Ketentuan tentang pengolahan dan perlindungan data pribadi dalam basis data pribadi yang dimiliki oleh penjual
Isi
- Konsep Umum dan Lingkup Penerapan
- Daftar basis data pribadi
- Tujuan pengolahan data pribadi
- Prosedur pengolahan data pribadi: mendapatkan persetujuan, pemberitahuan tentang hak dan tindakan dengan data pribadi subjek data pribadi
- Lokasi basis data pribadi
- Syarat pengungkapan informasi tentang data pribadi kepada pihak ketiga
- Perlindungan data pribadi: cara perlindungan, orang yang bertanggung jawab, karyawan yang secara langsung melakukan pengolahan dan/atau memiliki akses ke data pribadi sehubungan dengan pelaksanaan tugas resmi mereka, jangka waktu penyimpanan data pribadi
- Hak subjek data pribadi
- Prosedur kerja dengan permintaan subjek data pribadi
- Pendaftaran resmi basis data pribadi
1. Konsep Umum dan Lingkup Penerapan
1.1. Definisi istilah:
basis data pribadi — kumpulan data pribadi terurut yang dinamakan dalam bentuk elektronik dan/atau dalam bentuk kartu data pribadi;
orang yang bertanggung jawab — orang yang ditunjuk, yang mengorganisir pekerjaan yang terkait dengan perlindungan data pribadi saat diproses, sesuai dengan undang-undang;
pemilik basis data pribadi — fisik atau badan hukum yang diberikan hak untuk memproses data ini oleh hukum atau dengan persetujuan subjek data pribadi, yang menetapkan tujuan pemrosesan data pribadi dalam basis data ini, menetapkan komposisi data ini dan prosedur pemrosesannya, kecuali ditentukan lain oleh hukum;
Daftar negara basis data pribadi — sistem informasi negara yang unik untuk pengumpulan, akumulasi, dan pengolahan informasi tentang basis data pribadi yang terdaftar;
sumber data pribadi yang dapat diakses publik - panduan, buku alamat, registri, daftar, katalog, kumpulan informasi terbuka yang terorganisir lainnya, yang berisi data pribadi, yang dipublikasikan dan diterbitkan dengan sepengetahuan subjek data pribadi. Jaringan sosial dan sumber daya internet, di mana subjek data pribadi meninggalkan data pribadi mereka (kecuali dalam kasus di mana subjek data pribadi secara langsung menyatakan bahwa data pribadi dipublikasikan dengan tujuan untuk penyebaran dan penggunaan bebas), tidak dianggap sebagai sumber data pribadi yang dapat diakses publik.
persetujuan subjek data pribadi — setiap pernyataan kehendak fisik yang terdokumentasi dan sukarela mengenai pemberian izin untuk memproses data pribadi sesuai dengan tujuan pemrosesannya yang telah dirumuskan;
penghilangan identitas data pribadi — pengambilan informasi yang memungkinkan untuk mengidentifikasi individu;
pengolahan data pribadi — setiap tindakan atau kumpulan tindakan yang dilakukan sepenuhnya atau sebagian dalam sistem informasi (otomatis) dan/atau dalam arsip data pribadi, yang terkait dengan pengumpulan, pendaftaran, akumulasi, penyimpanan, penyesuaian, perubahan, pembaruan, penggunaan, dan penyebaran (distribusi, realisasi, transfer), penghilangan identitas, penghancuran informasi tentang individu fisik;
data pribadi — informasi atau kumpulan informasi tentang individu yang diidentifikasi atau dapat diidentifikasi secara spesifik;
pengelola basis data pribadi — individu fisik atau badan hukum yang memiliki hak untuk mengelola basis data pribadi atau yang diberikan hak oleh hukum untuk memproses data tersebut. Bukan merupakan pengelola basis data pribadi individu yang ditugaskan oleh pemilik dan/atau pengelola basis data pribadi untuk melakukan pekerjaan teknis terkait basis data pribadi tanpa akses ke isi data pribadi;
subjek data pribadi - individu, yang terkait dengan yang sesuai dengan hukum dilakukan pengolahan data pribadinya;
orang ketiga - setiap orang, kecuali subjek data pribadi, pemilik atau pengelola basis data pribadi dan badan pemerintah yang berwenang dalam perlindungan data pribadi, kepada siapa pemilik atau pengelola basis data pribadi melakukan pengalihan data pribadi sesuai dengan hukum;
kategori data khusus - data pribadi tentang asal usul ras atau etnis, keyakinan politik, agama atau pandangan hidup, keanggotaan dalam partai politik dan serikat pekerja, serta data yang berkaitan dengan kesehatan atau kehidupan seksual.
