Политика конфиденциальности
Положение об обработке и защите персональных данных в базах данных, владельцем которых является продавец grand-shopcv.com.ua
Содержание
Общие понятия и сфера применения
Список баз персональных данных
Цель обработки персональных данных
Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
Местонахождение базы персональных данных
Условия раскрытия персональных данных третьим лицам
Защита персональных данных: способы защиты, ответственное лицо, сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
Права субъекта персональных данных
Порядок обработки запросов субъекта персональных данных
Государственная регистрация базы персональных данных
1. Общие понятия и сфера применения
1.1. Определение терминов:
База персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
Ответственное лицо — определенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;
Владелец базы персональных данных — физическое или юридическое лицо, которому по закону или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;
Государственный реестр баз персональных данных — единственная государственная информационная система для сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
Общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, которые содержат персональные данные, размещенные и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, в которых субъект персональных данных оставляет свои персональные данные (за исключением случаев, когда субъект персональных данных прямо указывает, что персональные данные размещены с целью их свободного распространения и использования);
Согласие субъекта персональных данных — любое документированное, добровольное выражение воли физического лица на предоставление разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки;
Обезличивание персональных данных — удаление информации, позволяющей идентифицировать личность;
Обработка персональных данных — любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице;
Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицируется или может быть конкретно идентифицировано;
Управляющий базой данных — физическое или юридическое лицо, которому владельцем базы персональных данных или по закону предоставлено право обрабатывать эти данные. Не является обработчиком базы персональных данных лицо, которому владельцу и/или обработчику базы персональных данных поручено осуществлять работу технического характера с базой персональных данных без доступа к содержанию персональных данных;
Субъект персональных данных — физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;
Третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или обработчика базы персональных данных и уполномоченного государственного органа по защите персональных данных, которому владелец или обработчик базы персональных данных передает персональные данные в соответствии с законом;
Особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или сексуальной жизни.
1.2. Настоящее Положение является обязательным для использования ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.
2. Список баз персональных данных
2.1. Продавец является владельцем следующих баз персональных данных:
База данных контрагентов.
3. Цель обработки персональных данных
3.1. Целью обработки персональных данных в системе является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины "О бухгалтерском учете и финансовой отчетности в Украине".
4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных
4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица на предоставление разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки.
4.2. Согласие субъекта персональных данных может быть предоставлено в следующих формах:
Бумажный документ с реквизитами, позволяющими идентифицировать этот документ и физическое лицо;
Электронный документ, который должен содержать обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица в отношении предоставления разрешения на обработку его персональных данных целесообразно заверять электронной подписью субъекта персональных данных;
Отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений.
4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданских отношений в соответствии с действующим законодательством.
4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, правах, определенных Законом Украины "О защите персональных данных", цели сбора данных и лиц, которым передаются его персональные данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещена.
5. Местонахождение базы персональных данных
5.1. Базы персональных данных, указанные в разделе 2 настоящего Положения, находятся по адресу продавца.
6. Условия раскрытия персональных данных третьим лицам
6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу персональных данных на обработку этих данных, или в соответствии с требованиями закона.
6.2. Доступ к персональным данным третьим лицам не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению соблюдения требований Закона Украины "О защите персональных данных" или не в состоянии их обеспечить.
6.3. Субъект отношений, связанных с персональными данными, подает запрос на доступ (далее — запрос) к персональным данным владельцам персональных данных.
6.4. В запросе говорится:
Фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица — заявителя);
Наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя);
Фамилия, имя и отчество, а также другая информация, позволяющая идентифицировать физическое лицо, в отношении которого делается запрос;
Сведения о базе персональных данных, в отношении которой подается запрос, или сведения о владельце или распорядителе этой базы персональных данных;
Перечень запрашиваемых персональных данных;
Цель и/или правовые основания для запроса.
6.5. Срок рассмотрения запроса на его удовлетворение не может превышать десяти рабочих дней со дня его получения. В течение этого срока владелец базы данных доводит до сведения лица, подающего запрос, что запрос будет удовлетворен или что соответствующие персональные данные не подлежат предоставлению, с указанием основания, указанного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней со дня его получения, если иное не предусмотрено законом.
6.6. Отсрочка доступа к персональным данным третьих лиц допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня получения запроса. При этом общий срок решения вопросов, затронутых в запросе, не может превышать сорока пяти календарных дней.
6.7. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.
6.8. В уведомлении об отсрочке говорится:
Фамилия, имя и отчество должностного лица;
Дата отправки сообщения;
Причина отсрочки;
Срок, в течение которого запрос будет удовлетворен.
