Quy định về việc xử lý và bảo vệ dữ liệu cá nhân trong các cơ sở dữ liệu cá nhân, mà người bán là chủ sở hữu
Nội dung
- Khái niệm chung và lĩnh vực ứng dụng
- Danh sách cơ sở dữ liệu cá nhân
- Mục đích xử lý dữ liệu cá nhân
- Quy trình xử lý dữ liệu cá nhân: nhận được sự đồng ý, thông báo về quyền và hành động với dữ liệu cá nhân của chủ thể dữ liệu cá nhân
- Vị trí cơ sở dữ liệu cá nhân
- Điều kiện tiết lộ thông tin về dữ liệu cá nhân cho bên thứ ba
- Bảo vệ dữ liệu cá nhân: các phương pháp bảo vệ, người chịu trách nhiệm, nhân viên trực tiếp thực hiện xử lý và/hoặc có quyền truy cập vào dữ liệu cá nhân liên quan đến việc thực hiện nghĩa vụ công việc của họ, thời gian lưu trữ dữ liệu cá nhân
- Quyền của chủ thể dữ liệu cá nhân
- Quy trình làm việc với các yêu cầu của chủ thể dữ liệu cá nhân
- Đăng ký nhà nước về cơ sở dữ liệu cá nhân
1. Khái niệm chung và lĩnh vực ứng dụng
1.1. Định nghĩa các thuật ngữ:
cơ sở dữ liệu cá nhân — tập hợp có tên của các dữ liệu cá nhân được sắp xếp trong định dạng điện tử và/hoặc dưới dạng thẻ dữ liệu cá nhân;
người phụ trách — người được chỉ định, người tổ chức công việc liên quan đến việc bảo vệ dữ liệu cá nhân trong quá trình xử lý, theo quy định của pháp luật;
người sở hữu cơ sở dữ liệu cá nhân — cá nhân hoặc tổ chức pháp lý, được pháp luật hoặc theo sự đồng ý của chủ thể dữ liệu cá nhân trao quyền xử lý các dữ liệu này, xác định mục đích xử lý dữ liệu cá nhân trong cơ sở dữ liệu này, thiết lập thành phần của các dữ liệu này và quy trình xử lý của chúng, trừ khi có quy định khác của pháp luật;
Cơ sở dữ liệu đăng ký quốc gia về dữ liệu cá nhân — hệ thống thông tin nhà nước duy nhất để thu thập, tích lũy và xử lý thông tin về các cơ sở dữ liệu cá nhân đã được đăng ký;
các nguồn dữ liệu cá nhân công khai - các hướng dẫn, sổ địa chỉ, đăng ký, danh sách, danh mục, các bộ sưu tập thông tin công khai có hệ thống khác, chứa dữ liệu cá nhân, được đăng tải và công bố với sự đồng ý của chủ thể dữ liệu cá nhân. Các mạng xã hội và tài nguyên internet, nơi mà chủ thể dữ liệu cá nhân để lại dữ liệu cá nhân của họ (trừ trường hợp, khi chủ thể dữ liệu cá nhân chỉ rõ rằng dữ liệu cá nhân được đăng tải với mục đích tự do phát tán và sử dụng), không được coi là nguồn dữ liệu cá nhân công khai.
sự đồng ý của chủ thể dữ liệu cá nhân — bất kỳ sự thể hiện ý chí tự nguyện nào của cá nhân được tài liệu hóa về việc cho phép xử lý dữ liệu cá nhân của họ theo mục đích đã được xác định cho việc xử lý đó;
không xác định danh tính dữ liệu cá nhân — thu thập thông tin cho phép xác định danh tính cá nhân;
xử lý dữ liệu cá nhân - bất kỳ hành động nào hoặc tập hợp các hành động, được thực hiện hoàn toàn hoặc một phần trong hệ thống thông tin (tự động hóa) và/hoặc trong các thư viện dữ liệu cá nhân, liên quan đến việc thu thập, đăng ký, tích lũy, lưu trữ, điều chỉnh, thay đổi, cập nhật, sử dụng và phân phối (phát tán, thực hiện, chuyển giao), ẩn danh, tiêu hủy thông tin về cá nhân.
