Положення про обробку та захист персональних даних у базах персональних даних, власником яких є продавець
Розділ 1. Основні поняття та сфера застосування.
Підрозділ 1.1. Визначення основних термінів:
- база персональних даних – це сукупність впорядкованих персональних даних, представлених в електронній формі та/або у формі картотек цих персональних даних;
- відповідальна особа – це визначена особа, обов’язком якої є організація роботи, пов’язаної із захистом персональних даних під час їх обробки, відповідно чинному законодавству;
- власник бази персональних даних – це фізична/юридична особа, якій надано право на обробку персональних даних (законом чи за згодою суб’єкта), яка затверджує мету обробки персональних даних у базі, встановлює склад та процедури обробки персональних даних, якщо законодавством не визначено інше;
- згода суб’єкта персональних даних – це добровільне волевиявлення фізичної особи, за умови її попередньої проінформованості щодо надання дозволу на збір і обробку її персональних даних відповідно до поставленої мети, висловлене у формі, що дає змогу прийняти рішення про надання згоди, у письмовій формі;
- знеособлення персональних даних – це вилучення із бази всіх відомостей, що дають можливість ідентифікувати фізичну особу;
- обробка персональних даних – це будь-яка дія або їх сукупність, частково або повністю виконаних в інформаційній системі та/або в картотеках персональних даних, що пов’язані зі збиранням, зберіганням, накопиченням, зміною, адаптуванням, реєстрацією, поширенням, використанням, поновленням, знеособленням, знищенням відомостей про особу;
- персональні дані – це сукупність відомостей про фізичну особу, яка вже ідентифікована або яка надалі може бути ідентифікована, можуть включати один або декілька файлів cookies/анонімних ідентифікаторів, а також файли cookies/анонімні ідентифікатори в той час, коли суб’єкт персональних даних взаємодіє з послугами, які запропоновані нашими партнерами, наприклад, з рекламними послугами, вони можуть з’являтися на інших сайтах, що були оприлюднені суб’єктом персональних даних, та інші дані;
- розпорядник бази персональних даних – це фізична/юридична особа, якій надано право обробляти персональні дані (власником бази персональних даних або законом). Не є розпорядником бази персональних даних особа, якій доручено власником або розпорядником бази персональних даних виконувати технічні роботи з базою без доступу до змісту бази персональних даних;
- суб’єкт персональних даних – це фізична особа, стосовно якої здійснюється обробка персональних даних відповідно до закону;
- третя особа – це будь-яка фізична/юридична особа, за винятком власника, розпорядника та суб’єкта персональних даних та уповноваженого органу держави з питань захисту персональних даних, якій власник або розпорядник бази персональних даних передає персональну інформацію згідно з законом;
- особливі категорії даних – це персональні дані фізичної особи про етнічне, расове походження, світоглядні, політичні, релігійні погляди, належність до політичних партій, професійних спілок, персональні дані, особисті дані особи, які стосуються її здоров’я, статевого життя.
Підрозділ 1.2. Це Положення є обов’язковим для застосування відповідальною особою, співробітниками продавця, що мають доступ до персональних даних, обробляють їх у зв’язку із виконанням службових обов’язків.
Розділ 2. Перелік баз персональних даних.
Підрозділ 2.1. Продавець є власником таких баз персональних даних:
- база персональних даних контрагентів.
Розділ 3. Мета обробки персональних даних.
Підрозділ 3.1. Метою обробки персональних даних є зберігання, обслуговування особистих даних контрагентів, згідно зі статтями 6, 7 Закону України «Про захист персональних даних».
Підрозділ 3.2. Метою обробки персональних даних є реалізація цивільноправових відносин, здійснення та надання/отримання та розрахунків за придбані товари/послуги відповідно до Закону України «Про бухгалтерський облік та фінансову звітність в Україні» та Податкового кодексу України, інших зобов’язань, що покладені законом на власника бази персональних даних, для захисту законних інтересів його або третьої особи, якій передаються ці персональні дані.
Підрозділ 3.3. Метою обробки персональних даних є створення та реалізація програм лояльності, бонусних програм, надсилання повідомлень у вигляді електронних листів, SMS, повідомлень у месенджері Viber, сповіщень у браузері та у мобільному додатку, в тому числі з метою надсилання комерційних пропозицій для покращення якості надання послуг сервісом, аналізу активності, формування рейтингів, відправки інформаційних/маркетингових розсилок (новини, акції, інформація про акції, промокоди, знижки, персональні знижки та пропозиції), які містять в собі інформацію про товари/послуги, рекламні та комерційні пропозиції щодо цих товарів/послуг тощо.
