Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością Sprzedawcy
Zawartość
Pojęcia ogólne i zakres
Lista baz danych osobowych
Cel przetwarzania danych osobowych
Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych
Lokalizacja osobistej bazy danych
Warunki udostępniania informacji o danych osobowych podmiotom trzecim
Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
Prawa podmiotu danych osobowych
Procedura obsługi wniosków podmiotu danych osobowych
Państwowa rejestracja bazy danych osobowych
1. Pojęcia ogólne i zakres
1.1. Określenie warunków:
baza danych osobowych - nazwany zestaw zamówionych danych osobowych w postaci elektronicznej i/lub w postaci zbiorów danych osobowych;
osoba odpowiedzialna – wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z przepisami prawa;
właścicielem bazy danych osobowych jest osoba fizyczna lub prawna, której ustawa przyznaje prawo do przetwarzania tych danych lub za zgodą podmiotu danych osobowych, która wyraża zgodę na cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych oraz procedury ich przetwarzania, o ile przepisy prawa nie stanowią inaczej;
Państwowy Rejestr Baz Danych Osobowych to ujednolicony państwowy system informacyjny służący do gromadzenia, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
publicznie dostępne źródła danych osobowych - katalogi, książki adresowe, rejestry, wykazy, katalogi, inne systematyczne zbiory otwartych informacji, które zawierają dane osobowe, umieszczone i opublikowane przez znany podmiot danych osobowych. Sieci społecznościowe i zasoby internetowe, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (chyba że podmiot danych osobowych wyraźnie stwierdza, że dane osobowe są zamieszczane w celu ich swobodnego rozpowszechniania i wykorzystywania) ;
zgoda podmiotu danych osobowych – każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej co do wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania;
depersonalizacja danych osobowych – usunięcie informacji pozwalających na identyfikację osoby;
przetwarzanie danych osobowych - każda czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych, które są związane z gromadzeniem, rejestracją, gromadzeniem, przechowywaniem, adaptacją, zmianą, odnawianiem wykorzystanie i rozpowszechnianie (dystrybucja, wdrażanie, przekazywanie), depersonalizacja, niszczenie informacji o osobie fizycznej;
dane osobowe - informacja lub zbiór informacji o osobie fizycznej, która jest zidentyfikowana lub można ją jednoznacznie zidentyfikować;
administratorem bazy danych osobowych jest osoba fizyczna lub prawna, która jest upoważniona przez właściciela bazy danych osobowych lub z mocy prawa do przetwarzania tych danych. Administratorem bazy danych osobowych nie jest osoba, której właściciel i/lub administrator bazy danych osobowych zlecił wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych;
podmiot danych osobowych – osoba fizyczna, w stosunku do której zgodnie z prawem przetwarzane są jej dane osobowe;
osoba trzecia - każda osoba, z wyjątkiem podmiotu danych osobowych, właściciel lub zarządca bazy danych osobowych oraz upoważniony organ państwowy do spraw ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;
szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.
1.2. Niniejsze rozporządzenie jest obowiązkowe dla osoby odpowiedzialnej i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Lista baz danych osobowych
2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:
baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, zapewnienie, otrzymywanie i dokonywanie płatności za zakupione towary i usługi zgodnie z Kodeksem Podatkowym Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej w Ukraina".
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych
4.1. Zgoda podmiotu danych osobowych musi być wyrażona przed
poprzez dobrowolne wyrażenie przez osobę fizyczną zgody na przetwarzanie jej danych osobowych zgodnie z podanym celem ich przetwarzania.
4.2. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:
dokument na nośniku papierowym z danymi umożliwiającymi identyfikację tego dokumentu oraz osoby fizycznej;
dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu oraz osoby fizycznej. Celowe jest poświadczenie dobrowolnego oświadczenia osoby fizycznej o wyrażeniu zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych;
notatka na stronie elektronicznej dokumentu lub w pliku elektronicznym, która jest przetwarzana w systemie informatycznym na podstawie udokumentowanego oprogramowania i rozwiązań technicznych.
4.3. Zgoda podmiotu danych osobowych jest udzielana podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.
4.4. Powiadomienie podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych i osób, do których jego dane osobowe jest przekazywana odbywa się podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującym prawem.
4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.