dữ liệu cá nhân - thông tin hoặc tập hợp thông tin về một cá nhân, người đã được xác định hoặc có thể được xác định cụ thể;
người quản lý cơ sở dữ liệu cá nhân - cá nhân hay tổ chức pháp lý, mà là chủ sở hữu của cơ sở dữ liệu cá nhân hoặc được pháp luật cho phép xử lý các dữ liệu này. Không phải là người quản lý cơ sở dữ liệu cá nhân là cá nhân mà chủ sở hữu và/hoặc người quản lý cơ sở dữ liệu cá nhân đã giao cho thực hiện các công việc mang tính kỹ thuật với cơ sở dữ liệu cá nhân mà không có quyền truy cập vào nội dung của dữ liệu cá nhân;
chủ thể dữ liệu cá nhân - cá nhân, đối với người mà theo luật pháp việc xử lý dữ liệu cá nhân của họ được thực hiện;
ngôi thứ ba - bất kỳ cá nhân nào, ngoại trừ chủ thể dữ liệu cá nhân, người sở hữu hoặc người quản lý cơ sở dữ liệu cá nhân và cơ quan nhà nước có thẩm quyền về bảo vệ dữ liệu cá nhân, mà dữ liệu cá nhân được chuyển giao bởi người sở hữu hoặc người quản lý cơ sở dữ liệu cá nhân theo quy định của pháp luật;
các loại dữ liệu đặc biệt - dữ liệu cá nhân về nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tôn giáo hoặc thế giới quan, tư cách thành viên trong các đảng chính trị và công đoàn, cũng như dữ liệu liên quan đến sức khỏe hoặc đời sống tình dục.
1.2. Quy định này là bắt buộc áp dụng đối với người chịu trách nhiệm và nhân viên của người bán, những người trực tiếp thực hiện việc xử lý và/hoặc có quyền truy cập vào dữ liệu cá nhân liên quan đến việc thực hiện nghĩa vụ công việc của họ.
2. Danh sách cơ sở dữ liệu cá nhân
2.1. Người bán là chủ sở hữu của các cơ sở dữ liệu cá nhân sau đây:
- cơ sở dữ liệu cá nhân của các đối tác.
3. Mục đích xử lý dữ liệu cá nhân
3.1. Mục đích của việc xử lý dữ liệu cá nhân trong hệ thống là đảm bảo việc thực hiện các quan hệ dân sự, cung cấp, nhận và thực hiện các thanh toán cho hàng hóa và dịch vụ đã mua theo quy định của Bộ luật thuế Ukraine, Luật Ukraine "Về kế toán và báo cáo tài chính tại Ukraine".
4. Quy trình xử lý dữ liệu cá nhân: nhận được sự đồng ý, thông báo về quyền và hành động với dữ liệu cá nhân của chủ thể dữ liệu cá nhân
4.1. Sự đồng ý của chủ thể dữ liệu cá nhân phải là sự thể hiện ý chí tự nguyện của cá nhân về việc cho phép xử lý dữ liệu cá nhân của họ theo mục đích đã được xác định cho việc xử lý đó.
4.2. Sự đồng ý của chủ thể dữ liệu cá nhân có thể được đưa ra dưới các hình thức sau:
- tài liệu trên giấy với các thông tin cần thiết, cho phép xác định tài liệu này và cá nhân;
- tài liệu điện tử, mà phải chứa các thông tin bắt buộc, cho phép xác định tài liệu này và cá nhân. Sự thể hiện ý chí tự nguyện của cá nhân về việc cho phép xử lý dữ liệu cá nhân của mình nên được xác nhận bằng chữ ký điện tử của chủ thể dữ liệu cá nhân;
- đánh dấu trên trang điện tử của tài liệu hoặc trong tệp điện tử, được xử lý trong hệ thống thông tin dựa trên các giải pháp phần mềm-kỹ thuật đã được tài liệu hóa.
4.3. Sự đồng ý của chủ thể dữ liệu cá nhân được cung cấp trong quá trình thiết lập quan hệ pháp lý dân sự theo quy định của pháp luật hiện hành.
