Satıcının sahibi olduğu kişisel veritabanlarında kişisel verilerin işlenmesi ve korunmasına ilişkin düzenleme
İçindekiler
- Genel kavramlar ve uygulama alanı
- Kişisel veri tabanlarının listesi
- Kişisel verilerin işlenme amacı
- Kişisel verilerin işlenme süreci: onay alma, haklar hakkında bilgilendirme ve kişisel veri sahibinin kişisel verileri üzerindeki işlemleri
- Kişisel veri tabanının konumu
- Üçüncü şahıslara kişisel verilerin açıklanması koşulları
- Kişisel verilerin korunması: koruma yöntemleri, sorumlu kişi, doğrudan işleme yapan ve/veya görevlerini yerine getirmeleriyle ilgili kişisel verilere erişimi olan çalışanlar, kişisel verilerin saklama süresi
- Kişisel verilerin sahibi hakları
- Kişisel verilerin sahibi tarafından yapılan taleplerle çalışma düzeni
- Kişisel veritabanının devlet kaydı
1. Genel kavramlar ve uygulama alanı
1.1. Terimlerin Tanımı:
kişisel veriler veritabanı — adlandırılmış bir dizi düzenlenmiş kişisel verinin elektronik formatta ve/veya kişisel veri kartotekleri şeklinde bulunması;
sorumlu kişi — belirlenen kişi, yasalara uygun olarak kişisel verilerin işlenmesi ile ilgili koruma çalışmalarını organize eden kişidir;
kişisel veritabanı sahibi — fiziksel veya tüzel kişi, yasal olarak veya kişisel verilerin sahibi ile yapılan bir anlaşma ile bu verilerin işlenmesi hakkına sahip olan, bu veritabanındaki kişisel verilerin işlenme amacını onaylayan, bu verilerin bileşimini ve işleme prosedürlerini belirleyen, aksi belirtilmedikçe yasal olarak;
Kişisel Veriler Veri Tabanları Devlet Kaydı — kayıtlı kişisel veri tabanları hakkında bilgi toplama, biriktirme ve işleme için tek devlet bilgi sistemi;
kamuya açık kişisel veri kaynakları - rehberler, adres defterleri, kayıtlar, listeler, kataloglar, diğer sistematik açık bilgi derlemeleri, kişisel verileri içeren, kişisel veri sahibinin bilgisi dahilinde yerleştirilen ve yayımlanan. Kişisel verilerin genel erişime açık kaynaklar olarak kabul edilmez sosyal medya ve internet kaynakları, kişisel veri sahibinin kişisel verilerini bıraktığı yerler (kişisel veri sahibi tarafından kişisel verilerin serbestçe yayılması ve kullanılması amacıyla yerleştirildiği açıkça belirtilmediği sürece);
kişisel verilerin sahibi tarafından onay — herhangi bir belgelenmiş, gönüllü irade beyanı, fiziksel bir kişinin kişisel verilerinin işlenmesine ilişkin olarak belirlenen işleme amacına uygun olarak izin verme;
kişisel verilerin anonimleştirilmesi — kimliği belirlemeye olanak tanıyan bilgilerin çıkarılması;
kişisel verilerin işlenmesi - herhangi bir eylem veya eylemler bütünü, tamamen veya kısmen bilgi (otomatik) sisteminde ve/veya kişisel verilerin kayıtlarında, fiziksel bir kişi hakkında bilgilerin toplanması, kaydedilmesi, birikimi, saklanması, uyarlanması, değiştirilmesi, yenilenmesi, kullanılması ve yayılması (dağıtım, satış, aktarım), anonimleştirilmesi, yok edilmesi ile ilgili olarak gerçekleştirilmiştir;
kişisel veriler - bir fiziksel kişi hakkında tanımlanmış veya belirli bir şekilde tanımlanabilir bilgi veya bilgi kümesi;
kişisel veritabanı yöneticisi - kişisel veritabanının sahibi veya yasalarla bu verileri işleme hakkı verilmiş fiziksel veya tüzel kişi. Kişisel veritabanının sahibi ve/veya yöneticisi tarafından kişisel veritabanı ile ilgili teknik işler yapması için yetkilendirilmiş kişi, kişisel verilerin içeriğine erişim olmaksızın kişisel veritabanının yöneticisi değildir;
kişisel verilerin konusu - kişisel verilerinin işlenmesine ilişkin olarak yasal olarak işlem yapılan gerçek kişi;
üçüncü şahıs - herhangi bir kişi, kişisel verilerin sahibi veya yöneticisi ile kişisel verilerin korunması konularında yetkili devlet organı dışında, kişisel verilerin sahibi veya yöneticisi tarafından yasalara uygun olarak kişisel verilerin aktarıldığı kişi;
özel veri kategorileri - ırk veya etnik köken, siyasi, dini veya felsefi inançlar, siyasi partilere ve meslek sendikalarına üyelik ile sağlık veya cinsel yaşamla ilgili veriler hakkında kişisel veriler.