5. Lokalizacja bazy danych osobowych
5.1. Baza danych osobowych określona w § 2 niniejszego Regulaminu znajduje się pod adresem Sprzedawcy.
6. Warunki udostępniania danych osobowych podmiotom trzecim
6.1. Procedura dostępu do danych osobowych osób trzecich jest określona warunkami zgody podmiotu danych osobowych, udzielonej przez właściciela danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.
6.2. Dostęp do danych osobowych nie jest przyznawany osobie trzeciej, jeżeli wskazana osoba odmawia podjęcia obowiązków zapewnienia zgodności z wymogami Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.
6.3. Podmiot powiązań związanych z danymi osobowymi składa wniosek o udostępnienie (dalej – żądanie) danych osobowych do właściciela danych osobowych.
6.4. We wniosku stwierdza się:
nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku osoby fizycznej – wnioskodawcy);
imię i nazwisko, lokalizacja podmiotu prawnego składającego wniosek, stanowisko, nazwisko, imię i nazwisko osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada umocowaniu osoby prawnej (w przypadku osoby prawnej – wnioskodawcy);
nazwisko, imię i nazwisko oraz inne informacje umożliwiające identyfikację osoby fizycznej, w stosunku do której składany jest wniosek;
informacje o bazie danych osobowych, w odniesieniu do której składane jest żądanie, lub informacje o właścicielu lub administratorze tej bazy danych osobowych;
wykaz żądanych danych osobowych;
cel i/lub podstawa prawna wniosku.
6.5. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych wykaże znanej osobie składającej wniosek, że żądanie zostanie spełnione lub że odpowiednie dane osobowe nie podlegają udostępnieniu, wskazując podstawy określone w odpowiednim akcie prawnym. Żądanie zostanie zrealizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
6.6. Opóźnienie dostępu do danych osobowych osób trzecich jest dopuszczalne w przypadku braku możliwości dostarczenia niezbędnych danych w ciągu trzydziestu dni kalendarzowych od dnia otrzymania żądania. Jednocześnie łączny termin na rozwiązanie kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.
6.7. Zawiadomienie o odroczeniu zostanie przekazane osobie trzeciej, która złożyła wniosek na piśmie wraz z wyjaśnieniem trybu odwołania od takiej decyzji.
6.8. Zawiadomienie o odroczeniu stwierdza:
nazwisko, imię i patronim urzędnika;
data wysłania wiadomości;
przyczyna opóźnienia;
okres, w którym wniosek zostanie uwzględniony.
6.9. Odmowa dostępu do danych osobowych jest dozwolona, jeżeli dostęp do nich jest zabroniony przez prawo.
6.10. W zawiadomieniu o odrzuceniu stwierdza się:
nazwisko, imię, patronim urzędnika odmawiającego dostępu;
data wysłania wiadomości;
powód odmowy.
6.11. Od decyzji o opóźnieniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.
7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający i/lub mający dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych jest wyposażony w system i oprogramowanie oraz środki techniczne i
systemy komunikacji zapobiegające utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji oraz spełniające wymagania norm międzynarodowych i krajowych.
7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem. Osobę odpowiedzialną określa zlecenie Właściciela bazy danych osobowych.
Obowiązki osoby odpowiedzialnej dotyczące organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania określone są w opisie stanowiska.
7.3. Osoba odpowiedzialna jest zobowiązana do:
znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub służbowymi;
zapewnienie, że pracownicy Właściciela bazy danych osobowych przestrzegają wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych dane w bazach danych osobowych;
opracowanie procedury (procedury) kontroli wewnętrznej zgodności z wymogami ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazy danych, które w szczególności powinny zawierać normy dotyczące częstotliwości takiej kontroli;
powiadamiania Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania oraz ochrona danych osobowych w bazach danych osobowych nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
zapewnić przechowywanie dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz powiadomienie wskazanego podmiotu o przysługujących mu prawach.
7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo do:
do otrzymania niezbędnych dokumentów, w tym poleceń i innych dokumentów administracyjnych wystawionych przez Właściciela bazy danych osobowych, związanych z przetwarzaniem danych osobowych;
wykonywania kopii otrzymanych dokumentów, w tym kopii akt, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
uczestniczenia w dyskusji na temat wykonywanych przez niego obowiązków w organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
rozpatrywanie propozycji usprawnień działań i doskonalenia metod pracy, zgłaszanie uwag i możliwości usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych;
otrzymywania wyjaśnień w kwestiach przetwarzania danych osobowych;
podpisują i uwierzytelniają dokumenty w granicach swoich kompetencji.
