Nariadenia o spracovaní a ochrane osobných údajov v databázach osobných údajov vo vlastníctve predávajúceho
Obsah
Všeobecné pojmy a rozsah
Zoznam databáz osobných údajov
Účel spracúvania osobných údajov
Postup pri spracúvaní osobných údajov: získanie súhlasu, oznámenie práv a úkonov s osobnými údajmi subjektu osobných údajov
Umiestnenie osobnej databázy
Podmienky sprístupnenia informácií o osobných údajoch tretím stranám
Ochrana osobných údajov: spôsoby ochrany, zodpovedná osoba, zamestnanci, ktorí priamo spracúvajú a/alebo majú prístup k osobným údajom v súvislosti s plnením služobných povinností, doba uchovávania osobných údajov
Práva subjektu osobných údajov
Postup pri vybavovaní žiadostí subjektu osobných údajov
Štátna registrácia databázy osobných údajov
1. Všeobecné pojmy a rozsah
1.1. Definícia podmienok:
databáza osobných údajov - pomenovaná množina usporiadaných osobných údajov v elektronickej forme a/alebo vo forme súborov osobných údajov;
zodpovedná osoba - určená osoba, ktorá v súlade so zákonom organizuje práce súvisiace s ochranou osobných údajov pri ich spracúvaní;
vlastníkom databázy osobných údajov je fyzická alebo právnická osoba, ktorej zákon alebo so súhlasom subjektu osobných údajov udeľuje právo spracúvať tieto údaje, ktorá schváli účel spracúvania osobných údajov v tejto databáze, ustanoví zloženie týchto údajov a postupov ich spracúvania, ak zákon neurčuje inak;
Štátny register databáz osobných údajov je jednotný štátny informačný systém na zhromažďovanie, zhromažďovanie a spracúvanie informácií o evidovaných databázach osobných údajov;
verejne dostupné zdroje osobných údajov - adresáre, adresáre, registre, zoznamy, katalógy, iné systematické zbery otvorených informácií, ktoré obsahujú osobné údaje, umiestnené a zverejnené známym subjektom osobných údajov. Sociálne siete a internetové zdroje, v ktorých subjekt osobných údajov zanecháva svoje osobné údaje, sa nepovažujú za verejne dostupné zdroje osobných údajov (pokiaľ subjekt osobných údajov výslovne neuvedie, že osobné údaje sú zverejnené za účelom ich bezplatného šírenia a používania) ;
súhlas subjektu osobných údajov - každý zdokumentovaný, dobrovoľný prejav vôle fyzickej osoby týkajúci sa udelenia súhlasu na spracúvanie jej osobných údajov v súlade s formulovaným účelom ich spracúvania;
depersonalizácia osobných údajov – odstránenie osobných identifikačných údajov;
spracúvanie osobných údajov - akákoľvek činnosť alebo súbor činností vykonávaných úplne alebo čiastočne v informačnom (automatizovanom) systéme a/alebo v súboroch osobných údajov, ktoré súvisia so zhromažďovaním, evidenciou, zhromažďovaním, uchovávaním, prispôsobovaním, zmenou, obnovou , využívanie a šírenie (distribúcia, implementácia, prenos), depersonalizácia, ničenie informácií o fyzickej osobe;
osobné údaje - informácie alebo súbor informácií o fyzickej osobe, ktorá je identifikovaná alebo môže byť konkrétne identifikovaná;
prevádzkovateľom databázy osobných údajov je fyzická alebo právnická osoba, ktorá je na spracúvanie týchto údajov poverená vlastníkom databázy osobných údajov alebo zákonom. Správcom osobnej databázy nie je osoba, ktorá je poverená vlastníkom a/alebo správcom osobnej databázy vykonaním technických prác s osobnou databázou bez prístupu k obsahu osobných údajov;
subjekt osobných údajov - fyzická osoba, o ktorej sa v súlade so zákonom spracúvajú jej osobné údaje;
tretia strana - každá osoba, s výnimkou subjektu osobných údajov, vlastníka alebo správcu databázy osobných údajov a povereného štátneho orgánu pre otázky ochrany osobných údajov, ktorej vlastník alebo správca databázy osobných údajov odovzdá osobné údaje v súlade so zákonom;
osobitné kategórie údajov – osobné údaje o rasovom alebo etnickom pôvode, politickom, náboženskom alebo ideologickom presvedčení, členstve v politických stranách a odborových zväzoch, ako aj údaje týkajúce sa zdravia alebo sexuálneho života.
