Disposizioni sul trattamento e la protezione dei dati personali nelle banche dati personali di cui è titolare il venditore
Contenuto
- Concetti generali e ambito di applicazione
- Elenco delle banche di dati personali
- Scopo del trattamento dei dati personali
- Ordine di trattamento dei dati personali: ottenimento del consenso, informativa sui diritti e azioni sui dati personali dell'interessato
- Posizione del database dei dati personali
- Condizioni di divulgazione delle informazioni sui dati personali a terzi
- Protezione dei dati personali: modalità di protezione, persona responsabile, dipendenti che effettuano direttamente il trattamento e/o hanno accesso ai dati personali in relazione all'esecuzione dei propri doveri di servizio, periodo di conservazione dei dati personali
- Diritti del soggetto dei dati personali
- Procedura per la gestione delle richieste del soggetto dei dati personali
- Registrazione statale del database dei dati personali
1. Concetti generali e ambito di applicazione
1.1. Definizione dei termini:
database di dati personali — insieme nominato di dati personali ordinati in forma elettronica e/o in forma di archivi di dati personali;
responsabile — persona designata che organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento, in conformità con la legge;
titolare del database di dati personali — persona fisica o giuridica a cui la legge o con il consenso del soggetto dei dati personali è stato conferito il diritto di elaborare tali dati, che approva lo scopo del trattamento dei dati personali in questo database, stabilisce il contenuto di tali dati e le procedure per il loro trattamento, salvo diversa disposizione di legge;
Registro nazionale delle banche dati personali — il sistema informativo statale unico per la raccolta, l'accumulo e l'elaborazione delle informazioni sui database di dati personali registrati;
fonti di dati personali accessibili al pubblico - manuali, libri degli indirizzi, registri, elenchi, cataloghi, altri raccolte sistematizzate di informazioni aperte, che contengono dati personali, pubblicati e resi noti con il consenso del soggetto dei dati personali. Non sono considerati fonti di dati personali di pubblico accesso i social network e le risorse internet, in cui il soggetto dei dati personali lascia i propri dati personali (salvo nei casi in cui il soggetto dei dati personali dichiara esplicitamente che i dati personali sono pubblicati con l'intento di una loro libera diffusione e utilizzo);
consenso dell'interessato ai dati personali — qualsiasi manifestazione di volontà documentata e volontaria da parte di una persona fisica riguardo alla concessione del consenso al trattamento dei propri dati personali in conformità con l'obiettivo formulato per il loro trattamento;
depersonalizzazione dei dati personali — estrazione di informazioni che consentono di identificare una persona;
trattamento dei dati personali — qualsiasi azione o insieme di azioni, effettuate completamente o parzialmente in un sistema informatico (automatizzato) e/o in archivi di dati personali, che sono collegate alla raccolta, registrazione, accumulo, conservazione, adattamento, modifica, aggiornamento, utilizzo e diffusione (distribuzione, realizzazione, trasferimento), anonimizzazione, distruzione di informazioni su una persona fisica;
dati personali — informazioni o un insieme di informazioni su una persona fisica, che è identificata o può essere specificamente identificata;
responsabile del database dei dati personali - persona fisica o giuridica, a cui il titolare del database di dati personali o la legge ha conferito il diritto di trattare tali dati. Non è il responsabile del database di dati personali la persona a cui il titolare e/o il responsabile del database di dati personali ha affidato l'esecuzione di lavori di carattere tecnico sul database di dati personali senza accesso al contenuto dei dati personali;
soggetto dei dati personali - persona fisica, nei confronti della quale ai sensi della legge viene effettuato il trattamento dei suoi dati personali;
terza persona - qualsiasi persona, ad eccezione del soggetto dei dati personali, del titolare o del responsabile del database dei dati personali e dell'autorità pubblica competente in materia di protezione dei dati personali, a cui il titolare o il responsabile del database dei dati personali trasferisce i dati personali in conformità alla legge;
categorie di dati speciali - dati personali relativi all'origine razziale o etnica, alle convinzioni politiche, religiose o filosofiche, all'appartenenza a partiti politici e sindacati, nonché ai dati relativi alla salute o alla vita sessuale.
1.2. Il presente Regolamento è obbligatorio per l'applicazione da parte della persona responsabile e dei dipendenti del venditore che effettuano direttamente il trattamento e/o hanno accesso ai dati personali in relazione all'adempimento dei propri doveri di servizio.
2. Elenco delle banche di dati personali
2.1. Il venditore è il proprietario delle seguenti banche di dati personali:
- database dei dati personali dei contraenti.
