Положення про захист і обробку персональних даних контрагентів
ФОП Присяжнюк А. Н.
І. Загальні положення
1.1. Положення про порядок обробки та захисту персональних даних контрагентів (далі – Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних контрагентів ФОП Присяжнюк А. Н. (Далі – Товариство) від незаконної обробки, в т. Ч. Від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 №2297-VI (далі – Закон №2297) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1 / 02-14.
1.3. Положення є обов’язковим для виконання особами, що мають доступ до персональних даних і обробними персональні дані.
1.4. Всі терміни в цьому Положенні визначаються відповідно до Закону №2297, при цьому відповідно до термінологією Закону № 2297 Товариство вважається власником персональних даних.
1.5. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, за якими воно ідентифікується або може бути визначено ідентифіковано.
1.6. Персональні дані контрагентів Товариства за режимом доступу є інформацією з обмеженим доступом. Суспільство прийняло на себе зобов’язання щодо забезпечення захисту персональних даних контрагентів.
1.7. Персональні дані контрагентів Товариства обробляються на електронних носіях, за допомогою програмних продуктів, таких як Excel, Word і т.п.
1.8. Під обробкою персональних даних мається на увазі будь-яка дія або сукупність дій, таких як збір, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних.
ІІ. Мета і підстави обробки персональних даних
2.1. Обробка персональних даних контрагентів здійснюється з метою забезпечення реалізації договірних відносин при здійсненні Товариством господарської діяльності, адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України), відносин у сфері бухгалтерського та податкового обліку (відповідно до Податкового кодексу України, Законом України «Про бухгалтерський облік та фінансову звітність в Україні», інших нормативно-правових актів у сфері бухгалтерського та податкового обліку).
2.2. Персональні дані обробляються на підставі згоди суб’єкта персональних даних і на інших законних підставах в суворій відповідності до чинного законодавства України в сфері захисту персональних даних і зберігаються в паперовій та / або електронній формі.
ІІІ. Склад персональних даних контрагентів, оброблюваних Товариством
3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб господарської діяльності Товариством обробляються такі персональні дані контрагентів:
Контактна інформація:
• ім’я;
• адреса електронної пошти (e-mail);
•мобільний телефон;
• адреса (а);
• Пароль
• інформація про скоєні на Сайті діях.
ІV. Організація роботи з персональними даними
4.1. Для забезпечення дотримання вимог законодавства України щодо захисту і обробки персональних даних, а також умов цього Положення Власник призначає відповідальних осіб з числа своїх працівників.
4.2. Відповідальна особа виконує свої обов’язки відповідно до цього Положення та нормами чинного законодавства України щодо обробки та захисту персональних даних.
V. Права та обов’язки контрагентів як суб’єктів персональних даних
5.1. Контрагент як суб’єкт персональних даних має право в сфері захисту персональних даних відповідно до статті 8 Закону № 2297, а саме:
1. знати про джерела збору, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3. на доступ до своїх персональних даних;
4. отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, обробляються чи зберігаються його персональні дані, а також отримувати зміст таких персональних даних;
5. пред’являти вмотивовану вимогу власнику персональних даних із запереченням проти обробки своїх персональних даних;
6. пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником і розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8. звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
9. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10. вносити застереження стосовно обмеження права на обробку своїх персональних даних при наданні згоди;
11. відкликати згоду на обробку персональних даних;
12. знати механізм автоматичної обробки персональних даних;
13. на захист від автоматизованого рішення, яке має для нього правові наслідки.
VІ. Збір персональних даних контрагентів
6.1. Збір персональних даних контрагентів є складовою частиною процесу обробки таких персональних даних, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
6.2. Підставами для обробки персональних даних контрагентів є:
• укладання та виконання угоди, стороною якої є суб’єкт персональних даних або яка укладена на користь суб’єкта персональних даних або для здійснення дій, що передують укладанню угоди на вимогу суб’єкта персональних даних (п. 3 частини першої ст. 11 Закону № 2297);
• необхідність захисту законних інтересів власників персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та необхідності захисту персональних даних перевищують такий інтерес (п. 6 частини першої ст. 11 Закону № 2297).
6.3. Факт ознайомлення контрагента з правами в сфері захисту персональних даних, повідомлення про власника персональних даних, склад та зміст зібраних персональних даних, мету збору персональних даних та осіб, яким будуть передаватися персональні дані, підтверджується акцептом оферти.
6.4. При укладанні договору персональні дані контрагента вносяться в Базу даних “Контрагенти”.
6.5. У разі виявлення факту обробки відомостей про контрагента, які не відповідають дійсності, такі відомості повинні бути виправлені або знищені.
VІІ. Зберігання та знищення персональних даних контрагентів
7.1. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
7.2. Персональні дані контрагентів обробляються в формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, і зберігаються в термін не більше, ніж це необхідно відповідно до їх законним призначенням і метою їх обробки, якщо інше не передбачено законодавством у сфері архівної справи і діловодства.
7.3. Персональні дані контрагентів видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
7.4. Персональні дані підлягають знищенню у разі:
закінчення терміну зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом; припинення правовідносин між суб’єктом персональних даних та Товариством, якщо інше не передбачено законом; набрання законної сили рішенням суду про вилучення даних про фізичну особу з бази персональних даних; видання відповідного розпорядження Уповноваженого Верховної Ради з прав людини або визначених ним посадових осіб секретаріату Уповноваженого.
7.5. Персональні дані, зібрані з порушенням вимог Закону № 2297, підлягають знищенню в установленому законодавством порядку.
7.6. Відбір для знищення документів з персональними даними, терміни зберігання яких минули, проводиться експертною комісією, склад якої визначається Товариством.
7.7. Знищення персональних даних проводиться способом, що виключає подальшу можливість поновлення таких персональних даних.
VІІІ. Передача персональних даних третім особам і надання третім особам доступу до персональних даних
8.1. Передача персональних даних контрагента третім особам визначається умовами згоди на обробку персональних даних або відповідно до вимог закону.
8.2. Без згоди контрагента його персональні дані можуть передаватися у випадках:
• коли передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;
• отримання запиту від органів державної влади і місцевого самоврядування, що діють в межах повноважень, наданих законодавством України.
8.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону № 2297 або не може їх забезпечити.
8.4. Контрагент має право на отримання будь-яких відомостей про себе, що містяться у відповідній базі персональних даних, без зазначення мети запиту.
ІХ. Захист персональних даних при їх обробці
9.1. Захист персональних даних в автоматизованій системі
9.1.1. Право доступу до автоматизованої системи надається працівникам Товариства, в посадових інструкціях яких передбачені функції по обробці даних в автоматизованій системі та які надали письмове зобов’язання про нерозголошення персональних даних.
9.1.2. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом і засобами безперебійного живлення елементів системи.
9.1.3. Право доступу до персональних даних контрагентів надається третім особам, з якими Товариством укладено договір на виконання договірних зобов’язань перед контрагентами.