1.2. Bu Düzenleme, sorumlu kişi ve doğrudan kişisel verilere erişim sağlayan veya bu verileri işleyen satıcı çalışanları için zorunlu olarak uygulanmalıdır.
2. Kişisel veri tabanlarının listesi
2.1. Satıcı, aşağıdaki kişisel veri tabanlarının sahibidir:
- karşı tarafların kişisel verilerinin veritabanı.
3. Kişisel verilerin işlenme amacı
3.1. Kişisel verilerin işlenmesinin amacı, sivil hukuki ilişkilerin gerçekleştirilmesini sağlamak, satın alınan ürünler ve hizmetler için ödemelerin yapılması, alınması ve gerçekleştirilmesi ile Ukrayna Vergi Kanunu, Ukrayna "Muhasebe ve Finansal Raporlama Kanunu"na uygun olarak gerçekleştirilmesidir.
4. Kişisel verilerin işlenme süreci: onay alma, haklar hakkında bilgilendirme ve kişisel veri sahibinin kişisel verileri üzerindeki işlemleri
4.1. Kişisel verilerin sahibi olan kişinin rızası, fiziksel bir kişinin kişisel verilerinin işlenmesine izin verme konusundaki gönüllü iradesi olmalıdır ve bu, verilerin işlenme amacına uygun olarak belirlenmelidir.
4.2. Kişisel verilerin sahibi tarafından onay, aşağıdaki şekillerde verilebilir:
- kağıt ortamında bulunan, bu belgeyi ve fiziksel kişiyi tanımlamaya olanak tanıyan belgeler;
- elektronik belge, bu belgenin ve fiziksel kişinin kimliğini belirlemeye olanak tanıyan zorunlu unsurları içermesi gerektiğini belirtir. Fiziksel kişinin kişisel verilerinin işlenmesine izin verme konusundaki gönüllü iradesinin, kişisel verilerin sahibi tarafından elektronik imza ile onaylanması uygun olacaktır;
- belgeye ait elektronik sayfadaki veya bilgi sisteminde işlenen elektronik dosyadaki bir işaret, belgelenmiş yazılım-teknik çözümler temelinde.
4.3. Kişisel verilerin sahibi, geçerli mevzuata uygun olarak medeni hukuki ilişkilerin kurulması sırasında onayını verir.
4.4. Kişisel verilerin sahibi tarafından kişisel verilerinin kişisel veriler veritabanına dahil edilmesi, Ukrayna'nın "Kişisel Verilerin Korunması Hakkında" Yasası ile belirlenen haklar, veri toplama amacı ve kişisel verilerinin aktarıldığı kişiler hakkında bilgilendirme, geçerli mevzuata uygun olarak medeni hukuki ilişkilerin tesis edilmesi sırasında gerçekleştirilir.
4.5. Irk veya etnik köken, siyasi, dini veya felsefi inançlar, siyasi partilere ve meslek sendikalarına üyelik ile sağlık veya cinsel yaşamla ilgili verilerin (özel veri kategorileri) işlenmesi yasaktır.
5. Kişisel verilerin bulunduğu yer
5.1. Bu Yönetmeliğin 2. bölümünde belirtilen kişisel veri tabanları satıcının adresinde bulunmaktadır.
6. Üçüncü şahıslara kişisel verilerin açıklanması koşulları
6.1. Üçüncü şahıslara ait kişisel verilere erişim düzeni, kişisel verilerin işlenmesi için veri sahibi tarafından verilen rıza koşulları veya yasal gereklere göre belirlenir.