3. Scopo del trattamento dei dati personali
3.1. L'obiettivo del trattamento dei dati personali nel sistema è garantire l'attuazione delle relazioni civili, fornire, ricevere e effettuare pagamenti per beni e servizi acquistati in conformità con il Codice Fiscale dell'Ucraina, la Legge dell'Ucraina "Sulla contabilità e la rendicontazione finanziaria in Ucraina".
4. Modalità di trattamento dei dati personali: ottenimento del consenso, informativa sui diritti e azioni sui dati personali dell'interessato
4.1. Il consenso dell'interessato deve essere un'espressione di volontà libera da parte della persona fisica riguardo alla concessione del permesso per il trattamento dei suoi dati personali in conformità con l'obiettivo formulato per il loro trattamento.
4.2. Il consenso dell'interessato può essere fornito nelle seguenti forme:
- documento su supporto cartaceo con i requisiti che consente di identificare questo documento e la persona fisica;
- documento elettronico, che deve contenere i requisiti obbligatori che consentono di identificare questo documento e la persona fisica. È opportuno certificare la manifestazione di volontà volontaria della persona fisica riguardo alla concessione del permesso per il trattamento dei suoi dati personali con la firma elettronica del soggetto dei dati personali;
- un segno sulla pagina elettronica del documento o nel file elettronico, che viene elaborato nel sistema informatico sulla base di soluzioni programmatiche e tecniche documentate.
4.3. Il consenso dell'interessato ai dati personali è fornito durante la formalizzazione delle relazioni giuridiche civili in conformità con la legislazione vigente.
4.4. Comunicazione da parte del soggetto dei dati personali riguardo all'inclusione dei suoi dati personali nel database dei dati personali, diritti definiti dalla Legge Ucraina "Sulla protezione dei dati personali", scopo della raccolta dei dati e persone a cui vengono trasferiti i suoi dati personali avviene durante la formalizzazione delle relazioni civili in conformità con la legislazione vigente.
4.5. Il trattamento dei dati personali relativi all'origine razziale o etnica, alle convinzioni politiche, religiose o filosofiche, all'appartenenza a partiti politici e sindacati, nonché ai dati relativi alla salute o alla vita sessuale (categorie speciali di dati) è vietato.
5. Luogo di archiviazione dei dati personali
5.1. Le basi di dati personali indicate nella sezione 2 di questo Regolamento si trovano all'indirizzo del venditore.
6. Condizioni di divulgazione delle informazioni sui dati personali a terzi
6.1. L'accesso ai dati personali di terzi è determinato dalle condizioni del consenso dell'interessato, fornito al titolare del trattamento dei dati per l'elaborazione di tali dati, o in conformità ai requisiti di legge.
6.2. L'accesso ai dati personali non è fornito a terzi se la suddetta persona rifiuta di assumere l'impegno di garantire il rispetto dei requisiti della Legge ucraina "Sulla protezione dei dati personali" o non è in grado di garantirli.
6.3. Il soggetto delle relazioni relative ai dati personali presenta una richiesta di accesso (di seguito - richiesta) ai dati personali al titolare dei dati personali.
6.4. Nella richiesta si indicano:
- cognome, nome e patronimico, luogo di residenza (luogo di soggiorno) e dati del documento che attesta l'identità della persona fisica che presenta la richiesta (per la persona fisica richiedente);
- denominazione, sede legale della persona giuridica che presenta la richiesta, posizione, cognome, nome e patronimico della persona che certifica la richiesta; conferma che il contenuto della richiesta corrisponde ai poteri della persona giuridica (per la persona giuridica richiedente);
- cognome, nome e patronimico, nonché altre informazioni che consentono di identificare la persona fisica oggetto della richiesta;
- informazioni sulla banca di dati personali, relative alla quale viene presentata la richiesta, o informazioni sul titolare o sul responsabile di questa banca di dati personali;
- elenco dei dati personali richiesti;
- meta e/o basi legali per la richiesta.
6.5. Il termine per l'esame della richiesta riguardo alla sua soddisfazione non può superare dieci giorni lavorativi dalla data di ricezione. Durante questo periodo, il titolare del database di dati personali informa la persona che presenta la richiesta se la richiesta sarà soddisfatta o se i dati personali pertinenti non possono essere forniti, indicando il motivo stabilito nel pertinente atto normativo. La richiesta viene soddisfatta entro trenta giorni di calendario dalla data di ricezione, salvo diversa disposizione di legge.
6.6. Il rinvio dell'accesso ai dati personali di terzi è consentito nel caso in cui i dati necessari non possano essere forniti entro trenta giorni di calendario dalla data di ricezione della richiesta. In questo caso, il termine complessivo per la risoluzione delle questioni sollevate nella richiesta non può superare i quarantacinque giorni di calendario.
