Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych, których administratorem jest Sprzedawca

Spis treści

  • Pojęcia ogólne i zakres stosowania

  • Wykaz baz danych osobowych

  • Cel przetwarzania danych osobowych

  • Zasady przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach oraz czynności na danych osobowych osoby, której dane dotyczą

  • Lokalizacja bazy danych osobowych

  • Warunki ujawniania informacji o danych osobowych osobom trzecim

  • Ochrona danych osobowych: środki ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający dane i/lub mający do nich dostęp w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych

  • Prawa osoby, której dane dotyczą

  • Tryb obsługi wniosków osoby, której dane dotyczą

  • Rejestracja państwowa bazy danych osobowych

Pojęcia ogólne i zakres stosowania

1.1. Definicje pojęć

baza danych osobowych — nazwana, uporządkowana zbiorowość danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;

osoba odpowiedzialna — wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z ustawą;

administrator bazy danych osobowych — osoba fizyczna lub prawna, której na mocy ustawy lub za zgodą osoby, której dane dotyczą, przysługuje prawo do przetwarzania tych danych, która zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala zakres tych danych oraz procedury ich przetwarzania, o ile ustawa nie stanowi inaczej;

Państwowy rejestr baz danych osobowych — jednolity państwowy system informacyjny gromadzenia, akumulacji i przetwarzania informacji o zarejestrowanych bazach danych osobowych;

publicznie dostępne źródła danych osobowych — informatory, książki adresowe, rejestry, listy, katalogi oraz inne usystematyzowane zbiory informacji publicznej zawierające dane osobowe, umieszczone i opublikowane za wiedzą osoby, której dane dotyczą. Za publicznie dostępne źródła danych osobowych nie uznaje się mediów społecznościowych i zasobów internetowych, w których osoba, której dane dotyczą, pozostawia swoje dane osobowe (z wyjątkiem przypadków, gdy osoba ta wyraźnie wskazała, że dane zostały zamieszczone w celu ich swobodnego rozpowszechniania i wykorzystywania);

zgoda osoby, której dane dotyczą — każde udokumentowane, dobrowolne oświadczenie woli osoby fizycznej dotyczące udzielenia zezwolenia na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania;

anonimizacja danych osobowych — usunięcie informacji umożliwiających identyfikację osoby;

przetwarzanie danych osobowych — każde działanie lub zbiór działań wykonywanych w całości lub częściowo w systemie informacyjnym (zautomatyzowanym) i/lub w kartotekach danych osobowych, związanych ze zbieraniem, rejestracją, gromadzeniem, przechowywaniem, dostosowywaniem, zmianą, aktualizacją, wykorzystywaniem i rozpowszechnianiem (rozpowszechnianiem, sprzedażą, przekazywaniem), anonimizacją oraz niszczeniem informacji o osobie fizycznej;

dane osobowe — informacje lub zbiór informacji o osobie fizycznej, która została zidentyfikowana lub może zostać jednoznacznie zidentyfikowana;

podmiot przetwarzający (operator) bazy danych osobowych — osoba fizyczna lub prawna, której administrator bazy danych osobowych lub ustawa przyznała prawo do przetwarzania tych danych. Podmiotem przetwarzającym nie jest osoba, której administrator i/lub podmiot przetwarzający powierzył wykonywanie czynności technicznych dotyczących bazy danych osobowych bez dostępu do treści danych osobowych;

osoba, której dane dotyczą — osoba fizyczna, której dane osobowe są przetwarzane zgodnie z ustawą;

osoba trzecia — każda osoba, z wyjątkiem osoby, której dane dotyczą, administratora lub podmiotu przetwarzającego bazę danych osobowych oraz upoważnionego organu państwowego ds. ochrony danych osobowych, której administrator lub podmiot przetwarzający przekazuje dane osobowe zgodnie z ustawą;

szczególne kategorie danych — dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2.

Niniejszy Regulamin jest obowiązkowy dla osoby odpowiedzialnej oraz pracowników Sprzedawcy, którzy bezpośrednio przetwarzają dane osobowe i/lub mają do nich dostęp w związku z wykonywaniem swoich obowiązków służbowych.

Wykaz baz danych osobowych

2.1.

Sprzedawca jest administratorem następujących baz danych osobowych:
baza danych osobowych kontrahentów.

Cel przetwarzania danych osobowych

3.1.

Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, świadczenie, otrzymywanie oraz dokonywanie rozliczeń za nabyte towary i usługi zgodnie z Kodeksem podatkowym Ukrainy oraz Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie”.

Zasady przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach i czynności na danych

4.1.

Zgoda osoby, której dane dotyczą, musi być dobrowolnym oświadczeniem woli osoby fizycznej dotyczącym udzielenia zezwolenia na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania.

4.2.

Zgoda może zostać udzielona w następujących formach:

  • dokument na nośniku papierowym z danymi umożliwiającymi identyfikację dokumentu i osoby fizycznej;

  • dokument elektroniczny zawierający obowiązkowe dane umożliwiające identyfikację dokumentu i osoby fizycznej; dobrowolne oświadczenie woli osoby fizycznej dotyczące udzielenia zgody na przetwarzanie danych osobowych zaleca się potwierdzać podpisem elektronicznym osoby, której dane dotyczą;

  • zaznaczenie (checkbox/oznaczenie) na elektronicznej stronie dokumentu lub w pliku elektronicznym przetwarzanym w systemie informacyjnym na podstawie udokumentowanych rozwiązań programowo-technicznych.

4.3.

Zgoda osoby, której dane dotyczą, jest udzielana przy zawieraniu stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.

4.4.

Poinformowanie osoby, której dane dotyczą, o włączeniu jej danych osobowych do bazy danych osobowych, o prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, o celu zbierania danych oraz o osobach, którym dane są przekazywane, następuje przy zawieraniu stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami.

4.5.

Przetwarzanie danych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.

Lokalizacja bazy danych osobowych

5.1.

Bazy danych osobowych wskazane w rozdziale 2 niniejszego Regulaminu znajdują się pod adresem Sprzedawcy.

Warunki ujawniania informacji o danych osobowych osobom trzecim

6.1.

Zasady dostępu do danych osobowych osób trzecich określają warunki zgody osoby, której dane dotyczą, udzielonej administratorowi na przetwarzanie danych, albo przepisy prawa.

6.2.

Dostęp do danych osobowych osobie trzeciej nie jest udzielany, jeżeli osoba ta odmawia przyjęcia na siebie zobowiązań do zapewnienia wykonania wymagań Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3.

Podmiot relacji związanych z danymi osobowymi składa administratorowi danych wniosek o dostęp (dalej — wniosek) do danych osobowych.

6.4.

We wniosku wskazuje się:

  • imię i nazwisko, adres zamieszkania (pobytu) oraz dane dokumentu tożsamości osoby fizycznej składającej wniosek (dla osoby fizycznej — wnioskodawcy);

  • nazwę, siedzibę osoby prawnej składającej wniosek, stanowisko, imię i nazwisko osoby uwierzytelniającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej — wnioskodawcy);

  • imię i nazwisko oraz inne informacje umożliwiające identyfikację osoby, której dotyczy wniosek;

  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o administratorze/podmiocie przetwarzającym tej bazy;

  • wykaz żądanych danych osobowych;

  • cel i/lub podstawy prawne wniosku.

6.5.

Termin rozpatrzenia wniosku pod kątem jego uwzględnienia nie może przekraczać dziesięciu dni roboczych od dnia jego otrzymania. W tym terminie administrator bazy danych informuje wnioskodawcę, że wniosek zostanie uwzględniony albo że odpowiednie dane osobowe nie podlegają udostępnieniu — ze wskazaniem podstawy określonej w odpowiednim akcie prawnym. Wniosek jest realizowany w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, o ile przepisy prawa nie stanowią inaczej.

6.6.

Odroczenie dostępu do danych osobowych osób trzecich jest dopuszczalne, jeżeli niezbędne dane nie mogą zostać udostępnione w terminie trzydziestu dni kalendarzowych od dnia otrzymania wniosku. Łączny termin rozwiązania kwestii poruszonych we wniosku nie może jednak przekroczyć czterdziestu pięciu dni kalendarzowych.

