Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością Sprzedawcy
Treść
1. Ogólne pojęcia i zakres
2. Wykaz baz danych osobowych
3. Cel przetwarzania danych osobowych
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych
5. Lokalizacja bazy danych osobowych
6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim
7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych
8. Prawa podmiotu danych osobowych
9. Procedura obsługi wniosków podmiotu danych osobowych
10. Państwowa rejestracja bazy danych osobowych
1. Ogólne pojęcia i zakres
1.1. Określenie warunków:
baza danych osobowych – nazwany zbiór uporządkowanych danych osobowych w postaci elektronicznej i/lub w postaci zbiorów danych osobowych;
osoba odpowiedzialna – wyznaczona osoba, która zgodnie z przepisami prawa organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania;
właścicielem bazy danych osobowych jest osoba fizyczna lub prawna, której ustawa przyznaje prawo do przetwarzania tych danych lub za zgodą podmiotu danych osobowych, która zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych oraz sposoby ich przetwarzania, chyba że przepisy prawa stanowią inaczej;
Państwowy Rejestr Baz Danych Osobowych to jeden państwowy system informacyjny służący do gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
publicznie dostępne źródła danych osobowych – spisy, książki adresowe, rejestry, wykazy, katalogi, inne systematyczne zbiory jawnych informacji, które zawierają dane osobowe, umieszczane i publikowane przez znany podmiot danych osobowych. Sieci społecznościowe i zasoby internetowe, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (chyba że podmiot danych osobowych wyraźnie oświadcza, że dane osobowe są zamieszczane w celu ich swobodnego rozpowszechniania i wykorzystywania) ;
zgoda podmiotu danych osobowych – każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej dotyczące wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania;
depersonalizacja danych osobowych – usunięcie danych osobowych;
przetwarzanie danych osobowych – każda czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych, które są związane z gromadzeniem, rejestracją, przechowywaniem, adaptacją, zmianą, odnawianiem , wykorzystywanie i rozpowszechnianie (rozpowszechnianie, wdrażanie, przekazywanie), depersonalizacja, niszczenie informacji o osobie fizycznej;
dane osobowe – informacja lub zestaw informacji o osobie fizycznej, która została zidentyfikowana lub którą można konkretnie zidentyfikować;
administratorem bazy danych osobowych jest osoba fizyczna lub prawna upoważniona przez właściciela bazy danych osobowych lub na podstawie przepisów prawa do przetwarzania tych danych. Administratorem bazy danych osobowych nie jest osoba, której właściciel i/lub zarządca bazy danych osobowych zlecił wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych;
podmiot danych osobowych – osoba fizyczna, w stosunku do której zgodnie z prawem przetwarzane są jej dane osobowe;
osoba trzecia – każda osoba, z wyjątkiem podmiotu danych osobowych, właściciel lub zarządca bazy danych osobowych oraz uprawniony państwowy organ do spraw ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;
szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.
1.2. Niniejsze rozporządzenie jest obowiązkowe dla osoby odpowiedzialnej oraz pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Wykaz baz danych osobowych
2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:
baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, dostarczanie, otrzymywanie i dokonywanie płatności za zakupione towary i usługi zgodnie z Ordynacją Podatkową Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej w Ukrainie".
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych
4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem przez osobę fizyczną zgody na przetwarzanie jej danych osobowych zgodnie z podanym celem ich przetwarzania.
4.2. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:
dokument na nośniku papierowym zawierający dane umożliwiające identyfikację tego dokumentu oraz osoby fizycznej;
dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu oraz osoby fizycznej. Celowe jest poświadczenie dobrowolnego oświadczenia osoby fizycznej o wyrażeniu zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych;
adnotacja na stronie elektronicznej dokumentu lub w pliku elektronicznym przetwarzanym w systemie informatycznym na podstawie udokumentowanego oprogramowania i rozwiązań technicznych.
4.3. Zgoda podmiotu danych osobowych jest wyrażana przy rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami prawa.
4.4. Powiadomienie podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, celu zbierania danych oraz osobach, którym dane osobowe przekazanie danych odbywa się w ramach rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami prawa.
4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.
