Regulamin przetwarzania i ochrony danych osobowych w bazach danych, których właścicielem jest sprzedawca

Spis treści

  1. Definicje ogólne i zakres stosowania
  2. Spis baz danych osobowych
  3. Cel przetwarzania danych osobowych
  4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działania związane z danymi osobowymi osoby, której dane dotyczą
  5. Lokalizacja bazy danych osobowych
  6. Warunki ujawniania informacji o danych osobowych osobom trzecim
  7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych
  8. Prawa osoby, której dane dotyczą
  9. Procedura obsługi zapytań osób, których dane dotyczą
  10. Rejestracja państwowa bazy danych osobowych

1. Definicje ogólne i zakres stosowania

1.1. Definicje terminów:

  • baza danych osobowych – zorganizowany zbiór danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;
  • osoba odpowiedzialna – osoba wyznaczona do organizowania pracy związanej z ochroną danych osobowych podczas ich przetwarzania zgodnie z przepisami prawa;
  • właściciel bazy danych osobowych – osoba fizyczna lub prawna, której prawo do przetwarzania tych danych przyznano na mocy prawa lub zgody osoby, której dane dotyczą, zatwierdzająca cel przetwarzania danych w tej bazie danych, określająca skład tych danych oraz procedury ich przetwarzania, chyba że prawo stanowi inaczej;
  • Rejestr Państwowy Baz Danych Osobowych – jedyny państwowy system informacyjny zbierania, gromadzenia i przetwarzania informacji o zarejestrowanych bazach danych osobowych;
  • źródła danych osobowych dostępne publicznie – spisy, książki adresowe, rejestry, listy, katalogi i inne systematyczne zbiory informacji publicznych zawierające dane osobowe, które zostały opublikowane za zgodą osoby, której dane dotyczą. Social media i strony internetowe, na których osoby umieszczają swoje dane osobowe, nie są uznawane za źródła publicznego dostępu do danych osobowych (z wyjątkiem przypadków, gdy osoba, której dane dotyczą, wyraźnie określa, że dane zostały opublikowane w celu ich swobodnego rozpowszechniania i wykorzystywania);
  • zgoda osoby, której dane dotyczą – dobrowolne, udokumentowane wyrażenie woli osoby fizycznej, wyrażające zgodę na przetwarzanie jej danych osobowych w celu zgodnym z określonym celem przetwarzania;
  • anonimizacja danych osobowych – usunięcie informacji pozwalających zidentyfikować osobę;
  • przetwarzanie danych osobowych – jakiekolwiek działanie lub zbiór działań wykonywanych w systemie informacyjnym (automatycznym) i/lub w kartotece danych osobowych związane z gromadzeniem, rejestracją, przechowywaniem, modyfikowaniem, aktualizowaniem, używaniem, rozpowszechnianiem (rozprzestrzenianiem, realizowaniem, przekazywaniem), anonimizowaniem, usuwaniem danych osobowych;
  • dane osobowe – informacje lub zestaw informacji o osobie fizycznej, która jest lub może zostać zidentyfikowana;
  • zarządca bazy danych osobowych – osoba fizyczna lub prawna, której właściciel bazy danych osobowych lub prawo stanowi, że może przetwarzać te dane. Zarządcą nie jest osoba, której powierzono wykonywanie pracy technicznej z bazą danych osobowych bez dostępu do treści danych osobowych;
  • osoba, której dane dotyczą – osoba fizyczna, której dane osobowe są przetwarzane zgodnie z przepisami prawa;
  • osoba trzecia – każda osoba, z wyjątkiem osoby, której dane dotyczą, właściciela lub zarządcy bazy danych osobowych oraz upoważnionego organu państwowego ds. ochrony danych osobowych, któremu właściciel lub zarządca bazy danych przekazuje dane osobowe zgodnie z przepisami prawa;
  • szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także dotyczące zdrowia lub życia seksualnego.

1.2. Niniejszy regulamin jest obowiązkowy do stosowania przez osobę odpowiedzialną oraz pracowników sprzedawcy, którzy bezpośrednio przetwarzają lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Spis baz danych osobowych

2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:

  • baza danych osobowych kontrahentów.

3. Cel przetwarzania danych osobowych

3.1. Celem przetwarzania danych osobowych w systemie jest realizacja stosunków cywilnoprawnych, świadczenie usług, realizacja transakcji oraz dokonanie rozliczeń za zakupione towary i usługi zgodnie z Kodeksem Podatkowym Ukrainy oraz ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie”.

