Regeling voor de verwerking en bescherming van persoonsgegevens in databases van persoonsgegevens, waarvan de verkoper de eigenaar is
Inhoud
- Algemene concepten en toepassingsgebied
- Lijst van databases met persoonlijke gegevens
- Doel van de verwerking van persoonsgegevens
- De procedure voor de verwerking van persoonsgegevens: het verkrijgen van toestemming, het informeren over rechten en de acties met de persoonsgegevens van de betrokkene
- Locatie van de database met persoonlijke gegevens
- Voorwaarden voor het openbaar maken van persoonlijke gegevens aan derden
- Bescherming van persoonsgegevens: beschermingsmethoden, verantwoordelijke persoon, medewerkers die direct betrokken zijn bij de verwerking en/of toegang hebben tot persoonsgegevens in verband met de uitvoering van hun taken, bewaartermijn van persoonsgegevens
- Rechten van de betrokkene
- Werkwijze voor het omgaan met verzoeken van de betrokkene
- Nationale registratie van de database met persoonsgegevens
1. Algemene begrippen en toepassingsgebied
1.1. Definitie van termen:
persoonlijke gegevens database — een benoemde verzameling geordende persoonlijke gegevens in elektronische vorm en/of in de vorm van persoonsgegevensbestanden;
verantwoordelijke persoon — aangewezen persoon die het werk organiseert dat verband houdt met de bescherming van persoonsgegevens bij de verwerking, in overeenstemming met de wet;
eigenaar van de database met persoonlijke gegevens — fysieke of juridische persoon aan wie op grond van de wet of met toestemming van de betrokkene het recht is verleend om deze gegevens te verwerken, die het doel van de verwerking van persoonsgegevens in deze database vaststelt, de samenstelling van deze gegevens en de procedures voor hun verwerking vastlegt, tenzij anders bepaald door de wet;
Nationale register van databanken met persoonlijke gegevens — het enige nationale informatiesysteem voor het verzamelen, opslaan en verwerken van gegevens over geregistreerde databases van persoonlijke gegevens;
openbare bronnen van persoonlijke gegevens - gidsen, adressenboeken, registers, lijsten, catalogi, andere systematisch samengestelde verzamelingen van openbare informatie die persoonlijke gegevens bevatten, geplaatst en gepubliceerd met medeweten van de betrokkene. Sociale netwerken en internetbronnen waarin de betrokkene zijn persoonlijke gegevens achterlaat, worden niet beschouwd als algemeen toegankelijke bronnen van persoonlijke gegevens (tenzij de betrokkene expliciet aangeeft dat de persoonlijke gegevens zijn geplaatst met het doel van vrije verspreiding en gebruik);
toestemming van de betrokkene — elke gedocumenteerde, vrijwillige wilsovereenkomst van een natuurlijke persoon met betrekking tot het verlenen van toestemming voor de verwerking van haar persoonlijke gegevens in overeenstemming met het geformuleerde doel van die verwerking;
de-anonimisering van persoonlijke gegevens — het verwijderen van gegevens die het mogelijk maken een persoon te identificeren;
verwerking van persoonsgegevens - elke actie of reeks van acties, volledig of gedeeltelijk uitgevoerd in een informatie (geautomatiseerd) systeem en/of in databanken van persoonlijke gegevens, die verband houden met het verzamelen, registreren, accumuleren, opslaan, aanpassen, wijzigen, vernieuwen, gebruiken en verspreiden (distributie, verkoop, overdracht), anonimisering, vernietiging van informatie over een natuurlijke persoon;
persoonlijke gegevens - informatie of een verzameling informatie over een fysieke persoon die is geïdentificeerd of specifiek kan worden geïdentificeerd;
beheerder van de persoonlijke gegevensdatabase - natuurlijke of rechtspersoon die de eigenaar is van de database met persoonsgegevens of die op grond van de wet het recht heeft om deze gegevens te verwerken. Is geen beheerder van de database met persoonsgegevens de persoon aan wie de eigenaar en/of beheerder van de database met persoonsgegevens de technische werkzaamheden met de database met persoonsgegevens heeft opgedragen zonder toegang tot de inhoud van de persoonsgegevens;
persoonlijke gegevens onderwerp - natuurlijke persoon, ten aanzien van wie overeenkomstig de wet de verwerking van haar persoonsgegevens plaatsvindt;
derde persoon - iedere persoon, met uitzondering van de betrokkene, de houder of beheerder van de database met persoonsgegevens en de bevoegde overheidsinstantie op het gebied van de bescherming van persoonsgegevens, aan wie door de houder of beheerder van de database met persoonsgegevens persoonsgegevens worden overgedragen in overeenstemming met de wet;
bijzondere categorieën van gegevens - persoonlijke gegevens over raciale of etnische afkomst, politieke, religieuze of wereldbeschouwelijke overtuigingen, lidmaatschap van politieke partijen en vakbonden, alsook gegevens met betrekking tot gezondheid of seksueel leven.