1.2. Toto nariadenie je záväzné pre zodpovednú osobu a zamestnancov predávajúceho, ktorí priamo spracúvajú a/alebo majú prístup k osobným údajom v súvislosti s plnením svojich služobných povinností.
2. Zoznam databáz osobných údajov
2.1. Predávajúci je vlastníkom týchto databáz osobných údajov:
databázy osobných údajov protistrán.
3. Účel spracúvania osobných údajov
3.1. Účelom spracúvania osobných údajov v systéme je zabezpečenie realizácie občianskoprávnych vzťahov, poskytovanie, prijímanie a uskutočňovanie platieb za nakúpený tovar a služby v súlade s Daňovým poriadkom Ukrajiny, zákonom Ukrajiny „O účtovníctve a finančnom výkazníctve v Ukrajina“.
4. Postup pri spracúvaní osobných údajov: získanie súhlasu, oznamovanie práv a úkonov s osobnými údajmi subjektu osobných údajov
4.1. Súhlas subjektu osobných údajov musí byť dobrovoľným prejavom vôle fyzickej osoby udeliť súhlas na spracúvanie svojich osobných údajov v súlade s uvedeným účelom ich spracúvania.
4.2. Súhlas dotknutej osoby je možné udeliť v týchto formách:
doklad na papierovom nosiči s údajmi umožňujúcimi identifikáciu tohto dokladu a fyzickej osoby;
elektronický dokument, ktorý musí obsahovať povinné náležitosti umožňujúce identifikáciu tohto dokumentu a fyzickej osoby. Dobrovoľné vyhlásenie súhlasu fyzickej osoby so spracúvaním jej osobných údajov je účelné osvedčiť elektronickým podpisom subjektu osobných údajov;
poznámka na elektronickej stránke dokumentu alebo v elektronickom súbore spracovanom v informačnom systéme na základe zdokumentovaného softvérového a technického riešenia.
4.3. Súhlas subjektu osobných údajov sa udeľuje pri evidencii občianskoprávnych vzťahov v súlade s platnou právnou úpravou.
4.4. Oznámenie subjektu osobných údajov o zahrnutí jeho osobných údajov do databázy osobných údajov, práva definované zákonom Ukrajiny „O ochrane osobných údajov“, účel zhromažďovania údajov a osoby, ktorým sú jeho osobné údaje prenášané údaje sa vykonáva pri evidencii občianskoprávnych vzťahov v súlade s platnou legislatívou.
4.5. Spracúvanie osobných údajov o rasovom alebo etnickom pôvode, politickom, náboženskom alebo ideologickom presvedčení, členstve v politických stranách a odborových zväzoch, ako aj údajov týkajúcich sa zdravia alebo sexuálneho života (osobitné kategórie údajov) je zakázané.
5. Umiestnenie databázy osobných údajov
5.1. Databáza osobných údajov uvedená v bode 2 tohto nariadenia je umiestnená na adrese predávajúceho.
6. Podmienky sprístupnenia osobných údajov tretím stranám
6.1. Postup pri prístupe k osobným údajom tretích osôb je určený podmienkami súhlasu subjektu osobných údajov, daným vlastníkom osobných údajov so spracovaním týchto údajov, alebo v súlade s požiadavkami zákona.
6.2. Prístup k osobným údajom nie je udelený tretej strane, ak uvedená osoba odmietne prevziať záväzky na zabezpečenie plnenia požiadaviek zákona Ukrajiny „O ochrane osobných údajov“ alebo ich nie je schopná zabezpečiť.