5. Lokalizacja bazy danych osobowych
5.1. Baza danych osobowych, o której mowa w ust. 2 niniejszego Regulaminu, znajduje się pod adresem Sprzedawcy.
6. Warunki udostępniania danych osobowych podmiotom trzecim
6.1. Tryb dostępu do danych osobowych osób trzecich określają warunki zgody podmiotu danych osobowych udzielonej przez właściciela danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.
6.2. Dostęp do danych osobowych nie jest udzielany osobie trzeciej, jeżeli wskazana osoba odmawia podjęcia zobowiązań w celu zapewnienia spełnienia wymagań Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.
6.3. Podmiot relacji związanych z danymi osobowymi występuje z żądaniem dostępu (dalej – żądanie) do danych osobowych do właściciela danych osobowych.
6.4. We wniosku stwierdza się:
nazwisko, imię i patronimikę, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku osoby fizycznej – wnioskodawca);
imię i nazwisko, lokalizacja osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i patronim osoby poświadczającej wniosek; potwierdzenie, że treść wniosku jest zgodna z uprawnieniami osoby prawnej (w przypadku osoby prawnej - wnioskodawcy);
nazwisko, imię i patronim oraz inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy żądanie;
informacje o bazie danych osobowych, której dotyczy żądanie lub informacje o właścicielu lub zarządcy tej bazy danych osobowych;
wykaz żądanych danych osobowych;
cel i/lub podstawę prawną żądania.
6.5. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych wykaże znanej osobie występującej z żądaniem, że żądanie zostanie spełnione lub że dane osobowe nie podlegają przepisom, wskazując przyczyny określone we właściwym akcie regulacyjnym. Żądanie jest realizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
6.6. Opóźnienie dostępu do danych osobowych osób trzecich jest dopuszczalne, jeżeli niezbędne dane nie mogą zostać dostarczone w ciągu trzydziestu dni kalendarzowych od daty otrzymania żądania. Jednocześnie łączny termin na rozwiązanie kwestii podniesionych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.
6.7. Osoba trzecia, która złożyła pisemny wniosek, zostaje powiadomiona o odroczeniu wraz z wyjaśnieniem procedury odwołania się od takiej decyzji.
6.8. W zawiadomieniu o odroczeniu czytamy:
nazwisko, imię i patronimik urzędnika;
datę wysłania wiadomości;
powód opóźnienia;
okres, w którym wniosek zostanie rozpatrzony.
6.9. Odmowa dostępu do danych osobowych jest dozwolona, jeżeli dostęp do nich jest prawnie zabroniony.
6.10. W zawiadomieniu o odrzuceniu stwierdza się:
nazwisko, imię, patronimik urzędnika odmawiającego wstępu;
datę wysłania wiadomości;
powód odmowy.
6.11. Od decyzji o opóźnieniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.
7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych jest wyposażony w system i oprogramowanie oraz narzędzia komunikacyjne, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszerstwu, kopiowaniu informacji i spełniają wymagania standardów międzynarodowych i krajowych.
7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z przepisami prawa. Osobę odpowiedzialną ustala zarządzeniem Właściciela bazy danych osobowych.
Obowiązki osoby odpowiedzialnej w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania określa opis stanowiska.
7.3. Osoba odpowiedzialna jest zobowiązana do:
znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub służbowymi;
zapewnienia przestrzegania przez pracowników Właściciela bazy danych osobowych wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych dane w bazach danych osobowych;
opracowanie procedury kontroli wewnętrznej spełniania wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w baz danych, które w szczególności powinny zawierać normy dotyczące cykliczności takiej kontroli;
informować Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
zapewnić przechowywanie dokumentów potwierdzających przekazanie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz poinformowanie wskazanego podmiotu o jego prawach.
7.4. W celu wypełnienia swoich obowiązków osoba odpowiedzialna ma prawo do:
otrzymania niezbędnych dokumentów, w tym zarządzeń i innych dokumentów administracyjnych wystawionych przez Właściciela bazy danych osobowych, związanych z przetwarzaniem danych osobowych;
wykonywania kopii otrzymanych dokumentów, w tym kopii akt, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach informatycznych;
do udziału w omówieniu jego obowiązków organizacji pracy związanych z ochroną danych osobowych w trakcie ich przetwarzania;
rozpatrywania propozycji usprawnienia działań i metod pracy, zgłaszania uwag i możliwości usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych;
otrzymywania wyjaśnień w kwestiach związanych z przetwarzaniem danych osobowych;
podpisywać i uwierzytelniać dokumenty w granicach swoich kompetencji.