1.2. Deze regeling is verplicht voor de verantwoordelijke persoon en de medewerkers van de verkoper die direct betrokken zijn bij de verwerking en/of toegang hebben tot persoonlijke gegevens in verband met de uitvoering van hun dienstverlenende taken.
2. Lijst van databases met persoonlijke gegevens
2.1. De verkoper is eigenaar van de volgende databases met persoonlijke gegevens:
- database van persoonlijke gegevens van contractpartners.
3. Doel van de verwerking van persoonsgegevens
3.1. Het doel van de verwerking van persoonsgegevens in het systeem is het waarborgen van de uitvoering van civielrechtelijke relaties, het verstrekken, ontvangen en uitvoeren van betalingen voor aangekochte goederen en diensten in overeenstemming met de Belastingcode van Oekraïne, de Wet van Oekraïne "Over boekhouding en financiële verslaggeving in Oekraïne".
4. Procedure voor de verwerking van persoonsgegevens: het verkrijgen van toestemming, informatie over rechten en acties met betrekking tot de persoonsgegevens van de betrokkene
4.1. De toestemming van de betrokkene moet een vrijwillige wilsuiting zijn van de natuurlijke persoon met betrekking tot het verlenen van toestemming voor de verwerking van zijn of haar persoonsgegevens in overeenstemming met het geformuleerde doel van die verwerking.
4.2. De toestemming van de betrokkene kan worden gegeven in de volgende vormen:
- document op papier met gegevens die het mogelijk maken dit document en de natuurlijke persoon te identificeren;
- elektronisch document, dat de verplichte gegevens moet bevatten die het mogelijk maken dit document en de natuurlijke persoon te identificeren. De vrijwillige wil van de natuurlijke persoon om toestemming te geven voor de verwerking van haar persoonlijke gegevens is het meest geschikt om te worden bevestigd met een elektronische handtekening van de betrokkene;
- markering op de elektronische pagina van het document of in het elektronisch bestand, dat wordt verwerkt in het informatiesysteem op basis van gedocumenteerde software-technische oplossingen.
4.3. De toestemming van de betrokkene wordt verleend tijdens het aangaan van civielrechtelijke relaties in overeenstemming met de geldende wetgeving.
4.4. Berichtgeving aan de betrokkene over de opname van zijn persoonsgegevens in de database van persoonsgegevens, de rechten zoals bepaald in de Wet van Oekraïne "Over de bescherming van persoonsgegevens", het doel van de gegevensverzameling en de personen aan wie zijn persoonsgegevens worden doorgegeven, vindt plaats tijdens de totstandkoming van civielrechtelijke relaties in overeenstemming met de geldende wetgeving.
4.5. Het verwerken van persoonsgegevens over ras of etnische afkomst, politieke, religieuze of wereldbeschouwelijke overtuigingen, lidmaatschap van politieke partijen en vakbonden, alsook gegevens met betrekking tot gezondheid of seksueel leven (bijzondere categorieën van gegevens) is verboden.
5. Locatie van de database met persoonlijke gegevens
5.1. De in sectie 2 van deze regeling vermelde databases van persoonsgegevens bevinden zich op het adres van de verkoper.
6. Voorwaarden voor het openbaar maken van informatie over persoonlijke gegevens aan derden
6.1. De procedure voor toegang tot de persoonlijke gegevens van derden wordt bepaald door de voorwaarden van de toestemming van de betrokkene, gegeven aan de houder van de persoonlijke gegevens voor de verwerking van deze gegevens, of in overeenstemming met de wettelijke vereisten.
