תקנות על עיבוד והגנה על נתונים אישיים בבסיסי נתונים אישיים, שבעליהם הוא המוכר
תוכן
- מונחים כלליים ותחום יישום
- רשימת בסיסי נתונים אישיים
- מטרת עיבוד נתונים אישיים
- סדר עיבוד הנתונים האישיים: קבלת הסכמה, הודעה על זכויות ופעולות עם הנתונים האישיים של נושא הנתונים האישיים
- מיקום בסיס הנתונים האישי
- תנאי גילוי מידע על נתונים אישיים לגורמים שלישיים
- הגנת נתונים אישיים: דרכי הגנה, אדם אחראי, עובדים המבצעים ישירות עיבוד ו/או יש להם גישה לנתונים אישיים בקשר לביצוע חובותיהם, תקופת שמירת הנתונים האישיים
- זכויות נושא המידע האישי
- סדר העבודה עם בקשות של נושא הנתונים האישיים
- רישום מדינתי של מאגרי נתונים אישיים
1. מושגים כלליים ותחום יישום
1.1. הגדרת מונחים:
מאגר נתוני אישי — אוסף מסודר של נתונים אישיים בצורה אלקטרונית ו/או בצורה של כרטיסיות נתונים אישיים;
אחראי — אדם מוגדר, אשר מארגן את העבודה הקשורה להגנה על נתונים אישיים במהלך עיבודם, בהתאם לחוק;
בעל מאגר הנתונים האישיים — אדם פיזי או משפטי, אשר החוק או בהסכמת נושא הנתונים האישיים נתן לו את הזכות לעבד את הנתונים הללו, המאשר את מטרת עיבוד הנתונים האישיים במסד נתונים זה, קובע את הרכב הנתונים הללו ואת הליכי העיבוד שלהם, אלא אם כן נקבע אחרת בחוק;
מרשם המדינה של בסיסי נתונים אישיים — מערכת מידע ממשלתית ייחודית לאיסוף, צבירה ועיבוד מידע על מאגרי נתונים אישיים רשומים;
מקורות ציבוריים של נתונים אישיים - מדריכים, ספרי כתובות, רישומים, רשימות, קטלוגים, אוספים אחרים של מידע פתוח, המכילים נתונים אישיים, הממוקמים ומפורסמים בידיעת נושא הנתונים האישיים. לא נחשבים כמקורות ציבוריים של נתונים אישיים רשתות חברתיות ומשאבי אינטרנט, שבהם נושא הנתונים האישיים משאיר את הנתונים האישיים שלו (מלבד מקרים שבהם נושא הנתונים האישיים מציין במפורש כי הנתונים האישיים ממוקמים במטרה להפיץ ולהשתמש בהם בחופשיות);
הסכמה של נושא המידע האישי — כל הצהרה מתועדת, רצונית של אדם פרטי לגבי מתן רשות לעיבוד הנתונים האישיים שלו בהתאם למטרה המוגדרת לעיבודם;
הסרת זיהוי מנתונים אישיים — הסרת מידע המאפשר זיהוי של אדם;
עיבוד נתונים אישיים — כל פעולה או קבוצת פעולות, המתבצעות במלואן או בחלקן במערכת מידע (אוטומטית) ו/או במאגרי נתונים אישיים, הקשורות לאיסוף, רישום, צבירה, אחסון, התאמה, שינוי, חידוש, שימוש והפצה (הפצה, מימוש, העברה), אנונימיזציה, השמדת מידע על אדם פרטי;
פרטים אישיים - מידע או אוסף מידע על אדם פיזי, אשר מזוהה או יכול להיות מזוהה באופן ספציפי;
מנהל מאגרי המידע האישיים - אדם פיזי או משפטי, אשר בעל מאגר הנתונים האישיים או החוק העניק לו את הזכות לעבד את הנתונים הללו. לא נחשב למנהל מאגר הנתונים האישיים אדם אשר הוטלה עליו על ידי הבעלים ו/או המנהל של מאגר הנתונים האישיים לבצע עבודות טכניות במאגר הנתונים האישיים ללא גישה לתוכן הנתונים האישיים;
נושא המידע האישי - אדם פרטי, לגביו מתבצעת עיבוד של נתוניו האישיים בהתאם לחוק;
שלישי - כל אדם, למעט נושא המידע האישי, בעל או מנהל מאגר המידע האישי ורשות המדינה המוסמכת לענייני הגנת המידע האישי, אשר לו מועבר המידע האישי על ידי בעל או מנהל מאגר המידע האישי בהתאם לחוק;
קטגוריות נתונים מיוחדות - נתונים אישיים על מוצא גזעי או אתני, אמונות פוליטיות, דתיות או עקרוניות, חברות במפלגות פוליטיות ובאיגודים מקצועיים, וכן נתונים הנוגעים לבריאות או לחיים מיניים.
