Положение об обработке и защите персональных данных в базах персональных данных, владельцем которых является продавец
Глава 1. Основные понятия и область применения.
Подраздел 1.1. Определение основных терминов:
- база персональных данных – это совокупность упорядоченных персональных данных, представленных в электронной форме и/или в форме картотек этих персональных данных;
- ответственное лицо – это определенное лицо, обязанностью которого является организация работы, связанной с защитой персональных данных при их обработке, согласно действующему законодательству;
- владелец базы персональных данных – это физическое/юридическое лицо, которому предоставлено право на обработку персональных данных (законом или с согласия субъекта), утверждающее цель обработки персональных данных в базе, устанавливает состав и процедуры обработки персональных данных, если законодательством не определено иное;
- согласие субъекта персональных данных – это добровольное волеизъявление физического лица, при условии его предварительной осведомленности о предоставлении разрешения на сбор и обработку его персональных данных в соответствии с поставленными целями, выраженное в форме, позволяющей принять решение о предоставлении согласия, в письменной форме;
- обезличивание персональных данных – это извлечение из базы всех сведений, позволяющих идентифицировать физическое лицо;
- обработка персональных данных – это любое действие или их совокупность, частично или полностью выполненных в информационной системе и/или в картотеках персональных данных, связанных со сбором, хранением, накоплением, изменением, адаптацией, регистрацией, распространением, использованием, обновлением, обезличиванием, уничтожением сведений о личности;
- персональные данные – это совокупность сведений о физическом лице, которое уже идентифицировано или в дальнейшем может быть идентифицировано, могут включать один или несколько файлов cookies/анонимных идентификаторов, а также файлы cookies/анонимные идентификаторы в то время, когда субъект персональных данных взаимодействует с услугами, предлагаемыми нашими партнерами, например, с рекламными услугами, они могут появляться на других сайтах, обнародованных субъектом персональных данных, и другие данные;
- распорядитель базы персональных данных – это физическое/юридическое лицо, которому предоставлено право обрабатывать персональные данные (владельцем базы персональных данных или законом). Не является распорядителем базы персональных данных лицо, которому поручено владельцем или распорядителем базы персональных данных выполнять технические работы с базой без доступа к содержанию базы персональных данных;
- субъект персональных данных – это физическое лицо, в отношении которого осуществляется обработка персональных данных в соответствии с законом;
- третье лицо – это любое физическое/юридическое лицо, за исключением владельца, распорядителя и субъекта персональных данных и уполномоченного органа государства по вопросам защиты персональных данных, которому владелец или распорядитель базы персональных данных передает персональную информацию по закону;
- особые категории данных – это персональные данные физического лица об этническом, расовом происхождении, мировоззренческие, политические, религиозные взгляды, принадлежность к политическим партиям, профессиональным союзам, персональные данные, личные данные лица, относящиеся к его здоровью, половой жизни.
Подраздел 1.2. Настоящее Положение обязательно для применения ответственным лицом, сотрудниками продавца, имеющими доступ к персональным данным, обрабатывают их в связи с исполнением служебных обязанностей.
Раздел 2. Список баз персональных данных.
Подраздел 2.1. Продавец является владельцем таких баз персональных данных:
- база персональных данных контрагентов.
Глава 3. Цель обработки персональных данных.
Подраздел 3.1. Целью обработки персональных данных является хранение, обслуживание личных данных контрагентов, согласно статьям 6, 7 Закона Украины «О защите персональных данных».
Подраздел 3.2. Целью обработки персональных данных является реализация гражданско-правовых отношений, осуществления и предоставления/получения и расчетов за приобретенные товары/услуги в соответствии с Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине» и Налоговым кодексом Украины, других обязательств, возложенных законом на владельца базы персональных данных для защиты законных интересов его или третьего лица, которому передаются эти персональные данные.
Подраздел 3.3. Целью обработки персональных данных является создание и реализация программ лояльности, бонусных программ, отправка сообщений в виде электронных писем, SMS, сообщений в мессенджере Viber, уведомлений в браузере и мобильном приложении, в том числе с целью отправки коммерческих предложений для улучшения качества предоставления услуг сервисом, анализа активности, формирования рейтингов, отправки информационных/маркетинговых рассылок (новости, акции, информация об акциях, промокоды, скидки, персональные скидки и предложения), содержащие информацию о товарах/услугах, рекламных и коммерческих предложениях по этим товарам/услугам и тому подобное.