6.3. Subjekt vzťahov súvisiacich s osobnými údajmi podáva žiadosť o prístup (ďalej len žiadosť) k osobným údajom vlastníkovi osobných údajov.
6.4. V žiadosti sa uvádza:
priezvisko, meno a priezvisko, bydlisko (miesto pobytu) a údaje o doklade o fyzickej osobe, ktorá žiadosť podáva (u fyzickej osoby - žiadateľa);
názov, sídlo právnickej osoby, ktorá žiadosť podáva, funkcia, priezvisko, meno a priezvisko osoby, ktorá žiadosť osvedčuje; potvrdenie, že obsah žiadosti zodpovedá oprávneniu právnickej osoby (u právnickej osoby - žiadateľa);
priezvisko, meno a priezvisko, ako aj ďalšie informácie, ktoré umožňujú identifikovať fyzickú osobu, v súvislosti s ktorou sa žiadosť podáva;
informácie o databáze osobných údajov, v súvislosti s ktorou sa žiadosť podáva, alebo informácie o vlastníkovi alebo správcovi tejto databázy osobných údajov;
zoznam požadovaných osobných údajov;
účel a/alebo právny základ žiadosti.
6.5. Lehota na preštudovanie žiadosti o jej vybavenie nesmie presiahnuť desať pracovných dní odo dňa jej doručenia. Vlastník databázy osobných údajov počas tejto doby preukáže známej osobe, ktorá žiadosť podáva, že žiadosti bude vyhovené alebo že príslušné osobné údaje nebudú poskytnuté s uvedením dôvodov uvedených v príslušnom regulačnom právnom akte. Žiadosti je vyhovené do tridsiatich kalendárnych dní odo dňa jej doručenia, ak zákon neustanovuje inak.
6.6. Oneskorenie prístupu k osobným údajom tretích strán je povolené, ak potrebné údaje nie je možné poskytnúť do tridsiatich kalendárnych dní odo dňa prijatia žiadosti. Zároveň celková lehota na vyriešenie problémov uvedených v žiadosti nemôže presiahnuť štyridsaťpäť kalendárnych dní.
6.7. Oznámenie o odklade sa oznámi tretej strane, ktorá podala žiadosť písomne, s vysvetlením postupu pri odvolaní sa proti takémuto rozhodnutiu.
6.8. V oznámení o odklade sa uvádza:
priezvisko, meno a priezvisko úradníka;
dátum odoslania správy;
dôvod meškania;
obdobie, počas ktorého bude žiadosti vyhovené.
6.9. Odmietnutie prístupu k osobným údajom je povolené, ak je prístup k nim zakázaný zákonom.
6.10. V oznámení o zamietnutí sa uvádza:
priezvisko, meno, priezvisko úradníka odopierajúceho prístup;
dátum odoslania správy;
dôvod odmietnutia.
6.11. Proti rozhodnutiu o odložení alebo odmietnutí prístupu k osobným údajom sa možno odvolať na súde.
7. Ochrana osobných údajov: spôsoby ochrany, zodpovedná osoba, zamestnanci, ktorí priamo spracúvajú a/alebo majú prístup k osobným údajom v súvislosti s plnením svojich povinností, doba uchovávania osobných údajov
7.1. Vlastník databázy osobných údajov je vybavený systémovými a softvérovými a komunikačnými nástrojmi, ktoré zabraňujú strate, odcudzeniu, neoprávnenému zničeniu, skresleniu, falšovaniu, kopírovaniu informácií a spĺňajú požiadavky medzinárodných a národných noriem.
7.2. Zodpovedná osoba organizuje práce súvisiace s ochranou osobných údajov pri ich spracúvaní v súlade so zákonom. Zodpovedná osoba je určená objednávkou Vlastníka osobnej databázy.
Povinnosti zodpovednej osoby ohľadom organizácie práce súvisiacej s ochranou osobných údajov pri ich spracúvaní sú uvedené v pracovnej náplni.
