, l'accumulation et le traitement des informations sur les bases de données personnelles enregistrées ;
sources publiques de données personnelles — répertoires, annuaires, registres, listes, catalogues, autres collectes systématisées d'informations ouvertes contenant des données personnelles, publiées et mises à disposition avec le consentement de la personne concernée. Ne sont pas considérées comme des sources de données personnelles accessibles au public les réseaux sociaux et les ressources Internet où la personne concernée laisse ses données personnelles (sauf dans les cas où la personne concernée indique clairement que les données personnelles sont publiées dans le but de leur diffusion et utilisation libre);
consentement de la personne concernée — toute manifestation de volonté documentée et volontaire d'une personne physique concernant l'autorisation de traiter ses données personnelles conformément à l'objectif formulé de leur traitement ;
dissociation des données personnelles — extraction d'informations permettant d'identifier une personne;
traitement des données personnelles — Toute action ou ensemble d'actions effectuées entièrement ou partiellement dans un système d'information (automatisé) et/ou dans des fichiers de données personnelles, liées à la collecte, l'enregistrement, l'accumulation, le stockage, l'adaptation, la modification, le renouvellement, l'utilisation et la diffusion (distribution, réalisation, transmission), l'anonymisation, la destruction d'informations concernant une personne physique ;
données personnelles — informations ou ensemble d'informations sur une personne physique qui est identifiée ou peut être spécifiquement identifiée ;
responsable de la base de données personnelles - personne physique ou morale, à laquelle le propriétaire de la base de données personnelles ou la loi a accordé le droit de traiter ces données. N'est pas le gestionnaire de la base de données personnelles la personne à laquelle le propriétaire et/ou le gestionnaire de la base de données personnelles a confié l'exécution de travaux de nature technique sur la base de données personnelles sans accès au contenu des données personnelles ;
sujet des données personnelles — personne physique, à l'égard de laquelle, conformément à la loi, le traitement de ses données personnelles est effectué ;
troisième personne - toute personne, à l'exception du sujet des données personnelles, du titulaire ou du gestionnaire de la base de données personnelles et de l'autorité publique compétente en matière de protection des données personnelles, à laquelle le titulaire ou le gestionnaire de la base de données personnelles transmet des données personnelles conformément à la loi;
catégories de données spéciales - données personnelles sur l'origine raciale ou ethnique, les convictions politiques, religieuses ou philosophiques, l'appartenance à des partis politiques et à des syndicats, ainsi que des données concernant la santé ou la vie sexuelle.
1.2. La présente disposition est obligatoire pour l'application par la personne responsable et les employés du vendeur qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exécution de leurs fonctions.
2. Liste des bases de données personnelles
2.1. Le vendeur est le propriétaire des bases de données personnelles suivantes :
- base de données personnelles des partenaires.
3. Objectif du traitement des données personnelles
3.1. L'objectif du traitement des données personnelles dans le système est d'assurer la mise en œuvre des relations civiles, de fournir, de recevoir et d'effectuer des paiements pour les biens et services acquis conformément au Code fiscal de l'Ukraine, à la Loi de l'Ukraine « Sur la comptabilité et le reporting financier en Ukraine ».
4. Procédure de traitement des données personnelles : obtention du consentement, information sur les droits et actions concernant les données personnelles de la personne concernée
4.1. Le consentement de la personne concernée doit être une manifestation de volonté libre de la personne physique concernant l'autorisation de traiter ses données personnelles conformément à l'objectif formulé de leur traitement.
4.2. Le consentement de la personne concernée peut être donné sous les formes suivantes :
- document sur support papier avec des mentions permettant d'identifier ce document et la personne physique ;
- document électronique, qui doit contenir les mentions obligatoires permettant d'identifier ce document et la personne physique. La volonté volontaire de la personne physique concernant l'autorisation de traitement de ses données personnelles devrait être certifiée par la signature électronique du sujet des données personnelles;
- marque sur la page électronique d'un document ou dans un fichier électronique, qui est traité dans un système d'information sur la base de solutions programmatiques et techniques documentées.