6.9. Отказ в доступе к персональным данным разрешен, если доступ к ним запрещен законом.
6.10. В уведомлении об отказе говорится:
Фамилия, имя и отчество должностного лица, отказавшего в доступе;
Дата отправки сообщения;
Причина отказа.
6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в суде.
7. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных
7.1. Владелец базы персональных данных оснащен системными, программно-техническими средствами и средствами связи, которые предотвращают потерю, кражу, несанкционированное уничтожение, искажение, подделку, копирование информации и соответствуют требованиям международных и национальных стандартов.
7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Ответственное лицо определяется по распоряжению Владельца базы данных.
Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указаны в служебной инструкции.
7.3. Ответственное лицо обязано:
Знать законодательство Украины в области защиты персональных данных;
Разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или трудовыми обязанностями;
Обеспечить выполнение сотрудниками Владельца базы персональных данных требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных;
Разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, который, в частности, должен содержать нормы о периодичности осуществления такого контроля;
Уведомлять Владельца базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в области защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных не позднее одного рабочего дня с момента обнаружения таких нарушений;
Обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомления указанного субъекта о его правах.
7.4. Для выполнения своих обязанностей ответственное лицо имеет право:
Получать необходимые документы, включая приказы и другие распоряжения, выданные Владельцем базы данных, связанные с обработкой персональных данных;
Делать копии полученных документов, включая копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
Участвовать в обсуждении выполняемых им обязанностей организации работы, связанной с защитой персональных данных при их обработке;
Вносить на рассмотрение предложения по улучшению деятельности и совершенствованию методов работы, представлять замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
Получать разъяснения по вопросам, связанным с обработкой персональных данных;
Подписывать и визировать документы в пределах своей компетенции.
7.5. Сотрудники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в области защиты персональных данных и внутренних документов, касающихся обработки и защиты персональных данных в базах персональных данных.
7.6. Сотрудники, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, обязаны не допускать раскрытия каким-либо образом персональных данных, которые им были доверены или которые стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, за исключением случаев, предусмотренных законом.
7.7. Лица, имеющие доступ к персональным данным, в том числе осуществляющие их обработку в случае нарушения ими требований Закона Украины "О защите персональных данных", несут ответственность в соответствии с законодательством Украины.
7.8. Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой такие данные хранятся, но в любом случае не дольше срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
Знать местонахождение базы персональных данных, содержащей его персональные данные, ее назначение и наименование, местонахождение и/или место жительства (пребывания) владельца или распорядителя этой базы данных или дать соответствующее поручение по получению этой информации уполномоченным им лицам, за исключением случаев, установленных законом;
Получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
Для доступа к своим персональным данным, содержащимся в соответствующей базе персональных данных;
Получать не позднее тридцати календарных дней со дня получения запроса, за исключением случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые хранятся;
Предъявлять мотивированное требование с возражением против обработки своих персональных данных государственными органами, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
Предъявлять обоснованное требование об изменении или уничтожении своих персональных данных любым владельцем и управляющим этой базой данных, если эти данные обрабатываются незаконно или являются недостоверными;
На защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порожают честь, достоинство и деловую репутацию физического лица;
Обращаться за защитой своих прав в отношении персональных данных в органы государственной власти, органы местного самоуправления, которые уполномочены осуществлять защиту персональных данных;
Применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
9. Порядок обработки запросов субъекта персональных данных
9.1. Субъект персональных данных имеет право на получение любой информации о себе от любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, предусмотренных законом.
9.2. Субъект персональных данных может получить доступ к своим данным бесплатно.
9.3. Субъект персональных данных запрашивает доступ (далее — запрос) к персональным данным владельца базы персональных данных.
В запросе говорится:
Фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
Другая информация, позволяющая идентифицировать личность субъекта персональных данных;
Сведения о базе персональных данных, в отношении которой подается запрос, или сведения о владельце или распорядителе этой базы данных;
Перечень запрашиваемых персональных данных.
9.4. Срок рассмотрения запроса на его удовлетворение не может превышать десяти рабочих дней со дня его получения. В течение этого срока владелец базы персональных данных доводит до сведения субъекта персональных данных, что запрос будет удовлетворен или что соответствующие персональные данные не подлежат предоставлению, с указанием основания, указанного в соответствующем нормативно-правовом акте.
9.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его получения, если иное не предусмотрено законом.
10. Государственная регистрация базы персональных данных
10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины "О защите персональных данных".