Глава 4. Порядок обработки персональных данных. Получение согласия, уведомления о правах и действиях по персональным данным субъекта персональных данных.
Подраздел 4.1. Обработка персональных данных, которые используются для осуществления цели обработки предусмотренной пунктом 3.2 этого Положения, осуществляется из статьи 11 Закона Украины «О защите персональных данных».
Подраздел 4.2. Обработка персональных данных для осуществления целей обработки предусмотренной пунктом 3.3 настоящего Положения, осуществляется на основании абсолютного согласия субъекта персональных данных или на выполнение оферт, акцептованных субъектом персональных данных, включая оформление подписок.
Подраздел 4.2.1. Согласие субъекта персональных данных должно быть добровольным, оно позволяет предоставлять и обрабатывать персональные данные физического лица для осуществления целей обработки. Согласие субъекта персональных данных предоставляется в следующих вариантах:
- бумажный документ с реквизитами, позволяющими идентифицировать документ и непосредственно физическое лицо;
- документ в электронном виде с реквизитами, позволяющими идентифицировать документ и непосредственно физическое лицо. Согласие субъекта персональных данных о предоставлении разрешения на хранение/обработку персональной информации уместно удостоверять электронной подписью;
- отметка в электронном файле или на странице обрабатываемого документа в данной информационной системе.
Подраздел 4.3. Уведомление субъекта персональных данных о включении его личной информации в базу, а также права, определенные Законом Украины «О защите персональных данных», цель сбора персональных данных и третьих лиц, которым предоставляются данные субъекта в момент оформления гражданско-правовых отношений согласно действующему законодательству.
Подраздел 4.4. Запрещается обработка персональных данных об этническом, расовом происхождении, мировоззренческие, политические, религиозные взгляды, принадлежность к политическим партиям, профессиональным союзам, личные данные лица, относящиеся к его здоровью, половой жизни.
Раздел 5. Местонахождение базы персональных данных.
Подраздел 5.1. Базы персональных данных, указанные в разделе 2 настоящего Положения, находятся по физическому адресу продавца.
Раздел 6. Условия раскрытия персональных данных третьим лицам.
Подраздел 6.1. Порядок доступа к персональной информации третьих лиц определяется условиями согласия субъекта персональных данных, предоставленной владельцу базы персональных данных на их хранение и обработку, с целью выполнения взятых перед субъектом персональных данных обязательств или в соответствии с действующим законодательством.
Подраздел 6.2. Доступ к персональной информации не предоставляется третьим лицам, если эти лица отказываются брать на себя обязательства по обеспечению требований согласно Закону Украины «О защите персональных данных» или не могут обеспечить их должным образом.
Подраздел 6.3. Субъект отношений, связанных с персональными данными, подает запрос на доступ к персональной информации владельцу базы персональных данных.
Подраздел 6.4. В запросе указывается следующая информация:
- ФИО, место жительства (место фактического пребывания), реквизиты документа, идентифицирующего лицо, подающее запрос (заявитель – физическое лицо);
- наименование, местонахождение юридического лица, подающего запрос, должность, ФИО лица, удостоверяющего запрос, подтверждение того факта, что содержание данного запроса отвечает всем полномочиям этого юридического лица (заявитель – юридическое лицо);
- ФИО и другие сведения о лице, в отношении которого производится запрос с целью идентифицировать это лицо;
- сведения о базе персональных данных или о владельце, или распорядителе базы, в отношении которой подается запрос;
- перечень персональных данных запрашиваемого лица;
- цель запроса.
Подраздел 6.5. Срок изучения поданного запроса на предмет удовлетворения не может превышать десяти рабочих дней с момента его поступления. В течение отведенного периода владелец базы персональных данных уведомляет лицо об удовлетворении запроса или о том, что персональные данные не подлежат предоставлению на основании, определенном в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено действующим законодательством.
