Przepisy dotyczące przetwarzania i ochrony danych osobowych w bazach danych osobowych, których właścicielem jest sprzedawca


Treść

  1. Ogólne pojęcia i zakres stosowania
  2. Wykaz baz danych osobowych
  3. Cel przetwarzania danych osobowych
  4. Kolejność przetwarzania danych osobowych: uzyskanie zgody, poinformowanie o prawach i działaniach dotyczących danych osobowych podmiotu danych osobowych
  5. Lokalizacja bazy danych osobowych
  6. Warunki ujawniania informacji o danych osobowych osobom trzecim
  7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
  8. Prawa podmiotu danych osobowych
  9. Procedura postępowania z wnioskami podmiotu danych osobowych
  10. Państwowa rejestracja bazy danych osobowych

 

1. Ogólne pojęcia i zakres stosowania

1.1. Definicje terminów:

baza danych osobowych — nazwany zbiór uporządkowanych danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;

osoba odpowiedzialna — wyznaczona osoba, która organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania, zgodnie z prawem;

właściciel bazy danych osobowych — osoba fizyczna lub prawna, której zgodnie z prawem lub za zgodą podmiotu danych osobowych przyznano prawo do przetwarzania tych danych, która zatwierdza cel przetwarzania danych osobowych w tej bazie danych, ustala skład tych danych i procedury ich przetwarzania, o ile prawo nie stanowi inaczej;

państwowy rejestr baz danych osobowych — jednolity państwowy system informacyjny służący do gromadzenia, przechowywania i przetwarzania informacji o zarejestrowanych bazach danych osobowych;

ogólnodostępne źródła danych osobowych — to encyklopedie, książki adresowe, rejestry, listy, katalogi i inne usystematyzowane zbiory informacji publicznej, które zawierają dane osobowe, umieszczone i opublikowane za zgodą osoby, której dane dotyczą. Za ogólnodostępne źródła danych osobowych nie uznaje się sieci społecznościowych i zasobów internetowych, w których podmioty danych osobowych pozostawiają swoje dane osobowe (z wyjątkiem przypadków, gdy podmiot danych osobowych wyraźnie zaznaczył, że dane osobowe zostały umieszczone w celu ich swobodnego rozpowszechniania i wykorzystywania);

zgoda podmiotu danych osobowych — każde udokumentowane, dobrowolne wyrażenie woli przez osobę fizyczną w celu udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania;

anonimizacja danych osobowych — usunięcie informacji umożliwiających identyfikację osoby;

przetwarzanie danych osobowych — każda czynność lub zbiór czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w kartotekach danych osobowych, związane z gromadzeniem, rejestracją, gromadzeniem, przechowywaniem, dostosowywaniem, zmianą, aktualizacją, wykorzystywaniem i rozpowszechnianiem (dystrybucją, realizacją, przekazywaniem), anonimizacją, zniszczeniem informacji o osobie fizycznej;

dane osobowe — informacje lub zbiór informacji o osobie fizycznej, która została zidentyfikowana lub może zostać konkretnie zidentyfikowana;

administrator bazy danych osobowych — osoba fizyczna lub prawna, której właściciel bazy danych osobowych lub prawo przyznaje prawo do przetwarzania tych danych. Nie jest administratorem bazy danych osobowych osoba, której właściciel i/lub administrator bazy danych osobowych powierzył wykonywanie prac technicznych związanych z bazą danych osobowych bez dostępu do treści danych osobowych;

podmiot danych osobowych — osoba fizyczna, w odniesieniu do której zgodnie z prawem przetwarzane są jej dane osobowe;

osoba trzecia – każda osoba, z wyjątkiem podmiotu danych osobowych, właściciela lub administratora bazy danych osobowych oraz uprawnionego organu państwowego ds. ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;

szczególne kategorie danych — dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2. Niniejsze postanowienia są obowiązkowe dla osoby odpowiedzialnej i pracowników sprzedawcy, którzy bezpośrednio przetwarzają dane osobowe i/lub mają do nich dostęp w związku z wykonywaniem swoich obowiązków służbowych.

