Regulamento sobre o tratamento e proteção de dados pessoais em bases de dados pessoais, cuja titularidade é do vendedor
Conteúdo
- Conceitos gerais e área de aplicação
- Lista de bases de dados de dados pessoais
- Objetivo do tratamento de dados pessoais
- Ordem de processamento de dados pessoais: obtenção de consentimento, notificação sobre direitos e ações com os dados pessoais do titular dos dados pessoais
- Localização da base de dados pessoais
- Condições de divulgação de informações sobre dados pessoais a terceiros
- Proteção de dados pessoais: formas de proteção, pessoa responsável, funcionários que realizam diretamente o tratamento e/ou têm acesso a dados pessoais em relação ao cumprimento de suas obrigações de serviço, prazo de armazenamento de dados pessoais
- Direitos do titular de dados pessoais
- Ordem de trabalho com pedidos do sujeito de dados pessoais
- Registo estatal da base de dados pessoais
1. Conceitos gerais e área de aplicação
1.1. Definição de termos:
base de dados pessoais — conjunto nomeado de dados pessoais organizados em formato eletrônico e/ou na forma de arquivos de dados pessoais;
responsável — pessoa designada que organiza o trabalho relacionado com a proteção de dados pessoais durante o seu tratamento, de acordo com a lei;
titular da base de dados pessoais — pessoa física ou jurídica a quem a lei ou o consentimento do titular dos dados pessoais confere o direito de processar esses dados, que aprova a finalidade do processamento dos dados pessoais nesta base de dados, estabelece a composição desses dados e os procedimentos de seu processamento, salvo disposição em contrário da lei;
Registo Nacional de Bases de Dados de Dados Pessoais — sistema estatal único de informação para a coleta, acumulação e processamento de dados sobre bases de dados pessoais registradas;
fontes de dados pessoais de acesso público - guias, livros de endereços, registos, listas, catálogos, outras coleções sistematizadas de informações públicas que contêm dados pessoais, disponibilizados e publicados com o conhecimento do titular dos dados pessoais. Não são considerados fontes de dados pessoais de acesso público as redes sociais e recursos da internet, onde o titular dos dados pessoais deixa os seus dados pessoais (exceto nos casos em que o titular dos dados pessoais indica expressamente que os dados pessoais foram disponibilizados com a finalidade de sua livre disseminação e utilização);
consentimento do titular dos dados pessoais — qualquer manifestação documentada e voluntária de vontade de uma pessoa física em relação à concessão de autorização para o tratamento de seus dados pessoais de acordo com a finalidade formulada para o seu tratamento;
despersonalização de dados pessoais — remoção de informações que permitem identificar a pessoa;
processamento de dados pessoais — qualquer ação ou conjunto de ações realizadas total ou parcialmente em um sistema de informação (automatizado) e/ou em arquivos de dados pessoais, que estão relacionadas com a coleta, registro, acumulação, armazenamento, adaptação, alteração, atualização, utilização e disseminação (distribuição, realização, transferência), despersonalização, destruição de informações sobre uma pessoa física;
dados pessoais — informações ou um conjunto de informações sobre uma pessoa física que está identificada ou pode ser especificamente identificada;
gestor da base de dados pessoais — pessoa física ou jurídica, a quem o proprietário da base de dados pessoais ou a lei confere o direito de processar esses dados. Não é o responsável pela base de dados pessoais a pessoa a quem o proprietário e/ou responsável pela base de dados pessoais delegou a realização de trabalhos de caráter técnico na base de dados pessoais sem acesso ao conteúdo dos dados pessoais;
sujeito de dados pessoais — pessoa singular, relativamente à qual, de acordo com a lei, é realizada a tratamento dos seus dados pessoais;
terceira pessoa - qualquer pessoa, exceto o titular dos dados pessoais, o proprietário ou o responsável pela base de dados pessoais e a autoridade pública competente em matéria de proteção de dados pessoais, a quem o proprietário ou o responsável pela base de dados pessoais transfere dados pessoais de acordo com a lei;
categorias especiais de dados - dados pessoais sobre origem racial ou étnica, crenças políticas, religiosas ou filosóficas, filiação a partidos políticos e sindicatos, bem como dados relacionados à saúde ou à vida sexual.
1.2. Este Regulamento é obrigatório para aplicação pela pessoa responsável e pelos funcionários do vendedor que realizam diretamente o processamento e/ou têm acesso a dados pessoais em relação ao cumprimento de suas obrigações de serviço.
2. Lista de bases de dados de dados pessoais
2.1. O vendedor é o proprietário das seguintes bases de dados pessoais:
- base de dados pessoais dos contratantes.