4.3. Le consentement de la personne concernée par les données personnelles est donné lors de l'établissement de relations civiles conformément à la législation en vigueur.
4.4. Notification of the subject of personal data about the inclusion of their personal data in the personal data database, the rights defined by the Law of Ukraine "On Personal Data Protection", the purpose of data collection, and the persons to whom their personal data is transferred is carried out during the registration of civil legal relations in accordance with current legislation.
4.5. Le traitement des données personnelles concernant l'origine raciale ou ethnique, les convictions politiques, religieuses ou philosophiques, l'appartenance à des partis politiques et à des syndicats, ainsi que des données relatives à la santé ou à la vie sexuelle (catégories particulières de données) est interdit.
5. Emplacement de la base de données personnelles
5.1. Les bases de données personnelles mentionnées dans la section 2 de ce règlement se trouvent à l'adresse du vendeur.
6. Conditions de divulgation des informations sur les données personnelles à des tiers
6.1. L'accès aux données personnelles de tiers est déterminé par les conditions du consentement de la personne concernée, donné au titulaire des données personnelles pour le traitement de ces données, ou conformément aux exigences de la loi.
6.2. L'accès aux données personnelles n'est pas accordé à un tiers si cette personne refuse de s'engager à garantir le respect des exigences de la loi ukrainienne « Sur la protection des données personnelles » ou si elle est incapable de les garantir.
6.3. Le sujet des relations liées aux données personnelles soumet une demande d'accès (ci-après - demande) aux données personnelles au titulaire des données personnelles.
6.4. La demande indique :
- nom, prénom et patronyme, lieu de résidence (lieu de séjour) et coordonnées du document attestant l'identité de la personne physique qui fait la demande (pour la personne physique - le demandeur) ;
- nom, adresse de la personne morale qui soumet la demande, poste, nom, prénom et patronyme de la personne qui certifie la demande ; confirmation que le contenu de la demande est conforme aux pouvoirs de la personne morale (pour la personne morale - demandeur) ;
- nom, prénom et nom de famille, ainsi que d'autres informations permettant d'identifier la personne physique concernée par la demande ;
- informations sur la base de données personnelles, concernant laquelle la demande est faite, ou informations sur le propriétaire ou le gestionnaire de cette base de données personnelles ;
- liste des données personnelles demandées ;
- métas et/ou bases légales pour la demande.
6.5. Le délai d'examen de la demande concernant sa satisfaction ne peut excéder dix jours ouvrables à compter de sa réception. Pendant ce délai, le titulaire de la base de données personnelles informe la personne qui soumet la demande que celle-ci sera satisfaite ou que les données personnelles concernées ne peuvent pas être fournies, en précisant le fondement établi dans l'acte réglementaire correspondant. La demande est satisfaite dans un délai de trente jours calendaires à compter de sa réception, sauf disposition contraire de la loi.
6.6. Le report d'accès aux données personnelles de tiers est autorisé si les données nécessaires ne peuvent pas être fournies dans les trente jours calendaires suivant la réception de la demande. Dans ce cas, le délai total de traitement des questions soulevées dans la demande ne peut excéder quarante-cinq jours calendaires.
6.7. La notification de report est portée à la connaissance de la tierce personne qui a fait la demande, par écrit, avec des explications sur la procédure de contestation de cette décision.
6.8. Dans le message de report, il est indiqué :
- nom, prénom et nom du père de l'agent public ;
- date d'envoi du message;
- raison du report;
- ligne, pendant laquelle la demande sera satisfaite.
6.9. Le refus d'accès aux données personnelles est autorisé si l'accès à celles-ci est interdit par la loi.
6.10. Dans le message de refus, il est indiqué :
- nom, prénom, nom du père de l'agent qui refuse l'accès;
- date d'envoi du message;
- raison du refus.
