Положение о защите и обработке персональных данных контрагентов
ФОП Дрозд Д. М.
І. Общие положения
1.1. Положение о порядке обработки и защиты персональных данных контрагентов (далее – Положение) определяет комплекс организационных и технических мероприятий для обеспечения защиты персональных данных контрагентов ФОП Дрозд Д.М. (далее – Общество) от незаконной обработки, в т. ч. от утраты, незаконного или случайного уничтожения, а также от незаконного доступа к ним.
1.2. Положение разработано на основании Закона Украины «О защите персональных данных» от 01.06.2010 №2297-VI (далее – Закон №2297) и Типового порядка обработки персональных данных, утвержденного приказом Уполномоченного Верховной Рады Украины по правам человека от 08.01.2014 №1/02-14.
1.3. Положение является обязательным для исполнения лицами, имеющими доступ к персональным данным и обрабатывающими персональные данные.
1.4. Все сроки в этом Положении определяются в соответствии с Законом №2297, при этом в соответствии с терминологией Закона № 2297 Общество считается владельцем персональных данных.
1.5. К персональным данным относятся любые сведения или совокупность сведений о физическом лице, по которым оно идентифицируется или может быть определённо идентифицировано.
1.6. Персональные данные контрагентов Общества по режиму доступа являются информацией с ограниченным доступом. Общество приняло на себя обязательства по обеспечению защиты персональных данных контрагентов.
1.7. Персональные данные контрагентов Общества обрабатываются на электронных носителях, с помощью программных продуктов, таких как Excel, Word и т.п.
1.8. Под обработкой персональных данных подразумевается любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных.
ІІ. Цель и основания обработки персональных данных
2.1. Обработка персональных данных контрагентов осуществляется с целью обеспечения реализации договорных отношений при осуществлении Обществом хозяйственной деятельности, административно-правовых отношений (в соответствии с Хозяйственным кодексом Украины, Гражданским кодексом Украины), отношений в сфере бухгалтерского и налогового учета (в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине», других нормативно-правовых актов в сфере бухгалтерского и налогового учета).
2.2. Персональные данные обрабатываются на основании согласия субъекта персональных данных и на других законных основаниях в строгом соответствии с действующим законодательством Украины в сфере защиты персональных данных и хранятся в бумажной и/или электронной форме.
ІІІ. Состав персональных данных контрагентов, обрабатываемых Обществом
3.1. Согласно определенной цели обработки, нормативно-правовых актов, потребностей хозяйственной деятельности Обществом обрабатываются такие персональные данные контрагентов:
Контактная информация:
- имя;
- адрес электронной почты (e-mail);
- мобильный телефон;
- адрес(а);
- пароль;
- информация о совершенных на Сайте действиях.
ІV. Организация работы с персональными данными
4.1. Для обеспечения соблюдения требований законодательства Украины относительно защиты и обработки персональных данных, а также условий настоящего Положения Владелец назначает ответственных лиц из числа своих работников.
4.2. Ответственное лицо выполняет свои обязанности в соответствии с настоящим Положением и нормами действующего законодательства Украины относительно обработки и защиты персональных данных.
V. Права и обязанности контрагентов как субъектов персональных данных
5.1. Контрагент как субъект персональных данных имеет право в сфере защиты персональных данных в соответствии со статьей 8 Закона № 2297, а именно:
- знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или месте жительства (пребывания) владельца или распорядителя персональных данных или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;
- получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные;
- на доступ к своим персональным данным;
- получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;
- предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
- предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
- на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или порочащих честь, достоинство и деловую репутацию физического лица;
- обращаться с жалобами на обработку своих персональных данных к Уполномоченному или в суд;
- применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
- вносить оговорки относительно ограничения права на обработку своих персональных данных при предоставлении согласия;
- отозвать согласие на обработку персональных данных;
- знать механизм автоматической обработки персональных данных;
- на защиту от автоматизированного решения, которое имеет для него правовые последствия.