6.2. Kişisel verilere üçüncü şahıslara erişim sağlanmaz, eğer belirtilen kişi, Ukrayna'nın "Kişisel Verilerin Korunması Hakkında" yasasının gerekliliklerini yerine getirme yükümlülüğünü üstlenmeyi reddeder veya bunları yerine getiremiyorsa.
6.3. Kişisel verilerle ilgili ilişkilerin tarafı, kişisel verilere erişim talebinde bulunur (bundan sonra - talep) kişisel verilerin sahibine.
6.4. Talepte belirtilenler:
- soyadı, adı ve baba adı, ikametgah (bulunduğu yer) ve başvuru yapan gerçek kişiyi tanıtan belgenin bilgileri (gerçek kişi - başvuran için);
- isim, başvuru yapan tüzel kişinin adresi, unvan, başvuruya onay veren kişinin soyadı, adı ve babasının adı; başvurunun içeriğinin tüzel kişinin yetkilerine uygun olduğunu onaylayan belge (tüzel kişi başvuran için);
- soyadı, adı ve baba adı, ayrıca talep edilen fiziksel kişiyi tanımlamaya olanak tanıyan diğer bilgiler;
- kişisel veritabanı hakkında bilgi, talep edilen veritabanı ile ilgili olarak, ya da bu kişisel veritabanının sahibi veya yöneticisi hakkında bilgi;
- istenen kişisel verilerin listesi;
- meta ve/veya talep için hukuki dayanaklar.
6.5. Talebin yerine getirilmesi için inceleme süresi, talebin alındığı günden itibaren on iş gününü aşamaz. Bu süre zarfında, kişisel verilerin sahibi, talepte bulunan kişiye talebin yerine getirileceğini veya ilgili kişisel verilerin sağlanamayacağını, ilgili yasal düzenlemede belirtilen gerekçeyi belirterek bildirir. Talep, aksi belirtilmedikçe, alındığı günden itibaren otuz takvim günü içinde yerine getirilir.
6.6. Üçüncü şahıslara ait kişisel verilere erişimin ertelenmesi, gerekli verilerin talep tarihinden itibaren otuz takvim günü içinde sağlanamaması durumunda mümkündür. Bu durumda, talepte gündeme getirilen konuların çözüm süresi kırk beş takvim gününü geçemez.
6.7. Erteleme bildirimi, talepte bulunan üçüncü tarafa, bu kararın itiraz sürecinin açıklamasıyla birlikte yazılı olarak iletilir.
6.8. Erteleme bildiriminde belirtilenler:
- yetkili kişinin soyadı, adı ve baba adı;
- gönderim tarihi;
- ertelenme nedeni;
- talebin karşılanacağı süre.
6.9. Kişisel verilere erişimin reddedilmesi, bu verilere erişimin yasalarla yasaklanması durumunda mümkündür.
6.10. Reddetme bildiriminde belirtilenler:
- yetkili kişinin soyadı, adı, babasının adı, erişimi reddeden;
- gönderim tarihi;
- reddetme nedeni.
6.11. Kişisel verilere erişimin ertelenmesi veya reddedilmesi kararı mahkemeye itiraz edilebilir.
7. Kişisel verilerin korunması: koruma yöntemleri, sorumlu kişi, doğrudan işleme yapan ve/veya görevlerini yerine getirmeleriyle ilgili kişisel verilere erişimi olan çalışanlar, kişisel verilerin saklama süresi
7.1. Kişisel veritabanı sahibi, kayıpları, hırsızlıkları, yetkisiz imha, bozulma, sahtecilik, bilgi kopyalama gibi durumları önleyen sistemsel ve yazılım-teknik araçlar ile iletişim araçları ile donatılmıştır ve uluslararası ve ulusal standartların gerekliliklerine uygundur.
7.2. Sorumlu kişi, kişisel verilerin işlenmesi sırasında korunması ile ilgili çalışmaları yasalara uygun olarak organize eder. Sorumlu kişi, Kişisel Veriler Veritabanı Sahibi'nin emriyle belirlenir.
Kişisel verilerin işlenmesi ile ilgili olarak koruma çalışmalarını organize etmekle sorumlu kişinin görevleri, görev tanımında belirtilmektedir.