3. Meta do tratamento de dados pessoais
3.1. O objetivo do tratamento de dados pessoais no sistema é garantir a realização de relações civis, a prestação, recebimento e realização de pagamentos por bens e serviços adquiridos de acordo com o Código Tributário da Ucrânia, a Lei da Ucrânia "Sobre Contabilidade e Relato Financeiro na Ucrânia".
4. Ordem de processamento de dados pessoais: obtenção de consentimento, informação sobre direitos e ações com os dados pessoais do titular dos dados pessoais
4.1. O consentimento do titular dos dados pessoais deve ser uma manifestação de vontade voluntária da pessoa física em relação à concessão de autorização para o tratamento de seus dados pessoais de acordo com a finalidade formulada para o seu tratamento.
4.2. O consentimento do titular dos dados pessoais pode ser dado nas seguintes formas:
- documento em suporte de papel com os requisitos que permitem identificar este documento e a pessoa física;
- documento eletrónico, que deve conter os requisitos obrigatórios que permitem identificar este documento e a pessoa física. A manifestação de vontade voluntária da pessoa física em relação à concessão de autorização para o tratamento dos seus dados pessoais deve ser devidamente certificada com a assinatura eletrónica do titular dos dados pessoais;
- marca na página eletrónica do documento ou no ficheiro eletrónico, que é processado no sistema de informação com base em soluções programáticas e técnicas documentadas.
4.3. O consentimento do titular dos dados pessoais é dado durante a formalização de relações civis de acordo com a legislação em vigor.
4.4. A notificação do titular dos dados pessoais sobre a inclusão dos seus dados pessoais na base de dados de dados pessoais, os direitos definidos pela Lei da Ucrânia "Sobre a proteção de dados pessoais", a finalidade da coleta de dados e as pessoas a quem os seus dados pessoais são transmitidos é realizada durante a formalização de relações civis de acordo com a legislação em vigor.
4.5. O tratamento de dados pessoais sobre origem racial ou étnica, crenças políticas, religiosas ou filosóficas, filiação a partidos políticos e sindicatos, bem como dados relacionados à saúde ou vida sexual (categorias especiais de dados) é proibido.
5. Localização da base de dados pessoais
5.1. As bases de dados pessoais indicadas na seção 2 deste Regulamento estão localizadas no endereço do vendedor.
6. Condições de divulgação de informações sobre dados pessoais a terceiros
6.1. A ordem de acesso aos dados pessoais de terceiros é determinada pelas condições de consentimento do titular dos dados pessoais, fornecido ao controlador dos dados pessoais para o tratamento desses dados, ou de acordo com os requisitos da lei.
6.2. O acesso a dados pessoais não é concedido a terceiros, se a referida pessoa se recusar a assumir a obrigação de garantir o cumprimento das exigências da Lei da Ucrânia "Sobre a Proteção de Dados Pessoais" ou se não for capaz de garantir tal cumprimento.
6.3. O sujeito das relações relacionadas com dados pessoais apresenta um pedido de acesso (doravante - pedido) aos dados pessoais ao titular dos dados pessoais.
6.4. No pedido deve constar:
- sobrenome, nome e sobrenome, local de residência (local de permanência) e dados do documento que comprova a identidade da pessoa que faz o pedido (para a pessoa física - requerente);
- designação, localização da pessoa jurídica que apresenta o pedido, cargo, sobrenome, nome e nome do meio da pessoa que certifica o pedido; confirmação de que o conteúdo do pedido corresponde às competências da pessoa jurídica (para a pessoa jurídica requerente);
- sobrenome, nome e sobrenome, bem como outras informações que permitem identificar a pessoa física a respeito da qual é feita a solicitação;
- informações sobre a base de dados pessoais, a respeito da qual é feita a solicitação, ou informações sobre o titular ou o responsável por esta base de dados pessoais;
- lista de dados pessoais solicitados;
- meta e/ou fundamentos legais para o pedido.
6.5. O prazo para a análise do pedido quanto à sua satisfação não pode exceder dez dias úteis a partir da data da sua receção. Durante este prazo, o titular da base de dados pessoais informa a pessoa que apresenta o pedido se este será satisfeito ou se os dados pessoais correspondentes não podem ser fornecidos, indicando a razão, conforme estabelecido no respetivo ato normativo. O pedido é satisfeito no prazo de trinta dias corridos a partir da data da sua receção, salvo disposição em contrário da lei.
6.6. O adiamento do acesso a dados pessoais de terceiros é permitido se os dados necessários não puderem ser fornecidos dentro de trinta dias corridos a partir da data de recebimento do pedido. Neste caso, o prazo total para resolver as questões levantadas no pedido não pode exceder quarenta e cinco dias corridos.
