Соглашение пользователя об обработке и защите персональных данных

Содержание

  1. Общие понятия и сфера применения
  2. Перечень баз персональных данных
  3. Цель обработки персональных данных
  4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта
  5. Местонахождение базы персональных данных
  6. Условия раскрытия информации о персональных данных третьим лицам
  7. Защита персональных данных: способы защиты, ответственное лицо, работники, осуществляющие обработку, срок хранения персональных данных
  8. Права субъекта персональных данных
  9. Порядок работы с запросами субъекта персональных данных
  10. Государственная регистрация базы персональных данных
  11. Дополнительные положения

1. Общие понятия и сфера применения

1.1. Определения терминов:

  • База персональных данных — именованный совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных;
  • Ответственное лицо — определённое лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;
  • Владелец базы персональных данных — физическое или юридическое лицо, которому по закону или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в данной базе, устанавливает состав данных и процедуры их обработки, если иное не предусмотрено законом;
  • Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
  • Общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги и другие систематизированные сборники открытой информации, содержащие персональные данные, размещённые и опубликованные с ведома субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и интернет-ресурсы, где субъект размещает свои данные (за исключением случаев, когда субъект прямо указывает, что персональные данные размещены с целью их свободного распространения и использования);
  • Согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной целью обработки;
  • Деидентификация персональных данных — удаление сведений, позволяющих идентифицировать лицо;
  • Обработка персональных данных — любое действие или совокупность действий, совершаемых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием, распространением (реализацией, передачей), деидентификацией, уничтожением сведений о физическом лице;
  • Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
  • Руководитель базы персональных данных — физическое или юридическое лицо, которому как владельцем базы персональных данных или по закону предоставлено право обрабатывать эти данные. Лицо, которому поручено выполнять технические работы по базе без доступа к содержимому персональных данных, не считается руководителем;
  • Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных;
  • Третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или руководителя базы персональных данных, а также уполномоченного государственного органа по вопросам защиты персональных данных, которому осуществляется передача данных в соответствии с законом;
  • Особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или сексуальной жизни.

1.2. Сфера применения:
Настоящее положение обязательно для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением служебных обязанностей.

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных:

  • База персональных данных контрагентов.

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретённые товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учёте и финансовой отчетности в Украине» и другими действующими нормативно-правовыми актами.

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта

4.1. Согласие субъекта персональных данных является добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его данных в соответствии с сформулированной целью.
4.2. Согласие может быть предоставлено в следующих формах:

  • Документ на бумажном носителе с реквизитами, позволяющими идентифицировать документ и лицо;
  • Электронный документ с обязательными реквизитами;
  • Отметка на электронной странице или в электронном файле, обрабатываемом в информационной системе на основе программно-технических решений.
    4.3. Согласие предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
    4.4. Субъект персональных данных уведомляется о включении его данных в базу, о правах, предусмотренных Законом Украины «О защите персональных данных», о цели сбора данных и лицах, которым они передаются.
    4.5. Обработка особых категорий данных (о расовом происхождении, политических, религиозных убеждениях и т.п.) запрещена.

5. Местонахождение базы персональных данных

5.1. Указанные в разделе 2 базы персональных данных находятся по адресу продавца.

6. Условия раскрытия информации о персональных данных третьим лицам

6.1. Доступ к персональным данным третьих лиц осуществляется согласно условиям согласия субъекта персональных данных или требованиям закона.
6.2. Третьим лицам не предоставляется доступ, если указанное лицо отказывается принять обязательства по обеспечению соблюдения требований Закона Украины «О защите персональных данных».
6.3. Субъект, нуждающийся в доступе к данным, подаёт соответствующий запрос с указанием необходимых реквизитов.
6.4. В запросе указываются:

  • Фамилия, имя, отчество, место жительства (пребывания) и реквизиты документа, удостоверяющего личность субъекта;
  • Другие сведения, позволяющие идентифицировать субъекта;
  • Сведения о базе персональных данных, к которой подаётся запрос;
  • Перечень запрашиваемых данных;
  • Цель запроса и правовые основания.
    6.5. Срок рассмотрения запроса не превышает 10 рабочих дней, а удовлетворение запроса — 30 календарных дней (если иное не предусмотрено законом).
    6.6. Допускается отсрочка доступа к данным с общим сроком разрешения не более 45 календарных дней.
    6.7. При отсрочке третьему лицу направляется уведомление с разъяснением порядка обжалования такого решения.
    6.8. В уведомлении об отсрочке указываются: фамилия, имя, отчество должностного лица, дата отправления, причина отсрочки и срок удовлетворения запроса.
    6.9. Отказ в доступе к данным допускается, если это предусмотрено законодательством.
    6.10. В уведомлении об отказе указываются данные должностного лица, дата и причина отказа.
    6.11. Решение об отсрочке или отказе может быть обжаловано в суде.