1.2. ההוראה הזו מחייבת את האדם האחראי ואת העובדים של המוכר, אשר מבצעים ישירות עיבוד ו/או יש להם גישה לנתונים אישיים בקשר לביצוע חובותיהם המקצועיות.
2. רשימת בסיסי נתונים אישיים
2.1. המוכר הוא בעל הבסיסים הבאים של נתוני אישיות:
- מאגר נתוני אישיות של צדדים שלישיים.
3. מטרת עיבוד הנתונים האישיים
3.1. מטרת עיבוד הנתונים האישיים במערכת היא להבטיח את מימוש היחסים האזרחיים-משפטיים, מתן, קבלת וביצוע תשלומים עבור מוצרים ושירותים שנרכשו בהתאם לקוד המס של אוקראינה, לחוק האוקראיני "על חשבונאות ודיווח פיננסי באוקראינה".
4. סדר עיבוד הנתונים האישיים: קבלת הסכמה, הודעה על זכויות ופעולות עם הנתונים האישיים של נושא הנתונים האישיים
4.1. הסכמת הנמען של הנתונים האישיים חייבת להיות ביטוי רצון מרצון של אדם פרטי לגבי מתן רשות לעיבוד הנתונים האישיים שלו בהתאם למטרה המוגדרת של עיבודם.
4.2. הסכמת הנמען של הנתונים האישיים יכולה להינתן בצורות הבאות:
- מסמך על נייר עם פרטים המאפשרים לזהות את המסמך ואת האדם הפיזי;
- מסמך אלקטרוני, אשר חייב לכלול פרטים חובה, המאפשרים לזהות את המסמך ואת הפרט הפיזי. רצוי לאשר את הרצון החופשי של הפרט הפיזי לגבי מתן רשות לעיבוד הנתונים האישיים שלו באמצעות חתימה אלקטרונית של נושא הנתונים האישיים;
- סימון בדף אלקטרוני של מסמך או בקובץ אלקטרוני, המעובד במערכת מידע על בסיס פתרונות תוכנה-טכנולוגיים מתועדים.
4.3. הסכמת הנמען של הנתונים האישיים ניתנת במהלך ביצוע יחסים אזרחיים בהתאם לחוק הקיים.
4.4. הודעת הנושא של נתונים אישיים על הכללת הנתונים האישיים שלו בבסיס הנתונים האישיים, הזכויות המוגדרות בחוק הישראלי "על הגנת נתונים אישיים", מטרת איסוף הנתונים ואנשים להם מועברים הנתונים האישיים שלו מתבצעת במהלך הסדרת יחסים אזרחיים בהתאם לחוק הקיים.
4.5. עיבוד נתונים אישיים על מוצא גזעי או אתני, אמונות פוליטיות, דתיות או השקפת עולם, חברות במפלגות פוליטיות ובאיגודים מקצועיים, כמו גם נתונים הנוגעים לבריאות או לחיים מיניים (קטגוריות מיוחדות של נתונים) אסור.
5. מיקום בסיס הנתונים האישיים
5.1. הבסיסים של נתוני האישיים המצוינים בסעיף 2 של תקנון זה נמצאים בכתובת המוכר.
6. תנאי גילוי מידע על נתונים אישיים לגורמים שלישיים
6.1. סדר הגישה לנתונים האישיים של צדדים שלישיים נקבע על ידי תנאי ההסכמה של נושא הנתונים האישיים, שניתנה לבעל הנתונים האישיים לעיבוד נתונים אלה, או בהתאם לדרישות החוק.
6.2. גישה לנתונים האישיים לא תינתן לגורם שלישי אם אותו גורם מסרב לקחת על עצמו את המחויבות להבטיח את עמידה בדרישות חוק הגנת הפרטיות של אוקראינה או שאינו מסוגל להבטיח זאת.
