1. Общие понятия и сфера применения

1.1. Определение терминов:

• база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
• ответственное лицо — определенное лицо, организующее работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;
• владелец базы персональных данных — физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных;
• Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах;
• общедоступные источники персональных данных — справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники открытой информации;
• согласие субъекта персональных данных — любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных;
• обезличивание персональных данных — изъятие сведений, позволяющих идентифицировать личность;
• обработка персональных данных — любое действие или совокупность действий, связанных со сбором, регистрацией, накоплением, хранением, использованием и распространением данных;
• персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
• распорядитель базы персональных данных — лицо, которому владельцем или законом предоставлено право обрабатывать эти данные;
• субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка его персональных данных;
• третье лицо — любое лицо, за исключением субъекта, владельца или распорядителя и уполномоченного государственного органа;
• особые категории данных — персональные данные о расовом или этническом происхождении, политических, религиозных убеждениях, здоровье или половой жизни.

1.2. Данное Положение обязательно для применения ответственным лицом и сотрудниками продавца.

2. Перечень баз персональных данных

2.1. Продавец является владельцем следующих баз персональных данных: база персональных данных контрагентов.

3. Цель обработки персональных данных

3.1. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление расчетов за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».

4. Порядок обработки: согласие и уведомление о правах

4.1. Согласие субъекта должно быть добровольным волеизъявлением.
4.2. Согласие может быть предоставлено в формах: документ на бумажном носителе; электронный документ с реквизитами; отметка на электронной странице документа.
4.3. Согласие предоставляется при оформлении гражданско-правовых отношений.
4.4. Уведомление субъекта о включении его данных в базу, его правах и целях сбора осуществляется при оформлении отношений.
4.5. Обработка особых категорий данных (расовое происхождение, политические взгляды, здоровье и т.д.) запрещается.

5. Местонахождение базы

5.1. Указанные в разделе 2 базы персональных данных находятся по адресу продавца.

6. Раскрытие информации третьим лицам

6.1. Порядок доступа третьих лиц определяется условиями согласия или требованиями закона.
6.2. Доступ не предоставляется, если третье лицо отказывается обеспечить выполнение требований Закона Украины «О защите персональных данных».
6.3 - 6.4. Субъект подает запрос о доступе к персональным данным владельцу, указывая свои ФИО, место жительства, реквизиты документа, цель запроса и перечень данных.
6.5. Срок изучения запроса — не более 10 рабочих дней. Запрос удовлетворяется в течение 30 календарных дней.
6.6 - 6.8. Отсрочка доступа допускается, если данные не могут быть предоставлены в течение 30 дней (общий срок не более 45 дней). Уведомление об отсрочке предоставляется письменно.
6.9 - 6.11. Отказ в доступе допускается согласно закону, с письменным уведомлением причины. Решение может быть обжаловано в суде.

7. Защита персональных данных

7.1. Владелец базы оборудован системными и программно-техническими средствами, которые предотвращают потери, кражи, несанкционированное уничтожение и копирование информации.

7.2. Ответственное лицо организует работу по защите данных. Его обязанности указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

• знать законодательство Украины в сфере защиты персональных данных;
• разработать процедуры доступа к персональным данным сотрудников;
• обеспечить выполнение требований законодательства сотрудниками;
• осуществлять внутренний контроль за соблюдением требований;
• сообщать о фактах нарушений не позднее одного рабочего дня;
• обеспечить хранение документов о согласии субъектов.

7.4. Ответственное лицо имеет право получать документы, делать копии, вносить предложения по улучшению работы и визировать документы.

7.5 - 7.6. Работники, осуществляющие обработку, обязаны не допускать разглашения данных даже после прекращения деятельности.

7.7. В случае нарушения работники несут ответственность согласно законодательству Украины.

7.8. Данные не хранятся дольше, чем это необходимо для цели, или дольше срока, определенного согласием.

8. Права субъекта персональных данных

• знать о местонахождении базы, ее назначении и владельце;
• получать информацию об условиях предоставления доступа и третьих лицах;
• на доступ к своим персональным данным;
• получать ответ в течение 30 дней о том, хранятся ли его данные, и их содержание;
• предъявлять мотивированное требование с возражением против обработки или по поводу изменения/уничтожения данных;
• на защиту данных от незаконной обработки, потери или предоставления недостоверных сведений;
• обращаться в органы власти или применять средства правовой защиты.

9. Порядок работы с запросами

9.1 - 9.2. Субъект имеет право на бесплатное получение сведений о себе без указания цели запроса.

9.3. Запрос подается владельцу базы с указанием ФИО, реквизитов документа, перечня данных.

9.4 - 9.5. Срок изучения запроса — до 10 рабочих дней, а удовлетворение — в течение 30 календарных дней.

10. Государственная регистрация

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных».