Угода користувача щодо обробки і захисту персональних даних

Зміст

  1. Загальні поняття та сфера застосування
  2. Перелік баз персональних даних
  3. Мета обробки персональних даних
  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних
  5. Місцезнаходження бази персональних даних
  6. Умови розкриття інформації про персональні дані третім особам
  7. Захист персональних даних: способи захисту, відповідальна особа, працівники, що здійснюють обробку, строк зберігання персональних даних
  8. Права суб’єкта персональних даних
  9. Порядок роботи із запитами суб’єкта персональних даних
  10. Державна реєстрація бази персональних даних
  11. Додаткові положення

1. Загальні поняття та сфера застосування

1.1. Визначення термінів:

  • База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
  • Відповідальна особа — визначена особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону;
  • Володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у даній базі, встановлює склад даних та процедури їх обробки, якщо інше не визначено законом;
  • Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
  • Загальнодоступні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб’єкта персональних даних. Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та інтернет-ресурси, де суб’єкт залишає свої дані (окрім випадків, коли суб’єкт прямо зазначає, що персональні дані розміщено з метою їх вільного поширення та використання);
  • Згода суб’єкта персональних даних — будь-яке документоване, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
  • Знеособлення персональних даних — вилучення відомостей, що дозволяють ідентифікувати особу;
  • Обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках, що пов’язана зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням, поширенням, знеособленням, знищенням відомостей про фізичну особу;
  • Персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
  • Розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем або законом надано право обробляти персональні дані. Не є розпорядником, якщо виконання робіт з технічного характеру проводиться без доступу до змісту даних;
  • Суб’єкт персональних даних — фізична особа, щодо якої здійснюється обробка її персональних даних;
  • Третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних, або уповноваженого державного органу з питань захисту персональних даних, якій передаються дані згідно з законом;
  • Особливі категорії даних — дані про расове чи етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях, дані про здоров’я чи статеве життя.

1.2. Сфера застосування:
Це положення є обов’язковим для відповідальної особи та співробітників продавця, які здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням службових обов’язків.

2. Перелік баз персональних даних

2.1. Продавець є власником таких баз персональних даних:

  • База персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних є забезпечення реалізації цивільно-правових відносин, надання, отримання та здійснення розрахунків за придбані товари та послуги відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні» та інших чинних нормативно-правових актів.

4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних

4.1. Згода суб’єкта персональних даних є добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її даних відповідно до сформульованої мети.
4.2. Згода може бути надана у таких формах:

  • Документ на паперовому носії з реквізитами, що дозволяють ідентифікувати документ та особу;
  • Електронний документ із обов’язковими реквізитами;
  • Відмітка на електронній сторінці чи в електронному файлі, що обробляється в інформаційній системі за допомогою програмно-технічних рішень.
    4.3. Згода надається під час оформлення цивільно-правових відносин згідно з чинним законодавством.
    4.4. Суб’єкт персональних даних повідомляється про включення його даних до бази, права за Законом України «Про захист персональних даних», мету збору даних та осіб, яким вони передаються.
    4.5. Обробка особливих категорій даних (про расу, політичні, релігійні переконання, тощо) забороняється.

5. Місцезнаходження бази персональних даних

5.1. Вказані в розділі 2 бази персональних даних знаходяться за адресою продавця.

6. Умови розкриття інформації про персональні дані третім особам

6.1. Доступ до персональних даних третіх осіб здійснюється згідно з умовами згоди суб’єкта персональних даних або вимогами закону.
6.2. Третім особам не надається доступ, якщо вони відмовляються брати на себе зобов’язання щодо дотримання вимог Закону України «Про захист персональних даних».
6.3. Суб’єкт, що потребує доступу до даних, подає відповідний запит із зазначенням необхідних реквізитів.
6.4. В запиті зазначаються:

  • Прізвище, ім’я, по батькові, місце проживання, реквізити документа, що посвідчує особу;
  • Інші відомості для ідентифікації;
  • Дані про базу персональних даних, що запитуються;
  • Перелік необхідних даних;
  • Мета запиту та правові підстави. 6.5. Строк розгляду запиту не перевищує 10 робочих днів, а задоволення запиту – 30 календарних днів (за винятком випадків, передбачених законом).
    6.6. Можливе відстрочення доступу до даних із загальним терміном вирішення не більше 45 календарних днів.
    6.7. При відстроченні відповідне повідомлення передається третій особі з роз’ясненням порядку оскарження.
    6.8. У повідомленні про відстрочення вказуються: прізвище, ім’я, по батькові посадової особи, дата, причина відстрочення, строк задоволення запиту.
    6.9. Відмова у доступі до даних допускається, якщо це передбачено законодавством.
    6.10. У повідомленні про відмову зазначаються дані посадової особи, дата та причина відмови.
    6.11. Рішення про відстрочення або відмову може бути оскаржене у суді.