1.2. Ketentuan ini wajib diterapkan oleh orang yang bertanggung jawab dan karyawan penjual yang secara langsung melakukan pengolahan dan/atau memiliki akses ke data pribadi sehubungan dengan pelaksanaan tugas resmi mereka.
2. Daftar basis data pribadi
2.1. Penjual adalah pemilik basis data pribadi berikut:
- basis data pribadi mitra.
3. Tujuan pengolahan data pribadi
3.1. Tujuan pengolahan data pribadi dalam sistem adalah untuk memastikan pelaksanaan hubungan hukum sipil, penyediaan, penerimaan, dan pelaksanaan perhitungan untuk barang dan jasa yang dibeli sesuai dengan Kode Pajak Ukraina, Undang-Undang Ukraina "Tentang Akuntansi dan Pelaporan Keuangan di Ukraina".
4. Prosedur pengolahan data pribadi: mendapatkan persetujuan, pemberitahuan tentang hak dan tindakan dengan data pribadi subjek data pribadi
4.1. Persetujuan subjek data pribadi harus merupakan pernyataan kehendak sukarela dari individu mengenai pemberian izin untuk pengolahan data pribadinya sesuai dengan tujuan pengolahannya yang telah dirumuskan.
4.2. Persetujuan subjek data pribadi dapat diberikan dalam bentuk-bentuk berikut:
- dokumen dalam bentuk kertas dengan rincian yang memungkinkan untuk mengidentifikasi dokumen ini dan individu fisik;
- dokumen elektronik yang harus memuat persyaratan wajib yang memungkinkan untuk mengidentifikasi dokumen ini dan individu. Pernyataan sukarela individu mengenai pemberian izin untuk pengolahan data pribadi mereka sebaiknya disahkan dengan tanda tangan elektronik dari subjek data pribadi;
- tanda pada halaman elektronik dokumen atau dalam file elektronik, yang diproses dalam sistem informasi berdasarkan solusi perangkat lunak dan teknis yang terdokumentasi.
4.3. Persetujuan subjek data pribadi diberikan saat melakukan hubungan hukum sipil sesuai dengan peraturan perundang-undangan yang berlaku.
4.4. Pemberitahuan subjek data pribadi tentang penggabungan data pribadinya ke dalam basis data pribadi, hak-hak yang ditentukan oleh Undang-Undang Ukraina "Tentang Perlindungan Data Pribadi", tujuan pengumpulan data, dan orang-orang yang menerima data pribadinya dilakukan selama pengaturan hubungan hukum sipil sesuai dengan perundang-undangan yang berlaku.
4.5. Pengolahan data pribadi tentang asal usul ras atau etnis, keyakinan politik, agama atau pandangan hidup, keanggotaan dalam partai politik dan serikat pekerja, serta data yang berkaitan dengan kesehatan atau kehidupan seksual (kategori data khusus) dilarang.
5. Lokasi basis data pribadi
5.1. Basis data pribadi yang disebutkan dalam bagian 2 Peraturan ini terletak di alamat penjual.
6. Ketentuan pengungkapan informasi tentang data pribadi kepada pihak ketiga
6.1. Tata cara akses ke data pribadi pihak ketiga ditentukan oleh syarat persetujuan subjek data pribadi, yang diberikan kepada pemilik data pribadi untuk pengolahan data tersebut, atau sesuai dengan ketentuan hukum.
6.2. Akses ke data pribadi tidak diberikan kepada pihak ketiga jika orang tersebut menolak untuk mengambil tanggung jawab untuk memastikan pemenuhan persyaratan Undang-Undang Ukraina "Tentang Perlindungan Data Pribadi" atau tidak mampu untuk memenuhinya.