4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i działania związane z danymi osobowymi osoby, której dane dotyczą

4.1. Zgoda osoby, której dane dotyczą, musi być dobrowolnym wyrażeniem woli osoby fizycznej na przetwarzanie jej danych osobowych zgodnie z określonym celem przetwarzania.
4.2. Zgoda może być udzielona w następujących formach:

  • dokument papierowy, który umożliwia identyfikację dokumentu i osoby fizycznej;
  • dokument elektroniczny, który musi zawierać wymagane informacje pozwalające na identyfikację dokumentu i osoby fizycznej;
  • potwierdzenie zgody na stronie dokumentu lub w pliku elektronicznym przetwarzanym w systemie informacyjnym na podstawie rozwiązań programowo-technicznych.

4.3. Zgoda jest udzielana w trakcie zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.4. Powiadomienie osoby, której dane dotyczą, o włączeniu jej danych do bazy, o prawach przewidzianych ustawą Ukrainy „O ochronie danych osobowych”, o celu zbierania danych oraz osobach, którym przekazywane są dane, odbywa się podczas zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.5. Przetwarzanie danych osobowych dotyczących rasy, pochodzenia etnicznego, poglądów politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.

5. Lokalizacja bazy danych osobowych

5.1. Wskazane w rozdziale 2 tego regulaminu bazy danych osobowych znajdują się pod adresem sprzedawcy.

6. Warunki ujawniania informacji o danych osobowych osobom trzecim

6.1. Procedura dostępu do danych osobowych osobom trzecim jest określona na podstawie zgody osoby, której dane dotyczą, udzielonej właścicielowi bazy danych na przetwarzanie tych danych, lub zgodnie z wymogami prawa.

(ciąg dalszy tłumaczenia wymagałby większej przestrzeni i kontynuowania w kolejnych odpowiedziach)

6.2. Dostęp do danych osobowych osób trzecich nie jest udzielany, jeżeli osoba ta odmówi podjęcia zobowiązania do zapewnienia przestrzegania wymogów ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3. Podmiot, którego dane osobowe są przetwarzane, składa wniosek o dostęp (dalej „wniosek”) do danych osobowych właścicielowi danych osobowych.

6.4. Wniosek powinien zawierać:

  • nazwisko, imię i nazwisko, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu tożsamości osoby składającej wniosek (w przypadku osoby fizycznej – wnioskodawcy);
  • nazwę, siedzibę podmiotu prawnego składającego wniosek, stanowisko, nazwisko, imię i nazwisko osoby potwierdzającej wniosek oraz potwierdzenie, że treść wniosku jest zgodna z uprawnieniami podmiotu prawnego (w przypadku osoby prawnej – wnioskodawcy);
  • nazwisko, imię i nazwisko oraz inne dane umożliwiające identyfikację osoby, której dane dotyczą;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub o właścicielu czy administratorze tej bazy danych;
  • wykaz danych osobowych, które są przedmiotem wniosku;
  • cel i/lub podstawy prawne wniosku.

6.5. Czas rozpatrzenia wniosku o dostęp do danych osobowych nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym czasie właściciel bazy danych osobowych informuje osobę składającą wniosek, czy wniosek zostanie rozpatrzony pozytywnie, czy dane osobowe nie mogą być udostępnione, wskazując podstawy prawne określone w odpowiednim akcie normatywno-prawnym. Wniosek jest rozpatrywany w ciągu trzydziestu dni kalendarzowych od dnia jego złożenia, chyba że przepisy prawa stanowią inaczej.

6.6. Odroczenie dostępu do danych osobowych osób trzecich jest dopuszczalne, jeżeli dane nie mogą być udostępnione w ciągu trzydziestu dni kalendarzowych od dnia złożenia wniosku. Całkowity czas rozpatrzenia sprawy nie może jednak przekroczyć czterdziestu pięciu dni kalendarzowych.

6.7. Powiadomienie o odroczeniu dostępu przekazywane jest osobie składającej wniosek na piśmie z wyjaśnieniem sposobu odwołania się od tej decyzji.

6.8. Powiadomienie o odroczeniu powinno zawierać:

  • nazwisko, imię i nazwisko osoby odpowiedzialnej;
  • datę wysłania powiadomienia;
  • powód odroczenia;
  • termin, w którym wniosek zostanie rozpatrzony.