6.3. נושא הקשרים הקשורים לנתונים אישיים מגיש בקשה לגישה (להלן - הבקשה) לנתונים האישיים לבעל הנתונים האישיים.
6.4. בבקשה מצוינים:
- שם משפחה, שם פרטי ואב, מקום מגורים (מקום שהייה) ופרטי המסמך המזהה את הפרט המגיש את הבקשה (לפרט - מגיש הבקשה);
- שם, מיקום של הגוף המשפטי המגיש את הבקשה, תפקיד, שם משפחה, שם פרטי ושם האב של האדם המאשר את הבקשה; אישור שהתוכן של הבקשה תואם את הסמכויות של הגוף המשפטי (לגוף המשפטי - המגיש);
- שם משפחה, שם פרטי ושם האב, כמו גם מידע נוסף המאפשר לזהות אדם פרטי, לגביו נעשה הבקשה;
- פרטים על בסיס הנתונים האישיים, לגביו מוגשת הבקשה, או פרטים על בעל או מנהל בסיס הנתונים האישיים הזה;
- רשימת הנתונים האישיים הנדרשים;
- מטרות ו/או בסיסים משפטיים לבקשה.
6.5. משך זמן בחינת הבקשה לעניין סיפוקה לא יכול לעלות על עשרה ימי עבודה מיום קבלתה. במהלך פרק זמן זה, בעל מאגר הנתונים האישיים יודיע לאדם המגיש את הבקשה אם הבקשה תסופק או שהנתונים האישיים הרלוונטיים אינם ניתנים למסירה, עם ציון הסיבה שנקבעה בחוק הרלוונטי. הבקשה תסופק בתוך שלושים ימים קלנדריים מיום קבלתה, אלא אם כן החוק קובע אחרת.
6.6. דחיית גישה לנתונים אישיים של צדדים שלישיים מותרת במקרה שבו הנתונים הנדרשים אינם יכולים להיות מסופקים בתוך שלושים ימים קלנדריים מיום קבלת הבקשה. במקביל, משך הזמן הכולל לפתרון הבעיות שהועלו בבקשה לא יכול לעלות על ארבעים וחמישה ימים קלנדריים.
6.7. הודעה על דחיית הבקשה תימסר לגורם שלישי שהגיש את הבקשה, בכתב עם הסבר על הליך הערעור על החלטה כזו.
6.8. בהודעה על דחייה מצוינים:
- שם משפחה, שם פרטי ושם האב של איש ציבור;
- תאריך שליחת ההודעה;
- סיבת דחייה;
- שורה, במהלך אשר ייענה הבקשה.
6.9. סירוב לגישה לנתונים אישיים מותר אם הגישה אליהם אסורה לפי החוק.
6.10. בהודעת הסירוב מצוינים:
- שם משפחה, שם פרטי, שם האב של הגורם המוסמך שמסרב לגישה;
- תאריך שליחת ההודעה;
- סיבת סירוב.
6.11. ההחלטה על דחייה או סירוב לגישה לנתונים אישיים יכולה להיות מוערערת בבית המשפט.
7. הגנה על נתונים אישיים: דרכי הגנה, אדם אחראי, עובדים המבצעים ישירות עיבוד ו/או יש להם גישה לנתונים אישיים בקשר לביצוע חובותיהם, תקופת שמירת הנתונים האישיים
7.1. בעל מאגר הנתונים האישיים מצויד באמצעים מערכתיים וטכנולוגיים ובאמצעי תקשורת, המונעים אובדן, גניבה, השמדה לא מורשית, עיוות, זיוף, העתקת מידע ועומדים בדרישות של תקנים בינלאומיים וסטנדרטים לאומיים.
7.2. האדם האחראי מארגן את העבודה הקשורה להגנה על נתונים אישיים במהלך עיבודם, בהתאם לחוק. האדם האחראי נקבע בצו של בעל מאגר הנתונים האישיים.
חובות האדם האחראי על ארגון העבודה הקשורה להגנה על נתונים אישיים במהלך עיבודם מצוינים בהנחיות התפקיד.