Подраздел 6.6. Все работники владельца базы персональных данных обязаны соблюдать указанные требования конфиденциальности, касающиеся персональных данных физических лиц, информации о счетах в ценных бумагах, обращение этих ценных бумаг.
Подраздел 6.7. Отсрочка доступа к персональной информации третьих лиц разрешается, если нужные персональные данные не могут быть предоставлены в течение тридцати календарных дней с момента поступления запроса. Общий срок решения вопроса, поднятого в запросе, не может превышать сорока пяти календарных дней.
Подраздел 6.8. Уведомление об отсрочке доступа к персональной информации сообщается третьему лицу, подавшему соответствующий запрос, в письменной форме с детальным разъяснением порядка обжалования решения.
Подраздел 6.9. Уведомление об отсрочке доступа к персональной информации содержит следующие пункты:
- ФИО должностного лица;
- дата отправки сообщения;
- причина отсрочки;
- срок, в течение которого запрос будет удовлетворен.
Подраздел 6.10. Отказ в доступе к персональной информации возможен, если доступ к персональным данным запрещен по закону.
Подраздел 6.11. Уведомление об отказе в доступе к персональной информации содержит следующие пункты:
- ФИО должностного лица, отказывающего в доступе;
- дата отправки сообщения;
- причина отказа.
Подраздел 6.12. Решение об отсрочке/отказе доступа к персональной информации может быть обжаловано уполномоченному государственному органу по вопросам защиты персональных данных, или другим органам государственной, местной власти, к чьим обязанностям относится защита персональных данных или в суде.
Раздел 7. Защита персональных данных: способы их защиты, ответственное лицо, работники, осуществляющие обработку или доступ к персональным данным в связи с исполнением служебных обязанностей, срок хранения персональных данных.
Подраздел 7.1. Владелец базы персональных данных оборудован системными, программно-техническим обеспечением, средствами связи, предотвращающими потери, искривление, подделку, копирование, несанкционированное уничтожение, кражи информации. Системные, программно-технические средства и средства связи отвечают всем требованиям национальных и международных стандартов.
Подраздел 7.2. Ответственное лицо организует деятельность, связанную с защитой персональной информации во время ее обработки по закону. В свою очередь, ответственное лицо определяется приказом владельца базы персональных данных. Обязанности ответственного лица по организации деятельности, связанной с защитой персональной информации во время ее обработки, указываются в соответствующей должностной инструкции.
Подраздел 7.3. Ответственное лицо обязано:
- знать законы Украины в сфере защиты персональных данных;
разработать порядок доступа к персональной информации сотрудников согласно их обязанностям; - обеспечить исполнение сотрудниками требований законов документов в сфере защиты персональных данных, внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке, защите персональной информации в базах персональных данных;
- разработать порядок контроля соблюдения выполнения сотрудниками требований законов документов в сфере защиты персональных данных, внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке, защите персональной информации в базах персональных данных, что должно содержать определенные нормы, относящиеся к периодичности этого контроля;
- сообщать владельцу базы персональных данных о фактах нарушений сотрудниками требований законов документов в сфере защиты персональных данных, внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке, защите персональной информации в базах персональных данных в срок не позднее одного рабочего дня с момента выявления нарушений;
- обеспечить надлежащее хранение документов, подтверждающих предоставление согласия субъектом персональных данных на обработку своей персональной информации и уведомления данного субъекта о его правах.
Подраздел 7.4. Ответственное лицо в целях выполнения своих обязанностей имеет право:
- получать нужные документы, приказы и другие распорядительные документы, выданные владельцем базы персональных данных, касающиеся обработки персональной информации;
- производить копии полученных документов, а также копии файлов, записей, хранящихся в автономных компьютерных системах, локальных вычислительных сетях;
- принимать участие в обсуждении своих обязанностей организации деятельности, касающиеся защиты и обработки персональных данных;
- предлагать идеи по улучшению деятельности, совершенствованию работы, представлять замечания и варианты устранения недостатков, выявленных в процессе обработки персональной информации;
- получать пояснения, касающиеся вопросов осуществления обработки персональных данных;
- подписывать документы в рамках своей компетенции.
