Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych, których właścicielem jest sprzedawca
Zawartość
- Ogólne pojęcia i zakres zastosowania
- Lista baz danych osobowych
- Cel przetwarzania danych osobowych
- Porządek przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach oraz działania dotyczące danych osobowych podmiotu danych osobowych
- Lokalizacja bazy danych osobowych
- Warunki ujawniania informacji o danych osobowych osobom trzecim
- Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
- Prawa podmiotu danych osobowych
- Porządek pracy z zapytaniami podmiotu danych osobowych
- Rejestracja państwowa bazy danych osobowych
1. Ogólne pojęcia i zakres zastosowania
1.1. Definicje terminów:
baza danych osobowych — nazwana zbiorowość uporządkowanych danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;
odpowiedzialna osoba — wyznaczona osoba, która organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania, zgodnie z ustawą;
właściciel bazy danych osobowych — osoba fizyczna lub prawna, której prawo do przetwarzania tych danych zostało przyznane na mocy ustawy lub za zgodą podmiotu danych osobowych, która zatwierdza cel przetwarzania danych osobowych w tej bazie danych, ustala skład tych danych oraz procedury ich przetwarzania, chyba że prawo stanowi inaczej;
Krajowy rejestr baz danych osobowych — jedyny państwowy system informacyjny do zbierania, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
ogólnodostępne źródła danych osobowych — katalogi, książki adresowe, rejestry, listy, katalogi, inne systematyzowane zbiory informacji publicznej, które zawierają dane osobowe, umieszczone i opublikowane za zgodą podmiotu danych osobowych. Nie są uważane za ogólnodostępne źródła danych osobowych sieci społecznościowe i zasoby internetowe, w których podmiot danych osobowych pozostawia swoje dane osobowe (z wyjątkiem przypadków, gdy podmiot danych osobowych wyraźnie zaznacza, że dane osobowe zostały umieszczone w celu ich swobodnego rozpowszechniania i wykorzystywania);
zgoda podmiotu danych osobowych — każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej dotyczące udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania;
znieosobowienie danych osobowych — usunięcie informacji, które umożliwiają identyfikację osoby;
przetwarzanie danych osobowych — jakiekolwiek działanie lub zbiór działań, przeprowadzonych w całości lub częściowo w systemie informacyjnym (zautomatyzowanym) i/lub w kartotekach danych osobowych, które są związane z gromadzeniem, rejestracją, akumulacją, przechowywaniem, dostosowywaniem, zmianą, aktualizacją, wykorzystaniem i rozpowszechnianiem (dystrybucją, realizacją, przekazywaniem), anonimizacją, niszczeniem informacji o osobie fizycznej;
dane osobowe — informacje lub zbiór informacji o osobie fizycznej, która jest zidentyfikowana lub może być konkretnie zidentyfikowana;
rozporządzający bazą danych osobowych — fizyczna lub prawna osoba, która jest właścicielem bazy danych osobowych lub ma prawo do przetwarzania tych danych na mocy prawa. Nie jest administratorem bazy danych osobowych osoba, której właściciel i/lub administrator bazy danych osobowych zlecił wykonywanie prac o charakterze technicznym z bazą danych osobowych bez dostępu do treści danych osobowych;
podmiot danych osobowych — osoba fizyczna, wobec której zgodnie z prawem odbywa się przetwarzanie jej danych osobowych;
trzecia osoba - każda osoba, z wyjątkiem podmiotu danych osobowych, właściciela lub administratora bazy danych osobowych oraz upoważnionego organu państwowego ds. ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;
specjalne kategorie danych - dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także danych dotyczących zdrowia lub życia seksualnego.
1.2. Niniejszy regulamin jest obowiązkowy do stosowania przez osobę odpowiedzialną oraz pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Wykaz baz danych osobowych
2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:
- baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, świadczenie, otrzymywanie oraz dokonywanie rozliczeń za nabyte towary i usługi zgodnie z Kodeksem podatkowym Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej w Ukrainie”.