7.3. Sorumlu kişi yükümlüdür:
- Ukrayna'nın kişisel verilerin korunması alanındaki yasalarını bilmek;
- çalışanların kişisel verilerine erişim prosedürlerini, mesleki veya görev ya da iş yükümlülüklerine göre geliştirmek;
- Kişisel veriler veritabanının sahibi tarafından çalışanların, kişisel verilerin korunması alanında Ukrayna yasalarının ve kişisel verilerin işlenmesi ve korunması ile ilgili kişisel veriler veritabanı sahibinin faaliyetlerini düzenleyen iç belgelerin gerekliliklerini yerine getirmesini sağlamak;
- Kişisel verilerin korunması alanında Ukrayna yasalarının gerekliliklerine ve kişisel verilerin işlenmesi ve korunması ile ilgili veri sahibi belgelerini düzenleyen iç kontrol prosedürünü geliştirmek; bu prosedür, özellikle bu tür kontrolün periyodikliğine ilişkin hükümleri içermelidir.
- Kişisel veriler veritabanının sahibi hakkında, Ukrayna'daki kişisel verilerin korunması yasaları ve kişisel verilerin işlenmesi ve korunmasıyla ilgili veritabanı sahibinin faaliyetlerini düzenleyen iç belgelerinin ihlalleri hakkında, ihlallerin tespit edilmesinden itibaren en geç bir iş günü içinde bilgi vermek;
- kişisel verilerin işlenmesi için veri sahibinin onayını belgeleyen belgelerin saklanmasını sağlamak ve belirtilen veri sahibine hakları hakkında bilgi vermek.
7.4. Görevlerini yerine getirmek amacıyla sorumlu kişi şu haklara sahiptir:
- gerekli belgeleri almak, bunlar arasında Kişisel Veriler Veritabanı Sahibi tarafından kişisel verilerin işlenmesi ile ilgili olarak verilen emirler ve diğer düzenleyici belgeler de bulunmaktadır;
- alınan belgelerden kopyalar yapmak, yerel bilgisayar ağlarında ve bağımsız bilgisayar sistemlerinde saklanan dosyaların, kayıtların kopyaları dahil;
- kişisel verilerin işlenmesi ile ilgili olarak yapılan görevlerin organizasyonu hakkında tartışmalara katılmak;
- kişisel verilerin işlenmesi sürecinde tespit edilen eksikliklerin giderilmesi için öneriler sunmak, faaliyetlerin iyileştirilmesi ve çalışma yöntemlerinin geliştirilmesi konusundaki önerileri değerlendirmeye almak;
- kişisel verilerin işlenmesi ile ilgili konularda açıklama almak;
- kendi yetkisi dahilinde belgeleri imzalamak ve onaylamak.
7.5. Kişisel verilerin işlenmesi ve/veya kişisel verilere erişim sağlayan çalışanlar, görevlerini (iş) yerine getirirken Ukrayna'nın kişisel verilerin korunması alanındaki yasalarının ve kişisel veri tabanlarındaki kişisel verilerin işlenmesi ve korunmasına ilişkin iç belgelerin gerekliliklerine uymakla yükümlüdür.
7.6. Kişisel verilere erişimi olan çalışanlar, bunların işlenmesi de dahil olmak üzere, kendilerine emanet edilen veya mesleki, hizmet veya iş yükümlülüklerini yerine getirmeleriyle ilgili olarak öğrendikleri kişisel verilerin herhangi bir şekilde ifşa edilmesine izin vermemekle yükümlüdür. Bu yükümlülük, kişisel verilerle ilgili faaliyetlerinin sona ermesinden sonra da geçerlidir, kanunla belirlenen durumlar hariç.
7.7. Kişisel verilere erişimi olan kişiler, bunların işlenmesi de dahil olmak üzere, Ukrayna'nın "Kişisel Verilerin Korunması Hakkında" yasasının gerekliliklerini ihlal ettiklerinde, Ukrayna yasalarına göre sorumluluk taşırlar.
7.8. Kişisel veriler, bu verilerin saklandığı amacın gerektirdiğinden daha uzun süre saklanmamalıdır, ancak her durumda, bu verilerin işlenmesi için kişisel veri sahibinin onayı ile belirlenen veri saklama süresinden daha uzun olmamalıdır.