 

2. Wykaz baz danych osobowych

2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:

  • baza danych osobowych kontrahentów.

 

3. Cel przetwarzania danych osobowych

3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, dostarczanie, otrzymywanie i dokonywanie rozliczeń za zakupione towary i usługi zgodnie z Kodeksem podatkowym Ukrainy, ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie”.

 

4. Porządek przetwarzania danych osobowych: uzyskanie zgody, poinformowanie o prawach i działaniach dotyczących danych osobowych podmiotu danych osobowych

4.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem woli osoby fizycznej w sprawie udzielenia zgody na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania.

4.2. Zgoda podmiotu danych osobowych może być udzielona w następujących formach:

  • dokument na nośniku papierowym z danymi umożliwiającymi identyfikację tego dokumentu i osoby fizycznej;
  • dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu i osoby fizycznej. Dobrowolne wyrażenie woli osoby fizycznej w sprawie udzielenia zgody na przetwarzanie jej danych osobowych należy potwierdzić podpisem elektronicznym podmiotu danych osobowych;
  • oznaczeniem na elektronicznej stronie dokumentu lub w pliku elektronicznym, który jest przetwarzany w systemie informatycznym w oparciu o udokumentowane rozwiązania programowo-techniczne.

4.3. Zgoda podmiotu danych osobowych jest udzielana podczas formalizowania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.4. Powiadomienie podmiotu danych osobowych o włączeniu jego danych osobowych do bazy danych osobowych, prawach określonych w ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych oraz osobach, którym przekazywane są jego dane osobowe, następuje podczas formalizowania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.

 

5. Lokalizacja bazy danych osobowych

5.1. Bazy danych osobowych wymienione w sekcji 2 niniejszego Regulaminu znajdują się pod adresem sprzedawcy.

 

6. Warunki ujawniania informacji o danych osobowych osobom trzecim

6.1. Porządek dostępu do danych osobowych osób trzecich określa zgoda podmiotu danych osobowych udzielona właścicielowi danych osobowych na przetwarzanie tych danych lub zgodnie z wymogami prawa.

6.2. Dostęp do danych osobowych nie jest udzielany osobie trzeciej, jeżeli osoba ta odmawia podjęcia zobowiązania do zapewnienia wykonania wymogów ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3. Podmiot relacji związanych z danymi osobowymi składa wniosek o dostęp (dalej – wniosek) do danych osobowych do administratora danych osobowych.

6.4. We wniosku należy podać:

  • nazwisko, imię i imię ojca, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu tożsamości osoby fizycznej składającej wniosek (w przypadku osoby fizycznej — wnioskodawcy);
  • nazwa, siedziba osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i drugie imię osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (w przypadku osoby prawnej – wnioskodawcy);
  • nazwisko, imię i drugie imię, a także inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy danych osobowych;
  • wykaz danych osobowych, których dotyczy wniosek;
  • cel i/lub podstawy prawne wniosku.

6.5. Termin rozpatrzenia wniosku w celu jego zaspokojenia nie może przekraczać dziesięciu dni roboczych od dnia jego otrzymania. W tym terminie właściciel bazy danych osobowych informuje osobę składającą wniosek, że wniosek zostanie rozpatrzony pozytywnie lub że odpowiednie dane osobowe nie podlegają udostępnieniu, wskazując podstawę określoną w odpowiednim akcie normatywno-prawnym. Wniosek jest rozpatrywany w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że prawo stanowi inaczej.

6.6. Odroczenie dostępu do danych osobowych osób trzecich jest dopuszczalne w przypadku, gdy niezbędne dane nie mogą zostać przekazane w ciągu trzydziestu dni kalendarzowych od daty otrzymania wniosku. Przy tym ogólny termin rozpatrzenia kwestii poruszonych we wniosku nie może przekraczać czterdziestu pięciu dni kalendarzowych.