6.9. Odmowa dostępu do danych osobowych jest dopuszczalna, jeśli dostęp do nich jest zabroniony zgodnie z prawem.

6.10. Powiadomienie o odmowie powinno zawierać:

  • nazwisko, imię i nazwisko osoby odpowiedzialnej za odmowę dostępu;
  • datę wysłania powiadomienia;
  • powód odmowy.

6.11. Decyzję o odroczeniu lub odmowie dostępu do danych osobowych można zaskarżyć do sądu.

7. Ochrona danych osobowych: metody ochrony, odpowiedzialna osoba, pracownicy zajmujący się przetwarzaniem i/lub mający dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, czas przechowywania danych osobowych.

7.1. Właściciel bazy danych osobowych wyposażony jest w systemy i sprzęt techniczny oraz środki komunikacji, które zapobiegają utracie, kradzieży, nieautoryzowanemu zniszczeniu, zniekształceniu, fałszowaniu, kopiowaniu informacji i spełniają wymagania międzynarodowych i krajowych standardów.

7.2. Osoba odpowiedzialna organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem. Osoba odpowiedzialna jest wyznaczana decyzją właściciela bazy danych osobowych. Jej obowiązki są określone w instrukcji stanowiskowej.

7.3. Osoba odpowiedzialna zobowiązana jest do:

  • znajomości ustawodawstwa Ukrainy w zakresie ochrony danych osobowych;
  • opracowania procedur dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi;
  • zapewnienia wykonania przez pracowników właściciela bazy danych osobowych wymogów prawa w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych;
  • opracowania procedur wewnętrznej kontroli przestrzegania wymogów prawa i wewnętrznych dokumentów;
  • informowania właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymogów prawa w zakresie ochrony danych osobowych.

7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo do:

  • otrzymywania niezbędnych dokumentów związanych z przetwarzaniem danych osobowych;
  • robienia kopii dokumentów, w tym plików, zapisów przechowywanych w sieciach komputerowych.

7.5. Pracownicy zajmujący się przetwarzaniem danych osobowych oraz mający dostęp do nich w związku z wykonywaniem swoich obowiązków służbowych są zobowiązani do przestrzegania przepisów prawa Ukrainy w zakresie ochrony danych osobowych.

7.6. Pracownicy posiadający dostęp do danych osobowych zobowiązani są do ich ochrony przed ujawnieniem i nie mogą ich ujawniać w jakikolwiek sposób.

7.7. Osoby mające dostęp do danych osobowych, w tym zajmujące się ich przetwarzaniem, odpowiadają za naruszenie przepisów ustawy Ukrainy „O ochronie danych osobowych” zgodnie z ustawodawstwem Ukrainy.

7.8. Dane osobowe nie mogą być przechowywane dłużej niż to konieczne do realizacji celu ich przetwarzania, jednak nie dłużej niż okres przechowywania danych określony zgodą osoby, której dane dotyczą.

8. Prawa podmiotu danych osobowych

8.1. Podmiot danych osobowych ma prawo do:

  • poznania lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej przeznaczenia oraz nazwy, adresu właściciela bazy;
  • otrzymywania informacji o warunkach dostępu do danych osobowych;
  • dostępu do swoich danych osobowych;
  • otrzymywania odpowiedzi w ciągu trzydziestu dni kalendarzowych, czy jego dane osobowe są przechowywane w bazie danych, a także uzyskania treści tych danych;
  • składania uzasadnionych żądań dotyczących zmiany lub usunięcia swoich danych osobowych.

9. Procedura pracy z wnioskami podmiotu danych osobowych

9.1. Podmiot danych osobowych ma prawo do uzyskania informacji o sobie od każdego podmiotu, który przetwarza dane osobowe.

9.2. Dostęp do danych osobowych jest bezpłatny.

9.3. Podmiot danych składa wniosek o dostęp do danych osobowych do właściciela bazy danych.

9.4. Termin rozpatrzenia wniosku nie może przekroczyć dziesięciu dni roboczych od dnia jego złożenia.

10. Rejestracja bazy danych osobowych

10.1. Rejestracja baz danych osobowych odbywa się zgodnie z artykułem 9 ustawy Ukrainy „O ochronie danych osobowych”.