Политика конфиденциальности компании

Положение об обработке и защите персональных данных в базах персональных данных, Владельцем которых является Продавец (политика приватности)

  1. Общие понятия и сфера применения

1.1. Определение терминов:

            база персональных данных - именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

ответственное лицо - определенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;

владелец базы персональных данных - физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;

            общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с согласия субъекта персональных данных.

            согласие субъекта персональных данных - любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки;

обезличивание персональных данных - изъятие сведений, позволяющих идентифицировать лицо;

            обработка персональных данных - любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением (удалением) сведений о физическом лице;

персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

            распорядитель базы персональных данных - физическое или юридическое лицо, которому Владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

            субъект персональных данных - физическое лицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;

            третье лицо - любое лицо, за исключением субъекта персональных данных, Владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому Владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом;

            особые категории данных - персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни.

            Другие термины, используемые в настоящем Положении, употребляются в значениях, приведенных в Законе Украины “О защите персональных данных”.

1.2. Данное Положение обязательно для применения ответственным лицом и сотрудниками продавца, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

2.Сбор и использование персональных данных

2.1. Владельцем и распорядителем персональных данных пользователей Вебпортала является Продавец.

При использовании пользователем сервисов Вебпортала Продавцом осуществляется обработка данных пользователя, а именно:

- данных, предоставляемых пользователем как при заполнении регистрационных форм, так и в процессе пользования сервисами;

- файлы cookie;

- ир-адреса;

- параметры и настройки интернет-браузеров (User-agent).

2.2. Продавец собирает только те персональные данные (например, Ваше имя и фамилия, логин и пароль доступа, адрес электронной почты, номер контактного телефона, дата рождения, пол и т.д.), которые сознательно и добровольно предоставлены Вами как субъектом персональных данных в целях использования сервисов Вебпортала, что в соответствии с требованиями законодательства является согласием субъекта персональных данных на обработку своих персональных данных в соответствии с сформулированной в настоящей Политике цели их обработки.

2.3. Продавец не собирает любую информацию, к обработке которой, законодательством установлены определенные требования, как-то информацию о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, осуждении к уголовному наказанию в совершении преступления или осуждения к уголовному наказанию, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных (в соответствии со статьей 7 Закона Украины «О защите персональных данных»).

  1. Цель обработки персональных данных

3.1. Целью обработки персональных данных в системе является сохранение и администрирование информации о контрагентах в соответствии с требованиями Закона Украины “О защите персональных данных”.

3.2. Обработка персональных данных осуществляется с целью обеспечения выполнения гражданско-правовых обязательств, предоставления или получения услуг/товаров и проведения расчетов за них в соответствии с Налоговым кодексом Украины и Законом Украины “О бухгалтерском учете и финансовой отчетности в Украине”.

  1. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно быть свободным и осознанным волеизъявлением физического лица относительно разрешения на обработку его персональных данных в соответствии с определенной целью. Такое согласие может предоставляться в следующих формах:

  • письменный документ на бумажном носителе с реквизитами, позволяющими идентифицировать документ и физическое лицо;
  • электронный документ с обязательными реквизитами, которые обеспечивают возможность идентификации документа и лица; в случае предоставления такого согласия целесообразным является использование электронной подписи субъекта персональных данных;
  • отметка в электронном документе или файле, обрабатываемом информационной системой на основе зафиксированных программно-технических решений.

4.2. Субъект персональных данных предоставляет свое согласие при оформлении гражданско-правовых отношений в соответствии с требованиями действующего законодательства.

4.3. Информирование субъекта персональных данных о внесении его данных в базу персональных данных, о его правах, предусмотренных Законом Украины “О защите персональных данных”, о цели сбора и о лицах, которым могут быть переданы эти данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с законодательством.

4.4. Запрещается обработка персональных данных, касающихся расового и этнического происхождения, политических, религиозных или мировоззренческих убеждений, членства в политических партиях или профсоюзах, а также данных о состоянии здоровья или половой жизни (особые категории данных).

  1. Местонахождение базы персональных данных

5.1. Базы персональных данных находятся по адресу Продавца.

  1. Условия раскрытия информации о персональных данных третьим лицам

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного Владельцу базы персональных данных на обработку этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины “О защите персональных данных” или не может их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее - запрос) к персональным данным Владельцу базы персональных данных.

6.4. В запросе указываются:

  • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица - заявителя);
  • наименование, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);
  • фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;
  • сведения о базе персональных данных, в отношении которой подается запрос, или сведения о Владельце или распорядителе этой базы;
  • перечень запрашиваемых персональных данных;
  • цель запроса.

6.5. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления.

В течение этого срока Владелец базы персональных данных доводит до сведения лица, подающего запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.

Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

6.6. Все работники Владельца базы персональных данных обязаны соблюдать требования конфиденциальности в отношении персональных данных и информации о счетах в ценных бумагах и обращения ценных бумаг.

6.7. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, затронутых в запросе, не может превышать сорока пяти календарных дней.

6.8. Сообщение об отсрочке доводится до сведения третьего лица, которое подало запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.9. В сообщении об отсрочке отмечаются:

  • фамилия, имя и отчество должностного лица;
  • дата отправки сообщения;
  • причина отсрочки;
  • срок, в течение которого будет удовлетворен запрос.

6.10 Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законом.

6.11 В уведомлении об отказе указываются:

  • фамилия, имя, отчество должностного лица, которое отказывает в доступе;
  • дата отправки сообщения;
  • причина отказа.

6.12 Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано согласно действующему законодательству Украины.

  1. Защита персональных данных: способы защиты, ответственное лицо, работники, которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных

7.1. Владелец базы персональных данных обеспечен системными, программно-техническими средствами и средствами связи, которые делают невозможным потерю, похищение, несанкционированное уничтожение, искажение, подделку или копирование информации и соответствуют требованиям национальных и международных стандартов.

7.2. Ответственное лицо организует процессы, связанные с обеспечением защиты персональных данных при их обработке, в соответствии с действующим законодательством. Такое лицо назначается приказом Владельца базы персональных данных.

Перечень обязанностей ответственного лица по организации мероприятий по защите персональных данных определяется в его должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;
  • разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными или служебными или трудовыми обязанностями;
  • обеспечить выполнение сотрудниками Владельца базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных;
  • разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, который, в частности, должен содержать нормы о периодичности осуществления такого контроля;
  • сообщать Владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность Владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных в срок не позднее одного рабочего дня с момента выявления таких нарушений;
  • обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и сообщение указанного субъекта о его правах.

7.4. С целью выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, в том числе приказы и другие распорядительные документы, изданные Владельцем базы персональных данных, связанные с обработкой персональных данных;
  • делать копии из полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
  • участвовать в обсуждении выполняемых им обязанностей организации работы, связанной с защитой персональных данных при их обработке;
  • вносить на рассмотрение предложения по улучшению деятельности и совершенствованию методов работы, подавать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
  • получать объяснения по вопросам осуществления обработки персональных данных;
  • подписывать и визировать документы в пределах своей компетенции.

7.5. Работники, которые непосредственно осуществляют обработку персональных данных или имеют к ним доступ в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных, а также внутренних нормативных документов по их обработке и защите.

7.6. Работники, имеющие доступ к персональным данным и/или осуществляющие их обработку, обязаны не допускать любого разглашения персональных данных, доверенных им или полученных при исполнении профессиональных, служебных или трудовых обязанностей. Это обязательство остается в силе и после прекращения их деятельности, связанной с персональными данными, за исключением случаев, предусмотренных законом.

7.7. Лица, имеющие доступ к персональным данным или осуществляющие их обработку, в случае нарушения требований Закона Украины “О защите персональных данных” несут ответственность согласно действующему законодательству.

7.8. Персональные данные не могут храниться дольше, чем требуется для достижения цели, с которой они были собраны, но в любом случае - не дольше срока, определенного согласием субъекта персональных данных на их обработку.

  1. Порядок работы с запросами субъекта персональных данных

8.1. Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.

8.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.

8.3. Субъект персональных данных подает запрос о доступе (далее - запрос) к персональным данным Владельцу базы персональных данных.

В запросе указываются:

  • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
  • другие сведения, позволяющие идентифицировать личность субъекта персональных данных;
  • сведения о базе персональных данных, в отношении которой подается запрос, или сведения о Владельце или распорядителе этой базы;
  • перечень запрашиваемых персональных данных.

8.4. В течение этого срока Владелец базы персональных данных доводит до сведения субъекта персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.

8.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

  1. Дополнительные условия

9.1. Владелец базы персональных данных оставляет за собой право в любой момент изменять условия этой Политики. В случае внесения изменений обновленная редакция будет опубликована на этом Вебпортале. Если Пользователь не согласен с такими изменениями, он обязан немедленно прекратить использование Вебпортала.

9.2. Владелец базы персональных данных не несет ответственности за любые убытки или потери, причиненные Пользователю или третьим лицам в результате неправильной трактовки или непонимания положений настоящей Политики.

9.3. Если какое-либо положение настоящей Политики, ее отдельный пункт или часть будут признаны противоречащими действующему законодательству Украины или недействительными, это не влияет на действие других положений Политики - они продолжают действовать. Любое положение, признанное недействительным или таким, что не может быть выполнено, считается измененным или уточненным настолько, насколько это необходимо для обеспечения его действительности и возможности выполнения без дополнительных действий Сторон.