6.7.

Zawiadomienie o odroczeniu przekazuje się osobie trzeciej, która złożyła wniosek, w formie pisemnej z wyjaśnieniem trybu zaskarżenia takiej decyzji.

6.8.

W zawiadomieniu o odroczeniu wskazuje się:

  • imię i nazwisko osoby upoważnionej;

  • datę wysłania zawiadomienia;

  • przyczynę odroczenia;

  • termin, w którym wniosek zostanie zrealizowany.

6.9.

Odmowa dostępu do danych osobowych jest dopuszczalna, jeżeli dostęp do nich jest zakazany przez prawo.

6.10.

W zawiadomieniu o odmowie wskazuje się:

  • imię i nazwisko osoby upoważnionej odmawiającej dostępu;

  • datę wysłania zawiadomienia;

  • przyczynę odmowy.

6.11.

Decyzja o odroczeniu lub odmowie dostępu do danych osobowych może zostać zaskarżona do sądu.

Ochrona danych osobowych: środki ochrony, osoba odpowiedzialna, pracownicy, okres przechowywania

7.1.

Administrator bazy danych osobowych jest wyposażony w systemowe oraz programowo-techniczne środki i środki łączności, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszowaniu i kopiowaniu informacji oraz spełniają wymagania międzynarodowych i krajowych standardów.

7.2.

Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z ustawą. Osoba odpowiedzialna jest wyznaczana zarządzeniem administratora bazy danych osobowych.

Obowiązki osoby odpowiedzialnej dotyczące organizacji prac związanych z ochroną danych osobowych podczas ich przetwarzania określa zakres obowiązków (opis stanowiska).

7.3.

Osoba odpowiedzialna jest zobowiązana:

  • znać przepisy prawa Ukrainy w zakresie ochrony danych osobowych;

  • opracować procedury dostępu pracowników do danych osobowych zgodnie z ich obowiązkami zawodowymi/służbowymi lub pracowniczymi;

  • zapewnić przestrzeganie przez pracowników administratora bazy danych wymogów prawa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących przetwarzanie i ochronę danych;

  • opracować procedurę wewnętrznej kontroli przestrzegania wymogów prawa Ukrainy i dokumentów wewnętrznych dotyczących przetwarzania i ochrony danych, w tym częstotliwość takiej kontroli;

  • informować administratora bazy danych o naruszeniach przez pracowników wymogów prawa i dokumentów wewnętrznych w terminie nie później niż jednego dnia roboczego od ich wykrycia;

  • zapewnić przechowywanie dokumentów potwierdzających udzielenie zgody na przetwarzanie danych osobowych oraz poinformowanie osoby, której dane dotyczą, o jej prawach.

7.4.

W celu wykonywania obowiązków osoba odpowiedzialna ma prawo:

  • otrzymywać niezbędne dokumenty, w tym zarządzenia i inne dokumenty administracyjne związane z przetwarzaniem danych;

  • wykonywać kopie otrzymanych dokumentów, w tym kopie plików i zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;

  • uczestniczyć w omawianiu wykonywanych obowiązków związanych z organizacją ochrony danych;

  • przedstawiać propozycje usprawnień działalności i metod pracy, zgłaszać uwagi oraz sposoby usunięcia ujawnionych niedoskonałości w procesie przetwarzania danych;

  • uzyskiwać wyjaśnienia w sprawach przetwarzania danych osobowych;

  • podpisywać i parafować dokumenty w granicach swoich kompetencji.

7.5.

Pracownicy, którzy bezpośrednio przetwarzają dane osobowe i/lub mają do nich dostęp w związku z wykonywaniem obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania przepisów prawa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych dotyczących przetwarzania i ochrony danych w bazach danych osobowych.

7.6.

Pracownicy mający dostęp do danych osobowych, w tym przetwarzający je, są zobowiązani nie dopuszczać do ujawnienia w jakikolwiek sposób danych osobowych, które zostały im powierzone lub stały się im znane w związku z wykonywaniem obowiązków zawodowych/służbowych lub pracowniczych. Zobowiązanie to obowiązuje także po zakończeniu wykonywania czynności związanych z danymi osobowymi, z wyjątkiem przypadków przewidzianych prawem.