6.2. Toegang tot persoonlijke gegevens wordt niet verleend aan derden, tenzij die persoon zich verplicht om te voldoen aan de vereisten van de Wet van Oekraïne "Over de bescherming van persoonlijke gegevens" of niet in staat is om deze te waarborgen.
6.3. De betrokkene in de relatie met persoonsgegevens dient een verzoek om toegang (hierna - verzoek) tot de persoonsgegevens in bij de houder van de persoonsgegevens.
6.4. In de aanvraag worden vermeld:
- achternaam, voornaam en tussenvoegsel, woonplaats (verblijfplaats) en gegevens van het document dat de natuurlijke persoon die het verzoek indient, identificeert (voor de natuurlijke persoon - aanvrager);
- naam, locatie van de rechtspersoon die het verzoek indient, functie, achternaam, voornaam en patroniem van de persoon die het verzoek bevestigt; bevestiging dat de inhoud van het verzoek overeenkomt met de bevoegdheden van de rechtspersoon (voor de rechtspersoon - aanvrager);
- achternaam, voornaam en patroniem, alsook andere gegevens die het mogelijk maken een natuurlijke persoon te identificeren, betreffende wie de aanvraag wordt gedaan;
- informatie over de database van persoonsgegevens waarover de aanvraag wordt ingediend, of informatie over de eigenaar of beheerder van deze database van persoonsgegevens;
- lijst van persoonlijke gegevens die worden opgevraagd;
- meta en/of juridische gronden voor de aanvraag.
6.5. De termijn voor het onderzoeken van een verzoek met betrekking tot de voldoening ervan mag niet langer zijn dan tien werkdagen vanaf de datum van ontvangst. Gedurende deze termijn brengt de houder van de persoonsgegevens de persoon die het verzoek indient op de hoogte dat het verzoek zal worden ingewilligd of dat de betreffende persoonsgegevens niet kunnen worden verstrekt, met vermelding van de grondslag zoals bepaald in de relevante wetgeving. Het verzoek wordt ingewilligd binnen dertig kalenderdagen vanaf de datum van ontvangst, tenzij anders bepaald door de wet.
6.6. Uitstel van toegang tot persoonlijke gegevens van derden is toegestaan indien de benodigde gegevens niet binnen dertig kalenderdagen na ontvangst van het verzoek kunnen worden verstrekt. In dit geval mag de totale termijn voor het oplossen van de in het verzoek aan de orde gestelde kwesties niet langer zijn dan vijfenveertig kalenderdagen.
6.7. Een kennisgeving van uitstel wordt schriftelijk aan de derde partij die het verzoek heeft ingediend, meegedeeld, met uitleg over de procedure voor het aanvechten van een dergelijk besluit.
6.8. In de mededeling over uitstel worden vermeld:
- achternaam, voornaam en patroniem van de functionaris;
- datum van verzending van het bericht;
- reden voor uitstel;
- periode waarin de aanvraag zal worden ingewilligd.
6.9. Toegang tot persoonlijke gegevens kan worden geweigerd als toegang daartoe volgens de wet is verboden.
6.10. In de afwijzingsmelding worden vermeld:
- achternaam, voornaam, patroniem van de functionaris die de toegang weigert;
- datum van verzending van het bericht;
- reden voor weigering.
6.11. Een beslissing over uitstel of weigering van toegang tot persoonlijke gegevens kan worden aangevochten bij de rechtbank.
7. Bescherming van persoonlijke gegevens: beschermingsmethoden, verantwoordelijke persoon, medewerkers die direct betrokken zijn bij de verwerking en/of toegang hebben tot persoonlijke gegevens in verband met de uitvoering van hun dienstverleningsverplichtingen, bewaartermijn van persoonlijke gegevens
7.1. De eigenaar van de database met persoonlijke gegevens is uitgerust met systeem- en programmatische technische middelen en communicatiemiddelen die verlies, diefstal, ongeoorloofde vernietiging, vervorming, vervalsing en kopiëren van informatie voorkomen en voldoen aan de eisen van internationale en nationale normen.
7.2. De verantwoordelijke persoon organiseert het werk met betrekking tot de bescherming van persoonsgegevens bij de verwerking ervan, in overeenstemming met de wet. De verantwoordelijke persoon wordt aangewezen bij een besluit van de eigenaar van de database met persoonsgegevens.
De verantwoordelijkheden van de verantwoordelijke persoon met betrekking tot de organisatie van werkzaamheden die verband houden met de bescherming van persoonsgegevens tijdens de verwerking worden vermeld in de functieomschrijving.