Розділ 4. Порядок обробки персональних даних. Отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних.
Підрозділ 4.1. Обробка персональних даних, які використовуються для втілення мети обробки передбаченої пунктом 3.2 цього Положення, здійснюється на підставі статті 11 Закону України «Про захист персональних даних».
Підрозділ 4.2. Обробка персональних даних для втілення мети обробки передбаченої пунктом 3.3 цього Положення, здійснюється на підставі абсолютної згоди суб’єкта персональних даних або на виконання оферт, акцептованих суб’єктом персональних даних, включаючи оформлення підписок.
Підрозділ 4.2.1. Згода суб’єкта персональних даних має бути добровільною, вона дозволяє надавати та обробляти персональні дані фізичної особи для втілення мети обробки. Згода суб’єкта персональних даних надається у наступних варіантах:
- паперовий документ із реквізитами, що дозволяють ідентифікувати документ та безпосередньо фізичну особу;
- документ в електронному вигляді з реквізитами, що дозволяють ідентифікувати документ та безпосередньо фізичну особу. Згоду суб’єкта персональних даних щодо надання дозволу на зберігання/обробку персональної інформації доречно засвідчувати електронним підписом;
- відмітка в електронному файлі або на сторінці документа, що обробляється в даній інформаційній системі.
Підрозділ 4.3. Повідомлення суб’єкта персональних даних про включення його особистої інформації до бази, а також права, визначені Законом України «Про захист персональних даних», мету збору персональних даних та третіх осіб, яким надаються дані суб’єкта в момент оформлення цивільноправових відносин згідно з чинним законодавством.
Підрозділ 4.4. Забороняється обробка персональних даних про етнічне, расове походження, світоглядні, політичні, релігійні погляди, належність до політичних партій, професійних спілок, особисті дані особи, які стосуються її здоров’я, статевого життя.
Розділ 5. Місцезнаходження бази персональних даних.
Підрозділ 5.1. Бази персональних даних, що вказані у розділі 2 даного Положення, знаходяться за фізичною адресою продавця.
Розділ 6. Умови розкриття персональних даних третім особам.
Підрозділ 6.1. Порядок доступу до персональної інформації третіх осіб визначається умовами згоди суб’єкта персональних даних, яку буда надана власнику бази персональних даних на їх зберігання та обробку, з метою виконання взятих перед суб’єктом персональних даних зобов’язань або відповідно до чинного законодавства.
Підрозділ 6.2. Доступ до персональної інформації не надається третім особам, якщо ці особи відмовляються брати на себе зобов’язання щодо забезпечення вимог згідно з Законом України «Про захист персональних даних» або неспроможні їх забезпечити належним чином.
Підрозділ 6.3. Суб’єкт відносин, що пов’язані з персональними даними, подає запит на доступ до персональної інформації власнику бази персональних даних.
Підрозділ 6.4. У запиті зазначається наступна інформація:
- ПІБ, місце проживання (місце фактичного перебування), реквізити документа, який ідентифікує особу, що подає запит (заявник – фізична особа);
- найменування, місцеперебування юридичної особи, що подає запит, посада, ПІБ особи, яка засвідчує запит, підтвердження того факту, що зміст даного запиту відповідає всім повноваженням цієї юридичної особи (заявник – юридична особа);
- ПІБ та інші відомості про особу, стосовно якої робиться запит з метою ідентифікувати цю особу;
- відомості про базу персональних даних або про власника чи розпорядника бази, стосовно якої подається запит;
- перелік персональних даних особи, що запитуються;
мета запиту.
Підрозділ 6.5. Строк вивчення поданого запиту на предмет його задовільнення не може перевищувати десяти робочих днів з моменту його надходження. Впродовж відведеного періоду власник бази персональних даних повідомляє особу про задовільнення запиту або про те, що персональні дані не підлягають наданню на підставі, визначеній у відповідному нормативно-правовому акті. Запит задовольняється впродовж тридцяти календарних днів з моменту його надходження, якщо інше не передбачено чинним законодавством.
Підрозділ 6.6. Всі працівники власника бази персональних даних зобов’язані дотримуватися зазначених вимог конфіденційності, що стосуються персональних даних фізичних осіб, інформації щодо рахунків у цінних паперах, обігу цих цінних паперів.