6.7. A notificação de adiamento deve ser comunicada à terceira pessoa que fez o pedido, por escrito, com uma explicação sobre o procedimento de contestação dessa decisão.
6.8. Na notificação de adiamento são indicados:
- sobrenome, nome e patronímico da pessoa responsável;
- data de envio da mensagem;
- razão do adiamento;
- período durante o qual o pedido será atendido.
6.9. A recusa de acesso a dados pessoais é permitida se o acesso a eles for proibido por lei.
6.10. Na notificação de recusa são indicados:
- sobrenome, nome, nome do pai da pessoa responsável que nega o acesso;
- data de envio da mensagem;
- razão da recusa.
6.11. A decisão sobre o adiamento ou a recusa de acesso a dados pessoais pode ser contestada em tribunal.
7. Proteção de dados pessoais: formas de proteção, pessoa responsável, funcionários que realizam diretamente o processamento e/ou têm acesso a dados pessoais em relação ao cumprimento de suas obrigações de serviço, prazo de armazenamento de dados pessoais
7.1. O titular da base de dados pessoais está equipado com meios técnicos e tecnológicos, bem como com meios de comunicação, que previnem perdas, roubos, destruição não autorizada, distorção, falsificação, cópia de informações e que cumprem os requisitos de normas internacionais e nacionais.
7.2. A pessoa responsável organiza o trabalho relacionado com a proteção de dados pessoais durante o seu tratamento, de acordo com a lei. A pessoa responsável é designada por uma ordem do Titular da base de dados pessoais.
As responsabilidades da pessoa responsável pela organização do trabalho relacionado com a proteção de dados pessoais durante o seu tratamento estão descritas na instrução de trabalho.
7.3. A pessoa responsável é obrigada a:
- conhecer a legislação da Ucrânia na área de proteção de dados pessoais;
- desenvolver procedimentos de acesso a dados pessoais dos funcionários de acordo com suas obrigações profissionais, de serviço ou laborais;
- Assegurar que os funcionários do Titular da base de dados de dados pessoais cumpram os requisitos da legislação da Ucrânia na área de proteção de dados pessoais e dos documentos internos que regulam a atividade do Titular da base de dados de dados pessoais em relação ao tratamento e proteção de dados pessoais nas bases de dados de dados pessoais;
- elaborar um procedimento (procedimento) de controle interno para garantir o cumprimento das exigências da legislação ucraniana na área de proteção de dados pessoais e dos documentos internos que regulam a atividade do Proprietário da base de dados pessoais em relação ao processamento e proteção de dados pessoais nas bases de dados pessoais, que deve, em particular, conter normas sobre a periodicidade da realização desse controle;
- informar o Titular da base de dados pessoais sobre os fatos de violação por parte dos funcionários das exigências da legislação da Ucrânia na área de proteção de dados pessoais e dos documentos internos que regulam a atividade do Titular da base de dados pessoais em relação ao tratamento e proteção de dados pessoais nas bases de dados pessoais, no prazo não superior a um dia útil a partir do momento da detecção de tais violações;
- assegurar a guarda de documentos que comprovem a concessão pelo titular dos dados pessoais do consentimento para o tratamento dos seus dados pessoais e a notificação do referido titular sobre os seus direitos.
7.4. Com o objetivo de cumprir suas obrigações, a pessoa responsável tem o direito de:
- receber os documentos necessários, incluindo ordens e outros documentos administrativos, emitidos pelo Titular da base de dados pessoais, relacionados com o tratamento de dados pessoais;
- fazer cópias dos documentos recebidos, incluindo cópias de arquivos, quaisquer registos armazenados em redes de computadores locais e sistemas informáticos autónomos;
- participar na discussão das responsabilidades que desempenha na organização do trabalho relacionado com a proteção de dados pessoais durante o seu tratamento;
- apresentar propostas para melhorar a atividade e aperfeiçoar os métodos de trabalho, apresentar observações e sugestões para eliminar as deficiências identificadas no processo de tratamento de dados pessoais;
- obter explicações sobre questões relacionadas ao tratamento de dados pessoais;
- assinar e visar documentos dentro da sua competência.
7.5. Os trabalhadores que realizam diretamente o tratamento e/ou têm acesso a dados pessoais no âmbito do cumprimento das suas obrigações de serviço (trabalho) são obrigados a cumprir os requisitos da legislação da Ucrânia na área de proteção de dados pessoais e dos documentos internos relativos ao tratamento e proteção de dados pessoais nas bases de dados de dados pessoais.