VІ. Сбор персональных данных контрагентов
6.1. Сбор персональных данных контрагентов является составляющей частью процесса обработки таких персональных данных, что предусматривает действия по подбору или упорядочению сведений о физическом лице.
6.2. Основаниями для обработки персональных данных контрагентов являются:
- заключение и исполнение соглашения, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных или для осуществления действий, предшествующих заключению соглашения по требованию субъекта персональных данных (п. 3 части первой ст. 11 Закона № 2297);
- необходимость защиты законных интересов владельцев персональных данных, третьих лиц, кроме случаев, когда субъект персональных данных требует прекратить обработку его персональных данных и необходимости защиты персональных данных превышают такой интерес (п. 6 части первой ст. 11 Закона № 2297).
6.3. Факт ознакомления контрагента с правами в сфере защиты персональных данных, сообщение о владельце персональных данных, состав и содержание собранных персональных данных, цель сбора персональных данных и лица, которым будут передаваться персональные данные, подтверждается акцептом оферты.
6.4. При заключении договора персональные данные контрагента вносятся в Базу данных “Контрагенты”.
6.5. В случае выявления факта обработки сведений о контрагенте, которые не соответствуют действительности, такие сведения должны быть исправлены или уничтожены.
VІІ. Хранение и уничтожение персональных данных контрагентов
7.1. Хранение персональных данных предусматривает действия по обеспечению их целостности и соответствующего режима доступа к ним.
7.2. Персональные данные контрагентов обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, и хранятся в срок не более, чем это необходимо в соответствии с их законным назначением и целью их обработки, если иное не предусмотрено законодательством в сфере архивного дела и делопроизводства.
7.3. Персональные данные контрагентов удаляются или уничтожаются в порядке, установленном в соответствии с требованиями закона.
7.4. Персональные данные подлежат уничтожению в случае:
окончания срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом; прекращения правоотношений между субъектом персональных данных и Обществом, если иное не предусмотрено законом; вступления в законную силу решения суда об изъятии данных о физическом лице из базы персональных данных; издания соответствующего предписания Уполномоченного Верховной Рады по правам человека или определенных им должностных лиц секретариата Уполномоченного.
7.5. Персональные данные, собранные с нарушением требований Закона № 2297, подлежат уничтожению в установленном законодательством порядке.
7.6. Отбор для уничтожения документов с персональными данными, сроки хранения которых истекли, производится экспертной комиссией, состав которой определяется Обществом.
7.7. Уничтожение персональных данных проводится способом, исключающим дальнейшую возможность восстановления таких персональных данных.
VІІІ. Передача персональных данных третьим лицам и предоставление третьим лицам доступа к персональным данным
8.1. Передача персональных данных контрагента третьим лицам определяется условиями согласия на обработку персональных данных или в соответствии с требованиями закона.
8.2. Без согласия контрагента его персональные данные могут передаваться в случаях:
· когда передача персональных данных прямо предусмотрена законодательством Украины, и только в интересах национальной безопасности, экономического благосостояния и прав человека;
· получения запроса от органов государственной власти и местного самоуправления, действующих в пределах полномочий, предоставленных законодательством Украины.
8.3. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается принять на себя обязательства по обеспечению выполнения требований Закона № 2297 или не может их обеспечить.
8.4. Контрагент имеет право на получение любых сведений о себе, содержащиеся в соответствующей базе персональных данных, без указания цели запроса.
ІХ. Защита персональных данных при их обработке
9.1. Защита персональных данных в автоматизированной системе
9.1.1. Право доступа к автоматизированной системе предоставляется работникам Общества, в должностных инструкциях которых предусмотрены функции по обработке данных в автоматизированной системе и которые предоставили письменное обязательство о неразглашении персональных данных.
9.1.2. Автоматизированная система в обязательном порядке обеспечивается антивирусной защитой и средствами бесперебойного питания элементов системы. 9.1.3. Право доступа к персональным данным контрагентов предоставляется третьим лицам, с которыми Обществом заключен договор на выполнение договорных обязательств перед контрагентами