6.3. Subjek hubungan yang terkait dengan data pribadi mengajukan permohonan akses (selanjutnya - permohonan) kepada pemilik data pribadi.
6.4. Dalam permintaan dicantumkan:
- nama belakang, nama depan dan nama tengah, tempat tinggal (tempat tinggal) dan rincian dokumen yang mengidentifikasi individu yang mengajukan permohonan (untuk individu - pemohon);
- nama, lokasi badan hukum yang mengajukan permohonan, jabatan, nama belakang, nama depan, dan nama tengah orang yang menandatangani permohonan; konfirmasi bahwa isi permohonan sesuai dengan kewenangan badan hukum (untuk badan hukum - pemohon);
- nama belakang, nama depan, dan nama tengah, serta informasi lain yang memungkinkan untuk mengidentifikasi individu yang dimaksud dalam permintaan;
- informasi tentang basis data pribadi, terkait dengan permintaan yang diajukan, atau informasi tentang pemilik atau pengelola basis data pribadi ini;
- daftar data pribadi yang diminta;
- tujuan dan/atau dasar hukum untuk permintaan.
6.5. Jangka waktu untuk mempelajari permintaan mengenai pemenuhannya tidak boleh melebihi sepuluh hari kerja sejak tanggal penerimaannya. Selama jangka waktu ini, pemilik basis data pribadi memberitahukan kepada orang yang mengajukan permintaan bahwa permintaan akan dipenuhi atau data pribadi yang relevan tidak dapat diberikan, dengan menyebutkan alasan yang ditentukan dalam peraturan perundang-undangan yang sesuai. Permintaan dipenuhi dalam waktu tiga puluh hari kalender sejak tanggal penerimaannya, kecuali ditentukan lain oleh undang-undang.
6.6. Penundaan akses ke data pribadi pihak ketiga diperbolehkan jika data yang diperlukan tidak dapat diberikan dalam waktu tiga puluh hari kalender sejak tanggal penerimaan permintaan. Dalam hal ini, jangka waktu total untuk menyelesaikan masalah yang diangkat dalam permintaan tidak boleh melebihi empat puluh lima hari kalender.
6.7. Pemberitahuan tentang penundaan disampaikan kepada pihak ketiga yang mengajukan permohonan, dalam bentuk tertulis dengan penjelasan mengenai prosedur banding atas keputusan tersebut.
6.8. Dalam pemberitahuan penundaan disebutkan:
- nama belakang, nama depan, dan nama tengah pejabat;
- tanggal pengiriman pesan;
- alasan penundaan;
- periode, di mana permintaan akan dipenuhi.
6.9. Penolakan akses ke data pribadi diperbolehkan jika akses tersebut dilarang menurut hukum.
6.10. Dalam pemberitahuan penolakan dicantumkan:
- nama belakang, nama depan, nama tengah pejabat yang menolak akses;
- tanggal pengiriman pesan;
- alasan penolakan.
6.11. Keputusan tentang penundaan atau penolakan akses ke data pribadi dapat diajukan banding ke pengadilan.
7. Perlindungan data pribadi: cara perlindungan, orang yang bertanggung jawab, karyawan yang secara langsung melakukan pengolahan dan/atau memiliki akses ke data pribadi sehubungan dengan pelaksanaan tugas resmi mereka, jangka waktu penyimpanan data pribadi
7.1. Pemilik basis data pribadi dilengkapi dengan perangkat sistem dan perangkat teknis serta sarana komunikasi yang mencegah kehilangan, pencurian, penghancuran yang tidak sah, distorsi, pemalsuan, penyalinan informasi dan memenuhi persyaratan standar internasional dan nasional.
7.2. Orang yang bertanggung jawab mengorganisir pekerjaan yang berkaitan dengan perlindungan data pribadi saat diproses, sesuai dengan hukum. Orang yang bertanggung jawab ditentukan oleh perintah Pemilik basis data pribadi.
Tanggung jawab orang yang bertanggung jawab terkait organisasi kerja yang berkaitan dengan perlindungan data pribadi saat diproses dicantumkan dalam instruksi jabatan.
