Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością Sprzedawcy
Zawartość zgody użytkownika:
1. Pojęcia ogólne i zakres zastosowania.
2. Lista baz danych osobowych.
3. Cel przetwarzania danych osobowych.
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych.
5. Lokalizacja osobistej bazy danych.
6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim.
7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych.
8. Prawa podmiotu danych osobowych
9. Procedura obsługi wniosków podmiotu danych osobowych
10. Państwowa rejestracja bazy danych osobowych
1. Pojęcia ogólne i zakres zastosowania
1.1. Określenie warunków:
baza danych osobowych — nazwany zbiór uporządkowanych danych osobowych w postaci elektronicznej i/lub w postaci zbiorów danych osobowych;
osoba odpowiedzialna – wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z przepisami prawa;
właścicielem bazy danych osobowych jest osoba fizyczna lub prawna, której ustawa przyznaje prawo do przetwarzania tych danych lub za zgodą podmiotu danych osobowych, która wyraża zgodę na cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych oraz procedury ich przetwarzania, o ile przepisy prawa nie stanowią inaczej;
Państwowy Rejestr Baz Danych Osobowych jest jednolitym państwowym systemem informacyjnym służącym do gromadzenia, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
publicznie dostępne źródła danych osobowych — katalogi, książki adresowe, rejestry, wykazy, katalogi, inne usystematyzowane zbiory jawnych informacji, które zawierają dane osobowe, umieszczane i publikowane ze świadomością podmiotu danych osobowych. Sieci społecznościowe i zasoby internetowe, w których podmiot danych osobowych pozostawia swoje dane osobowe, nie są uważane za publicznie dostępne źródła danych osobowych (chyba że podmiot danych osobowych wyraźnie stwierdza, że dane osobowe są zamieszczane w celu ich swobodnego rozpowszechniania i wykorzystywania) ;
zgoda podmiotu danych osobowych – każde udokumentowane, dobrowolne wyrażenie woli osoby fizycznej co do wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania;
depersonalizacja danych osobowych — usunięcie informacji pozwalających na identyfikację osoby;
przetwarzanie danych osobowych — każda czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych, które są związane z gromadzeniem, rejestracją, gromadzeniem, przechowywaniem, adaptacją, zmianą, odnawianiem wykorzystanie i rozpowszechnianie (dystrybucja, wdrażanie, przekazywanie), depersonalizacja, niszczenie informacji o osobie fizycznej;
dane osobowe - informacja lub zbiór informacji o osobie fizycznej, która jest zidentyfikowana lub można ją jednoznacznie zidentyfikować;
administratorem bazy danych osobowych jest osoba fizyczna lub prawna, której prawo do przetwarzania tych danych przyznaje właściciel bazy danych osobowych lub ustawa. Osoba, której właściciel i/lub zarządca bazy danych osobowych zlecił wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych, nie jest zarządcą bazy danych osobowych;
podmiotem danych osobowych jest osoba fizyczna, której dane osobowe są przetwarzane zgodnie z prawem;
osoba trzecia - każda osoba, z wyłączeniem podmiotu danych osobowych, właściciel lub zarządca bazy danych osobowych oraz upoważniony organ państwowy do ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe dane zgodne z prawem;
szczególne kategorie danych — dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.
1.2. Niniejsze rozporządzenie jest obowiązkowe do stosowania przez osobę odpowiedzialną i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.
2. Lista baz danych osobowych
2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:
baza danych osobowych kontrahentów.
3. Cel przetwarzania danych osobowych
3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, zapewnienie, otrzymywanie i dokonywanie płatności za zakupione towary i usługi zgodnie z Kodeksem Podatkowym Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej w Ukraina".
4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych
4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrazem woli osoby fizycznej do wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania.
4.2. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:
dokument na nośniku papierowym wraz z rekwizytami umożliwiającymi identyfikację tego dokumentu i osoby fizycznej;
dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu oraz osoby fizycznej. Celowe jest poświadczenie dobrowolnego wyrażenia woli osoby fizycznej o wyrażeniu zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych;
notatka na stronie elektronicznej dokumentu lub w pliku elektronicznym przetwarzana w systemie informatycznym opartym na udokumentowanym oprogramowaniu i rozwiązaniach technicznych.
4.3. Zgoda podmiotu danych osobowych jest udzielana podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.
4.4. Powiadomienie podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych i osób, do których jego dane osobowe przekazanie danych odbywa się podczas rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.