6.7. Powiadomienie o odroczeniu przekazuje się osobie trzeciej, która złożyła wniosek, w formie pisemnej wraz z wyjaśnieniem procedury odwołania się od takiej decyzji.

6.8. W zawiadomieniu o odroczeniu podaje się:

  • nazwisko, imię i imię ojca urzędnika;
  • datę wysłania zawiadomienia;
  • przyczynę odroczenia;
  • termin, w którym wniosek zostanie rozpatrzony.

6.9. Odmowa dostępu do danych osobowych jest dopuszczalna, jeżeli dostęp do nich jest zabroniony zgodnie z prawem.

6.10. W zawiadomieniu o odmowie podaje się:

  • nazwisko, imię i imię ojca urzędnika, który odmawia dostępu;
  • datę wysłania zawiadomienia;
  • przyczynę odmowy.

6.11. Od decyzji o odroczeniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do sądu.

 

7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych

7.1. Właściciel bazy danych osobowych jest wyposażony w systemowe i programowo-techniczne środki oraz środki łączności, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, sfałszowaniu, kopiowaniu informacji i spełniają wymagania międzynarodowych i krajowych norm.

7.2. Osoba odpowiedzialna organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem. Osoba odpowiedzialna jest wyznaczana na mocy zarządzenia właściciela bazy danych osobowych.

Obowiązki osoby odpowiedzialnej za organizację pracy związanej z ochroną danych osobowych podczas ich przetwarzania są określone w instrukcji stanowiskowej.

7.3. Osoba odpowiedzialna jest zobowiązana do:

  • znajomości ustawodawstwa Ukrainy w zakresie ochrony danych osobowych;
  • opracowania procedur dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi, służbowymi lub pracowniczymi;
  • zapewnić przestrzeganie przez pracowników Właściciela bazy danych osobowych wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
  • opracować porządek (procedurę) kontroli wewnętrznej przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych, który w szczególności powinien zawierać normy dotyczące częstotliwości przeprowadzania takiej kontroli;
  • powiadamiać właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych w terminie nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
  • zapewnić przechowywanie dokumentów potwierdzających wyrażenie przez podmiot danych osobowych zgody na przetwarzanie swoich danych osobowych oraz poinformowanie tego podmiotu o przysługujących mu prawach.

7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo:

  • otrzymywać niezbędne dokumenty, w tym polecenia i inne dokumenty administracyjne wydane przez właściciela bazy danych osobowych, związane z przetwarzaniem danych osobowych;
  • wykonywać kopie otrzymanych dokumentów, w tym kopie plików, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
  • uczestniczyć w dyskusjach dotyczących wykonywanych przez siebie obowiązków związanych z organizacją pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
  • przedkładać do rozpatrzenia propozycje dotyczące usprawnienia działalności i doskonalenia metod pracy, zgłaszać uwagi i propozycje usunięcia wykrytych nieprawidłowości w procesie przetwarzania danych osobowych;
  • uzyskiwać wyjaśnienia dotyczące kwestii związanych z przetwarzaniem danych osobowych;
  • podpisywać i zatwierdzać dokumenty w zakresie swoich kompetencji.

7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.

7.6. Pracownicy mający dostęp do danych osobowych, w tym zajmujący się ich przetwarzaniem, są zobowiązani do nieujawniania w jakikolwiek sposób danych osobowych, które zostały im powierzone lub które stały się im znane w związku z wykonywaniem obowiązków zawodowych, służbowych lub pracowniczych. Zobowiązanie to obowiązuje po zakończeniu przez nich działalności związanej z danymi osobowymi, z wyjątkiem przypadków określonych przez prawo.

7.7. Osoby mające dostęp do danych osobowych, w tym zajmujące się ich przetwarzaniem, w przypadku naruszenia przez nie wymogów ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.