4. Porządek przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach oraz działania z danymi osobowymi podmiotu danych osobowych
4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem woli osoby fizycznej dotyczącej udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania.
4.2. Zgoda podmiotu danych osobowych może być udzielona w następujących formach:
- dokument na papierowym nośniku z rekwizytami, który umożliwia identyfikację tego dokumentu i osoby fizycznej;
- elektroniczny dokument, który powinien zawierać obowiązkowe dane, które umożliwiają identyfikację tego dokumentu oraz osoby fizycznej. Dobrowolne wyrażenie woli osoby fizycznej dotyczące udzielenia zgody na przetwarzanie jej danych osobowych warto potwierdzić elektronicznym podpisem podmiotu danych osobowych;
- oznaczenie na elektronicznej stronie dokumentu lub w pliku elektronicznym, który jest przetwarzany w systemie informacyjnym na podstawie udokumentowanych rozwiązań programowo-technicznych.
4.3. Zgoda podmiotu danych osobowych jest udzielana podczas zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.
4.4. Powiadomienie podmiotu danych osobowych o włączeniu jego danych osobowych do bazy danych osobowych, prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, celu zbierania danych oraz osobach, którym przekazywane są jego dane osobowe, odbywa się podczas zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.
4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych oraz związkach zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.
5. Miejsce przechowywania bazy danych osobowych
5.1. Wskazane w rozdziale 2 niniejszego regulaminu bazy danych osobowych znajdują się pod adresem sprzedawcy.
6. Warunki ujawniania informacji o danych osobowych osobom trzecim
6.1. Sposób dostępu do danych osobowych osób trzecich określają warunki zgody podmiotu danych osobowych, udzielonej administratorowi danych osobowych na przetwarzanie tych danych, lub zgodnie z wymogami prawa.
6.2. Dostęp do danych osobowych osobom trzecim nie jest udzielany, jeśli dana osoba odmawia przyjęcia na siebie zobowiązania do zapewnienia przestrzegania wymogów Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.
6.3. Podmiot relacji związanych z danymi osobowymi składa wniosek o dostęp (dalej - wniosek) do danych osobowych do administratora danych osobowych.
6.4. W zapytaniu należy podać:
- nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość osoby składającej wniosek (dla osoby fizycznej - wnioskodawcy);
- nazwa, lokalizacja osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i nazwisko osoby, która poświadcza wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej - wnioskodawcy);
- nazwisko, imię i nazwisko, a także inne informacje, które umożliwiają identyfikację osoby fizycznej, w odniesieniu do której składany jest wniosek;
- informacje o bazie danych osobowych, dotyczące której składany jest wniosek, lub informacje o właścicielu lub zarządcy tej bazy danych osobowych;
- lista danych osobowych, które są wymagane;
- meta i/lub podstawy prawne dla zapytania.
6.5. Czas rozpatrzenia wniosku w sprawie jego zaspokojenia nie może przekraczać dziesięciu dni roboczych od dnia jego złożenia. W tym czasie właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie zrealizowany lub odpowiednie dane osobowe nie podlegają udostępnieniu, z podaniem podstawy określonej w odpowiednim akcie prawnym. Wniosek jest realizowany w ciągu trzydziestu dni kalendarzowych od dnia jego złożenia, chyba że prawo stanowi inaczej.
6.6. Odroczenie dostępu do danych osobowych osób trzecich jest dozwolone w przypadku, gdy niezbędne dane nie mogą być udostępnione w ciągu trzydziestu dni kalendarzowych od dnia złożenia wniosku. Przy tym całkowity czas rozpatrywania spraw poruszonych w wniosku nie może przekraczać czterdziestu pięciu dni kalendarzowych.
6.7. Powiadomienie o odroczeniu jest przekazywane do wiadomości osobie trzeciej, która złożyła wniosek, w formie pisemnej z wyjaśnieniem procedury odwołania od takiej decyzji.