4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.
5. Lokalizacja bazy danych osobowych
5.1. Baza danych osobowych określona w ust. 2 niniejszego Regulaminu znajduje się pod adresem Sprzedawcy.
6. Warunki udostępniania danych osobowych podmiotom trzecim
6.1. Procedura dostępu do danych osobowych osób trzecich jest określona warunkami zgody podmiotu danych osobowych, udzielonej przez właściciela danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.
6.2. Dostęp do danych osobowych nie jest przyznawany osobie trzeciej, jeżeli wskazana osoba odmawia podjęcia zobowiązań do zapewnienia spełnienia wymogów Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.
6.3. Podmiot powiązań związanych z danymi osobowymi składa wniosek o udostępnienie (dalej – żądanie) danych osobowych właściciela danych osobowych.
6.4. We wniosku stwierdza się:
nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku osoby fizycznej wnioskodawca);
imię i nazwisko, lokalizacja podmiotu prawnego składającego wniosek, stanowisko, nazwisko, imię i nazwisko osoby poświadczającej wniosek;
potwierdzenie, że treść wniosku odpowiada organowi osoby prawnej (w przypadku osoby prawnej wnioskodawca);
nazwisko, imię i nazwisko oraz inne informacje umożliwiające identyfikację osoby fizycznej, w stosunku do której składany jest wniosek;
informacje o bazie danych osobowych, której dotyczy żądanie, lub informacje o właścicielu lub zarządcy tej bazy danych osobowych;
wykaz żądanych danych osobowych;
cel i/lub podstawa prawna wniosku.
6.5. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych informuje osobę zgłaszającą żądanie, że żądanie zostanie spełnione lub że odpowiednie dane osobowe nie podlegają udostępnieniu, wskazując podstawy wskazane w odpowiednim akcie prawnym. Żądanie zostanie zrealizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
6.6. Opóźnienie dostępu do danych osobowych osób trzecich jest dopuszczalne w przypadku braku możliwości dostarczenia niezbędnych danych w ciągu trzydziestu dni kalendarzowych od dnia otrzymania żądania. Jednocześnie łączny termin na rozwiązanie kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.
6.7. O odroczeniu powiadamia się osobę trzecią, która złożyła wniosek na piśmie wraz z wyjaśnieniem trybu odwołania od takiej decyzji.
6.8. Zawiadomienie o odroczeniu stwierdza:
nazwisko, imię i patronim urzędnika;
data wysłania wiadomości;
przyczyna opóźnienia;
okres, w którym wniosek zostanie uwzględniony.
6.9. Odmowa dostępu do danych osobowych jest dozwolona, jeżeli dostęp do nich jest zabroniony przez prawo.
6.10. W zawiadomieniu o odmowie stwierdza się:
nazwisko, imię, patronim urzędnika odmawiającego dostępu;
data wysłania wiadomości;
powód odmowy.
6.11. Od decyzji o opóźnieniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.
7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
7.1. Właściciel bazy danych osobowych wyposażony jest w systemowe i programowo-techniczne środki i środki komunikacji, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji oraz spełniają wymagania norm międzynarodowych i krajowych.
7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z przepisami prawa. Osobę odpowiedzialną określa zlecenie Właściciela bazy danych osobowych.
Obowiązki osoby odpowiedzialnej dotyczące organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania określone są w opisie stanowiska.
7.3. Osoba odpowiedzialna jest zobowiązana do:
znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub pracowniczymi;
zapewnienie przestrzegania przez pracowników Właściciela Bazy Danych Osobowych wymogów ustawodawstwa ukraińskiego w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela Bazy Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
opracować procedurę (procedurę) kontroli wewnętrznej zgodności z wymogami ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazy danych osobowych, które w szczególności powinny zawierać normy dotyczące częstotliwości takiej kontroli;
powiadamiania Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania oraz ochrona danych osobowych w bazach danych osobowych nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
zapewnienia przechowywania dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz powiadomienie wskazanego podmiotu o przysługujących mu prawach.