7.3. Orang yang bertanggung jawab wajib:
- mengetahui undang-undang Ukraina di bidang perlindungan data pribadi;
- mengembangkan prosedur akses ke data pribadi karyawan sesuai dengan tugas profesional, jabatan, atau kewajiban kerja mereka;
- menjamin pelaksanaan oleh karyawan Pemilik basis data pribadi terhadap persyaratan legislasi Ukraina di bidang perlindungan data pribadi dan dokumen internal yang mengatur kegiatan Pemilik basis data pribadi terkait pengolahan dan perlindungan data pribadi dalam basis data pribadi;
- mengembangkan prosedur (prosedur) pengendalian internal untuk mematuhi persyaratan legislasi Ukraina dalam bidang perlindungan data pribadi dan dokumen internal yang mengatur kegiatan Pemilik basis data pribadi terkait pengolahan dan perlindungan data pribadi dalam basis data pribadi, yang, antara lain, harus mencakup norma mengenai frekuensi pelaksanaan pengendalian tersebut;
- memberitahukan Pemilik basis data pribadi tentang fakta pelanggaran oleh karyawan terhadap persyaratan legislasi Ukraina di bidang perlindungan data pribadi dan dokumen internal yang mengatur kegiatan Pemilik basis data pribadi terkait pengolahan dan perlindungan data pribadi dalam basis data pribadi dalam waktu tidak lebih dari satu hari kerja sejak saat penemuan pelanggaran tersebut;
- menyediakan penyimpanan dokumen yang membuktikan bahwa subjek data pribadi telah memberikan persetujuan untuk pengolahan data pribadi mereka dan pemberitahuan kepada subjek tersebut tentang hak-haknya.
7.4. Untuk melaksanakan tugasnya, orang yang bertanggung jawab berhak:
- mendapatkan dokumen yang diperlukan, termasuk perintah dan dokumen administratif lainnya, yang dikeluarkan oleh Pemilik basis data pribadi, terkait dengan pengolahan data pribadi;
- membuat salinan dari dokumen yang diterima, termasuk salinan file, catatan apa pun yang disimpan di jaringan komputer lokal dan sistem komputer mandiri;
- berpartisipasi dalam diskusi mengenai tugas yang dilaksanakan dalam organisasi kerja yang terkait dengan perlindungan data pribadi saat diproses;
- mengajukan untuk mempertimbangkan usulan perbaikan kegiatan dan penyempurnaan metode kerja, memberikan catatan dan opsi untuk mengatasi kekurangan yang terdeteksi dalam proses pengolahan data pribadi;
- mendapatkan penjelasan mengenai pertanyaan tentang pemrosesan data pribadi;
- menandatangani dan mengesahkan dokumen dalam batas kompetensinya.
7.5. Karyawan yang secara langsung melakukan pengolahan dan/atau memiliki akses ke data pribadi sehubungan dengan pelaksanaan tugas (pekerjaan) mereka wajib mematuhi persyaratan perundang-undangan Ukraina di bidang perlindungan data pribadi dan dokumen internal mengenai pengolahan dan perlindungan data pribadi dalam basis data data pribadi.
7.6. Karyawan yang memiliki akses ke data pribadi, termasuk yang memprosesnya, wajib untuk tidak mengungkapkan dengan cara apa pun data pribadi yang telah dipercayakan kepada mereka atau yang menjadi diketahui sehubungan dengan pelaksanaan tugas profesional, jabatan, atau kewajiban kerja. Kewajiban ini tetap berlaku setelah mereka menghentikan kegiatan yang terkait dengan data pribadi, kecuali dalam kasus yang ditentukan oleh undang-undang.
7.7. Orang-orang yang memiliki akses ke data pribadi, termasuk yang memprosesnya, jika melanggar ketentuan Undang-Undang Ukraina "Tentang Perlindungan Data Pribadi" akan bertanggung jawab sesuai dengan undang-undang Ukraina.
7.8. Data pribadi tidak boleh disimpan lebih lama dari yang diperlukan untuk tujuan di mana data tersebut disimpan, tetapi dalam hal apapun tidak lebih lama dari periode penyimpanan data yang ditentukan oleh persetujuan subjek data pribadi untuk pengolahan data tersebut.