8. Kişisel verilerin sahibi hakları
8.1. Kişisel verilerin sahibi, aşağıdaki haklara sahiptir:
- kişisel verilerini içeren kişisel veri tabanının yerini, amacını ve adını, sahibi veya bu veritabanının yöneticisinin yerini ve/veya ikametgahını (bulunduğu yeri) bilmek veya bu bilgiyi almak için yetkilendirdiği kişilere uygun bir talimat vermek, kanunla belirlenen durumlar hariç;
- kişisel verilere erişim sağlama koşulları hakkında bilgi almak, özellikle ilgili kişisel verilerin aktarıldığı üçüncü şahıslar hakkında bilgi almak;
- kendi kişisel verilerine, ilgili kişisel veri tabanında bulunan verilere erişim;
- talep tarihinden itibaren otuz takvim günü geç olmamak kaydıyla, yasal olarak öngörülen durumlar hariç, kişisel verilerinin ilgili kişisel veri tabanında saklanıp saklanmadığına dair bir yanıt almak ve saklanan kişisel verilerinin içeriğini almak;
- kendi kişisel verilerinin işlenmesine karşı devlet otoriteleri, yerel yönetim organları tarafından yasal olarak öngörülen yetkilerini kullanırken gerekçeli bir talep ileri sürmek;
- kendi kişisel verilerinizin herhangi bir sahibi veya yöneticisi tarafından değiştirilmesi veya yok edilmesi için gerekçeli bir talepte bulunmak, eğer bu veriler yasadışı bir şekilde işleniyorsa veya yanlışsa;
- Kişisel verilerinizin yasadışı işlenmesine ve kasıtlı olarak gizlenmesi, verilmemesi veya zamanında verilmemesi nedeniyle rastgele kayıplara, yok olmaya, hasara karşı korunması ve ayrıca yanlış veya bir kişinin onurunu, haysiyetini ve ticari itibarını zedeleyen bilgilerin verilmesine karşı korunması.
- kişisel verilerin korunmasıyla ilgili haklarınızı korumak için devlet otoritelerine, yerel yönetim organlarına başvurabilirsiniz; bu organların kişisel verilerin korunmasını sağlama yetkisi bulunmaktadır;
- kişisel verilerin korunması yasalarının ihlali durumunda hukuki koruma araçlarını uygulamak.
9. Kişisel verilerin sahibi tarafından yapılan taleplerle çalışma düzeni
9.1. Kişisel verilerin sahibi, kişisel verilerle ilgili ilişkilerde bulunan herhangi bir kişiden, talep amacını belirtmeksizin, kendisi hakkında herhangi bir bilgi alma hakkına sahiptir; bunun dışında, kanunla belirlenen durumlar hariçtir.
9.2. Kişisel verilerin sahibi, kendi verilerine ücretsiz olarak erişim sağlar.
9.3. Kişisel verilerin sahibi, kişisel verilere erişim talebinde bulunur (bundan sonra - talep) kişisel veriler veritabanının sahibine.
Talepte belirtilenler:
- soyadı, adı ve baba adı, ikametgah (bulunduğu yer) ve kişisel verilerin sahibi olan kişinin kimliğini doğrulayan belgenin bilgileri;
- kişisel verilerin sahibi olan kişinin kimliğini belirlemeye olanak tanıyan diğer bilgiler;
- kişisel veritabanı hakkında bilgi, talep edilen veriler veya bu veritabanının sahibi veya yöneticisi hakkında bilgi;
- istenen kişisel verilerin listesi.
9.4. Talebin yerine getirilmesi için inceleme süresi, talebin alındığı günden itibaren on iş gününü aşamaz. Bu süre zarfında kişisel verilerin sahibi, kişisel verilerin konusu olan kişiye, talebin yerine getirileceğini veya ilgili kişisel verilerin verilmediğini, ilgili mevzuatta belirtilen gerekçeyi belirterek bildirir.
9.5. Talep, yasada aksi belirtilmediği takdirde, alındığı günden itibaren otuz takvim günü içinde karşılanır.
10. Kişisel veritabanının devlet kaydı
10.1. Kişisel veritabanlarının devlet kaydı, Ukrayna'nın "Kişisel Verilerin Korunması Hakkında" Kanunu'nun 9. maddesine uygun olarak gerçekleştirilir.Kişisel Verilerin Korunması Hakkında».