7.3. Zodpovedná osoba je povinná:
poznať právne predpisy Ukrajiny v oblasti ochrany osobných údajov;
vypracovať postupy pre prístup k osobným údajom zamestnancov v súlade s ich profesionálnymi alebo služobnými alebo pracovnými povinnosťami;
zabezpečiť, aby zamestnanci Vlastníka databázy osobných údajov dodržiavali požiadavky právnych predpisov Ukrajiny v oblasti ochrany osobných údajov a interných dokumentov upravujúcich činnosť Vlastníka databázy osobných údajov týkajúcich sa spracúvania a ochrany osobných údajov. údaje v databázach osobných údajov;
vypracovať postup (postup) pre vnútornú kontrolu dodržiavania požiadaviek právnych predpisov Ukrajiny v oblasti ochrany osobných údajov a interných dokumentov upravujúcich činnosť Vlastníka osobnej databázy týkajúcej sa spracúvania a ochrany osobných údajov v osobných údajoch. databázy, ktoré by mali obsahovať najmä normy týkajúce sa periodicity takejto kontroly;
informovať Vlastníka databázy osobných údajov o skutočnostiach porušenia požiadaviek právnych predpisov Ukrajiny v oblasti ochrany osobných údajov a interných dokumentov upravujúcich činnosť Vlastníka databázy osobných údajov zamestnancami v súvislosti so spracovaním a ochrany osobných údajov v databázach osobných údajov najneskôr do jedného pracovného dňa od momentu zistenia takéhoto porušenia;
zabezpečiť uchovávanie dokladov potvrdzujúcich poskytnutie súhlasu dotknutej osoby so spracúvaním jej osobných údajov a informovanie uvedeného subjektu o jeho právach.
7.4. Zodpovedná osoba má na plnenie svojich povinností právo:
získať potrebné dokumenty, vrátane objednávok a iných regulačných dokumentov vydaných Vlastníkom databázy osobných údajov, súvisiacich so spracovaním osobných údajov;
robiť kópie prijatých dokumentov vrátane kópií súborov, akýchkoľvek záznamov uložených v miestnych počítačových sieťach a autonómnych počítačových systémoch;
zúčastniť sa na prerokovaní ním vykonávaných povinností pri organizácii práce súvisiacej s ochranou osobných údajov pri ich spracúvaní;
zvažovať návrhy na zlepšenie činností a skvalitnenie metód práce, predkladať pripomienky a možnosti odstránenia zistených nedostatkov v procese spracúvania osobných údajov;
dostávať vysvetlenia k otázkam spracovania osobných údajov;
podpisovať a overovať dokumenty v medziach svojej pôsobnosti.
7.5. Zamestnanci, ktorí priamo spracúvajú a/alebo majú prístup k osobným údajom v súvislosti s plnením svojich služobných (pracovných) povinností, sú povinní dodržiavať požiadavky právnych predpisov Ukrajiny v oblasti ochrany osobných údajov a interných dokumentov, týkajúce sa spracúvania a ochranu osobných údajov v osobných databázach.
7.6. Zamestnanci, ktorí majú prístup k osobným údajom vrátane ich spracúvania, sú povinní žiadnym spôsobom nezverejňovať osobné údaje, ktoré im boli zverené alebo o ktorých sa dozvedeli v súvislosti s plnením pracovných alebo služobných alebo pracovných povinností Takáto povinnosť je účinná po ukončení činnosti súvisiacej s osobnými údajmi, s výnimkou prípadov ustanovených zákonom.
7.7 Osoby, ktoré majú prístup k osobným údajom, vrátane tých, ktoré ich spracúvajú, v prípade porušenia požiadaviek zákona Ukrajiny „O ochrane osobných údajov“ zodpovedajú v súlade s právnymi predpismi Ukrajiny.
7.8. Osobné údaje nesmú byť uchovávané dlhšie, ako je potrebné na účel, na ktorý sa tieto údaje uchovávajú, v žiadnom prípade však nie dlhšie, ako je doba uchovávania údajov určená súhlasom dotknutej osoby so spracovaním týchto údajov.