4.4. Thông báo của chủ thể dữ liệu cá nhân về việc đưa dữ liệu cá nhân của họ vào cơ sở dữ liệu cá nhân, quyền lợi được quy định bởi Luật Ukraine "Về bảo vệ dữ liệu cá nhân", mục đích thu thập dữ liệu và các cá nhân mà dữ liệu cá nhân của họ được chuyển giao được thực hiện trong quá trình thiết lập quan hệ pháp lý dân sự theo quy định của pháp luật hiện hành.
4.5. Việc xử lý dữ liệu cá nhân về nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tôn giáo hoặc thế giới quan, tư cách thành viên trong các đảng chính trị và công đoàn, cũng như dữ liệu liên quan đến sức khỏe hoặc đời sống tình dục (các loại dữ liệu đặc biệt) là bị cấm.
5. Địa điểm lưu trữ cơ sở dữ liệu cá nhân
5.1. Các cơ sở dữ liệu cá nhân được chỉ định trong phần 2 của Quy định này nằm tại địa chỉ của người bán.
6. Điều kiện tiết lộ thông tin về dữ liệu cá nhân cho bên thứ ba
6.1. Trình tự truy cập vào dữ liệu cá nhân của bên thứ ba được xác định bởi các điều kiện đồng ý của chủ thể dữ liệu cá nhân, được cung cấp cho người nắm giữ dữ liệu cá nhân để xử lý các dữ liệu này, hoặc theo yêu cầu của pháp luật.
6.2. Quyền truy cập vào dữ liệu cá nhân không được cung cấp cho bên thứ ba nếu bên đó từ chối cam kết thực hiện các yêu cầu của Luật Ukraine "Về bảo vệ dữ liệu cá nhân" hoặc không có khả năng thực hiện chúng.
6.3. Chủ thể của các mối quan hệ liên quan đến dữ liệu cá nhân gửi yêu cầu truy cập (sau đây gọi là yêu cầu) đến chủ sở hữu dữ liệu cá nhân.
6.4. Trong yêu cầu ghi rõ:
- họ, tên và tên đệm, địa chỉ cư trú (nơi ở) và thông tin của tài liệu xác nhận danh tính của cá nhân nộp đơn (đối với cá nhân - người nộp đơn);
- tên, địa chỉ của tổ chức pháp lý gửi yêu cầu, chức vụ, họ, tên và tên đệm của người xác nhận yêu cầu; xác nhận rằng nội dung yêu cầu phù hợp với thẩm quyền của tổ chức pháp lý (đối với tổ chức pháp lý - người nộp đơn);
- họ, tên và tên đệm, cũng như các thông tin khác cho phép xác định cá nhân mà yêu cầu được thực hiện;
- Thông tin về cơ sở dữ liệu cá nhân mà yêu cầu được gửi, hoặc thông tin về chủ sở hữu hoặc người quản lý của cơ sở dữ liệu cá nhân này;
- danh sách các thông tin cá nhân được yêu cầu;
- mục đích và/hoặc cơ sở pháp lý cho yêu cầu.
6.5. Thời gian xem xét yêu cầu về việc thỏa mãn không được vượt quá mười ngày làm việc kể từ ngày nhận được. Trong thời gian này, chủ sở hữu cơ sở dữ liệu cá nhân thông báo cho người nộp yêu cầu rằng yêu cầu sẽ được thỏa mãn hoặc các dữ liệu cá nhân tương ứng không được cung cấp, kèm theo lý do được quy định trong văn bản pháp lý tương ứng. Yêu cầu được thỏa mãn trong vòng ba mươi ngày lịch kể từ ngày nhận được, trừ khi có quy định khác của pháp luật.
6.6. Việc hoãn truy cập vào dữ liệu cá nhân của bên thứ ba được phép trong trường hợp dữ liệu cần thiết không thể được cung cấp trong vòng ba mươi ngày lịch kể từ ngày nhận được yêu cầu. Trong trường hợp này, tổng thời gian giải quyết các vấn đề được nêu trong yêu cầu không được vượt quá bốn mươi lăm ngày lịch.
6.7. Thông báo về việc hoãn được thông báo cho bên thứ ba đã nộp yêu cầu, bằng văn bản kèm theo giải thích về quy trình kháng cáo quyết định đó.
