1. Загальні поняття та сфера застосування

1.1. Визначення термінів:

• база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
• відповідальна особа — визначена особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону;
• володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних;
• Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази;
• загальнодоступні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації;
• згода суб’єкта персональних даних — будь-яке документоване, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних;
• знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;
• обробка персональних даних — будь-яка дія або сукупність дій, пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, використанням і поширенням даних;
• персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
• розпорядник бази персональних даних — особа, якій володільцем або законом надано право обробляти ці дані;
• суб’єкт персональних даних — фізична особа, стосовно якої здійснюється обробка її персональних даних;
• третя особа — будь-яка особа, за винятком суб’єкта, володільця чи розпорядника та уповноваженого державного органу;
• особливі категорії даних — персональні дані про расове або етнічне походження, політичні, релігійні переконання, здоров’я чи статеве життя.

1.2. Дане Положення обов’язкове для застосування відповідальною особою та співробітниками продавця.

2. Перелік баз персональних даних

2.1. Продавець є власником таких баз персональних даних: база персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних є забезпечення реалізації цивільно-правових відносин, надання, отримання та здійснення розрахунків за придбані товари та послуги відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні».

4. Порядок обробки: згода та повідомлення про права

4.1. Згода суб’єкта має бути добровільним волевиявленням.
4.2. Згода може бути надана у формах: документ на паперовому носії; електронний документ з реквізитами; відмітка на електронній сторінці документа.
4.3. Згода надається під час оформлення цивільно-правових відносин.
4.4. Повідомлення суб’єкта про включення його даних до бази, його права та мету збору здійснюється під час оформлення відносин.
4.5. Обробка особливих категорій даних (расове походження, політичні погляди, здоров'я тощо) забороняється.

5. Місцезнаходження бази

5.1. Вказані у розділі 2 бази персональних даних знаходяться за адресою продавця.

6. Розкриття інформації третім особам

6.1. Порядок доступу третіх осіб визначається умовами згоди або вимогами закону.
6.2. Доступ не надається, якщо третя особа відмовляється забезпечити виконання вимог Закону України «Про захист персональних даних».
6.3 - 6.4. Суб'єкт подає запит щодо доступу до персональних даних володільцю, вказуючи свої ПІБ, місце проживання, реквізити документа, мету запиту та перелік даних.
6.5. Строк вивчення запиту — не більше 10 робочих днів. Запит задовольняється протягом 30 календарних днів.
6.6 - 6.8. Відстрочення доступу допускається, якщо дані не можуть бути надані протягом 30 днів (загальний термін не більше 45 днів). Повідомлення про відстрочення надається письмово.
6.9 - 6.11. Відмова у доступі допускається згідно із законом, із письмовим повідомленням причини. Рішення може бути оскаржено до суду.

7. Захист персональних даних

7.1. Володільця бази обладнано системними і програмно-технічними засобами, які запобігають втратам, крадіжкам, несанкціонованому знищенню та копіюванню інформації.

7.2. Відповідальна особа організовує роботу із захисту даних. Її обов'язки зазначаються у посадовій інструкції.

7.3. Відповідальна особа зобов’язана:

• знати законодавство України в сфері захисту персональних даних;
• розробити процедури доступу до персональних даних співробітників;
• забезпечити виконання вимог законодавства співробітниками;
• здійснювати внутрішній контроль за дотриманням вимог;
• повідомляти про факти порушень не пізніше одного робочого дня;
• забезпечити зберігання документів про згоду суб’єктів.

7.4. Відповідальна особа має право отримувати документи, робити копії, вносити пропозиції щодо покращення роботи та візувати документи.

7.5 - 7.6. Працівники, що здійснюють обробку, зобов’язані не допускати розголошення даних навіть після припинення діяльності.

7.7. У разі порушення працівники несуть відповідальність згідно законодавства України.

7.8. Дані не зберігаються довше, ніж це необхідно для мети, або довше строку, визначеного згодою.

8. Права суб’єкта персональних даних

• знати про місцезнаходження бази, її призначення та володільця;
• отримувати інформацію про умови надання доступу та третіх осіб;
• на доступ до своїх персональних даних;
• отримувати відповідь протягом 30 днів про те, чи зберігаються його дані, та їх зміст;
• пред'являти вмотивовану вимогу із запереченням проти обробки або щодо зміни/знищення даних;
• на захист даних від незаконної обробки, втрати чи надання недостовірних відомостей;
• звертатися до органів влади або застосовувати засоби правового захисту.

9. Порядок роботи із запитами

9.1 - 9.2. Суб'єкт має право на безоплатне одержання відомостей про себе без зазначення мети запиту.

9.3. Запит подається володільцю бази із зазначенням ПІБ, реквізитів документа, переліку даних.

9.4 - 9.5. Строк вивчення запиту — до 10 робочих днів, а задоволення — протягом 30 календарних днів.

10. Державна реєстрація

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».