販売者が所有する個人データベースにおける個人データの処理および保護に関する規定
内容
- 一般的な概念と適用範囲
- 個人データベースのリスト
- 個人データ処理の目的
- 個人データの処理手順:同意の取得、権利に関する通知、および個人データ主体の個人データに関する行動
- 個人データベースの所在地
- 第三者への個人データの開示条件
- 個人データの保護:保護方法、責任者、個人データの処理を直接行う従業員および職務を遂行する際に個人データにアクセスする従業員、個人データの保存期間
- 個人データ主体の権利
- 個人データ主体からのリクエストに関する作業手順
- 個人データベースの国家登録
1. 一般的な概念と適用範囲
1.1. 用語の定義:
個人データベース — 名前付きの順序付けられた個人データの集合体で、電子形式および/または個人データのカード形式である;
責任者 — 個人データの処理に関する保護業務を法令に従って組織する指定された者;
個人データベースの所有者 — 法人または自然人であり、法律または個人データの主体の同意により、これらのデータの処理権を与えられ、データベース内の個人データの処理目的を承認し、これらのデータの構成および処理手続きを定める者。ただし、法律で別段の定めがある場合を除く。
国家個人データベース登録簿 — 一元的な国家情報システムで、登録された個人データベースに関する情報の収集、蓄積、処理を行います;
一般にアクセス可能な個人データのソース - ガイド、アドレス帳、レジストリ、リスト、カタログ、その他の体系的に整理された公開情報のコレクションで、個人データが含まれ、個人データの主体の同意のもとに配置および公開されているもの。個人データの主体が自分の個人データを残すソーシャルネットワークやインターネットリソースは、一般に公開されている個人データのソースとは見なされません(ただし、個人データの主体が明示的に個人データが自由に配布および使用される目的で配置されていると示している場合を除く)。
個人データ主体の同意 — 物理的な個人による、彼らの個人データの処理に対する許可を与えるための文書化された自発的な意思表示であり、処理の目的に従って形成されたものである。
個人データの非特定化 — 個人を特定できる情報の削除;
個人データの処理 — 情報(自動化)システムおよび/または個人データのファイルにおいて、収集、登録、蓄積、保存、適応、変更、更新、使用および配布(流通、実施、移転)、匿名化、物理的個人に関する情報の破棄に関連する、完全または部分的に行われる任意の行為または行為の集合。
個人情報 — 特定の個人を識別できる、または特定できる情報の集合体。
個人データベースの管理者 — 個人データベースの所有者または法律によりデータを処理する権利を与えられた物理的または法的な個人。個人データの内容にアクセスすることなく、個人データベースの所有者および/または管理者から技術的な作業を委託された者は、個人データベースの管理者ではありません。
個人データの主体 — 個人データが法律に基づいて処理される自然人;
第三者 - 個人データの主体、個人データベースの所有者または管理者、及び個人データ保護に関する権限を持つ国家機関を除く、個人データベースの所有者または管理者によって法律に従って個人データが移転される者。
特別なデータカテゴリ - 人種または民族的出自、政治的、宗教的または世界観に関する信念、政党や労働組合への所属、健康や性に関するデータに関する個人情報。
1.2. 本規定は、責任者および販売者の従業員が、職務を遂行するにあたり、個人データの処理を直接行うまたはアクセスする場合に適用されるものとします。
2. 個人データベースのリスト
2.1. 販売者は以下の個人データベースの所有者です:
- 契約者の個人データベース。
3. 個人データ処理の目的
3.1. 個人データ処理の目的は、民事法上の関係の実現を確保し、ウクライナの税法、ウクライナの「会計および財務報告に関する法律」に従って、購入した商品やサービスの提供、受領、および決済を行うことです。
4. 個人データの処理手順:同意の取得、権利に関する通知および個人データ主体の個人データに関する行動
4.1. 個人データの主体の同意は、個人がその個人データの処理に対する許可を与えることに関して自発的な意思表示でなければなりません。これは、処理の目的に従って形成されたものです。
4.2. 個人データの主体の同意は、以下の形式で提供されることがあります:
- 物理的な形態の文書で、これによりこの文書と個人を特定するための情報が含まれています。
- 電子文書は、この文書と個人を特定するための必須要件を含む必要があります。個人の個人データの処理に対する許可を与えるという個人の自発的な意思表示は、個人データの主体の電子署名で証明することが望ましいです。
- 情報システムで処理される文書の電子ページまたは電子ファイル上のマークで、文書化されたソフトウェアおよび技術的解決策に基づいています。
4.3. 個人データの主体の同意は、現行法に従って民事関係を形成する際に与えられます。