6.8. Trong thông báo về việc hoãn lại sẽ ghi rõ:
- họ, tên và họ tên đệm của cán bộ;
- ngày gửi tin nhắn;
- lý do hoãn lại;
- thời gian mà yêu cầu sẽ được đáp ứng.
6.9. Việc từ chối truy cập vào dữ liệu cá nhân được phép nếu việc truy cập vào chúng bị cấm theo quy định của pháp luật.
6.10. Trong thông báo từ chối sẽ ghi rõ:
- họ, tên, tên đệm của cán bộ từ chối quyền truy cập;
- ngày gửi tin nhắn;
- lý do từ chối.
6.11. Quyết định về việc hoãn hoặc từ chối quyền truy cập vào dữ liệu cá nhân có thể bị kháng cáo lên tòa án.
7. Bảo vệ dữ liệu cá nhân: các phương pháp bảo vệ, người chịu trách nhiệm, nhân viên trực tiếp thực hiện xử lý và/hoặc có quyền truy cập vào dữ liệu cá nhân liên quan đến việc thực hiện nghĩa vụ công việc của họ, thời gian lưu trữ dữ liệu cá nhân
7.1. Người sở hữu cơ sở dữ liệu cá nhân được trang bị các phương tiện hệ thống và phần mềm-kỹ thuật cũng như các phương tiện liên lạc, nhằm ngăn chặn mất mát, trộm cắp, phá hủy không có sự cho phép, bóp méo, làm giả, sao chép thông tin và đáp ứng các yêu cầu của các tiêu chuẩn quốc tế và quốc gia.
7.2. Người chịu trách nhiệm tổ chức công việc liên quan đến việc bảo vệ dữ liệu cá nhân trong quá trình xử lý, theo quy định của pháp luật. Người chịu trách nhiệm được xác định bằng quyết định của Chủ sở hữu cơ sở dữ liệu cá nhân.
Nhiệm vụ của người chịu trách nhiệm về việc tổ chức công việc liên quan đến việc bảo vệ dữ liệu cá nhân trong quá trình xử lý được ghi rõ trong hướng dẫn công việc.
7.3. Người chịu trách nhiệm có nghĩa vụ:
- biết luật pháp của Ukraine trong lĩnh vực bảo vệ dữ liệu cá nhân;
- phát triển quy trình truy cập vào dữ liệu cá nhân của nhân viên theo các nghĩa vụ nghề nghiệp, công vụ hoặc lao động của họ;
- đảm bảo việc thực hiện của nhân viên Chủ sở hữu cơ sở dữ liệu cá nhân các yêu cầu của pháp luật Ukraine trong lĩnh vực bảo vệ dữ liệu cá nhân và các tài liệu nội bộ điều chỉnh hoạt động của Chủ sở hữu cơ sở dữ liệu cá nhân liên quan đến việc xử lý và bảo vệ dữ liệu cá nhân trong các cơ sở dữ liệu cá nhân;
- phát triển quy trình (thủ tục) kiểm soát nội bộ về việc tuân thủ các yêu cầu của pháp luật Ukraine trong lĩnh vực bảo vệ dữ liệu cá nhân và các tài liệu nội bộ điều chỉnh hoạt động của Chủ sở hữu cơ sở dữ liệu cá nhân liên quan đến việc xử lý và bảo vệ dữ liệu cá nhân trong các cơ sở dữ liệu cá nhân, trong đó, đặc biệt, phải bao gồm các quy định về tần suất thực hiện kiểm soát như vậy;
- thông báo cho Chủ sở hữu cơ sở dữ liệu cá nhân về các vi phạm của nhân viên đối với các yêu cầu của pháp luật Ukraine trong lĩnh vực bảo vệ dữ liệu cá nhân và các tài liệu nội bộ điều chỉnh hoạt động của Chủ sở hữu cơ sở dữ liệu cá nhân liên quan đến việc xử lý và bảo vệ dữ liệu cá nhân trong các cơ sở dữ liệu cá nhân trong thời hạn không muộn hơn một ngày làm việc kể từ thời điểm phát hiện các vi phạm đó;
- đảm bảo lưu trữ các tài liệu xác nhận việc chủ thể dữ liệu cá nhân đã đồng ý cho việc xử lý dữ liệu cá nhân của mình và thông báo cho chủ thể đó về quyền của họ.