7.3. De verantwoordelijke persoon is verplicht om:
- kennis van de wetgeving van Oekraïne op het gebied van bescherming van persoonsgegevens;
- ontwikkelen van procedures voor toegang tot persoonlijke gegevens van medewerkers op basis van hun professionele, dienst- of arbeidsverplichtingen;
- zorgen voor de naleving door de medewerkers van de Houder van de database van de vereisten van de wetgeving van Oekraïne op het gebied van de bescherming van persoonsgegevens en interne documenten die de activiteiten van de Houder van de database met betrekking tot de verwerking en bescherming van persoonsgegevens in databases reguleren;
- ontwikkelen van een procedure voor interne controle op de naleving van de wetgeving van Oekraïne op het gebied van de bescherming van persoonsgegevens en interne documenten die de activiteiten van de eigenaar van de database van persoonsgegevens reguleren met betrekking tot de verwerking en bescherming van persoonsgegevens in databases van persoonsgegevens, die onder andere normen moet bevatten met betrekking tot de periodiciteit van dergelijke controle;
- informeren van de houder van de database met persoonlijke gegevens over feiten van schendingen door medewerkers van de vereisten van de wetgeving van Oekraïne op het gebied van de bescherming van persoonlijke gegevens en interne documenten die de activiteiten van de houder van de database met persoonlijke gegevens met betrekking tot de verwerking en bescherming van persoonlijke gegevens in databases met persoonlijke gegevens regelen, binnen een termijn van niet later dan één werkdag na de ontdekking van dergelijke schendingen;
- Zorg voor de opslag van documenten die bevestigen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens en dat de betrokkene is geïnformeerd over zijn of haar rechten.
7.4. Met het oog op de uitvoering van zijn/haar verplichtingen heeft de verantwoordelijke persoon het recht:
- de benodigde documenten ontvangen, waaronder bevelen en andere administratieve documenten, uitgegeven door de eigenaar van de database met persoonsgegevens, met betrekking tot de verwerking van persoonsgegevens;
- kopieën maken van ontvangen documenten, inclusief kopieën van bestanden, alle gegevens die zijn opgeslagen in lokale computernetwerken en autonome computersystemen;
- deelnemen aan de discussie over de uitvoering van zijn taken met betrekking tot het organiseren van werk dat verband houdt met de bescherming van persoonsgegevens bij de verwerking ervan;
- voorstellen indienen ter verbetering van de activiteiten en het verfijnen van de werkmethoden, opmerkingen en voorstellen indienen voor het verhelpen van geconstateerde tekortkomingen in het proces van verwerking van persoonsgegevens;
- verkrijgen van uitleg over de verwerking van persoonsgegevens;
- documenten ondertekenen en viseren binnen hun bevoegdheid.
7.5. Werknemers die direct betrokken zijn bij de verwerking en/of toegang hebben tot persoonlijke gegevens in verband met de uitvoering van hun dienst (arbeids) verplichtingen, zijn verplicht de vereisten van de wetgeving van Oekraïne op het gebied van de bescherming van persoonlijke gegevens en interne documenten met betrekking tot de verwerking en bescherming van persoonlijke gegevens in databases van persoonlijke gegevens na te leven.
7.6. Werknemers die toegang hebben tot persoonlijke gegevens, waaronder de verwerking ervan, zijn verplicht om op geen enkele manier openbaarmaking van de persoonlijke gegevens die aan hen zijn toevertrouwd of die bekend zijn geworden in verband met de uitvoering van professionele, ambtelijke of arbeidsverplichtingen te voorkomen. Deze verplichting blijft van kracht na het beëindigen van hun activiteiten met betrekking tot persoonlijke gegevens, behalve in gevallen die bij wet zijn vastgesteld.
7.7. Personen die toegang hebben tot persoonlijke gegevens, inclusief degenen die deze verwerken in geval van schending van de vereisten van de Wet van Oekraïne "Over de bescherming van persoonlijke gegevens", zijn verantwoordelijk volgens de wetgeving van Oekraïne.
7.8. Persoonlijke gegevens mogen niet langer worden bewaard dan nodig is voor het doel waarvoor deze gegevens worden bewaard, maar in ieder geval niet langer dan de bewaartermijn van de gegevens die is vastgesteld met de toestemming van de betrokkene voor de verwerking van deze gegevens.
