Regulamin dotyczący przetwarzania i ochrony danych osobowych w bazach danych osobowych, których właścicielem jest Sprzedawca

 

Spis treści

  1. Podstawowe pojęcia i zakres stosowania
  2. Wykaz baz danych osobowych
  3. Cel przetwarzania danych osobowych
  4. Procedura przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach oraz działania w związku z danymi osobowymi podmiotu danych
  5. Lokalizacja bazy danych osobowych
  6. Warunki ujawniania informacji o danych osobowych osobom trzecim
  7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający dane i/lub mający do nich dostęp w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych
  8. Prawa podmiotu danych osobowych
  9. Procedura rozpatrywania wniosków podmiotu danych osobowych
  10. Rejestracja państwowa bazy danych osobowych

 

1. Podstawowe pojęcia i zakres stosowania

1.1. Definicje:

baza danych osobowych — nazwana zbiorczo uporządkowana kolekcja danych osobowych w formie elektronicznej i/lub w formie kartotek danych osobowych;

osoba odpowiedzialna — wyznaczona osoba organizująca prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z prawem;

właściciel bazy danych osobowych — osoba fizyczna lub prawna, której na mocy prawa lub za zgodą podmiotu danych przyznano prawo do przetwarzania tych danych, która zatwierdza cel przetwarzania danych osobowych w danej bazie, określa zakres tych danych oraz procedury ich przetwarzania, o ile prawo nie stanowi inaczej;

Państwowy rejestr baz danych osobowych — jednolity państwowy system informacyjny służący gromadzeniu, przechowywaniu i przetwarzaniu informacji o zarejestrowanych bazach danych osobowych;

publicznie dostępne źródła danych osobowych — informatory, książki adresowe, rejestry, listy, katalogi oraz inne usystematyzowane zbiory informacji jawnych, zawierające dane osobowe umieszczone i opublikowane za wiedzą podmiotu danych. Za publicznie dostępne źródła danych osobowych nie uznaje się sieci społecznościowych i zasobów internetowych, w których podmiot danych pozostawia swoje dane osobowe (z wyjątkiem przypadków, gdy podmiot danych wyraźnie wskazał, że dane zostały umieszczone w celu ich swobodnego rozpowszechniania i wykorzystywania);

zgoda podmiotu danych osobowych — każde udokumentowane, dobrowolne oświadczenie woli osoby fizycznej dotyczące udzielenia zezwolenia na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania;

anonimizacja danych osobowych — usunięcie informacji umożliwiających identyfikację osoby;

przetwarzanie danych osobowych — jakiekolwiek działanie lub zestaw działań wykonywanych w całości lub częściowo w systemie informacyjnym (zautomatyzowanym) i/lub w kartotekach danych osobowych, związanych z gromadzeniem, rejestracją, kumulacją, przechowywaniem, adaptacją, zmianą, aktualizacją, wykorzystaniem i rozpowszechnianiem (udostępnianiem, realizacją, przekazywaniem), anonimizacją lub niszczeniem informacji o osobie fizycznej;

dane osobowe — informacje lub zestaw informacji o osobie fizycznej, która jest zidentyfikowana albo może zostać jednoznacznie zidentyfikowana;

podmiot przetwarzający bazę danych osobowych — osoba fizyczna lub prawna, której właściciel bazy danych osobowych lub prawo przyznało uprawnienie do przetwarzania tych danych. Nie jest podmiotem przetwarzającym osoba, której właściciel i/lub podmiot przetwarzający bazę danych powierzył wykonywanie prac o charakterze technicznym bez dostępu do treści danych osobowych;

podmiot danych osobowych — osoba fizyczna, której dane osobowe są przetwarzane zgodnie z prawem;

osoba trzecia — każda osoba z wyłączeniem podmiotu danych, właściciela lub podmiotu przetwarzającego bazę danych osobowych oraz upoważnionego organu państwowego do spraw ochrony danych osobowych, której dane osobowe są przekazywane zgodnie z prawem;

szczególne kategorie danych — dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2. Niniejszy Regulamin jest obowiązkowy dla osoby odpowiedzialnej oraz pracowników Sprzedawcy, którzy bezpośrednio przetwarzają dane osobowe i/lub mają do nich dostęp w związku z wykonywaniem swoich obowiązków służbowych.

 

2. Wykaz baz danych osobowych

2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:

  • baza danych osobowych kontrahentów.

 

3. Cel przetwarzania danych osobowych

3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, świadczenia, uzyskiwania i dokonywania rozliczeń za nabyte towary i usługi zgodnie z Kodeksem podatkowym Ukrainy oraz Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie”.

 

4. Procedura przetwarzania danych osobowych: uzyskanie zgody, informowanie o prawach oraz działania w związku z danymi osobowymi podmiotu danych

4.1. Zgoda podmiotu danych osobowych musi stanowić dobrowolne oświadczenie woli osoby fizycznej dotyczące udzielenia zezwolenia na przetwarzanie jej danych osobowych zgodnie z określonym celem ich przetwarzania.

4.2. Zgoda podmiotu danych osobowych może być udzielona w następujących formach:

  • dokument na nośniku papierowym z danymi pozwalającymi zidentyfikować dokument i osobę fizyczną;
  • dokument elektroniczny zawierający obowiązkowe dane pozwalające zidentyfikować dokument i osobę fizyczną; dobrowolne oświadczenie woli dotyczące zgody na przetwarzanie danych osobowych zaleca się potwierdzać podpisem elektronicznym podmiotu danych;
  • oznaczenie na elektronicznej stronie dokumentu lub w pliku elektronicznym przetwarzanym w systemie informacyjnym na podstawie udokumentowanych rozwiązań programowo-technicznych.

4.3. Zgoda podmiotu danych osobowych udzielana jest podczas nawiązywania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.4. Poinformowanie podmiotu danych osobowych o włączeniu jego danych do bazy danych osobowych, prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych oraz podmiotach, którym dane są przekazywane, następuje podczas nawiązywania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.

 

5. Lokalizacja bazy danych osobowych

5.1. Bazy danych osobowych wskazane w rozdziale 2 niniejszego Regulaminu znajdują się pod adresem Sprzedawcy.

 

6. Warunki ujawniania informacji o danych osobowych osobom trzecim

6.1. Tryb dostępu osób trzecich do danych osobowych określa treść zgody podmiotu danych osobowych udzielonej właścicielowi danych na ich przetwarzanie lub odpowiednie przepisy prawa.

6.2. Dostęp do danych osobowych nie jest udzielany osobie trzeciej, jeżeli odmawia ona przyjęcia na siebie zobowiązań zapewnienia przestrzegania wymagań Ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3. Podmiot stosunków dotyczących danych osobowych składa do właściciela danych osobowych wniosek o dostęp (dalej — wniosek) do danych osobowych.

6.4. W wniosku podaje się:

  • nazwisko, imię, imię ojca, miejsce zamieszkania (pobytu) oraz dane dokumentu tożsamości osoby składającej wniosek (dla osoby fizycznej — wnioskodawcy);
  • nazwę i siedzibę osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i imię ojca osoby potwierdzającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej — wnioskodawcy);
  • nazwisko, imię i imię ojca oraz inne dane umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu bądź podmiocie przetwarzającym tę bazę;
  • wykaz żądanych danych osobowych;
  • cel i/lub podstawę prawną wniosku.

6.5. Termin rozpatrzenia wniosku pod kątem jego uwzględnienia nie może przekroczyć dziesięciu dni roboczych od dnia jego wpływu. W tym terminie właściciel bazy danych osobowych informuje wnioskodawcę, że wniosek zostanie uwzględniony lub że odpowiednie dane osobowe nie podlegają udostępnieniu, z wskazaniem podstawy określonej w odpowiednim akcie prawnym. Wniosek realizuje się w terminie trzydziestu dni kalendarzowych od dnia jego wpływu, chyba że przepisy stanowią inaczej.

6.6. Odroczenie dostępu do danych osobowych osób trzecich jest dopuszczalne, jeżeli nie jest możliwe udzielenie wymaganych danych w terminie trzydziestu dni kalendarzowych od dnia wpływu wniosku. Jednocześnie łączny termin rozpatrzenia kwestii poruszonych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.