7.4. Nhằm thực hiện nghĩa vụ của mình, người chịu trách nhiệm có quyền:
- nhận các tài liệu cần thiết, bao gồm các lệnh và các tài liệu chỉ đạo khác, được ban hành bởi Chủ sở hữu cơ sở dữ liệu cá nhân, liên quan đến việc xử lý dữ liệu cá nhân;
- làm bản sao từ các tài liệu đã nhận, bao gồm cả bản sao của các tệp, bất kỳ bản ghi nào được lưu trữ trong các mạng máy tính cục bộ và các hệ thống máy tính độc lập;
- tham gia thảo luận về các nhiệm vụ mà mình thực hiện trong tổ chức công việc liên quan đến việc bảo vệ dữ liệu cá nhân trong quá trình xử lý;
- đưa ra các đề xuất nhằm cải thiện hoạt động và hoàn thiện các phương pháp làm việc, nộp ý kiến và các phương án khắc phục những thiếu sót đã phát hiện trong quá trình xử lý dữ liệu cá nhân;
- nhận được giải thích về các vấn đề liên quan đến việc xử lý dữ liệu cá nhân;
- ký và phê duyệt tài liệu trong phạm vi thẩm quyền của mình.
7.5. Nhân viên, những người trực tiếp thực hiện việc xử lý và/hoặc có quyền truy cập vào dữ liệu cá nhân liên quan đến việc thực hiện nghĩa vụ công việc (lao động) của mình, có trách nhiệm tuân thủ các yêu cầu của pháp luật Ukraine trong lĩnh vực bảo vệ dữ liệu cá nhân và các tài liệu nội bộ liên quan đến việc xử lý và bảo vệ dữ liệu cá nhân trong các cơ sở dữ liệu cá nhân.
7.6. Nhân viên có quyền truy cập vào dữ liệu cá nhân, bao gồm cả việc xử lý chúng, có nghĩa vụ không được tiết lộ bằng bất kỳ cách nào dữ liệu cá nhân mà họ đã được giao phó hoặc đã biết được liên quan đến việc thực hiện nghĩa vụ nghề nghiệp, công vụ hoặc lao động. Nghĩa vụ này có hiệu lực sau khi họ ngừng hoạt động liên quan đến dữ liệu cá nhân, trừ những trường hợp được quy định bởi pháp luật.
7.7. Những người có quyền truy cập vào dữ liệu cá nhân, bao gồm cả việc xử lý chúng trong trường hợp vi phạm các yêu cầu của Luật Ukraine "Về bảo vệ dữ liệu cá nhân" sẽ chịu trách nhiệm theo quy định của pháp luật Ukraine.
7.8. Dữ liệu cá nhân không được lưu trữ lâu hơn mức cần thiết cho mục đích mà dữ liệu đó được lưu trữ, nhưng trong mọi trường hợp không lâu hơn thời gian lưu trữ dữ liệu được xác định bởi sự đồng ý của chủ thể dữ liệu cá nhân cho việc xử lý dữ liệu này.