8. Rechten van de betrokkene
8.1. De betrokkene heeft het recht:
- weten over de locatie van de database met persoonlijke gegevens, die zijn persoonlijke gegevens bevat, het doel en de naam, de locatie en/of de woonplaats (verblijf) van de eigenaar of beheerder van deze database, of een overeenkomstige opdracht geven voor het verkrijgen van deze informatie aan door hem gemachtigde personen, behalve in de gevallen die bij wet zijn vastgesteld;
- informatie ontvangen over de voorwaarden voor toegang tot persoonlijke gegevens, met name informatie over derden aan wie zijn persoonlijke gegevens worden verstrekt, die zich in de betreffende database met persoonlijke gegevens bevinden;
- op toegang tot uw persoonlijke gegevens, die zich in de betreffende database met persoonlijke gegevens bevinden;
- ontvangen niet later dan dertig kalenderdagen na de datum van ontvangst van het verzoek, behalve in gevallen die bij wet zijn voorzien, een antwoord over de vraag of zijn persoonlijke gegevens worden bewaard in de betreffende database van persoonlijke gegevens, alsook de inhoud van zijn persoonlijke gegevens die worden bewaard;
- een gemotiveerde eis indienen tegen de verwerking van zijn persoonlijke gegevens door de overheidsinstanties, lokale overheden bij de uitoefening van hun bevoegdheden zoals voorzien in de wet;
- het indienen van een gemotiveerd verzoek tot wijziging of vernietiging van zijn persoonlijke gegevens bij elke houder en beheerder van deze database, indien deze gegevens onrechtmatig worden verwerkt of onjuist zijn;
- voor de bescherming van uw persoonlijke gegevens tegen onrechtmatige verwerking en toevallig verlies, vernietiging, beschadiging in verband met opzettelijke verberging, het niet verstrekken of het niet tijdig verstrekken ervan, alsook ter bescherming tegen het verstrekken van informatie die onjuist is of de eer, waardigheid en zakelijke reputatie van een natuurlijke persoon schaadt;
- zich wenden tot de autoriteiten van de staat, de lokale overheden, die bevoegd zijn voor de bescherming van persoonsgegevens;
- toepassen van rechtsmiddelen in geval van schending van de wetgeving inzake de bescherming van persoonsgegevens.
9. Werkwijze voor het omgaan met verzoeken van de betrokkene
9.1. De betrokkene heeft het recht om informatie over zichzelf te ontvangen van elke partij die betrokken is bij de verwerking van persoonsgegevens, zonder opgave van redenen voor het verzoek, behalve in de gevallen die bij wet zijn vastgesteld.
9.2. Toegang van de betrokkene tot zijn persoonsgegevens is kosteloos.
9.3. De betrokkene dient een verzoek om toegang (hierna - verzoek) tot de persoonsgegevens in bij de houder van de persoonsgegevens.
In de aanvraag worden vermeld:
- achternaam, voornaam en patroniem, woonplaats (verblijfplaats) en gegevens van het document dat de identiteit van de betrokkene bevestigt;
- andere informatie die het mogelijk maakt de identiteit van de betrokkene te identificeren;
- informatie over de database van persoonlijke gegevens waarover de aanvraag wordt ingediend, of informatie over de eigenaar of beheerder van deze database;
- lijst van persoonlijke gegevens die worden opgevraagd.
9.4. De termijn voor het onderzoeken van een verzoek met betrekking tot de voldoening ervan mag niet langer zijn dan tien werkdagen vanaf de datum van ontvangst. Gedurende deze termijn brengt de houder van de persoonsgegevens de betrokkene op de hoogte dat het verzoek zal worden ingewilligd of dat de betreffende persoonsgegevens niet kunnen worden verstrekt, met vermelding van de grondslag zoals bepaald in de relevante wet- en regelgeving.
9.5. De aanvraag wordt binnen dertig kalenderdagen na ontvangst ervan ingewilligd, tenzij anders bepaald door de wet.
10. Officiële registratie van de database met persoonsgegevens
10.1. De staatsregistratie van databanken met persoonlijke gegevens wordt uitgevoerd in overeenstemming met artikel 9 van de wet van Oekraïne «Over de bescherming van persoonsgegevens».