1. Загальні положення

1.1. Цим Порядком обробки персональних даних (далі – «Порядок») визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються із застосуванням автоматизованих засобів.

2. Перелік баз персональних даних

2.1. Продавець є власником наступних баз персональних даних: база персональних даних контрагентів.

3. Вимоги до обробки персональних даних

3.1. Мета обробки персональних даних повинна бути чіткою та законною. Метою обробки персональних даних є забезпечення реалізації цивільно-правових відносин, надання/отримання та здійснення розрахунків за придбані товари відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні».

3.2. Мета обробки персональних даних повинна бути визначена до початку їх збору.

3.3. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних Володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.

3.4. Обробка персональних даних здійснюється Володільцем персональних даних лише за згодою суб’єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.

3.5. Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються Володільцем протягом часу обробки таких даних.

3.6. Володілець персональних даних, крім випадків, передбачених законодавством України, повідомляє суб’єкта персональних даних про склад і зміст зібраних персональних даних, його права, визначені Законом, мету збору персональних даних та третіх осіб, яким передаються його персональні дані:

- у момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

- в інших випадках протягом тридцяти робочих днів з дня збору персональних даних. Володілець зберігає інформацію (документи), що підтверджують надання заявнику вищезазначеної інформації, протягом усього періоду обробки персональних даних.

3.7. Персональні дані обробляються у формі, що дозволяє ідентифікувати фізичну особу, якої вони стосуються, у строк, не довший, ніж це необхідно відповідно до мети їх обробки. У будь-якому разі вони обробляються у формі, що дозволяє ідентифікувати фізичну особу, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.

3.8. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості мають бути невідкладно змінені або знищені.

3.9. Суб’єкт персональних даних має право пред’явити вмотивовану вимогу Володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається Володільцем протягом 10 днів з моменту отримання.

3.10. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно, Володілець припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, Володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.

3.11. У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.

3.12. Суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди Володілець зобов’язаний припинити обробку персональних даних.

3.13. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість відновлення таких персональних даних.

3.14. Порядок доступу до персональних даних суб’єкта персональних даних та третіх осіб визначається статтями 16-17 Закону України «Про захист персональних даних».

3.15. Володілець повідомляє суб’єкта персональних даних про дії з його персональними даними на умовах, визначених статтею 21 Закону України «Про захист персональних даних».

4. Захист персональних даних

4.1. Володілець бази персональних даних вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.

4.2. Володілець бази персональних даних забезпечений системними та програмно-технічними засобами і засобами зв’язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробці, копіюванню інформації та відповідають вимогам міжнародних і національних стандартів.

4.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадковій втраті або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до персональних даних.

4.4. Відповідальна особа організовує роботу, пов’язану із захистом персональних даних під час їх обробки, відповідно до закону. Відповідальна особа визначається наказом Володільця бази персональних даних. Обов’язки відповідальної особи щодо організації роботи, пов’язаної із захистом персональних даних під час їх обробки, зазначаються у посадовій інструкції.

4.5. Відповідальна особа зобов’язана:

  • знати законодавство України у сфері захисту персональних даних;
  • визначити порядок доступу до персональних даних працівників Володільця;
  • визначити порядок ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
  • розробити план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
  • регулярно проводити навчання співробітників, які працюють з персональними даними;
  • забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку своїх персональних даних та повідомлення зазначеного суб’єкта про його права;
  • інформувати та консультувати Володільця з питань дотримання законодавства про захист персональних даних;
  • взаємодіяти з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його Секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

4.6. З метою виконання своїх обов’язків відповідальна особа:

  • забезпечує реалізацію прав суб’єктів персональних даних;
  • користується доступом до будь-яких даних, що обробляються Володільцем, та до всіх приміщень Володільця, де здійснюється така обробка;
  • у разі виявлення порушень законодавства про захист персональних даних та/або цього Порядку повідомляє про це керівника Володільця з метою вжиття необхідних заходів;
  • аналізує загрози безпеці персональних даних.

4.7. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.

4.8. Факти порушень процесу обробки та захисту персональних даних повинні бути документально зафіксовані відповідальною особою, яка організовує роботу, пов’язану із захистом персональних даних під час їх обробки.

4.9. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків, зобов’язані дотримуватися вимог законодавства України у сфері захисту персональних даних та внутрішніх документів щодо обробки та захисту персональних даних у базах персональних даних.

4.10. Працівники, які мають доступ до персональних даних, у тому числі здійснюють їх обробку, зобов’язані не допускати розголошення будь-яким способом персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних, службових або трудових обов’язків. Таке зобов’язання діє після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, встановлених законом.

4.11. Особи, які мають доступ до персональних даних, у тому числі здійснюють їх обробку, у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно із законодавством України.

4.12. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних.

4.13. Володілець веде облік працівників, які мають доступ до персональних даних суб’єктів. Володілець визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.

4.14. Усі інші працівники Володільця мають право на повну інформацію лише стосовно власних персональних даних.

4.15. Працівники, які мають доступ до персональних даних, надають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

4.16. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.

4.17. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.

4.18. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

4.19. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися таким чином, щоб унеможливити доступ до них сторонніх осіб.

4.20. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються, та роботи технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

5. Місцезнаходження бази персональних даних

5.1. Вказані в цьому Положенні бази персональних даних знаходяться за адресою Продавця.