Положение об обработке и защите персональных данных в базах персональных данных
Содержание
1. Общие понятия и термины.
2. Цель обработки персональных данных.
3. Порядок обработки персональных данных.
4. Основания для обработки персональных данных.
5. Условия раскрытия информации о персональных данных третьим лицам.
6. Защита персональных данных.
7. Права субъекта персональных данных.
1. Общие понятия и термины.
база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
владелец базы персональных данных - физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;
Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги, другие систематизированные сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с согласия субъекта персональных данных;
согласие субъекта персональных данных - любое документированное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной цели их обработки;
обезличивание персональных данных - изъятие сведений, которые позволяют идентифицировать личность;
обработка персональных данных - любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение, реализация, передача, обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;
персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель персональных данных - физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца;
субъект персональных данных - физическое лицо, в отношении которого в соответствии с Законом осуществляется обработка его персональных данных;
третье лицо - любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которой владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом;
особые категории данных - персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.
2. Цель обработки персональных данных.
2.1. Целью обработки персональных данных в системе является хранение и обслуживание данных контрагентов в соответствии со статьями 6, 7 Закона Украины «О защите персональных данных».
2.2. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставления/получения и осуществления расчетов за приобретенные услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».
3. Порядок обработки персональных данных.
3.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, высказанное в письменной или электронной форме.
3.2. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.
3.3. Уведомление субъекта персональных данных о включении его персональных данных в базу персональных данных, права, определенные Законом Украины «О защите персональных данных», цель сбора данных и лиц, которым передаются его персональные данные, осуществляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательства.
3.4. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных) запрещается.
4. Основания для обработки персональных данных.
4.1. Согласие субъекта персональных данных на обработку его персональных данных.
4.2. Разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с законом исключительно для осуществления его полномочий.
4.3. Заключение и исполнение сделки, стороной которого является субъект персональных данных, или который заключен в пользу субъекта персональных данных или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных.
4.4. Защита жизненно важных интересов субъекта персональных данных.
4.5. Необходимость исполнения обязанностей владельца персональных данных, которые предусмотрены законом.
4.6. Необходимость защиты законных интересов владельцев персональных данных, третьих лиц, кроме случаев, когда субъект персональных данных требует прекратить обработку его персональных данных и необходимости защиты персональных данных преобладают такой интерес.
5. Условия раскрытия информации о персональных данных третьим лицам.
5.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленной владельцу базы персональных данных на обработку этих данных, или в соответствии с требованиями закона.
5.2. Персональные данные заказчика любой услуги получает исполнитель этой услуги с разрешения самого заказчика.
6. Защита персональных данных.
6.1. Владельца базы персональных данных оборудовано системными и программно-техническими средствами и средствами связи, которые предотвращают потерю, кражу, несанкционированное уничтожения, искажение, подделку, копирование информации. Они отвечают требованиям международных и национальных стандартов.
6.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом. Ответственное лицо определяется приказом владельца базы персональных данных.
6.3. Работники, непосредственно осуществляющие обработку и/или у которых есть доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов по обработке и защите персональных данных в базах персональных данных.
6.4. Работники, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, обязаны не допускать разглашения в любой форме персональных данных, которые им было доверено, или которые стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.
6.5. Лица, имеющие доступ к персональным данным, в том числе осуществляющие их обработку, в случае нарушения ими требований Закона Украины «О защите персональных данных» несут ответственность согласно законодательству Украины.
6.6. Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой такие данные сохраняются, но в любом случае не более срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных.
7. Права субъекта персональных данных.
7.1. Получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных.
7.2. На доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных.
7.3. Предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении полномочий, предусмотренных законом.
7.4. Предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными.
7.5. На защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, не предоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочащие честь, достоинство и деловую репутацию физического лица.
7.6. Обращаться по вопросам защиты своих прав по поводу персональных данных в органы государственной власти, органов местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных
7.7. Применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.