6.7. Zawiadomienie o odroczeniu przekazuje się wnioskodawcy na piśmie wraz z wyjaśnieniem trybu zaskarżenia takiej decyzji.

6.8. Zawiadomienie o odroczeniu zawiera:

  • nazwisko, imię i imię ojca funkcjonariusza;
  • datę wysłania zawiadomienia;
  • przyczynę odroczenia;
  • termin, w którym wniosek zostanie uwzględniony.

6.9. Odmowa dostępu do danych osobowych jest dopuszczalna, jeżeli dostęp jest zabroniony na mocy prawa.

6.10. Zawiadomienie o odmowie zawiera:

  • nazwisko, imię i imię ojca funkcjonariusza odmawiającego dostępu;
  • datę wysłania zawiadomienia;
  • przyczynę odmowy.

6.11. Decyzja o odroczeniu lub odmowie dostępu do danych osobowych może zostać zaskarżona do sądu.

 

7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy bezpośrednio przetwarzający dane i/lub mający do nich dostęp w związku z wykonywaniem obowiązków służbowych, okres przechowywania danych osobowych

7.1. Właściciel bazy danych osobowych jest wyposażony w środki systemowe i programowo-techniczne oraz środki łączności, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, sfałszowaniu i kopiowaniu informacji oraz odpowiadają wymaganiom norm międzynarodowych i krajowych.

7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z prawem. Osoba odpowiedzialna jest wyznaczana zarządzeniem Właściciela bazy danych osobowych.

Obowiązki osoby odpowiedzialnej w zakresie organizacji prac związanych z ochroną danych osobowych podczas ich przetwarzania określa się w opisie stanowiska.

7.3. Osoba odpowiedzialna jest zobowiązana do:

  • znajomości przepisów prawa Ukrainy w zakresie ochrony danych osobowych;
  • opracowania procedur dostępu pracowników do danych osobowych zgodnie z ich obowiązkami zawodowymi, służbowymi lub pracowniczymi;
  • zapewnienia przestrzegania przez pracowników Właściciela bazy danych osobowych wymogów prawa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela w zakresie przetwarzania i ochrony danych w bazach danych osobowych;
  • opracowania procedury kontroli wewnętrznej przestrzegania przepisów prawa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność Właściciela w zakresie przetwarzania i ochrony danych, obejmującej w szczególności częstotliwość prowadzenia takiej kontroli;
  • informowania Właściciela bazy danych osobowych o stwierdzonych naruszeniach przez pracowników wymogów prawa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych, nie później niż w terminie jednego dnia roboczego od chwili ich wykrycia;
  • zapewnienia przechowywania dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz poinformowanie tego podmiotu o przysługujących mu prawach.

7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo do:

  • uzyskiwania niezbędnych dokumentów, w tym zarządzeń i innych aktów wewnętrznych wydanych przez Właściciela bazy danych w związku z przetwarzaniem danych osobowych;
  • sporządzania kopii otrzymanych dokumentów, w tym kopii plików i dowolnych zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
  • uczestniczenia w omawianiu organizacji prac związanych z ochroną danych osobowych podczas ich przetwarzania;
  • przedkładania propozycji poprawy działalności i doskonalenia metod pracy, zgłaszania uwag i wariantów usuwania stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych;
  • uzyskiwania wyjaśnień w zakresie przetwarzania danych osobowych;
  • podpisywania i parafowania dokumentów w granicach swoich kompetencji.

7.5. Pracownicy bezpośrednio przetwarzający dane osobowe i/lub mający do nich dostęp w związku z wykonywaniem obowiązków służbowych są zobowiązani do przestrzegania wymogów prawa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.

7.6. Pracownicy mający dostęp do danych osobowych, w tym dokonujący ich przetwarzania, są zobowiązani do nienaruszania w jakikolwiek sposób poufności danych osobowych, które zostały im powierzone lub stały się im znane w związku z wykonywaniem obowiązków zawodowych, służbowych lub pracowniczych. Obowiązek ten pozostaje w mocy także po zakończeniu przez nich działalności związanej z danymi osobowymi, z wyjątkiem przypadków określonych prawem.