7.3. האדם האחראי מחויב:
- לדעת את החקיקה של אוקראינה בתחום הגנת המידע האישי;
- לפתח נהלים לגישה לנתונים אישיים של עובדים בהתאם לחובותיהם המקצועיות, שירותיות או תעסוקתיות;
- להבטיח את ביצוע דרישות החוק של עובדים של בעל מאגר הנתונים בתחום הגנת הנתונים האישיים והמסמכים הפנימיים המוסדרים את פעילות בעל מאגר הנתונים בנוגע לעיבוד והגנה על נתונים אישיים במאגרי נתונים אישיים;
- לפתח סדר (הליך) של בקרת פנים על שמירה על דרישות החקיקה של אוקראינה בתחום הגנת המידע האישי ומסמכים פנימיים המוסדרים את פעילות בעל מאגר המידע האישי בנוגע לעיבוד והגנה על מידע אישי במאגרי מידע אישיים, אשר, בין היתר, צריך לכלול נורמות לגבי תדירות ביצוע בקרות כאלה;
- לְהוֹדִיעַ לַבָּעָל שֶׁל בַּסִּיס הַמֵּידָע הַאִישִׁי עַל עֲבוֹרוֹת שֶׁל עוֹבְדִים בְּתַנָּאי הַחֹק הָאוקראיני בְּסֶפֶר הַגָּנוּת עַל מֵידָע אִישִׁי וּמִסָּמָרִים פְּנִימִיים, שֶׁמְּסַדְּרִים אֶת פְּעֻלּוֹת הַבָּעָל שֶׁל בַּסִּיס הַמֵּידָע הַאִישִׁי בְּקֶשֶׁר לְעִבּוּד וְהַגָּנוּת שֶׁל מֵידָע אִישִׁי בַּבָּסִּיס הַמֵּידָע הַאִישִׁי בְּתַקּוּף שֶׁלֹּא יָחִיּוּ מִיּוֹם הַגִּילּוּי שֶׁל עֲבוֹרוֹת אֵלּוּ;
- להבטיח את שמירת המסמכים המאשרים שהנמען של הנתונים האישיים נתן הסכמה לעיבוד הנתונים האישיים שלו והודעה לנמען הנ"ל על זכויותיו.
7.4. במטרה למלא את חובותיה, לאחראי יש את הזכות:
- לקבל את המסמכים הנדרשים, כולל צווים ומסמכים מנהליים אחרים, שהונפקו על ידי בעל מאגר הנתונים האישיים, הקשורים לעיבוד הנתונים האישיים;
- לעשות עותקים מהמסמכים שהתקבלו, כולל עותקי קבצים, כל רשומות המאוחסנות ברשתות מחשבים מקומיות ובמערכות מחשבים עצמאיות;
- לקחת חלק בדיון על ביצוע החובות שלו בארגון העבודה הקשורה להגנה על נתונים אישיים במהלך עיבודם;
- להגיש הצעות לשיפור הפעולה ושיפור שיטות העבודה, להגיש הערות ופתרונות להסרת ליקויים שהתגלו בתהליך עיבוד הנתונים האישיים;
- לקבל הסברים בנוגע לשאלות עיבוד נתונים אישיים;
- לחתום ולאשר מסמכים בתחום סמכותו.
7.5. עובדים אשר מבצעים באופן ישיר עיבוד ו/או יש להם גישה לנתונים אישיים בקשר לביצוע חובותיהם המנהליות (עובדתיות) מחויבים לעמוד בדרישות החקיקה של אוקראינה בתחום הגנת הנתונים האישיים ובמסמכים פנימיים, לגבי עיבוד והגנה על נתונים אישיים במאגרי נתונים אישיים.
7.6. עובדים שיש להם גישה לנתונים אישיים, לרבות, מעבדים אותם מחויבים לא לאפשר גילוי בכל דרך שהיא של נתונים אישיים שהוטחו בהם או שהפכו לידועים בקשר לביצוע חובות מקצועיות, שירותיות או עבודה. התחייבות זו בתוקף לאחר סיום פעילותם הקשורה לנתונים אישיים, למעט מקרים שנקבעו בחוק.
7.7.אנשים שיש להם גישה לנתונים אישיים, כולל, מעבדים אותם במקרה של הפרת דרישות חוק הגנת הפרטיות של אוקראינה, נושאים באחריות בהתאם לחוקי אוקראינה.
7.8. נתונים אישיים לא צריכים להישמר יותר זמן ממה שנדרש למטרה שלשמה הנתונים נשמרים, אך בכל מקרה לא יותר מהתקופה שנקבעה בהסכמת הנושא של הנתונים האישיים לעיבוד הנתונים הללו.