6.11. La décision de report ou de refus d'accès aux données personnelles peut être contestée devant le tribunal.
7. Protection des données personnelles : méthodes de protection, personne responsable, employés qui effectuent directement le traitement et/ou ont accès aux données personnelles dans le cadre de l'exécution de leurs fonctions, durée de conservation des données personnelles
7.1. Le titulaire de la base de données personnelles est équipé de moyens systémiques et de moyens techniques et logiciels, ainsi que de moyens de communication, qui préviennent les pertes, les vols, la destruction non autorisée, la déformation, la contrefaçon, la copie d'informations et qui répondent aux exigences des normes internationales et nationales.
7.2. La personne responsable organise le travail lié à la protection des données personnelles lors de leur traitement, conformément à la loi. La personne responsable est désignée par un ordre du Responsable de la base de données personnelles.
Les responsabilités de la personne responsable concernant l'organisation du travail lié à la protection des données personnelles lors de leur traitement sont indiquées dans la description de poste.
7.3. La personne responsable est tenue de :
- connaître la législation ukrainienne en matière de protection des données personnelles ;
- développer des procédures d'accès aux données personnelles des employés en fonction de leurs obligations professionnelles, de service ou de travail;
- assurer que les employés du Titulaire de la base de données personnelles respectent les exigences de la législation ukrainienne en matière de protection des données personnelles et des documents internes régissant les activités du Titulaire de la base de données personnelles concernant le traitement et la protection des données personnelles dans les bases de données personnelles;
- développer un ordre (procédure) de contrôle interne pour le respect des exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes régissant l'activité du titulaire de la base de données personnelles concernant le traitement et la protection des données personnelles dans les bases de données personnelles, qui doit notamment contenir des normes concernant la périodicité de ce contrôle ;
- informer le Titulaire de la base de données personnelles des faits de violations par les employés des exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes régissant l'activité du Titulaire de la base de données personnelles concernant le traitement et la protection des données personnelles dans les bases de données personnelles dans un délai ne dépassant pas un jour ouvrable à compter de la découverte de telles violations ;
- assurer la conservation des documents prouvant que le sujet des données personnelles a donné son consentement au traitement de ses données personnelles et l'information de ce sujet sur ses droits.
7.4. Dans le but d'exécuter ses obligations, la personne responsable a le droit de :
- recevoir les documents nécessaires, y compris les ordres et autres documents réglementaires, émis par le Titulaire de la base de données personnelles, liés au traitement des données personnelles;
- faire des copies des documents reçus, y compris des copies de fichiers, de tout enregistrement stocké dans des réseaux informatiques locaux et des systèmes informatiques autonomes ;
- participer à la discussion des responsabilités qu'il exerce dans l'organisation du travail lié à la protection des données personnelles lors de leur traitement;
- soumettre des propositions pour améliorer les activités et perfectionner les méthodes de travail, faire des remarques et proposer des solutions pour remédier aux défauts identifiés dans le processus de traitement des données personnelles;
- obtenir des explications sur les questions relatives au traitement des données personnelles ;
- signer et visa les documents dans le cadre de ses compétences.
7.5. Les employés qui effectuent directement le traitement et/ou ont accès aux données personnelles dans le cadre de l'exécution de leurs obligations professionnelles (de travail) sont tenus de respecter les exigences de la législation ukrainienne en matière de protection des données personnelles ainsi que les documents internes concernant le traitement et la protection des données personnelles dans les bases de données de données personnelles.
7.6. Les employés ayant accès aux données personnelles, y compris ceux qui les traitent, sont tenus de ne pas divulguer de quelque manière que ce soit les données personnelles qui leur ont été confiées ou qui sont devenues connues dans le cadre de l'exécution de leurs obligations professionnelles, de service ou de travail. Cette obligation reste en vigueur après la cessation de leurs activités liées aux données personnelles, sauf dans les cas prévus par la loi.