7.7. Osoby mające dostęp do danych osobowych, w tym dokonujące ich przetwarzania, w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z przepisami prawa Ukrainy.

7.8. Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do realizacji celu, w którym są przechowywane, jednak w każdym przypadku nie dłużej niż okres przechowywania określony w zgodzie podmiotu danych osobowych na przetwarzanie tych danych.

 

8. Prawa podmiotu danych osobowych

8.1. Podmiot danych osobowych ma prawo do:

  • uzyskania informacji o lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej przeznaczeniu i nazwie, a także o lokalizacji i/lub miejscu zamieszkania (pobytu) właściciela lub podmiotu przetwarzającego tę bazę, albo do zlecenia uzyskania tych informacji upoważnionym przez siebie osobom, z wyjątkiem przypadków określonych prawem;
  • otrzymania informacji o warunkach udzielania dostępu do danych osobowych, w szczególności informacji o osobach trzecich, którym przekazywane są jego dane osobowe zgromadzone w danej bazie;
  • dostępu do swoich danych osobowych znajdujących się w odpowiedniej bazie danych osobowych;
  • otrzymania, nie później niż w ciągu trzydziestu dni kalendarzowych od dnia wpływu wniosku (z wyjątkiem przypadków przewidzianych prawem), odpowiedzi, czy jego dane osobowe są przechowywane w odpowiedniej bazie oraz zapoznania się z treścią przechowywanych danych;
  • złożenia umotywowanego sprzeciwu wobec przetwarzania swoich danych osobowych przez organy władzy państwowej lub samorządu terytorialnego przy wykonywaniu ich uprawnień przewidzianych prawem;
  • złożenia umotywowanego żądania zmiany lub usunięcia swoich danych osobowych do każdego właściciela lub podmiotu przetwarzającego daną bazę, jeżeli dane te są przetwarzane niezgodnie z prawem lub są nieprawidłowe;
  • ochrony swoich danych osobowych przed bezprawnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w związku z umyślnym ukrywaniem, nieprzekazaniem lub nieterminowym ich przekazaniem, a także ochrony przed udzielaniem informacji nieprawdziwych lub uwłaczających czci, godności i reputacji osoby fizycznej;
  • zwracania się w sprawach ochrony swoich praw dotyczących danych osobowych do organów władzy państwowej, organów samorządu terytorialnego właściwych w zakresie ochrony danych osobowych;
  • korzystania ze środków ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.

 

9. Procedura rozpatrywania wniosków podmiotu danych osobowych

9.1. Podmiot danych osobowych ma prawo do uzyskania jakichkolwiek informacji o sobie od każdego uczestnika stosunków związanych z danymi osobowymi bez wskazywania celu wniosku, z wyjątkiem przypadków przewidzianych prawem.

9.2. Dostęp podmiotu danych osobowych do informacji o sobie jest bezpłatny.

9.3. Podmiot danych osobowych składa do właściciela bazy danych osobowych wniosek o dostęp (dalej — wniosek) do danych osobowych.

We wniosku podaje się:

  • nazwisko, imię, imię ojca, miejsce zamieszkania (pobytu) oraz dane dokumentu tożsamości podmiotu danych osobowych;
  • inne informacje umożliwiające identyfikację podmiotu danych osobowych;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu bądź podmiocie przetwarzającym tę bazę;
  • wykaz żądanych danych osobowych.

9.4. Termin rozpatrzenia wniosku pod kątem jego uwzględnienia nie może przekroczyć dziesięciu dni roboczych od dnia jego wpływu. W tym terminie właściciel bazy danych osobowych informuje podmiot danych osobowych, że wniosek zostanie uwzględniony lub że odpowiednie dane osobowe nie podlegają udostępnieniu, z wskazaniem podstawy prawnej.

9.5. Wniosek uwzględnia się w terminie trzydziestu dni kalendarzowych od dnia jego wpływu, chyba że przepisy stanowią inaczej.

 

10. Rejestracja państwowa bazy danych osobowych

10.1. Rejestracja państwowa baz danych osobowych odbywa się zgodnie z artykułem 9 Ustawy Ukrainy „O ochronie danych osobowych”.