Підрозділ 6.7. Відстрочення доступу до персональної інформації третіх осіб дозволяється у тому разі, коли потрібні персональні дані не можуть бути надані впродовж тридцяти календарних днів з моменту надходження запиту. Загальний строк вирішення питання, що було порушено у запиті, не може перевищувати сорока п’яти календарних днів.
Підрозділ 6.8. Повідомлення про відстрочення доступу до персональної інформації доводиться до відома третьої особи, що подала відповідний запит, у письмовій формі з детальним роз’ясненням порядку оскарження рішення.
Підрозділ 6.9. Повідомлення про відстрочення доступу до персональної інформації містить наступні пункти:
- ПІБ посадової особи;
- дата відправки повідомлення;
- причина відстрочення;
- строк, впродовж якого запит буде задовільнено.
Підрозділ 6.10. Відмова у доступі до персональної інформації можлива, якщо доступ до персональних даних заборонений згідно із законом.
Підрозділ 6.11. Повідомлення про відмову у доступі до персональної інформації містить наступні пункти:
- ПІБ посадової особи, що відмовляє у доступі;
- дата відправки повідомлення;
- причина відмови.
Підрозділ 6.12. Рішення про відстрочення/відмову доступу до персональної інформації може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, або інших органів державної, місцевої влади, до чиїх зобов’язань належить захист персональних даних, або ж до суду.
Розділ 7. Захист персональних даних: способи їх захисту, відповідальна особа, працівники, що здійснюють обробку чи мають доступ до персональних даних у зв’язку з виконанням службових обов’язків, строк зберігання персональних даних.
Підрозділ 7.1. Власник бази персональних даних обладнаний системними, програмно-технічним забезпеченням, засобами зв’язку, що запобігають втратам, викривленню, підробленню, копіюванню, несанкціонованому знищену, крадіжкам інформації. Системні, програмно-технічні засоби, а також засоби зв’язку відповідають всім вимогам національних та міжнародних стандартів.
Підрозділ 7.2. Відповідальна особа організовує діяльність, яка пов’язана з захистом персональної інформації під час її обробки згідно із законом. Своєю чергою, відповідальна особа визначається наказом власника бази персональних даних. Обов’язки відповідальної особи щодо організації діяльності, яка пов’язана з захистом персональної інформації під час її обробки зазначаються у відповідній посадовій інструкції.
Підрозділ 7.3. Відповідальна особа зобов’язана:
- знати закони України у сфері захисту персональних даних;
- розробити порядок доступу до персональної інформації співробітників згідно з їхніми обов’язками;
- забезпечити виконання співробітниками вимог законів документів у сфері захисту персональних даних, внутрішніх документів, які регулюють діяльність власника бази персональних даних стосовно обробки, захисту персональної інформації у базах персональних даних;
- розробити порядок контролю дотримання виконання співробітниками вимог законів документів у сфері захисту персональних даних, внутрішніх документів, які регулюють діяльність власника бази персональних даних стосовно обробки, захисту персональної інформації у базах персональних даних, що повинен містити певні норми, які стосуються періодичності цього контролю;
- повідомляти власника бази персональних даних про факти порушень співробітниками вимог законів документів у сфері захисту персональних даних, внутрішніх документів, які регулюють діяльність власника бази персональних даних стосовно обробки, захисту персональної інформації у базах персональних даних у строк не пізніше ніж один робочий день з моменту виявлення порушень;
- забезпечити належне зберігання документів, які підтверджують надання згоди суб’єктом персональних даних на обробку своєї персональної інформації та повідомлення даного суб’єкта про його права.
Підрозділ 7.4. Відповідальна особа з метою виконання своїх обов’язків має право:
- отримувати потрібні документи, накази та інші розпорядні документи, які були видані власником бази персональних даних, що стосуються обробки персональної інформації;
- робити копії отриманих документів, а також копії файлів, записів, які зберігаються в автономних комп’ютерних системах, локальних обчислювальних мережах;
- приймати учать в обговоренні своїх обов’язків організації діяльності, що стосуються захисту та обробки персональних даних;
- пропонувати ідеї щодо покращення діяльності, вдосконалення роботи, подавати зауваження та варіанти усунення недоліків, виявлених у процесі обробки персональної інформації;
- отримувати пояснення, що стосуються питань втілення обробки персональних даних;
- підписувати документи в рамках своєї компетенції.
Підрозділ 7.5. Співробітники, які здійснюють обробку, мають доступ до персональних даних у зв’язку зі своїми службовими обов’язками, повинні дотримувати вимог чинного законодавства України у сфері захисту персональних даних, внутрішніх документів, які регулюють діяльність власника бази персональних даних стосовно обробки, захисту персональної інформації у базах персональних даних.