7.7. Les personnes ayant accès aux données personnelles, y compris celles qui les traitent en cas de violation des exigences de la loi ukrainienne « Sur la protection des données personnelles », sont responsables conformément à la législation ukrainienne.
7.8. Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour l'objectif pour lequel ces données sont conservées, mais en tout état de cause pas plus longtemps que la durée de conservation des données définie par le consentement de la personne concernée pour le traitement de ces données.
8. Droits de la personne concernée par les données personnelles
8.1. Le sujet des données personnelles a le droit de :
- savoir sur l'emplacement de la base de données personnelles, qui contient ses données personnelles, son but et son nom, l'emplacement et/ou le lieu de résidence (séjour) du propriétaire ou du gestionnaire de cette base ou donner un mandat approprié pour obtenir cette information à des personnes autorisées par lui, sauf dans les cas prévus par la loi;
- recevoir des informations sur les conditions d'accès aux données personnelles, y compris des informations sur les tiers auxquels ses données personnelles sont transmises, qui se trouvent dans la base de données personnelle correspondante;
- à l'accès à vos données personnelles, qui se trouvent dans la base de données personnelle correspondante;
- recevoir au plus tard dans les trente jours calendaires suivant la date de réception de la demande, sauf dans les cas prévus par la loi, une réponse concernant la conservation de ses données personnelles dans la base de données personnelle concernée, ainsi que recevoir le contenu de ses données personnelles qui sont conservées ;
- présenter une demande motivée de contestation du traitement de ses données personnelles par les autorités publiques, les organes de l'administration locale dans l'exercice de leurs pouvoirs prévus par la loi;
- présenter une demande motivée de modification ou de destruction de ses données personnelles à tout titulaire et gestionnaire de cette base, si ces données sont traitées illégalement ou sont inexactes;
- pour la protection de vos données personnelles contre le traitement illégal et la perte, la destruction, ou les dommages accidentels en raison de la dissimulation intentionnelle, du non-communication ou de la communication tardive, ainsi que pour la protection contre la fourniture d'informations qui sont inexactes ou qui portent atteinte à l'honneur, à la dignité et à la réputation professionnelle d'une personne physique ;
- s'adresser aux autorités publiques, aux organes de l'administration locale, dont les compétences incluent la protection des données personnelles concernant la protection de ses droits relatifs aux données personnelles ;
- appliquer des moyens de protection juridique en cas de violation de la législation sur la protection des données personnelles.
9. Procédure de traitement des demandes de la personne concernée
9.1. Le sujet des données personnelles a le droit d'obtenir toute information le concernant auprès de tout sujet des relations liées aux données personnelles, sans indiquer l'objectif de la demande, sauf dans les cas prévus par la loi.
9.2. L'accès de la personne concernée aux données la concernant est gratuit.
9.3. Le sujet des données personnelles soumet une demande d'accès (ci-après - demande) aux données personnelles au propriétaire de la base de données personnelles.
La demande indique :
- nom, prénom et nom de famille, lieu de résidence (lieu de séjour) et coordonnées du document d'identité de la personne concernée;
- autres informations permettant d'identifier la personne concernée par les données personnelles ;
- informations sur la base de données personnelles, concernant laquelle la demande est faite, ou informations sur le propriétaire ou le gestionnaire de cette base;
- liste des données personnelles demandées.
9.4. Le délai d'examen de la demande concernant sa satisfaction ne peut excéder dix jours ouvrables à compter de sa réception. Pendant ce délai, le titulaire de la base de données personnelles informe la personne concernée que la demande sera satisfaite ou que les données personnelles correspondantes ne peuvent pas être fournies, en précisant le fondement établi dans l'acte réglementaire correspondant.
9.5. La demande est satisfaite dans un délai de trente jours calendaires à compter de sa réception, sauf disposition contraire de la loi.
10. Enregistrement public de la base de données personnelles
10.1. L'enregistrement d'État des bases de données personnelles est effectué conformément à l'article 9 de la Loi ukrainienne «Sur la protection des données personnelles».