Захист персональних даних
Положення про обробку та захист персональних даних відповідно до Закону України «Про захист персональних даних».
Зміст
1. Загальні поняття та сфера застосування
Визначення термінів
—
База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек.
—
Відповідальна особа — особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці.
—
Володілець бази — особа, якій надано право на обробку персональних даних, яка затверджує мету обробки та встановлює склад даних.
—
Згода суб'єкта — добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до мети обробки.
—
Обробка персональних даних — будь-яка дія зі збирання, реєстрації, накопичення, зберігання, використання, поширення або знищення відомостей про фізичну особу.
—
Персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
—
Суб'єкт персональних даних — фізична особа, стосовно якої здійснюється обробка її персональних даних.
—
Третя особа — будь-яка особа, за винятком суб'єкта, володільця чи розпорядника бази та уповноваженого державного органу, якій здійснюється передача персональних даних.
—
Особливі категорії даних — дані про расове або етнічне походження, політичні, релігійні переконання, членство в партіях і профспілках, а також дані про здоров'я чи статеве життя. Обробка таких даних заборонена.
Це Положення обов'язкове для відповідальної особи та всіх співробітників, які здійснюють обробку або мають доступ до персональних даних у зв'язку з виконанням службових обов'язків.
2. Перелік баз персональних даних
База даних контрагентів
Дані юридичних та фізичних осіб, з якими укладаються цивільно-правові відносини.
База даних покупців
Дані клієнтів, які оформлюють замовлення через інтернет-магазин LFL3D.
3. Мета обробки персональних даних
Метою обробки є забезпечення реалізації цивільно-правових відносин, надання та отримання товарів і послуг, здійснення відповідних розрахунків відповідно до Податкового кодексу України та Закону України «Про бухгалтерський облік та фінансову звітність в Україні».
4. Порядок обробки персональних даних
Добровільна згода
Згода суб'єкта персональних даних має бути добровільним волевиявленням щодо надання дозволу на обробку даних відповідно до сформульованої мети.
Форми надання згоди
1.Документ на паперовому носії з реквізитами, що дозволяють ідентифікувати особу.
2.Електронний документ з обов'язковими реквізитами, засвідчений електронним підписом.
3.Відмітка на електронній сторінці документа або в електронному файлі в інформаційній системі.
Момент отримання згоди
Згода надається під час оформлення цивільно-правових відносин відповідно до чинного законодавства.
Заборона особливих категорій даних
Обробка персональних даних про расове або етнічне походження, політичні, релігійні переконання, членство в партіях і профспілках, а також даних про здоров'я чи статеве життя — заборонена.
5. Місцезнаходження бази персональних даних
Бази персональних даних, зазначені у розділі 2 цього Положення, знаходяться за адресою продавця.
6. Умови розкриття інформації третім особам
6.1
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта або вимогами закону.
6.2
Доступ не надається, якщо третя особа відмовляється взяти зобов'язання щодо виконання вимог Закону або не може їх забезпечити.
6.3
Третя особа подає запит щодо доступу до персональних даних безпосередньо володільцю бази.
6.4
У запиті зазначаються:
—ПІБ, місце проживання та реквізити документа особи, яка подає запит (для фізичної особи), або найменування, місцезнаходження та посадова особа (для юридичної особи);
—відомості, що дозволяють ідентифікувати особу, стосовно якої робиться запит;
—відомості про базу персональних даних або її володільця;
—перелік персональних даних, що запитуються;
—мета та/або правові підстави для запиту.
6.5
Строк вивчення запиту — не більше 10 робочих днів. Запит задовольняється протягом 30 календарних днів, якщо інше не передбачено законом.
6.6
Відстрочення доступу допускається, якщо дані не можуть бути надані протягом 30 днів. Загальний строк не може перевищувати 45 календарних днів.
6.7–6.8
Повідомлення про відстрочення надається письмово та містить: ПІБ посадової особи, дату відправлення, причину відстрочення та строк виконання запиту.
6.9–6.10
Відмова у доступі допускається лише якщо доступ заборонено законом. Повідомлення про відмову містить ПІБ посадової особи, дату та причину відмови.
6.11
Рішення про відстрочення або відмову у доступі може бути оскаржено до суду.
7. Захист персональних даних
Технічний захист
7.1
Системні та програмно-технічні засоби захисту запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню та копіюванню даних і відповідають вимогам міжнародних та національних стандартів.
Відповідальна особа
7.2
Відповідальна особа організовує роботу з захисту персональних даних і призначається наказом Володільця бази. Обов'язки прописуються в посадовій інструкції.
Обов'язки відповідальної особи (п. 7.3):
—знати законодавство України у сфері захисту персональних даних;
—розробити процедури доступу до персональних даних для співробітників;
—забезпечити виконання співробітниками вимог законодавства;
—розробити порядок внутрішнього контролю за дотриманням вимог;
—повідомляти Володільця про порушення не пізніше одного робочого дня з моменту виявлення;
—забезпечити зберігання документів про згоду суб'єктів та їх повідомлення про права.
Права відповідальної особи (п. 7.4):
—отримувати необхідні накази та розпорядчі документи;
—робити копії документів і файлів;
—вносити пропозиції щодо покращення роботи з персональними даними;
—підписувати та візувати документи в межах своєї компетенції.
Зобов'язання співробітників і строки зберігання
7.5
Співробітники, які мають доступ до персональних даних, зобов'язані дотримуватись вимог законодавства та внутрішніх документів щодо обробки і захисту даних.
7.6
Забороняється розголошення персональних даних у будь-який спосіб. Це зобов'язання зберігається навіть після припинення діяльності, пов'язаної з персональними даними.
7.7
За порушення вимог Закону України «Про захист персональних даних» особи несуть відповідальність згідно із законодавством України.
7.8
Персональні дані не зберігаються довше, ніж це необхідно для досягнення мети обробки, і в будь-якому разі — не довше строку, визначеного згодою суб'єкта.
8. Права суб'єкта персональних даних
Знати про базу
Дізнатись місцезнаходження бази персональних даних, її призначення, найменування та дані про її володільця.
Отримати доступ
Отримати безоплатний доступ до своїх персональних даних та інформацію про умови їх надання третім особам.
Отримати відповідь
Отримати протягом 30 календарних днів відповідь про те, чи зберігаються ваші дані та який їх зміст.
Заперечити обробку
Пред'явити вмотивовану вимогу проти обробки своїх персональних даних органами державної влади та місцевого самоврядування.
Виправити або видалити
Вимагати зміни або знищення персональних даних, якщо вони обробляються незаконно або є недостовірними.
Захист та оскарження
Звертатись до органів державної влади та застосовувати засоби правового захисту у разі порушення законодавства про персональні дані.
9. Порядок роботи з запитами суб'єкта
9.1
Суб'єкт має право на отримання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту.
9.2
Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
9.3
Запит подається до володільця бази і містить:
—ПІБ, місце проживання та реквізити документа, що посвідчує особу;
—інші відомості для ідентифікації особи;
—відомості про базу персональних даних або її володільця;
—перелік персональних даних, що запитуються.
9.4
Строк вивчення запиту — не більше 10 робочих днів. Протягом цього строку суб'єкту повідомляється, чи буде запит задоволено або чому дані не підлягають наданню.
9.5
Запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.
10. Державна реєстрація бази персональних даних
Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».
Залишилися запитання?
Зв'яжіться з нами — наша команда допоможе з будь-якими питаннями щодо обробки персональних даних.
Написати нам