8. Hak subjek data pribadi
8.1. Subjek data pribadi memiliki hak:
- mengetahui lokasi basis data pribadi yang berisi data pribadinya, tujuannya dan nama, lokasi dan/atau tempat tinggal (tinggal) pemilik atau pengelola basis data ini atau memberikan perintah yang sesuai untuk mendapatkan informasi ini kepada orang yang diberi wewenang olehnya, kecuali dalam kasus yang ditentukan oleh hukum;
- mendapatkan informasi tentang syarat pemberian akses ke data pribadi, termasuk informasi tentang pihak ketiga yang menerima data pribadi tersebut, yang terdapat dalam basis data pribadi yang relevan;
- untuk akses ke data pribadi Anda yang terdapat dalam basis data pribadi yang sesuai;
- menerima tidak lebih dari tiga puluh hari kalender sejak tanggal penerimaan permintaan, kecuali dalam kasus yang diatur oleh hukum, jawaban tentang apakah data pribadi mereka disimpan dalam basis data pribadi yang sesuai, serta menerima isi data pribadi mereka yang disimpan;
- mengajukan permintaan yang beralasan untuk menolak pemrosesan data pribadi mereka oleh badan pemerintah, badan pemerintahan daerah dalam melaksanakan kewenangan mereka yang diatur oleh undang-undang;
- mengajukan permintaan yang beralasan untuk mengubah atau menghapus data pribadi mereka kepada pemilik dan pengelola basis data ini, jika data tersebut diproses secara ilegal atau tidak akurat;
- untuk melindungi data pribadi Anda dari pemrosesan ilegal dan kehilangan, penghancuran, atau kerusakan yang tidak disengaja terkait dengan penyembunyian yang disengaja, tidak memberikan, atau memberikan informasi tersebut secara tidak tepat waktu, serta untuk melindungi dari penyampaian informasi yang tidak akurat atau yang mencemarkan kehormatan, martabat, dan reputasi bisnis individu;
- mengajukan pertanyaan mengenai perlindungan hak-hak mereka terkait data pribadi kepada badan pemerintah, badan pemerintahan daerah, yang memiliki wewenang untuk melaksanakan perlindungan data pribadi;
- menggunakan sarana perlindungan hukum dalam hal pelanggaran undang-undang tentang perlindungan data pribadi.
9. Tata cara penanganan permintaan subjek data pribadi
9.1. Subjek data pribadi berhak untuk menerima informasi apa pun tentang dirinya dari subjek mana pun yang terlibat dalam hubungan yang berkaitan dengan data pribadi, tanpa menyebutkan tujuan permintaan, kecuali dalam kasus yang ditentukan oleh undang-undang.
9.2. Akses subjek data pribadi ke data tentang dirinya dilakukan secara gratis.
9.3. Subjek data pribadi mengajukan permohonan akses (selanjutnya - permohonan) kepada pemilik basis data pribadi.
Dalam permintaan disebutkan:
- nama belakang, nama depan dan nama tengah, tempat tinggal (tempat tinggal) dan rincian dokumen yang membuktikan identitas subjek data pribadi;
- informasi lain yang memungkinkan untuk mengidentifikasi subjek data pribadi;
- informasi tentang basis data pribadi, terkait dengan permintaan yang diajukan, atau informasi tentang pemilik atau pengelola basis data ini;
- daftar data pribadi yang diminta.
9.4. Jangka waktu untuk mempelajari permintaan mengenai pemenuhan tidak boleh melebihi sepuluh hari kerja sejak tanggal penerimaannya. Selama jangka waktu ini, pemilik basis data pribadi harus memberitahukan subjek data pribadi bahwa permintaan akan dipenuhi atau data pribadi yang bersangkutan tidak dapat diberikan, dengan menyebutkan dasar yang ditentukan dalam peraturan perundang-undangan yang relevan.
9.5. Permintaan dipenuhi dalam waktu tiga puluh hari kalender sejak tanggal penerimaannya, kecuali ditentukan lain oleh undang-undang.
10. Pendaftaran resmi basis data pribadi
10.1. Pendaftaran resmi basis data pribadi dilakukan sesuai dengan Pasal 9 Undang-Undang Ukraina «Tentang perlindungan data pribadi».