8. זכויות נושא המידע האישי
8.1. נושא המידע האישי זכאי:
- לדעת על מיקום מאגר הנתונים האישיים, המכיל את הנתונים האישיים שלו, את מטרתו ואת שמו, מיקומו ו/או מקום מגוריו (שהותו) של בעל או מנהל המאגר הזה או לתת את ההנחיה המתאימה לקבלת המידע הזה לאנשים המוסמכים על ידו, למעט מקרים שנקבעו בחוק;
- לקבל מידע על תנאי מתן גישה לנתונים אישיים, כולל מידע על צדדים שלישיים שאליהם מועברים הנתונים האישיים שלו, המופיעים בבסיס הנתונים האישיים הרלוונטי;
- לגשת לנתונים האישיים שלך, הנמצאים בבסיס הנתונים המתאים;
- לקבל לא מאוחר משלושים ימים קלנדריים מיום קבלת הבקשה, למעט מקרים המפורטים בחוק, תשובה האם הנתונים האישיים שלו נשמרים בבסיס הנתונים המתאים, וכן לקבל את תוכן הנתונים האישיים שלו הנשמרים;
- להציג דרישה מנומקת עם התנגדות לעיבוד הנתונים האישיים שלו על ידי רשויות השלטון, רשויות השלטון המקומי בעת ביצוע הסמכויות שלהן, כפי שנקבע בחוק;
- להציג דרישה מנומקת לשינוי או השמדת הנתונים האישיים שלך על ידי כל בעל או מנהל של בסיס נתונים זה, אם הנתונים מעובדים באופן לא חוקי או אם הם אינם מדויקים;
- על הגנה על הנתונים האישיים שלך מפני עיבוד בלתי חוקי ואובדן, השמדה או נזק אקראי הנובע מהסתרה מכוונת, אי מתן או מתן לא בזמן, כמו גם על הגנה מפני מתן מידע שאינו מדויק או משפיל את הכבוד, הכבוד והמוניטין העסקי של אדם פרטי;
- לפנות בנוגע להגנה על זכויותיך לגבי נתונים אישיים לרשויות השלטון, לרשויות המקומיות, אשר הסמכויות שלהן כוללות את ביצוע ההגנה על נתונים אישיים;
- להשתמש באמצעים משפטיים להגנה במקרה של הפרת החקיקה על הגנת נתונים אישיים.
9. סדר העבודה עם בקשות של נושא הנתונים האישיים
9.1. נושא המידע האישי זכאי לקבל כל מידע על עצמו מכל נושא של קשרים הקשורים למידע אישי, ללא ציון מטרת הבקשה, למעט מקרים שנקבעו בחוק.
9.2. גישת הנושא של נתוני אישיות לנתונים על עצמו מתבצעת ללא תשלום.
9.3. נושא הנתונים האישיים מגיש בקשה לגישה (להלן - הבקשה) לנתונים האישיים לבעל מאגר הנתונים האישיים.
בבקשה מצוינים:
- שם משפחה, שם פרטי ואב, מקום מגורים (מקום שהייה) ופרטי המסמך המזהה את זהות הנושא של הנתונים האישיים;
- מידע נוסף המאפשר לזהות את זהות הנושא של נתוני אישיות;
- פרטים על בסיס הנתונים האישיים, לגביו מוגשת הבקשה, או פרטים על בעל הבסיס או המנהל של בסיס זה;
- רשימת הנתונים האישיים הנדרשים.
9.4. משך זמן בחינת הבקשה לעניין קבלתה לא יכול לעלות על עשרה ימי עבודה מיום קבלתה. במהלך פרק זמן זה, בעל מאגר הנתונים האישיים יודיע לנושא הנתונים האישיים אם הבקשה תתקבל או שהנתונים האישיים הרלוונטיים אינם ניתנים למסירה, תוך ציון הסיבה שנקבעה בחוק הרלוונטי.
9.5. הבקשה תיענה בתוך שלושים ימים קלנדריים מיום קבלתה, אלא אם כן החוק קובע אחרת.
10. רישום מדינתי של מאגרי נתונים אישיים
10.1. רישום המדינה של בסיסי נתונים אישיים מתבצע בהתאם לסעיף 9 לחוק האוקראיני «על הגנת נתונים אישיים».