8. Práva subjektu osobných údajov
8.1. Subjekt osobných údajov má právo:
poznať umiestnenie databázy osobných údajov, ktorá obsahuje jeho osobné údaje, jej účel a názov, miesto a/alebo miesto bydliska (bydliska) vlastníka alebo správcu tejto databázy alebo dať príslušné pokyny na získanie týchto informácií osobám ním poverený, okrem prípadov ustanovených zákonom;
získať informácie o podmienkach poskytovania prístupu k osobným údajom, najmä informácie o tretích osobách, ktorým sú jeho osobné údaje odovzdávané, obsiahnuté v príslušnej databáze osobných údajov;
na prístup k vašim osobným údajom obsiahnutým v príslušnej databáze osobných údajov;
dostať najneskôr do tridsiatich kalendárnych dní odo dňa doručenia žiadosti, okrem prípadov ustanovených zákonom, odpoveď, či sú jeho osobné údaje uložené v príslušnej databáze osobných údajov, ako aj dostať obsah jeho osobných údajov údaje, ktoré sú uložené;
podať odôvodnenú žiadosť s námietkou proti spracúvaniu Vašich osobných údajov štátnymi orgánmi, orgánmi územnej samosprávy pri výkone ich zákonom ustanovených právomocí;
vzniesť odôvodnenú požiadavku na zmenu alebo likvidáciu Vašich osobných údajov ktorýmkoľvek vlastníkom a správcom tejto databázy, ak sú tieto údaje spracúvané nezákonne alebo sú nedôveryhodné;
na ochranu Vašich osobných údajov pred nezákonným spracovaním a náhodnou stratou, zničením, poškodením v súvislosti s ich úmyselným zatajením, ich neposkytnutím alebo predčasným poskytnutím, ako aj ochranu pred poskytnutím informácií, ktoré sú nedôveryhodné alebo znevažujú česť, dôstojnosť a obchodnú povesť spoločnosti fyzická osoba;
riešiť otázky ochrany svojich práv ohľadom osobných údajov štátnym orgánom, orgánom územnej samosprávy, do ktorých pôsobnosti patrí ochrana osobných údajov;
uplatniť opravné prostriedky v prípade porušenia právnych predpisov o ochrane osobných údajov.
9. Postup pri vybavovaní žiadostí subjektu osobných údajov
9.1. Subjekt osobných údajov má právo získať o sebe akékoľvek informácie od akéhokoľvek subjektu vzťahov súvisiacich s osobnými údajmi bez uvedenia účelu žiadosti, okrem prípadov ustanovených zákonom.
9.2. Prístup subjektu osobných údajov k údajom o jeho osobe je bezplatný.
9.3. Subjekt osobných údajov podáva žiadosť o prístup (ďalej - žiadosť) k osobným údajom vlastníkovi databázy osobných údajov.
V žiadosti sa uvádza:
priezvisko, meno a priezvisko, bydlisko (miesto pobytu) a údaje o doklade osvedčujúcom totožnosť subjektu osobných údajov;
ďalšie informácie, ktoré umožňujú identifikáciu subjektu osobných údajov;
informácie o databáze osobných údajov, v súvislosti s ktorou sa žiadosť podáva, alebo informácie o vlastníkovi alebo správcovi tejto databázy;
zoznam požadovaných osobných údajov.
9.4. Lehota na preštudovanie žiadosti o jej vybavenie nesmie presiahnuť desať pracovných dní odo dňa jej doručenia. Vlastník databázy osobných údajov počas tejto doby preukáže známemu subjektu osobných údajov, že žiadosti bude vyhovené alebo príslušné osobné údaje nie sú predmetom poskytovania s uvedením dôvodov vymedzených v príslušnom regulačnom právnom akte.
9.5. Žiadosti je vyhovené do tridsiatich kalendárnych dní odo dňa jej doručenia, ak zákon neustanovuje inak.
10. Štátna registrácia databázy osobných údajov
10.1. Štátna registrácia databáz osobných údajov sa vykonáva v súlade s článkom 9 zákona Ukrajiny „O ochrane osobných údajov“.