7.6. Os trabalhadores que têm acesso a dados pessoais, incluindo aqueles que realizam o seu tratamento, são obrigados a não divulgar de nenhuma forma os dados pessoais que lhes foram confiados ou que se tornaram conhecidos em virtude do cumprimento de deveres profissionais, de serviço ou laborais. Esta obrigação permanece em vigor após a cessação da sua atividade relacionada com dados pessoais, exceto nos casos previstos por lei.
7.7. As pessoas que têm acesso a dados pessoais, incluindo aquelas que realizam o seu tratamento em caso de violação dos requisitos da Lei da Ucrânia "Sobre a Proteção de Dados Pessoais", são responsáveis de acordo com a legislação da Ucrânia.
7.8. Os dados pessoais não devem ser armazenados por mais tempo do que o necessário para a finalidade para a qual esses dados são armazenados, mas em qualquer caso não por mais tempo do que o período de armazenamento de dados definido pelo consentimento do titular dos dados pessoais para o tratamento desses dados.
8. Direitos do titular de dados pessoais
8.1. O titular de dados pessoais tem o direito de:
- saber sobre a localização da base de dados pessoais que contém os seus dados pessoais, a sua finalidade e denominação, localização e/ou residência (permanência) do titular ou responsável por esta base ou dar a devida autorização para obter esta informação a pessoas autorizadas por ele, exceto nos casos previstos por lei;
- obter informações sobre as condições de acesso aos dados pessoais, nomeadamente informações sobre terceiros a quem os seus dados pessoais são transmitidos, que constam na respetiva base de dados de dados pessoais;
- ao acesso aos seus dados pessoais, que se encontram na respetiva base de dados de dados pessoais;
- receber não mais tarde do que trinta dias corridos a partir da data de recebimento do pedido, exceto nos casos previstos por lei, a resposta sobre se os seus dados pessoais estão armazenados na respectiva base de dados de dados pessoais, bem como receber o conteúdo dos seus dados pessoais que estão armazenados;
- apresentar um pedido fundamentado de objeção ao tratamento dos seus dados pessoais por entidades públicas, órgãos de administração local no exercício das suas competências previstas por lei;
- apresentar um pedido fundamentado para a alteração ou destruição dos seus dados pessoais a qualquer titular e responsável por esta base, se esses dados forem processados ilegalmente ou forem imprecisos;
- na proteção dos seus dados pessoais contra o tratamento ilegal e a perda, destruição ou dano acidental, em relação à ocultação intencional, não fornecimento ou fornecimento tardio, bem como na proteção contra a divulgação de informações que sejam falsas ou que denigrem a honra, dignidade e reputação profissional de uma pessoa física;
- dirigir-se com questões de proteção dos seus direitos em relação aos dados pessoais às autoridades governamentais, órgãos de autarquia local, cujas competências incluem a proteção de dados pessoais;
- aplicar meios de proteção legal em caso de violação da legislação sobre a proteção de dados pessoais.
9. Ordem de trabalho com pedidos do titular de dados pessoais
9.1. O sujeito dos dados pessoais tem o direito de obter quaisquer informações sobre si mesmo de qualquer sujeito relacionado com dados pessoais, sem a necessidade de indicar o propósito do pedido, exceto nos casos previstos por lei.
9.2. O acesso do titular dos dados pessoais aos dados sobre si é realizado de forma gratuita.
9.3. O sujeito dos dados pessoais apresenta um pedido de acesso (doravante - pedido) aos dados pessoais ao titular da base de dados pessoais.
No pedido são indicados:
- sobrenome, nome e sobrenome, local de residência (local de permanência) e dados do documento que comprova a identidade do titular dos dados pessoais;
- outras informações que permitem identificar a pessoa do titular dos dados pessoais;
- informações sobre a base de dados pessoais, a respeito da qual é feita a solicitação, ou informações sobre o proprietário ou gestor dessa base;
- lista de dados pessoais solicitados.
9.4. O prazo para a análise do pedido quanto à sua satisfação não pode exceder dez dias úteis a partir da data da sua receção. Durante este prazo, o titular da base de dados pessoais informa o titular dos dados pessoais se o pedido será satisfeito ou se os dados pessoais em questão não podem ser fornecidos, indicando a fundamentação prevista no respetivo ato normativo.
9.5. O pedido é atendido dentro de trinta dias corridos a partir da data de sua recepção, salvo disposição em contrário da lei.
10. Registo estatal da base de dados pessoais
10.1. O registo estatal de bases de dados pessoais é realizado de acordo com o artigo 9 da Lei da Ucrânia «Sobre a proteção de dados pessoais».