7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo do:
do otrzymania niezbędnych dokumentów, w tym nakazów i innych dokumentów administracyjnych wystawionych przez Właściciela bazy danych osobowych, związanych z przetwarzaniem danych osobowych;
wykonywania kopii otrzymanych dokumentów, w tym kopii akt, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
uczestniczenia w dyskusji na temat wykonywanych przez niego obowiązków w organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
zgłaszania do rozpatrzenia propozycji usprawnień działań i doskonalenia metod pracy, zgłaszania uwag i możliwości usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych;
otrzymywania wyjaśnień dotyczących przetwarzania danych osobowych;
do podpisywania i poświadczania dokumentów w zakresie ich kompetencji.
7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracy), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych i dokumentów wewnętrznych dotyczących przetwarzania oraz ochrony danych osobowych w bazach danych osobowych.
7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym ci, którzy je przetwarzają, zobowiązani są do niedopuszczenia do ujawnienia w jakikolwiek sposób danych osobowych im powierzonych lub o których poznali w związku z wykonywaniem obowiązków zawodowych lub służbowych lub pracowniczych Obowiązek taki obowiązuje po zaprzestaniu przez nich czynności związanych z danymi osobowymi, z wyjątkiem przypadków przewidzianych prawem.
7.7. Osoby, które mają dostęp do danych osobowych, w tym te, które je przetwarzają w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych”, ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.
7.8. Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do celu, dla którego dane te są przechowywane, ale w żadnym wypadku nie dłużej niż okres przechowywania danych określony w zgodzie podmiotu danych osobowych na przetwarzanie tych danych.
8. Prawa podmiotu danych osobowych
8.1. Podmiot danych osobowych ma prawo:
poznać lokalizację bazy danych osobowych, która zawiera jego dane osobowe, jej cel i nazwę, lokalizację i/lub miejsce zamieszkania (zamieszkania) właściciela lub zarządcy tej bazy danych lub przekazać odpowiednie instrukcje dotyczące uzyskania tych informacji osoby przez niego upoważnione, z wyjątkiem przypadków przewidzianych prawem;
otrzymywania informacji o warunkach udzielenia dostępu do danych osobowych, w szczególności informacji o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
do otrzymania nie później niż trzydzieści dni kalendarzowych od dnia otrzymania żądania, z wyjątkiem przypadków przewidzianych prawem, odpowiedzi, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, a także do otrzymania treści jego danych osobowych dane, które są przechowywane;
wniesienia uzasadnionego żądania ze sprzeciwem wobec przetwarzania Pani/Pana danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania ich uprawnień przewidzianych prawem;
złożyć uzasadnione żądanie zmiany lub zniszczenia Twoich danych osobowych przez dowolnego właściciela i administratora tej bazy danych, jeżeli dane te są przetwarzane niezgodnie z prawem lub są niewiarygodne;
w celu ochrony Państwa danych osobowych przed bezprawnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w wyniku celowego zatajenia, niedostarczenia lub nieterminowego udostępnienia, a także przed podaniem informacji nierzetelnych lub uwłaczających honorowi, godności i reputacji biznesowej osoby fizycznej;
wystąpić o ochronę swoich praw dotyczących danych osobowych do organów państwowych, organów samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych;
zastosować środki ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.
9. Procedura obsługi wniosków podmiotu danych osobowych
9.1. Podmiot danych osobowych ma prawo do otrzymywania wszelkich informacji o sobie od dowolnego podmiotu powiązań związanych z danymi osobowymi, bez określenia celu żądania, z wyjątkiem przypadków przewidzianych prawem.
9.2. Dostęp podmiotu danych osobowych do danych osobowych jest bezpłatny.
9.3. Podmiot danych osobowych składa wniosek o udostępnienie (dalej – żądanie) danych osobowych do właściciela bazy danych osobowych.
We wniosku stwierdza się:
nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz szczegóły dokumentu potwierdzającego tożsamość podmiotu danych osobowych;
inne informacje umożliwiające identyfikację osoby podmiotu danych osobowych;
informacje o bazie danych osobowych, w odniesieniu do której składane jest żądanie, lub informacje o właścicielu lub zarządcy tej bazy;
wykaz żądanych danych osobowych.
9.4. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym okresie właściciel bazy danych osobowych powiadamia podmiot danych osobowych, że żądanie zostanie spełnione lub że odpowiednie dane osobowe nie zostaną przekazane, wskazując podstawy określone w odpowiednim akcie prawnym.
9.5. Żądanie zostanie zrealizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.
10. Państwowa rejestracja bazy danych osobowych
10.1. Państwowa rejestracja baz danych osobowych odbywa się zgodnie z art. 9 Ustawy Ukrainy