7.7.

Osoby mające dostęp do danych osobowych, w tym przetwarzające je, ponoszą odpowiedzialność zgodnie z prawem Ukrainy w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych”.

7.8.

Dane osobowe nie powinny być przechowywane dłużej, niż jest to niezbędne do celu, dla którego są przechowywane, jednak w każdym przypadku nie dłużej niż okres przechowywania określony zgodą osoby, której dane dotyczą, na przetwarzanie tych danych.

Prawa osoby, której dane dotyczą

8.1.

Osoba, której dane dotyczą, ma prawo:

  • wiedzieć o miejscu przechowywania bazy danych zawierającej jej dane, jej przeznaczeniu i nazwie, siedzibie i/lub miejscu zamieszkania (pobytu) administratora lub podmiotu przetwarzającego, lub upoważnić inną osobę do uzyskania takich informacji, z wyjątkiem przypadków przewidzianych prawem;

  • otrzymywać informacje o warunkach udostępniania danych osobowych, w szczególności o osobach trzecich, którym dane są przekazywane;

  • uzyskać dostęp do swoich danych osobowych znajdujących się w odpowiedniej bazie danych;

  • otrzymać w terminie nie później niż trzydziestu dni kalendarzowych od dnia otrzymania wniosku (z wyjątkiem przypadków przewidzianych prawem) odpowiedź, czy jej dane są przechowywane w odpowiedniej bazie danych, oraz uzyskać treść swoich danych;

  • złożyć umotywowany sprzeciw wobec przetwarzania swoich danych osobowych przez organy władzy państwowej lub samorządowej w zakresie ich uprawnień przewidzianych prawem;

  • złożyć umotywowane żądanie zmiany lub usunięcia swoich danych osobowych u dowolnego administratora lub podmiotu przetwarzającego, jeżeli dane są przetwarzane niezgodnie z prawem lub są nieprawidłowe;

  • żądać ochrony swoich danych osobowych przed niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, a także ochrony przed udostępnieniem informacji nieprawdziwych lub naruszających dobre imię, godność i reputację biznesową osoby fizycznej;

  • zwracać się w sprawach ochrony praw dotyczących danych osobowych do organów państwowych i organów samorządowych właściwych w sprawach ochrony danych;

  • korzystać ze środków ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.

Tryb obsługi wniosków osoby, której dane dotyczą

9.1.

Osoba, której dane dotyczą, ma prawo uzyskać wszelkie informacje o sobie od każdego podmiotu relacji związanych z danymi osobowymi bez wskazywania celu wniosku, z wyjątkiem przypadków przewidzianych prawem.

9.2.

Dostęp osoby, której dane dotyczą, do danych o sobie jest bezpłatny.

9.3.

Osoba, której dane dotyczą, składa administratorowi bazy danych osobowych wniosek o dostęp (dalej — wniosek) do danych osobowych.

We wniosku wskazuje się:

  • imię i nazwisko, miejsce zamieszkania (pobytu) oraz dane dokumentu tożsamości osoby, której dane dotyczą;

  • inne informacje umożliwiające identyfikację osoby, której dane dotyczą;

  • informacje o bazie danych, której dotyczy wniosek, lub informacje o administratorze/podmiocie przetwarzającym tej bazy;

  • wykaz żądanych danych osobowych.

9.4.

Termin rozpatrzenia wniosku pod kątem jego uwzględnienia nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania. W tym terminie administrator bazy danych informuje osobę, której dane dotyczą, że wniosek zostanie uwzględniony albo że dane osobowe nie podlegają udostępnieniu — ze wskazaniem podstawy w odpowiednim akcie prawnym.

9.5.

Wniosek jest realizowany w terminie trzydziestu dni kalendarzowych od dnia jego otrzymania, o ile prawo nie stanowi inaczej.

Rejestracja państwowa bazy danych osobowych

10.1.

Rejestracja państwowa baz danych osobowych odbywa się zgodnie z art. 9 Ustawy Ukrainy „O ochronie danych osobowych”.