7,5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych, dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.
7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym ich przetwarzania, zobowiązani są do nieujawniania w żaden sposób danych osobowych, które zostały im powierzone lub o których uzyskali wiedzę w związku z wykonywaniem obowiązków zawodowych lub urzędowych lub pracowniczych Obowiązek taki obowiązuje po zaprzestaniu przez nich czynności związanych z danymi osobowymi, z wyjątkiem przypadków przewidzianych przez przepisy prawa.
7.7 Osoby, które mają dostęp do danych osobowych, w tym te, które je przetwarzają, w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.
7.8. Dane osobowe nie mogą być przechowywane dłużej, niż jest to niezbędne do celu, w jakim dane te są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony zgodą podmiotu danych osobowych na przetwarzanie tych danych.
8. Prawa podmiotu danych osobowych
8.1. Podmiot danych osobowych ma prawo:
znać lokalizację bazy danych osobowych, która zawiera jego dane osobowe, jej cel i nazwę, lokalizację i/lub miejsce zamieszkania właściciela lub administratora tej bazy lub wydać odpowiednie instrukcje w celu uzyskania tych informacji osoby przez niego upoważnione, z wyjątkiem przypadków określonych przez prawo;
otrzymania informacji o warunkach udostępniania danych osobowych, w szczególności informacji o osobach trzecich, którym przekazywane są jego dane osobowe, zawartych we właściwej bazie danych osobowych;
dostępu do swoich danych osobowych zawartych we właściwej bazie danych osobowych;
do otrzymania nie później niż trzydzieści dni kalendarzowych od dnia otrzymania żądania, z wyjątkiem przypadków przewidzianych przez prawo, odpowiedzi, czy jego dane osobowe są przechowywane we właściwej bazie danych osobowych, a także do otrzymania treści jego danych osobowych przechowywane dane;
wniesienia uzasadnionego żądania sprzeciwu wobec przetwarzania Twoich danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania ich uprawnień przewidzianych przepisami prawa;
wniesienia umotywowanego żądania zmiany lub zniszczenia Twoich danych osobowych przez dowolnego właściciela i administratora tej bazy, jeżeli dane te są przetwarzane niezgodnie z prawem lub są niewiarygodne;
ochrony Twoich danych osobowych przed bezprawnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w wyniku umyślnego zatajenia, niedostarczenia lub nieterminowego udostępnienia, a także ochrony przed podaniem informacji nierzetelnych lub godzących w honor, godność i reputację biznesową osoby fizycznej ;
kierowania spraw ochrony swoich praw dotyczących danych osobowych do organów państwowych, organów samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych;
skorzystania ze środków ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.
9. Procedura rozpatrywania wniosków podmiotu danych osobowych
9.1. Podmiot danych osobowych ma prawo do otrzymywania wszelkich informacji o sobie od dowolnego podmiotu stosunków związanych z danymi osobowymi, bez określania celu żądania, z wyjątkiem przypadków określonych przez prawo.
9.2. Dostęp podmiotu danych osobowych do danych o sobie jest bezpłatny.
9.3. Podmiot danych osobowych występuje z żądaniem dostępu (dalej – żądanie) do danych osobowych do właściciela bazy danych osobowych.
We wniosku stwierdza się:
nazwisko, imię i patronimikę, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu potwierdzającego tożsamość podmiotu danych osobowych;
inne informacje umożliwiające identyfikację osoby, której dane dotyczą;
informacje o bazie danych osobowych, której dotyczy żądanie lub informacje o właścicielu lub zarządcy tej bazy;
wykaz żądanych danych osobowych.
9.4. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych wykaże znanemu podmiotowi danych osobowych, że żądanie zostanie spełnione lub odpowiednie dane osobowe nie podlegają przepisom, wskazując przyczyny określone w odpowiednim akcie regulacyjnym.
9.5. Żądanie jest realizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
10. Państwowa rejestracja bazy danych osobowych
10.1. Państwowa rejestracja baz danych osobowych prowadzona jest zgodnie z art. 9 Ustawy Ukrainy „O ochronie danych osobowych”.