7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracy), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych dotyczących przetwarzania oraz ochrony danych osobowych w bazach danych osobowych.
7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym do ich przetwarzania, zobowiązani są do nieujawniania w jakikolwiek sposób powierzonych im lub ujawnionych w związku z wykonywaniem obowiązków zawodowych lub służbowych lub pracowniczych danych osobowych Obowiązek taki obowiązuje po zaprzestaniu działalności związanej z danymi osobowymi, z wyjątkiem przypadków przewidzianych prawem.
7.7 Osoby, które mają dostęp do danych osobowych, w tym te, które je przetwarzają, w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych” są odpowiedzialne zgodnie z ustawodawstwem Ukrainy.
7.8. Dane osobowe nie mogą być przechowywane dłużej, niż jest to konieczne do celu, dla którego dane te są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony w zgodzie podmiotu danych osobowych na przetwarzanie tych danych.
8. Prawa podmiotu danych osobowych
8.1. Podmiot danych osobowych ma prawo:
poznania lokalizacji bazy danych osobowych, w której znajdują się jego dane osobowe, jej celu i nazwy, lokalizacji i/lub miejsca zamieszkania (zamieszkania) właściciela lub administratora tej bazy danych lub wydania odpowiednich instrukcji w celu uzyskania tych informacji osobom upoważniony przez niego, z wyjątkiem przypadków przewidzianych przez prawo;
otrzymywania informacji o warunkach udzielenia dostępu do danych osobowych, w szczególności informacji o osobach trzecich, którym przekazywane są jego dane osobowe, zawartych w odpowiedniej bazie danych osobowych;
dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
otrzymania nie później niż trzydzieści dni kalendarzowych od dnia otrzymania żądania, z wyjątkiem przypadków przewidzianych prawem, odpowiedzi o tym, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, a także
rymowania treści przechowywanych danych osobowych;
wniesienia uzasadnionego żądania ze sprzeciwem wobec przetwarzania Pani/Pana danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania ich uprawnień przewidzianych prawem;
złożyć uzasadnione żądanie zmiany lub zniszczenia Twoich danych osobowych przez dowolnego właściciela i administratora tej bazy danych, jeżeli dane te są przetwarzane niezgodnie z prawem lub są niewiarygodne;
w celu ochrony Państwa danych osobowych przed bezprawnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w związku z umyślnym zatajeniem, niedostarczeniem lub nieterminowym ich dostarczeniem, a także przed podaniem informacji, które są niewiarygodne lub godzą w honor, godność i reputację biznesową osoba fizyczna ;
kierowanie kwestii ochrony praw dotyczących danych osobowych do organów państwowych, organów samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych;
zastosować środki ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.
9. Procedura obsługi wniosków podmiotu danych osobowych
9.1. Podmiot danych osobowych ma prawo do otrzymywania wszelkich informacji o sobie od dowolnego podmiotu powiązań związanych z danymi osobowymi, bez określenia celu żądania, z wyjątkiem przypadków przewidzianych prawem.
9.2. Dostęp podmiotu danych osobowych do jego danych osobowych jest bezpłatny.
9.3. Podmiot danych osobowych składa wniosek o udostępnienie (dalej – żądanie) danych osobowych do właściciela bazy danych osobowych.
We wniosku stwierdza się:
nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz szczegóły dokumentu potwierdzającego tożsamość podmiotu danych osobowych;
inne informacje umożliwiające identyfikację osoby podmiotu danych osobowych;
informacje o bazie danych osobowych, w odniesieniu do której składane jest żądanie, lub informacje o właścicielu lub zarządcy tej bazy;
wykaz żądanych danych osobowych.
9.4. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych udowodni znanemu podmiotowi danych osobowych, że żądanie zostanie spełnione lub odpowiednie dane osobowe nie zostaną przekazane, wskazując podstawy określone w odpowiednim regulacyjnym akcie prawnym.
9.5. Żądanie zostanie zrealizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
10. Państwowa rejestracja bazy danych osobowych
10.1. Państwowa rejestracja baz danych osobowych odbywa się zgodnie z art. 9 Ustawy Ukrainy „O ochronie danych osobowych”.