Подраздел 7.5. Сотрудники, осуществляющие обработку, имеют доступ к персональным данным в связи со своими служебными обязанностями, должны соблюдать требования действующего законодательства Украины в сфере защиты персональных данных, внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке, защите персональной информации в базах персональных данных
Подраздел 7.6. Сотрудники, предоставляющие доступ к персональным данным и обрабатывающие их, обязаны не разглашать эти персональные данные, которые были им доверены или стали известны при исполнении служебных обязанностей. Это обязательство действует до тех пор, пока они не прекратят деятельность, связанную с персональными данными, кроме тех случаев, которые установлены законом.
Подраздел 7.7. Лица, которые имеют доступ и обрабатывают персональные данные, в случае нарушения требований Закона Украины «О защите персональных данных», будут нести ответственность согласно действующему законодательству Украины.
Подраздел 7.8. Персональная информация должна храниться не дольше, чем это необходимо для достижения цели, для которой собираются персональные данные. При этом, в любом случае срок хранения и обработки персональной информации должен быть не дольше срока, определенного согласием субъекта персональных данных.
Раздел 8. Права субъекта персональных данных
Подраздел 8.1. Субъект персональных данных имеет право:
- знать о местонахождении базы персональных данных, содержащей персональные данные этого субъекта, ее наименование, назначение, местонахождение владельца или распорядителя данной базы персональных данных или дать поручение уполномоченным лицам относительно получения этой информации, кроме тех случаев, которые установлены законом;
- получать полную информацию об условиях предоставления доступа к персональным данным, в том числе и информацию о третьих лицах, которым предоставляются данные субъекта, которые в свою очередь содержатся в соответствующей базе персональных данных;
- доступ к собственным персональным данным, содержащимся в соответствующей базе персональных данных;
- управлять направлением сообщений с помощью настроек на сайте (https://waterguide.com.ua/my-account/);
- получать ответ на запрос о хранении собственных персональных данных не позднее тридцати календарных дней в момент поступления запроса, кроме тех случаев, предусмотренных законом, также получать содержание собственных хранящихся персональных данных;
- предъявлять обоснованное требование отрицания обработки собственных персональных данных органами государственных, местных властей при выполнении их полномочий, предусмотренных законом;
- предъявлять обоснованное требование изменения/уничтожения собственных персональных данных любым сотрудником соответствующей базы персональных данных, если они неправдивы или обрабатываются незаконным образом;
- на защиту собственных персональных данных от незаконной обработки, случайной потери, повреждения, уничтожения, в связи с умышленным непредоставлением, несвоевременным предоставлением, сокрытием, также субъект имеет право на защиту от предоставления сведений о том, что они ложны, позорят честь и достоинство, деловую репутацию субъекта;
- обращаться по вопросам защиты прав относительно персональных данных в органы государственной, местной власти, к чьим полномочиям относится защита персональных данных;
- применять методы правовой защиты при нарушении действующего законодательства Украины о защите персональных данных.
Раздел 9. Порядок работы с запросами субъекта персональных данных.
Подраздел 9.1. Субъект персональных данных имеет полное право на получение сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели этого запроса, кроме тех случаев, которые установлены законом.
Подраздел 9.2. Доступ субъекта к личным персональным данным осуществляется бесплатно (безвозмездно).
Подраздел 9.3. Субъект персональных данных подает запрос на доступ к собственным персональным данным к владельцу соответствующей базы персональных данных. В запросе указывается следующая информация:
- ФИО, место жительства/пребывания, реквизиты документа, идентифицирующие субъекта персональных данных;
- другие сведения, идентифицирующие субъекта персональных данных;
- сведения о конкретной базе персональных данных, согласно которой подается этот запрос или сведения о владельце/распорядителе соответствующей базы;
- персональные спрашиваемые данные.
Подраздел 9.4. Срок рассмотрения запроса на предмет удовлетворения не может превышать десяти рабочих дней с момента его поступления.
Подраздел 9.5. В течение отведенного срока владелец базы персональных данных уведомляет субъекта об удовлетворении запроса или о том, что персональные данные не подлежат предоставлению на основании, определенном в соответствующем нормативно-правовом акте.
Подраздел 9.6. Запрос удовлетворяется в течение тридцати календарных дней с момента его поступления, если иное не предусмотрено действующим законодательством.