6.8. W powiadomieniu o odroczeniu wskazuje się:
- nazwisko, imię i nazwisko osoby pełniącej funkcję;
- data wysłania wiadomości;
- przyczyna opóźnienia;
- okres, w którym zostanie zrealizowane zapytanie.
6.9. Odrzucenie dostępu do danych osobowych jest dozwolone, jeśli dostęp do nich jest zabroniony zgodnie z prawem.
6.10. W powiadomieniu o odmowie wskazuje się:
- nazwisko, imię, nazwisko rodowe osoby, która odmawia dostępu;
- data wysłania wiadomości;
- przyczyna odmowy.
6.11. Decyzja o odroczeniu lub odmowie dostępu do danych osobowych może być zaskarżona do sądu.
7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych jest wyposażony w systemowe i programowo-techniczne środki oraz środki komunikacji, które zapobiegają stratom, kradzieżom, nieautoryzowanemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji i odpowiadają wymaganiom międzynarodowych oraz krajowych standardów.
7.2. Osoba odpowiedzialna organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania, zgodnie z prawem. Osoba odpowiedzialna jest wyznaczana zarządzeniem Właściciela bazy danych osobowych.
Obowiązki osoby odpowiedzialnej za organizację pracy związanej z ochroną danych osobowych podczas ich przetwarzania są określone w instrukcji stanowiskowej.
7.3. Osoba odpowiedzialna jest zobowiązana do:
- znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
- opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi, służbowymi lub pracowniczymi;
- zapewnić przestrzeganie przez pracowników Właściciela bazy danych osobowych wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela bazy danych osobowych dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych;
- opracować procedurę wewnętrznej kontroli przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela bazy danych osobowych dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych, która powinna zawierać normy dotyczące częstotliwości przeprowadzania takiej kontroli;
- inform the Data Controller about violations by employees of the requirements of Ukrainian legislation in the field of personal data protection and internal documents regulating the activities of the Data Controller regarding the processing and protection of personal data in personal data bases within no later than one working day from the moment such violations are detected;
- zapewnić przechowywanie dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie swoich danych osobowych oraz poinformowanie wskazanego podmiotu o jego prawach.
7.4. W celu wykonania swoich obowiązków osoba odpowiedzialna ma prawo:
- otrzymywać niezbędne dokumenty, w tym polecenia i inne dokumenty zarządzające, wydane przez Właściciela bazy danych osobowych, związane z przetwarzaniem danych osobowych;
- robić kopie z otrzymanych dokumentów, w tym kopie plików, wszelkich zapisów, które są przechowywane w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
- brać udział w dyskusji na temat wykonywanych przez niego obowiązków związanych z organizacją pracy dotyczącej ochrony danych osobowych podczas ich przetwarzania;
- wnosić na rozpatrzenie propozycje dotyczące poprawy działalności oraz doskonalenia metod pracy, zgłaszać uwagi i warianty usunięcia stwierdzonych niedociągnięć w procesie przetwarzania danych osobowych;
- uzyskać wyjaśnienia w sprawie przetwarzania danych osobowych;
- podpisywać i zatwierdzać dokumenty w ramach swojej kompetencji.
7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.
7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym dokonują ich przetwarzania, są zobowiązani do niedopuszczenia do ujawnienia w jakikolwiek sposób danych osobowych, które zostały im powierzone lub które stały się znane w związku z wykonywaniem obowiązków zawodowych, służbowych lub pracowniczych. To zobowiązanie obowiązuje po zaprzestaniu przez nich działalności związanej z danymi osobowymi, z wyjątkiem przypadków określonych w ustawie.
7.7. Osoby, które mają dostęp do danych osobowych, w tym dokonują ich przetwarzania w przypadku naruszenia wymagań Ustawy Ukrainy „O ochronie danych osobowych”, ponoszą odpowiedzialność zgodnie z prawodawstwem Ukrainy.
7.8. Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do celu, dla którego te dane są przechowywane, ale w każdym przypadku nie dłużej niż okres przechowywania danych określony w zgodzie podmiotu danych osobowych na przetwarzanie tych danych.