7.8. Dane osobowe nie mogą być przechowywane dłużej, niż jest to konieczne do celów, dla których są przechowywane, ale w żadnym wypadku nie dłużej niż przez okres przechowywania danych określony w zgodzie podmiotu danych osobowych na przetwarzanie tych danych.

 

8. Prawa podmiotu danych osobowych

8.1. Podmiot danych osobowych ma prawo:

  • znać lokalizację bazy danych osobowych, która zawiera jego dane osobowe, jej przeznaczenie i nazwę, lokalizację i/lub miejsce zamieszkania (pobytu) właściciela lub administratora tej bazy lub zlecić uzyskanie tych informacji upoważnionym przez siebie osobom, z wyjątkiem przypadków określonych przez prawo;
  • otrzymywać informacje o warunkach udzielania dostępu do danych osobowych, w szczególności informacje o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
  • uzyskać dostęp do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
  • otrzymywać nie później niż trzydzieści dni kalendarzowych od daty otrzymania wniosku, z wyjątkiem przypadków przewidzianych przez prawo, odpowiedź na temat tego, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, a także otrzymywać treść przechowywanych danych osobowych;
  • zgłaszać uzasadnione żądanie sprzeciwu wobec przetwarzania swoich danych osobowych przez organy władzy państwowej, organy samorządu lokalnego w ramach wykonywania ich uprawnień przewidzianych prawem;
  • zgłaszać uzasadnione żądanie zmiany lub zniszczenia swoich danych osobowych przez dowolnego właściciela i administratora tej bazy, jeżeli dane te są przetwarzane niezgodnie z prawem lub są nieprawdziwe;
  • do ochrony swoich danych osobowych przed niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w związku z umyślnym ukrywaniem, nieudostępnianiem lub nieterminowym udostępnianiem, a także do ochrony przed udostępnianiem informacji, które są nieprawdziwe lub naruszają honor, godność i reputację zawodową osoby fizycznej;
  • zwracać się w sprawach dotyczących ochrony swoich praw w zakresie danych osobowych do organów władzy państwowej, organów samorządu lokalnego, do których kompetencji należy ochrona danych osobowych;
  • stosować środki ochrony prawnej w przypadku naruszenia przepisów dotyczących ochrony danych osobowych.

 

9. Procedura postępowania z wnioskami podmiotu danych osobowych

9.1. Podmiot danych osobowych ma prawo do uzyskania wszelkich informacji o sobie od dowolnego podmiotu związanego z danymi osobowymi, bez podania celu wniosku, z wyjątkiem przypadków określonych przez prawo.

9.2. Dostęp podmiotu danych osobowych do danych na swój temat jest bezpłatny.

9.3. Podmiot danych osobowych składa wniosek o dostęp (dalej – wniosek) do danych osobowych do właściciela bazy danych osobowych.

We wniosku należy podać:

  • nazwisko, imię i imię ojca, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu tożsamości podmiotu danych osobowych;
  • inne informacje umożliwiające identyfikację podmiotu danych osobowych;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy;
  • wykaz danych osobowych, których dotyczy wniosek.

9.4. Termin rozpatrzenia wniosku w celu jego zaspokojenia nie może przekraczać dziesięciu dni roboczych od dnia jego otrzymania. W tym terminie właściciel bazy danych osobowych informuje osobę, której dane dotyczą, że wniosek zostanie rozpatrzony pozytywnie lub że odpowiednie dane osobowe nie podlegają udostępnieniu, podając podstawę określoną w odpowiednim akcie normatywno-prawnym.

9.5. Wniosek jest rozpatrywany w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że prawo stanowi inaczej.

 

10. Państwowa rejestracja bazy danych osobowych

10.1. Państwowa rejestracja baz danych osobowych odbywa się zgodnie z art. 9 ustawy Ukrainy „O ochronie danych osobowych”.