8. Quyền của chủ thể dữ liệu cá nhân
8.1. Chủ thể dữ liệu cá nhân có quyền:
- biết về vị trí của cơ sở dữ liệu cá nhân, nơi chứa thông tin cá nhân của mình, mục đích và tên gọi của nó, vị trí và/hoặc nơi cư trú (tạm trú) của chủ sở hữu hoặc người quản lý cơ sở dữ liệu này hoặc giao nhiệm vụ tương ứng để nhận thông tin này cho những người được ủy quyền, trừ những trường hợp được quy định bởi pháp luật;
- nhận thông tin về điều kiện cung cấp quyền truy cập vào dữ liệu cá nhân, bao gồm thông tin về các bên thứ ba mà dữ liệu cá nhân của họ được chuyển giao, được lưu trữ trong cơ sở dữ liệu cá nhân tương ứng;
- truy cập vào dữ liệu cá nhân của mình, được lưu trữ trong cơ sở dữ liệu cá nhân tương ứng;
- nhận được không muộn hơn ba mươi ngày lịch kể từ ngày nhận được yêu cầu, trừ những trường hợp được quy định bởi pháp luật, câu trả lời về việc liệu dữ liệu cá nhân của mình có được lưu trữ trong cơ sở dữ liệu cá nhân tương ứng hay không, cũng như nhận được nội dung dữ liệu cá nhân của mình mà được lưu trữ;
- đưa ra yêu cầu có căn cứ phản đối việc xử lý dữ liệu cá nhân của mình bởi các cơ quan nhà nước, các cơ quan chính quyền địa phương trong việc thực hiện quyền hạn của họ theo quy định của pháp luật;
- đưa ra yêu cầu có căn cứ về việc thay đổi hoặc xóa bỏ dữ liệu cá nhân của mình đối với bất kỳ chủ sở hữu và người quản lý nào của cơ sở dữ liệu này, nếu các dữ liệu này bị xử lý trái phép hoặc không chính xác;
- để bảo vệ dữ liệu cá nhân của mình khỏi việc xử lý trái phép và mất mát, hủy hoại, thiệt hại ngẫu nhiên liên quan đến việc cố ý che giấu, không cung cấp hoặc cung cấp không kịp thời, cũng như để bảo vệ khỏi việc cung cấp thông tin không chính xác hoặc làm tổn hại đến danh dự, nhân phẩm và uy tín kinh doanh của cá nhân.
- Liên hệ với các cơ quan nhà nước, cơ quan chính quyền địa phương có thẩm quyền thực hiện việc bảo vệ dữ liệu cá nhân về các vấn đề bảo vệ quyền lợi của mình liên quan đến dữ liệu cá nhân;
- áp dụng các biện pháp bảo vệ pháp lý trong trường hợp vi phạm luật bảo vệ dữ liệu cá nhân.
9. Quy trình làm việc với các yêu cầu của chủ thể dữ liệu cá nhân
9.1. Chủ thể dữ liệu cá nhân có quyền nhận bất kỳ thông tin nào về bản thân từ bất kỳ chủ thể nào có liên quan đến dữ liệu cá nhân, mà không cần chỉ định mục đích yêu cầu, trừ những trường hợp được quy định bởi pháp luật.
9.2. Quyền truy cập của chủ thể dữ liệu cá nhân đến dữ liệu về bản thân được thực hiện miễn phí.
9.3. Chủ thể dữ liệu cá nhân gửi yêu cầu truy cập (sau đây gọi là yêu cầu) đến chủ sở hữu cơ sở dữ liệu cá nhân.
Trong yêu cầu nêu rõ:
- họ, tên và họ tên đệm, địa chỉ cư trú (nơi ở) và thông tin của tài liệu xác nhận danh tính của chủ thể dữ liệu cá nhân;
- các thông tin khác cho phép xác định danh tính của chủ thể dữ liệu cá nhân;
- Thông tin về cơ sở dữ liệu cá nhân mà yêu cầu được gửi, hoặc thông tin về chủ sở hữu hoặc người quản lý của cơ sở dữ liệu này;
- danh sách các thông tin cá nhân được yêu cầu.
9.4. Thời gian xem xét yêu cầu về việc thỏa mãn không được vượt quá mười ngày làm việc kể từ ngày nhận được. Trong thời gian này, chủ sở hữu cơ sở dữ liệu cá nhân phải thông báo cho chủ thể dữ liệu cá nhân rằng yêu cầu sẽ được thỏa mãn hoặc các dữ liệu cá nhân tương ứng không được cung cấp, kèm theo lý do được quy định trong văn bản pháp lý tương ứng.
9.5. Yêu cầu được đáp ứng trong vòng ba mươi ngày lịch kể từ ngày nhận, trừ khi có quy định khác của pháp luật.
10. Đăng ký nhà nước về cơ sở dữ liệu cá nhân
10.1. Đăng ký nhà nước về cơ sở dữ liệu cá nhân được thực hiện theo Điều 9 của Luật Ukraine «Về việc bảo vệ dữ liệu cá nhân».