8. Prawa podmiotu danych osobowych
8.1. Podmiot danych osobowych ma prawo:
- znać lokalizację bazy danych osobowych, która zawiera jego dane osobowe, jej przeznaczenie i nazwę, lokalizację i/lub miejsce zamieszkania (pobytu) właściciela lub zarządcy tej bazy lub wydać odpowiednie zlecenie dotyczące uzyskania tych informacji upoważnionym przez niego osobom, z wyjątkiem przypadków określonych w ustawie;
- otrzymywać informacje o warunkach udostępniania dostępu do danych osobowych, w tym informacje o osobach trzecich, którym przekazywane są jego dane osobowe, zawarte w odpowiedniej bazie danych osobowych;
- na dostęp do swoich danych osobowych, które znajdują się w odpowiedniej bazie danych osobowych;
- otrzymać nie później niż w ciągu trzydziestu dni kalendarzowych od dnia złożenia wniosku, z wyjątkiem przypadków przewidzianych prawem, odpowiedź na pytanie, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, a także uzyskać treść jego danych osobowych, które są przechowywane;
- przedstawiać uzasadnione żądanie z sprzeciwem wobec przetwarzania swoich danych osobowych przez organy władzy państwowej, organy samorządu terytorialnego przy wykonywaniu ich uprawnień przewidzianych prawem;
- przedstawiać uzasadnione żądanie zmiany lub usunięcia swoich danych osobowych przez jakiegokolwiek właściciela i administratora tej bazy, jeśli dane te są przetwarzane niezgodnie z prawem lub są nieprawdziwe;
- na ochronę swoich danych osobowych przed nielegalnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w związku z umyślnym ukrywaniem, nienależytym udostępnieniem lub nieterminowym ich udostępnieniem, a także na ochronę przed udostępnieniem informacji, które są nieprawdziwe lub szkalują honor, godność i reputację zawodową osoby fizycznej;
- zwracać się z pytaniami dotyczącymi ochrony swoich praw w zakresie danych osobowych do organów władzy państwowej, organów samorządu terytorialnego, do kompetencji których należy ochrona danych osobowych;
- stosować środki prawne w przypadku naruszenia przepisów dotyczących ochrony danych osobowych.
9. Porządek pracy z zapytaniami podmiotu danych osobowych
9.1. Podmiot danych osobowych ma prawo do uzyskania wszelkich informacji o sobie od dowolnego podmiotu związanych z danymi osobowymi, bez podawania celu zapytania, z wyjątkiem przypadków określonych w ustawie.
9.2. Dostęp podmiotu danych osobowych do danych o sobie odbywa się bezpłatnie.
9.3. Podmiot danych osobowych składa wniosek o dostęp (dalej - wniosek) do danych osobowych do administratora bazy danych osobowych.
W zapytaniu wskazano:
- nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość podmiotu danych osobowych;
- inne informacje, które umożliwiają identyfikację osoby, której dane osobowe dotyczą;
- informacje o bazie danych osobowych, dotyczące której składany jest wniosek, lub informacje o właścicielu lub zarządcy tej bazy;
- lista danych osobowych, które są wymagane.
9.4. Czas rozpatrzenia wniosku w sprawie jego zaspokojenia nie może przekraczać dziesięciu dni roboczych od dnia jego złożenia. W tym czasie administrator bazy danych osobowych informuje osobę, której dane dotyczą, czy wniosek zostanie zrealizowany, czy odpowiednie dane osobowe nie podlegają udostępnieniu, wskazując podstawę określoną w odpowiednim akcie prawnym.
9.5. Zapytanie jest rozpatrywane w ciągu trzydziestu dni kalendarzowych od dnia jego złożenia, chyba że prawo stanowi inaczej.
10. Rejestracja państwowa bazy danych osobowych
10.1. Rejestracja państwowa baz danych osobowych odbywa się zgodnie z artykułem 9 Ustawy Ukrainy „O ochronie danych osobowych».