Політика конфіденційності

Зміст

  1. Загальні поняття та сфера застосування

  2. Перелік баз персональних даних

  3. Мета обробки персональних даних

  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб'єкта персональних даних

  5. Місцезнаходження бази персональних даних

  6. Умови розкриття персональних даних третім особам

  7. Захист персональних даних: методи захисту, відповідальна особа, працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних, і строк зберігання

  8. Права суб'єкта персональних даних

  9. Порядок роботи із запитами суб'єкта персональних даних

  10. Державна реєстрація бази персональних даних

1. Загальні поняття та сфера застосування

1.1. Визначення термінів:

  • База персональних даних: іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

  • Відповідальна особа: визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону.

  • Володілець бази персональних даних (контролер): фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, склад цих даних та процедури їх обробки, якщо інше не визначено законом.

  • Державний реєстр баз персональних даних: єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних.

  • Загальнодоступні джерела персональних даних: довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб'єкта персональних даних. Соціальні мережі та інтернет-ресурси, в яких суб'єкти залишають свої дані, не вважаються загальнодоступними джерелами, якщо суб'єкт прямо не зазначає, що дані призначені для вільного розповсюдження і використання.

  • Згода суб'єкта персональних даних: будь-яке документоване, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

  • Знеособлення персональних даних: вилучення відомостей, які дають змогу ідентифікувати особу.

  • Обробка персональних даних: будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

  • Персональні дані: відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

  • Розпорядник бази персональних даних: фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані. Не є розпорядником бази персональних даних особа, якій володільцем та/або розпорядником доручено здійснювати роботи технічного характеру без доступу до змісту персональних даних.

  • Суб'єкт персональних даних: фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних.

  • Третя особа: будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником здійснюється передача персональних даних відповідно до закону.

  • Особливі категорії даних: персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.

1.2. Це Положення є обов'язковим для відповідальної особи та працівників Продавця, які безпосередньо здійснюють обробку або мають доступ до персональних даних у зв'язку з виконанням своїх службових обов'язків.

2. Перелік баз персональних даних

2.1. Продавець є володільцем наступних баз персональних даних:

  • База персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних у системі є забезпечення реалізації цивільно-правових відносин, надання, отримання та здійснення розрахунків за придбані товари та послуги відповідно до Податкового кодексу України та Закону України «Про бухгалтерський облік та фінансову звітність в Україні».

4. Порядок обробки персональних даних

4.1. Згода суб'єкта персональних даних має бути добровільним волевиявленням щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети.

4.2. Згода може надаватися у таких формах:

  • Паперовий документ з реквізитами, що дають змогу ідентифікувати документ та фізичну особу;

  • Електронний документ, що містить обов'язкові реквізити для ідентифікації; доцільно засвідчити його електронним підписом;

  • Відмітка на електронній сторінці чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-апаратних рішень.

  •  

    Згода надається під час оформлення цивільно-правових відносин відповідно до чинного законодавства.

  • Повідомлення про включення даних до бази, права відповідно до Закону «Про захист персональних даних», мету збору та осіб, яким передаються дані, надається під час оформлення цивільно-правових відносин.

  •  

    Обробка особливих категорій даних (расове/етнічне походження, політичні/релігійні переконання, здоров'я або статеве життя) заборонена.

     

5. Місцезнаходження бази персональних даних

5.1. Бази персональних даних, зазначені в розділі 2, знаходяться за місцезнаходженням Продавця.

6. Умови розкриття персональних даних третім особам

6.1. Доступ третіх осіб визначається умовами згоди суб'єкта або законом.

6.2. У доступі відмовляється, якщо третя особа відмовляється або не може забезпечити дотримання вимог Закону України «Про захист персональних даних».

6.3. Запити на доступ подаються володільцю персональних даних.

6.4. Запит повинен містити: реквізити для ідентифікації заявника, правові підстави для запиту, вказівку на конкретну базу даних та мету запиту.

6.5. Строк вивчення запиту становить до 10 робочих днів. Запит має бути задоволений протягом 30 календарних днів з моменту надходження, якщо інше не передбачено законом.

6.6. Відстрочка доступу допускається, якщо дані не можуть бути надані протягом 30 днів, але загальний строк вирішення питання не може перевищувати 45 календарних днів.

6.7. – 6.11. Повідомлення про відстрочку або відмову надається у письмовій формі із зазначенням причин та інформації про порядок оскарження рішення в суді.

7. Захист персональних даних

7.1. База даних володільця оснащена системними, програмними та апаратними засобами для запобігання втраті, крадіжці, несанкціонованому знищенню, викривленню або копіюванню, що відповідають міжнародним та національним стандартам.

7.2. Відповідальна особа призначається наказом Володільця.

7.3. Відповідальна особа повинна: знати законодавство, розробити процедури доступу, забезпечувати їх дотримання працівниками та повідомляти про порушення протягом одного робочого дня.

7.4. Відповідальна особа має право: отримувати доступ до необхідних документів, робити копії записів та пропонувати вдосконалення методів захисту даних.

7.5. – 7.7. Працівники зобов'язані зберігати конфіденційність навіть після припинення діяльності, пов'язаної з персональними даними. Порушення тягне за собою відповідальність згідно із законодавством України.

7.8. Персональні дані не повинні зберігатися довше, ніж це необхідно для заявленої мети або строку, визначеного згодою суб'єкта.

8. Права суб'єкта персональних даних

8.1. Суб'єкт персональних даних має право:

  • Знати про місцезнаходження та мету бази даних;

  • Мати доступ до своїх даних та отримувати інформацію про передачу третім особам;

  • Отримувати відповідь не пізніше ніж за 30 днів про те, чи зберігаються його дані;

  • Заперечувати проти обробки своїх даних державними органами або органами місцевого самоврядування;

  • Вимагати зміни або знищення своїх даних, якщо вони обробляються незаконно або є недостовірними;

  • На захист від випадкової втрати, пошкодження або надання недостовірної/такої, що ганьбить честь і гідність, інформації;

  • Звертатися із скаргами щодо захисту своїх прав до державних органів або суду.

9. Порядок роботи із запитами

9.1. Суб'єкти мають право на доступ до інформації про себе без зазначення причини запиту.

9.2. Доступ до власних даних надається безоплатно.

9.3. Запит повинен містити реквізити для ідентифікації та конкретні дані, що запитуються.

9.4. – 9.5. Розгляд займає до 10 робочих днів; задоволення запиту — до 30 календарних днів.

10. Державна реєстрація

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».