7. Захист персональних даних

7.1. Володілець бази персональних даних використовує системні та програмно-технічні засоби, що запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню та копіюванню інформації, відповідно до міжнародних та національних стандартів.
7.2. Відповідальна особа організовує роботу із захисту персональних даних згідно з наказом Володільця бази, з обов’язковим відображенням обов’язків у посадовій інструкції.
7.3. Відповідальна особа зобов’язана:

  • Знати законодавство у сфері захисту персональних даних;
  • Розробити процедури доступу до даних співробітників відповідно до їхніх обов’язків;
  • Забезпечити дотримання вимог законодавства та внутрішніх документів;
  • Проводити внутрішній контроль та повідомляти про порушення у встановлений термін;
  • Забезпечити зберігання документів, що підтверджують згоду на обробку даних. 7.4. Відповідальна особа має право отримувати необхідні документи, робити їх копії, брати участь у обговоренні процедур, вносити пропозиції щодо покращення роботи та підписувати документи у межах своєї компетенції.
    7.5. Працівники, які здійснюють обробку даних, зобов’язані дотримуватися вимог законодавства та внутрішніх нормативів.
    7.6. Працівники, що мають доступ до даних, не повинні розголошувати їх у будь-який спосіб, як під час роботи, так і після її припинення (за винятком випадків, передбачених законом).
    7.7. Порушення вимог щодо захисту даних призводить до відповідальності згідно з чинним законодавством України.
    7.8. Персональні дані зберігаються не довше, ніж необхідно для досягнення мети їх обробки, або згідно з термінами, наданими згодою суб’єкта даних.

8. Права суб’єкта персональних даних

8.1. Суб’єкт персональних даних має право:

  • Дізнатися про місцезнаходження бази даних, її призначення, назву, адресу володільця або розпорядника;
  • Отримувати інформацію про умови доступу до даних, зокрема, про третіх осіб, яким дані передаються;
  • Отримувати доступ до своїх даних у базі;
  • Отримати відповідь про наявність або відсутність своїх даних у базі не пізніше 30 календарних днів;
  • Пред’являти вимоги із запереченням проти обробки своїх даних органами державної влади;
  • Вимагати змін або знищення своїх даних у випадку незаконної обробки або недостовірності;
  • Захищати свої права від незаконної обробки, втрати, знищення або пошкодження даних;
  • Звертатися за захистом прав до відповідних органів державної влади;
  • Використовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

9. Порядок роботи із запитами суб’єкта персональних даних

9.1. Суб’єкт має право отримувати будь-яку інформацію про себе від будь-якого суб’єкта відносин, пов’язаних із персональними даними, за винятком випадків, передбачених законом.
9.2. Доступ до даних здійснюється безоплатно.
9.3. Суб’єкт подає запит щодо доступу до даних володільцю бази персональних даних із зазначенням необхідних реквізитів (П. 9.3).
9.4. Строк вивчення запиту не перевищує 10 робочих днів, а задоволення запиту — 30 календарних днів, якщо інше не передбачено законом.

10. Державна реєстрація бази персональних даних

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».

11. Додаткові положення

11.1. Правова підстава обробки персональних даних
11.1.1. Обробка персональних даних здійснюється на підставі:

  • Виконання цивільно-правових зобов’язань (договірних відносин) між продавцем та суб’єктом персональних даних;
  • Законних інтересів продавця щодо ведення комерційної діяльності, що підтверджуються внутрішніми документами;
  • Добровільної згоди суб’єкта персональних даних, що засвідчується документально (паперовим або електронним документом).
    11.1.2. Продавець зобов’язується інформувати суб’єкта персональних даних про правову підставу та мету обробки його даних.

11.2. Обмеження відповідальності продавця
11.2.1. Продавець не несе відповідальності за випадкове порушення безпеки персональних даних, якщо такі порушення сталися внаслідок дій третіх осіб або форс-мажорних обставин, що не підконтрольні продавцю.
11.2.2. У разі виникнення спірних ситуацій щодо обробки даних відповідальність продавця обмежується фактичними доведеними збитками відповідно до законодавства України.

11.3. Заходи технічного та організаційного захисту персональних даних
11.3.1. Продавець забезпечує захист персональних даних за допомогою сучасних технологічних засобів, включаючи:

  • Шифрування даних під час передачі;
  • Регулярне резервне копіювання даних;
  • Використання систем багатофакторної автентифікації для доступу до баз даних;
  • Регулярне оновлення програмного забезпечення та систем безпеки.
    11.3.2. Відповідальна особа проводить внутрішні аудити та контроль за дотриманням вимог законодавства щодо захисту персональних даних не рідше одного разу на рік.

11.4. Використання файлів cookie та інших технологій збору даних
11.4.1. Продавець використовує файли cookie для покращення зручності користування сайтом, аналізу трафіку та оптимізації роботи веб-ресурсу.
11.4.2. Інформація про мету використання файлів cookie, а також можливість відмови від їх використання, розміщується у відповідній політиці конфіденційності, що є невід’ємною частиною даної угоди.

11.5. Зміни до угоди
11.5.1. Продавець залишає за собою право вносити зміни до цієї угоди у разі змін законодавства або внутрішніх політик, що регулюють обробку персональних даних.
11.5.2. Зміни набувають чинності з моменту публікації актуальної версії угоди на сайті.
11.5.3. Користувач зобов’язаний ознайомитися з оновленими положеннями перед подальшим використанням сайту.

11.6. Механізми вирішення спорів
11.6.1. У разі виникнення спорів, пов’язаних із захистом персональних даних, сторони зобов’язуються спочатку вирішувати їх шляхом переговорів.
11.6.2. Якщо вирішення спору шляхом переговорів неможливе, спір передається до суду за місцем знаходження продавця відповідно до чинного законодавства України.