7. Защита персональных данных

7.1. Владелец базы персональных данных использует системные и программно-технические средства, предотвращающие утрату, кражу, несанкционированное уничтожение, искажение, подделку, копирование информации в соответствии с международными и национальными стандартами.
7.2. Ответственное лицо организует работу по защите персональных данных в соответствии с приказом Владельца базы, с обязательным отражением обязанностей в должностной инструкции.
7.3. Ответственное лицо обязано:

  • Знать законодательство Украины в сфере защиты персональных данных;
  • Разработать процедуры доступа к данным для сотрудников в соответствии с их служебными обязанностями;
  • Обеспечить соблюдение сотрудниками требований законодательства и внутренних документов;
  • Проводить внутренний контроль и своевременно уведомлять о нарушениях;
  • Обеспечить хранение документов, подтверждающих согласие на обработку персональных данных.
    7.4. Ответственное лицо имеет право:
  • Получать необходимые документы, включая приказы и распоряжения, связанные с обработкой данных;
  • Делать копии полученных документов;
  • Участвовать в обсуждении организационных вопросов защиты данных;
  • Вносить предложения по улучшению работы и устранению выявленных недостатков;
  • Подписывать и визировать документы в пределах своей компетенции.
    7.5. Сотрудники, осуществляющие обработку данных, обязаны соблюдать требования законодательства и внутренних нормативных документов.
    7.6. Сотрудники, имеющие доступ к данным, не должны раскрывать их каким-либо способом как во время работы, так и после её прекращения (за исключением случаев, предусмотренных законом).
    7.7. Нарушение требований по защите данных влечёт ответственность согласно действующему законодательству Украины.
    7.8. Персональные данные не хранятся дольше, чем необходимо для достижения целей обработки, или в течение срока, установленного согласием субъекта данных.

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • Узнать местонахождение базы данных, её назначение, наименование, адрес владельца или руководителя, либо получить соответствующее поручение для получения данной информации, за исключением случаев, предусмотренных законом;
  • Получать информацию об условиях предоставления доступа к данным, в том числе о третьих лицах, которым данные передаются;
  • Получать доступ к своим персональным данным, содержащимся в базе;
  • Получить ответ о наличии или отсутствии своих данных в базе не позднее 30 календарных дней;
  • Предъявлять мотивированное требование с возражениями против обработки своих данных органами государственной власти, осуществляющими функции защиты персональных данных;
  • Требовать изменения или уничтожения своих данных в случае незаконной обработки или их недостоверности;
  • Защищать свои права от незаконной обработки, утраты, уничтожения или повреждения данных;
  • Обращаться за защитой прав к соответствующим государственным органам;
  • Применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

9. Порядок работы с запросами субъекта персональных данных

9.1. Субъект имеет право получать любую информацию о себе от любого участника отношений, связанных с персональными данными, за исключением случаев, предусмотренных законом.
9.2. Доступ к данным осуществляется бесплатно.
9.3. Субъект подаёт запрос о доступе к данным владельцу базы персональных данных с указанием необходимых реквизитов.
9.4. Срок рассмотрения запроса не превышает 10 рабочих дней, а удовлетворение запроса — 30 календарных дней, если иное не предусмотрено законом.

10. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьёй 9 Закона Украины «О защите персональных данных».

11. Дополнительные положения

11.1. Правовая основа обработки персональных данных
11.1.1. Обработка персональных данных осуществляется на основе:

  • Исполнения гражданско-правовых обязательств (договорных отношений) между продавцом и субъектом персональных данных;
  • Законных интересов продавца, подтверждённых внутренними документами;
  • Добровольного согласия субъекта персональных данных, документально подтверждённого (на бумажном или электронном носителе).
    11.1.2. Продавец обязуется информировать субъекта персональных данных о правовой основе и цели обработки его данных.

11.2. Ограничение ответственности продавца
11.2.1. Продавец не несёт ответственности за случайное нарушение безопасности персональных данных, если такое нарушение произошло вследствие действий третьих лиц или форс-мажорных обстоятельств, не зависящих от продавца.
11.2.2. В случае возникновения спорных ситуаций по обработке данных ответственность продавца ограничивается фактически доказанными убытками в соответствии с законодательством Украины.

11.3. Меры технической и организационной защиты персональных данных
11.3.1. Продавец обеспечивает защиту персональных данных с использованием современных технологических средств, включая:

  • Шифрование данных при передаче;
  • Регулярное резервное копирование данных;
  • Использование систем многофакторной аутентификации для доступа к базам данных;
  • Регулярное обновление программного обеспечения и систем безопасности.
    11.3.2. Ответственное лицо проводит внутренние аудиты и контроль соблюдения требований законодательства по защите персональных данных не реже одного раза в год.

11.4. Использование файлов cookie и других технологий сбора данных
11.4.1. Продавец использует файлы cookie для повышения удобства пользования сайтом, анализа трафика и оптимизации работы веб-ресурса.
11.4.2. Информация о целях использования файлов cookie, а также возможность отказа от их использования, размещается в соответствующей политике конфиденциальности, являющейся неотъемлемой частью данного соглашения.

11.5. Изменения в соглашении
11.5.1. Продавец оставляет за собой право вносить изменения в данное соглашение в случае изменения законодательства или внутренних политик, регулирующих обработку персональных данных.
11.5.2. Изменения вступают в силу с момента публикации актуальной версии соглашения на сайте.
11.5.3. Пользователь обязан ознакомиться с обновлёнными положениями перед дальнейшим использованием сайта.

11.6. Механизмы разрешения споров
11.6.1. В случае возникновения споров, связанных с защитой персональных данных, стороны обязуются сначала решать их путём переговоров.
11.6.2. Если разрешение спора путём переговоров невозможно, спор передаётся в суд по месту нахождения продавца в соответствии с действующим законодательством Украины.