6.7. La comunicazione di rinvio deve essere portata a conoscenza della terza parte che ha presentato la richiesta, in forma scritta con spiegazione della procedura di impugnazione di tale decisione.
6.8. Nella comunicazione di rinvio si indicano:
- cognome, nome e patronimico della persona incaricata;
- data di invio del messaggio;
- motivo del rinvio;
- periodo durante il quale verrà soddisfatta la richiesta.
6.9. Il rifiuto di accesso ai dati personali è consentito se l'accesso a essi è vietato dalla legge.
6.10. Nella comunicazione di rifiuto si indicano:
- cognome, nome, patronimico della persona incaricata che rifiuta l'accesso;
- data di invio del messaggio;
- motivo del rifiuto.
6.11. La decisione di rinvio o di rifiuto dell'accesso ai dati personali può essere impugnata in tribunale.
7. Protezione dei dati personali: modalità di protezione, persona responsabile, dipendenti che effettuano direttamente il trattamento e/o hanno accesso ai dati personali in relazione all'esecuzione dei propri doveri di servizio, periodo di conservazione dei dati personali
7.1. Il titolare della banca dati personali è dotato di mezzi sistemici e tecnico-programmatici e di mezzi di comunicazione che prevengono perdite, furti, distruzione non autorizzata, alterazione, falsificazione, copia delle informazioni e soddisfano i requisiti degli standard internazionali e nazionali.
7.2. La persona responsabile organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento, in conformità con la legge. La persona responsabile è designata da un'ordinanza del Titolare del database dei dati personali.
Le responsabilità della persona incaricata per l'organizzazione del lavoro relativo alla protezione dei dati personali durante il loro trattamento sono indicate nella descrizione del lavoro.
7.3. La persona responsabile è tenuta a:
- conoscere la legislazione dell'Ucraina nel campo della protezione dei dati personali;
- sviluppare procedure di accesso ai dati personali dei dipendenti in base ai loro doveri professionali, di servizio o lavorativi;
- assicurare che i dipendenti del Titolare del database di dati personali rispettino i requisiti della legislazione ucraina in materia di protezione dei dati personali e dei documenti interni che regolano l'attività del Titolare del database di dati personali riguardo al trattamento e alla protezione dei dati personali nei database di dati personali;
- sviluppare un ordine (procedura) di controllo interno per garantire il rispetto delle normative della legislazione ucraina in materia di protezione dei dati personali e dei documenti interni che regolano l'attività del Titolare del database dei dati personali riguardo al trattamento e alla protezione dei dati personali nei database dei dati personali, che, in particolare, deve contenere norme riguardanti la periodicità di tale controllo;
- informare il Titolare del database di dati personali sui fatti di violazione da parte dei dipendenti delle disposizioni della legislazione ucraina nel campo della protezione dei dati personali e dei documenti interni che regolano l'attività del Titolare del database di dati personali riguardo al trattamento e alla protezione dei dati personali nei database di dati personali entro un termine non superiore a un giorno lavorativo dal momento della scoperta di tali violazioni;
- assicurare la conservazione dei documenti che attestano il consenso dell'interessato al trattamento dei propri dati personali e la comunicazione di tali diritti all'interessato.
7.4. Al fine di adempiere ai propri doveri, la persona responsabile ha il diritto di:
- ricevere i documenti necessari, inclusi ordini e altri documenti di disposizione, emessi dal Titolare del database di dati personali, relativi al trattamento dei dati personali;
- fare copie dei documenti ricevuti, comprese le copie dei file, di qualsiasi registrazione memorizzata in reti informatiche locali e sistemi informatici autonomi;
- partecipare alla discussione delle responsabilità svolte nell'organizzazione del lavoro relativo alla protezione dei dati personali durante il loro trattamento;
- presentare proposte per migliorare le attività e perfezionare i metodi di lavoro, fornire osservazioni e soluzioni per eliminare le carenze riscontrate nel processo di trattamento dei dati personali;
- ricevere spiegazioni in merito al trattamento dei dati personali;
- firmare e timbrare documenti nell'ambito delle proprie competenze.
7.5. I dipendenti che effettuano direttamente il trattamento e/o hanno accesso ai dati personali in relazione all'adempimento dei propri doveri di servizio (lavoro) sono obbligati a rispettare i requisiti della legislazione ucraina in materia di protezione dei dati personali e dei documenti interni riguardanti il trattamento e la protezione dei dati personali nelle banche dati dei dati personali.