Підрозділ 7.6. Співробітники, які надають доступ до персональних даних та обробляють їх, зобов’язані не розголошувати ці персональні дані, які були їм довірені або стали відомі під час виконання службових обов’язків. Це зобов’язання чинне до тих пір, поки вони не припинять діяльність, пов’язану із персональними даними, крім тих випадків, що встановлені законом.
Підрозділ 7.7. Особи, які мають доступ та здійснюють обробку персональних даних, у разі порушення вимог Закону України «Про захист персональних даних» будуть нести відповідальність згідно з чинним законодавством України.
Підрозділ 7.8. Персональна інформація повинна зберігатися не довше, ніж це необхідно для досягнення мети, задля якої збираються персональні дані. При цьому, у будь-якому разі строк зберігання та обробки персональної інформації повинен бути не довше терміну, визначеного згодою суб’єкта персональних даних.
Розділ 8. Права суб’єкта персональних даних
Підрозділ 8.1. Суб’єкт персональних даних має право:
- знати про місцезнаходження бази персональних даних, що містить персональні дані цього суб’єкта, її найменування. призначення, місцеперебування власника чи розпорядника даної бази персональних даних або дати доручення уповноваженим особам стосовно отримання цієї інформації, крім тих випадків, що встановлені законом;
- отримувати повну інформацію про умови надання доступу до персональних даних, в тому числі й інформацію про третіх осіб, яким надаються дані суб’єкта, які своєю чергою містяться у відповідній базі персональних даних;
- на доступ до власних персональних даних, які містяться у відповідній базі персональних даних;
- керувати направленням повідомлень за допомогою налаштувань на сайті (https://waterguide.com.ua/uk/my-account/);
- отримувати відповідь на запит про зберігання власних персональних даних не пізніше тридцяти календарних днів в моменту надходження запиту, крім тих випадків, що передбачені законом, також отримувати зміст власних персональних даних, що зберігаються;
- пред’являти обґрунтовану вимогу щодо заперечення обробки власних персональних даних органами державних, місцевої влади при виконанні їхніх повноважень, що передбачені законом;
- пред’являти обґрунтовану вимогу щодо зміни/знищення власних персональних даних будь-яким співробітником відповідної бази персональних даних, якщо вони є неправдивими або обробляються незаконним чином;
- на захист власних персональних даних від незаконної обробки, випадкової втрати, пошкодження, знищення, у зв’язку з умисним ненаданням, невчасним наданням, приховуванням, також суб’єкт має право на захист від надання відомостей про те, що вони є неправдивими, ганьблять честь та гідність, ділову репутацію суб’єкта;
- звертатися з питань захисту прав стосовно персональних даних до органів державної, місцевої влади, до чиїх повноважень належить захист персональних даних;
- застосовувати методи правового захисту в разі порушення чинного законодавства України про захист персональних даних.
Розділ 9. Порядок роботи з запитами суб’єкта персональних даних.
Підрозділ 9.1. Суб’єкт персональних даних має повне право на отримання відомостей про себе у будь-якого суб’єкта відносин, що пов’язані з персональними даним, без зазначення мети цього запиту, крім тих випадків, які встановлені законом.
Підрозділ 9.2. Доступ суб’єкта до власних персональних даних здійснюється безкоштовно (безоплатно).
Підрозділ 9.3. Суб’єкт персональних даних подає запит стосовно доступу до власних персональних даних до власника відповідної бази персональних даних. У запиті зазначається наступна інформація:
- ПІБ, місце проживання/перебування, реквізити документа, що ідентифікують суб’єкта персональних даних;
- інші відомості, що ідентифікують суб’єкта персональних даних;
- відомості про конкретну базу персональних даних, стосовно якої подається цей запит або відомості про власника/розпорядника відповідної бази;
- персональні дані, що запитуються.
Підрозділ 9.4. Термін розгляду запиту на предмет його задовільнення не може перевищувати десяти робочих днів з моменту його надходження.
Підрозділ 9.5. Впродовж відведеного терміну власник бази персональних даних повідомляє суб’єкта про задовільнення запиту або про те, що персональні дані не підлягають наданню на підставі, визначеній у відповідному нормативно-правовому акті.
Підрозділ 9.6. Запит задовольняється впродовж тридцяти календарних днів з моменту його надходження, якщо інше не передбачено чинним законодавством.