4.4. 個人データ主体による、個人データが個人データベースに含まれること、ウクライナの「個人データ保護法」によって定められた権利、データ収集の目的、およびその個人データが提供される者についての通知は、現行法に従って民事法的関係を形成する際に行われます。
4.5. 人種または民族的出自、政治的、宗教的または哲学的信念、政治党および労働組合への加入、さらに健康または性に関するデータ(特別なカテゴリのデータ)の処理は禁止されています。
5. 個人データベースの所在地
5.1. 本規定の第2章に記載されている個人データベースは、販売者の住所にあります。
6. 第三者への個人データの開示条件
6.1. 第三者の個人データへのアクセスの手順は、個人データの主体が個人データの処理を行うデータ管理者に提供した同意の条件、または法律の要件に従って定められます。
6.2. 個人データへのアクセスは、当該者がウクライナの「個人データ保護法」の要件を遵守する義務を負うことを拒否するか、またはそれを履行する能力がない場合、第三者には提供されません。
6.3. 個人データに関連する関係の主体は、個人データの保有者に対してアクセスの要求(以下、要求)を提出します。
6.4. リクエストには以下が記載されます:
- 姓、名、父称、居住地(滞在地)および申請者(個人)の身分証明書の詳細;
- 名称、申請を行う法人の所在地、申請を証明する者の役職、姓、名およびミドルネーム; 申請の内容が法人の権限に適合していることの確認(法人申請者の場合);
- 姓、名、および父称、ならびに、照会される個人を特定するためのその他の情報;
- 個人データベースに関する情報、リクエストが提出されるもの、またはこの個人データベースの所有者または管理者に関する情報;
- 要求される個人データのリスト;
- リクエストの目的および/または法的根拠。
6.5. リクエストの満足度を調査する期間は、受領日から10営業日を超えてはならない。この期間中、個人データの管理者は、リクエストを提出した者に対して、リクエストが満たされるか、該当する個人データが提供されない理由を、関連する法令に基づいて明示することを通知する。リクエストは、法律で別段の定めがない限り、受領日から30暦日以内に満たされる。
6.6. 第三者の個人データへのアクセスの延期は、必要なデータがリクエストの受領日から30暦日以内に提供できない場合に許可されます。この場合、リクエストで提起された問題の解決にかかる総期間は、45暦日を超えてはなりません。
6.7. 延期の通知は、請求を行った第三者に対して、書面でその決定に対する異議申し立ての手続きについての説明とともに通知される。
6.8. 延期通知には以下が記載されます:
- 役職者の姓、名、及び父称;
- メッセージ送信日;
- 遅延の理由;
- リクエストが満たされるまでの期間。
6.9. 個人データへのアクセスの拒否は、法律によりアクセスが禁止されている場合に許可されます。
6.10. 拒否通知には以下が記載されます:
- 拒否する公務員の姓、名、父称;
- メッセージ送信日;
- 拒否の理由。
6.11. 個人データへのアクセスの延期または拒否に関する決定は、裁判所に異議を申し立てることができます。
7. 個人データの保護:保護方法、責任者、業務上の義務を遂行するために個人データの処理を直接行う従業員および/または個人データにアクセスする従業員、個人データの保存期間
7.1. 個人データベースの管理者は、情報の損失、盗難、不正な破壊、歪曲、偽造、コピーを防ぐためのシステムおよびプログラム技術的手段と通信手段を備えており、国際的および国内の基準の要件を満たしています。
7.2. 責任者は、法律に従って個人データの処理に関連する業務を組織します。責任者は、個人データベースの所有者の命令によって決定されます。
個人データの処理に関連する業務の組織に関する責任者の義務は、職務指示書に記載されています。
7.3. 責任者は次のことを義務付けられています:
- ウクライナの個人データ保護に関する法律を知っていること;
- 従業員の個人データへのアクセス手続きを、彼らの職業上または業務上の義務に応じて策定すること;
- ウクライナの個人データ保護に関する法律および個人データベースの管理者の活動を規制する内部文書の要件を、個人データベースの管理者の従業員が遵守することを確保する。
- ウクライナの個人データ保護に関する法律および個人データベースの所有者による個人データの処理と保護に関する内部文書を遵守するための内部管理手続きの順序を策定すること。これには、定期的な管理の実施に関する規定が含まれるべきである。
- 個人データベースの管理者に対して、ウクライナの個人データ保護に関する法律および個人データの処理と保護に関する管理者の内部文書の要件を従業員が違反した事実を通知すること。これらの違反が発見された時点から遅くとも1営業日以内に行うこと。
- 個人データ主体が自分の個人データの処理に同意したことを確認する文書の保管を確保し、当該主体にその権利について通知すること。