7.6. I dipendenti che hanno accesso ai dati personali, inclusa la loro elaborazione, sono obbligati a non divulgare in alcun modo i dati personali che sono stati loro affidati o che sono diventati noti in relazione all'esecuzione di obblighi professionali, di servizio o lavorativi. Tale obbligo rimane in vigore anche dopo la cessazione della loro attività relativa ai dati personali, salvo i casi previsti dalla legge.
7.7. Le persone che hanno accesso ai dati personali, inclusi coloro che li elaborano in caso di violazione dei requisiti della Legge ucraina "Sulla protezione dei dati personali", sono responsabili secondo la legislazione ucraina.
7.8. I dati personali non devono essere conservati più a lungo del necessario per il fine per cui tali dati sono conservati, ma in ogni caso non oltre il periodo di conservazione dei dati stabilito dal consenso dell'interessato al trattamento di tali dati.
8. Diritti del soggetto dei dati personali
8.1. Il soggetto dei dati personali ha il diritto:
- sapere sulla posizione della banca di dati personali che contiene i suoi dati personali, il suo scopo e denominazione, la posizione e/o il luogo di residenza (soggiorno) del titolare o del responsabile di questa banca o dare un'apposita delega per ottenere queste informazioni a persone da lui autorizzate, salvo i casi previsti dalla legge;
- ricevere informazioni sulle condizioni di accesso ai dati personali, in particolare informazioni su terze parti a cui vengono trasferiti i suoi dati personali, contenuti nella relativa banca dati dei dati personali;
- per l'accesso ai propri dati personali contenuti nella relativa banca dati di dati personali;
- ricevere non oltre trenta giorni di calendario dalla data di ricezione della richiesta, salvo i casi previsti dalla legge, una risposta riguardo al fatto che i suoi dati personali siano conservati nel relativo database di dati personali, nonché ricevere il contenuto dei suoi dati personali che sono conservati;
- presentare una richiesta motivata di opposizione al trattamento dei propri dati personali da parte delle autorità statali, degli organi di governo locale nell'esercizio delle loro funzioni previste dalla legge;
- presentare una richiesta motivata per la modifica o la distruzione dei propri dati personali a qualsiasi titolare e responsabile di questa banca dati, se tali dati sono trattati illegalmente o sono inaccurati;
- per la protezione dei propri dati personali da trattamenti illeciti e da perdite, distruzioni o danneggiamenti accidentali, in relazione a nascondimenti intenzionali, mancata o tardiva fornitura, nonché per la protezione da informazioni che siano false o che ledano l'onore, la dignità e la reputazione professionale di una persona fisica;
- rivolgersi alle autorità statali, agli organi di governo locale, le cui competenze includono la protezione dei dati personali;
- applicare i mezzi di tutela legale in caso di violazione della legislazione sulla protezione dei dati personali.
9. Procedura per la gestione delle richieste del soggetto dei dati personali
9.1. L'interessato ha il diritto di ottenere qualsiasi informazione su di sé da qualsiasi soggetto coinvolto nelle relazioni relative ai dati personali, senza dover specificare il motivo della richiesta, salvo nei casi previsti dalla legge.
9.2. L'accesso del soggetto dei dati personali ai dati che lo riguardano avviene gratuitamente.
9.3. Il soggetto dei dati personali presenta una richiesta di accesso (di seguito - richiesta) ai dati personali al titolare del database dei dati personali.
Nella richiesta si indicano:
- cognome, nome e patronimico, luogo di residenza (luogo di soggiorno) e dati del documento che attesta l'identità del soggetto dei dati personali;
- ulteriori informazioni che consentono di identificare la persona del soggetto dei dati personali;
- informazioni sulla banca dati personale per la quale viene presentata la richiesta, o informazioni sul titolare o sul responsabile di tale banca dati;
- elenco dei dati personali richiesti.
9.4. Il termine per l'esame della richiesta in merito alla sua soddisfazione non può superare dieci giorni lavorativi dalla data di ricezione. Durante questo periodo, il titolare del database di dati personali informa il soggetto dei dati personali che la richiesta sarà soddisfatta oppure che i dati personali pertinenti non possono essere forniti, indicando il motivo, come stabilito nel pertinente atto normativo.
9.5. La richiesta viene soddisfatta entro trenta giorni di calendario dalla data di ricezione, salvo diversa disposizione di legge.
10. Registrazione statale del database dei dati personali
10.1. La registrazione statale delle banche di dati personali è effettuata in conformità all'articolo 9 della Legge dell'Ucraina «Informativa sulla protezione dei dati personali».