Положення про обробку і захист персональних даних у базах персональних даних, володільцем яких є продавець

Зміст

  1. Загальні поняття та сфера застосування

  2. Перелік баз персональних даних

  3. Мета обробки персональних даних

  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних

  5. Місцезнаходження бази персональних даних

  6. Умови розкриття інформації про персональні дані третім особам

  7. Захист персональних даних: способи захисту, відповідальна особа, працівники, які здійснюють обробку та/або мають доступ до персональних даних, строк зберігання

  8. Права суб’єкта персональних даних

  9. Порядок роботи із запитами суб’єкта персональних даних

  10. Державна реєстрація бази персональних даних

1. Загальні поняття та сфера застосування

1.1. У цьому Положенні терміни вживаються у значеннях, наведених у Законі України «Про захист персональних даних».

1.2. Положення є обов’язковим для застосування відповідальною особою та працівниками продавця, які здійснюють обробку або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків.

2. Перелік баз персональних даних

2.1. Продавець є власником таких баз персональних даних:

  • база персональних даних контрагентів (покупців, клієнтів, постачальників).

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних є забезпечення реалізації цивільно-правових відносин, виконання договірних зобов’язань, здійснення розрахунків за придбані товари або послуги відповідно до вимог Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні» та інших нормативних актів.

4. Порядок обробки персональних даних

4.1. Згода суб’єкта персональних даних на обробку є добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до визначеної мети.

4.2. Згода може бути надана:

  • у письмовій формі (на паперовому носії);

  • в електронній формі, підписаній електронним підписом;

  • через позначку (checkbox) на сторінці сайту під час оформлення замовлення або реєстрації.

4.3. Під час оформлення замовлення користувач надає згоду на обробку своїх персональних даних, а також повідомляється про свої права, мету збору даних та осіб, яким вони можуть передаватися.

4.4. Обробка особливих категорій персональних даних (щодо расового або етнічного походження, політичних, релігійних переконань, здоров’я, статевого життя тощо) заборонена.

5. Місцезнаходження бази персональних даних

5.1. Бази персональних даних, зазначені у пункті 2, розміщуються за адресою місцезнаходження продавця та/або у хмарних сервісах з обмеженим доступом, що відповідають вимогам інформаційної безпеки.

6. Умови розкриття інформації третім особам

6.1. Доступ третіх осіб до персональних даних надається лише за згодою суб’єкта персональних даних або у випадках, передбачених законом.

6.2. Треті особи, яким передаються персональні дані, зобов’язані дотримуватись вимог Закону України «Про захист персональних даних».

6.3. До таких осіб можуть належати: служби доставки, платіжні сервіси, банківські установи, податкові органи — у межах, визначених законодавством.

7. Захист персональних даних

7.1. Продавець застосовує організаційні та технічні заходи безпеки, які запобігають несанкціонованому доступу, втраті, викривленню, знищенню або розголошенню персональних даних.

7.2. Відповідальна особа призначається наказом керівника і забезпечує виконання вимог щодо захисту даних.

7.3. Працівники, які мають доступ до персональних даних, зобов’язані дотримуватись конфіденційності навіть після припинення трудових відносин.

7.4. Персональні дані зберігаються не довше, ніж це необхідно для мети обробки, але не більше строків, визначених законодавством або згодою суб’єкта даних.

8. Права суб’єкта персональних даних

8.1. Суб’єкт персональних даних має право:

  • знати місцезнаходження бази персональних даних, її призначення та власника;

  • отримувати інформацію про умови надання доступу та третіх осіб, яким передаються його дані;

  • мати доступ до своїх персональних даних і вимагати їх оновлення, зміни або знищення;

  • оскаржити незаконну обробку персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;

  • відкликати згоду на обробку персональних даних у будь-який час.

9. Порядок роботи із запитами суб’єктів персональних даних

9.1. Запит на отримання інформації про власні персональні дані може бути подано у письмовій або електронній формі.

9.2. Розгляд запиту здійснюється протягом 10 робочих днів, а надання відповіді — не пізніше ніж через 30 календарних днів із моменту отримання запиту.

9.3. Доступ до персональних даних суб’єкта надається безоплатно.

10. Державна реєстрація баз персональних даних

10.1. У разі потреби державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».