7.4. 責任者は、その義務を遂行するために次の権利を有します:
- 必要な書類を受け取ること、特に個人データの処理に関連するデータベースの所有者によって発行された命令やその他の指示文書を含む。
- 受け取った文書のコピーを作成すること、ローカルコンピュータネットワークやスタンドアロンコンピュータシステムに保存されているファイルや記録のコピーを含む;
- 個人データの処理に関連する業務の遂行に関する議論に参加すること。
- 個人データ処理の過程で発見された欠陥を解消するための提案や改善策を検討に提出し、業務の改善や作業方法の向上に関する提案を行い、意見を提出すること。
- 個人データ処理に関する質問についての説明を受けること。
- 自分の権限内で文書に署名し、承認する。
7.5. 個人データの処理を直接行う、または職務(労働)義務の履行に関連して個人データにアクセスする従業員は、ウクライナの個人データ保護に関する法律および個人データベースにおける個人データの処理と保護に関する内部文書の要件を遵守する義務があります。
7.6. 個人データにアクセスできる従業員は、業務上または職務上の義務を遂行する過程で知り得た、または委託された個人データの漏洩をいかなる方法でも許可してはならない。この義務は、個人データに関連する活動を終了した後も有効であり、法律で定められた場合を除きます。
7.7.個人データにアクセスできる者は、ウクライナの「個人データ保護法」の要件に違反した場合、そのデータを処理することに対してウクライナの法律に従って責任を負います。
7.8. 個人データは、保存される目的に必要な期間を超えて保存されるべきではありませんが、いかなる場合でも、これらのデータの処理に対する個人データ主体の同意によって定められたデータの保存期間を超えてはなりません。
8. 個人データ主体の権利
8.1. 個人データの主体は次の権利を有します:
- 個人データを含むデータベースの所在地、その目的および名称、所有者または管理者の所在地および/または居住地(滞在地)を知ること、または法律で定められた場合を除き、これらの情報を取得するために権限を与えられた者に適切な指示を与えること。
- 個人データへのアクセス提供条件に関する情報を受け取ること、特に該当する個人データベースに含まれる個人データが提供される第三者に関する情報。
- 個人データベースに含まれる自分の個人データへのアクセス;
- リクエストが到着した日から30日以内に、法律で定められた場合を除き、該当する個人データベースにその個人データが保存されているかどうかの回答を受け取ることができ、また保存されている個人データの内容を受け取ることができます。
- 自分の個人データの処理に対して、法律に基づく権限を行使する国家機関や地方自治体に対して、動機付けられた要求を提出すること。
- 個人データが不正に処理されている場合や不正確である場合、データベースの所有者または管理者に対して、個人データの変更または削除を求める正当な要求を行うこと。
- 個人データの不正処理や偶発的な喪失、破壊、損傷からの保護、意図的な隠蔽、提供の不履行または遅延に関連して、また、虚偽または名誉、尊厳、ビジネスの評判を傷つける情報の提供からの保護。
- 個人データの保護に関する権利について、国家機関や地方自治体に対して申し立てを行うことができます。これらの機関は、個人データの保護を実施する権限を持っています。
- 個人データ保護に関する法律が違反された場合、法的保護手段を適用する。
9. 個人データ主体からのリクエストに関する作業手順
9.1. 個人データの主体は、法律で定められた場合を除き、リクエストの目的を明示することなく、個人データに関連する関係の任意の主体から自分に関する情報を受け取る権利を有します。
9.2. 個人データの主体は、自分に関するデータに無償でアクセスできます。
9.3. 個人データの主体は、個人データベースの所有者に対して個人データへのアクセスに関するリクエスト(以下、リクエスト)を提出します。
リクエストには以下が記載されています:
- 姓、名、父称、居住地(滞在地)および個人データ主体を証明する文書の詳細;
- 個人データ主体を特定するためのその他の情報;
- 個人データベースに関する情報、リクエストが提出されるもの、またはこのデータベースの所有者または管理者に関する情報;
- 要求される個人データのリスト。
9.4. リクエストの満足度を調査する期間は、受領日から10営業日を超えてはならない。この期間中、個人データの管理者は、個人データの主体に対して、リクエストが満たされるか、該当する個人データが提供されない理由を、関連する法令に基づいて明示することを通知する。
9.5. リクエストは、法律で別段の定めがない限り、受領日から30暦日以内に満たされます。
10. 個人データベースの国家登録
10.1. 個人データベースの国家登録は、ウクライナ法「第9条」に従って行われます。個人データの保護について».