Политика Безопасности

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания с большим уважением относится к личной информации всех посетителей Сайта, а также пользователей предоставляемых ею услуг. Мы стремимся защищать конфиденциальность персональных данных (информации, которая идентифицирует лицо или может идентифицировать его), обеспечивая максимально комфортные условия пользования услугами Сайта для каждого пользователя.

Настоящая Политика конфиденциальности и защиты персональных данных (далее – «Политика») определяет порядок обработки персональных данных Обществом, виды собираемых персональных данных, цель их использования, взаимодействие Компании с третьими лицами, меры безопасности по защите персональных данных, условия доступа к ним, а также контактную информацию пользователей для доступа, изменения, блокировки или удаления своих персональных данных и решения любых вопросов,  которые могут возникнуть в связи с практикой защиты персональных данных.

Содержание

1. Основные понятия и область применения

2. Список баз персональных данных

3. Цель обработки персональных данных

4. Порядок обработки персональных данных: получение согласия, информирование о правах и действиях с персональными данными субъекта персональных данных

5. Местонахождение базы персональных данных

6. Условия раскрытия информации о персональных данных третьим лицам

7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением ими служебных обязанностей, срок хранения персональных данных

8. Права субъекта персональных данных

9. Порядок работы с обращениями субъекта персональных данных

10. Государственная регистрация базы персональных данных

  1. Основные понятия и область применения

1.1. Определения:

База персональных данных – организованный сбор персональных данных в электронной форме и/или в виде картотеки.

Ответственное лицо — лицо, назначенное для организации работы по защите персональных данных в соответствии с законодательством.

Владельцем базы персональных данных является физическое или юридическое лицо, которому предоставлено право обработки данных, устанавливается цель обработки, состав и порядок обработки данных.

Государственный реестр баз персональных данных – единая государственная информационная система сбора, накопления и обработки информации о зарегистрированных базах персональных данных.

Общедоступными источниками персональных данных являются справочники, реестры, каталоги и иные подборки открытой информации, содержащие персональные данные, размещенные с ведома субъекта персональных данных (социальные сети и интернет-ресурсы не являются публичными источниками, если не указано, что данные размещаются для свободного распространения и использования).

Согласие субъекта персональных данных – это документально оформленное, добровольное волеизъявление лица о предоставлении разрешения на обработку его персональных данных в соответствии с целью обработки.

Обезличивание персональных данных – это удаление информации, позволяющей идентифицировать личность.

Обработка персональных данных – любое действие или совокупность действий с персональными данными, включая сбор, регистрацию, хранение, использование, распространение, обезличивание, уничтожение данных.

Персональные данные – это информация о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Администратором базы персональных данных является физическое или юридическое лицо, которому предоставлено право обработки персональных данных, но который не имеет доступа к их содержанию.

Субъектом персональных данных является физическое лицо, в отношении которого осуществляется обработка персональных данных.

Третье лицо – любое лицо, за исключением субъекта персональных данных, владельца или администратора базы персональных данных и уполномоченного государственного органа по защите персональных данных, получающее персональные данные.

Особыми категориями данных являются персональные данные о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в партиях и профсоюзах, данные о здоровье или сексуальной жизни.

1.2. Настоящее Положение является обязательным для ответственного лица и сотрудников компании, которые обрабатывают или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей.

  1. Список баз персональных данных

2.1. Продавцу принадлежат следующие базы персональных данных:

  • база данных контрагентов.
  1. Цель обработки персональных данных

3.1. Целью обработки персональных данных является обеспечение реализации гражданско-правовых отношений, предоставление, получение и осуществление платежей за приобретенные товары и услуги в соответствии с Налоговым кодексом Украины и Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине».

  1. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

4.1. Согласие субъекта персональных данных должно являться добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с определенной целью.

4.2. Согласие субъекта персональных данных может быть дано в следующих формах:

бумажный документ с реквизитами, позволяющими идентифицировать этот документ и физическое лицо; электронный документ, содержащий обязательные реквизиты для идентификации документа и физического лица. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных должно быть удостоверено электронной подписью субъекта персональных данных; отметка на электронной странице документа или в электронном файле, обработанном в информационной системе на основании документированных программно-аппаратных решений.

4.3. Согласие субъекта персональных данных дается при оформлении гражданско-правовых отношений в соответствии с действующим законодательством.

4.4. Уведомление субъекта персональных данных о включении его персональных данных в базу данных, его правах в соответствии с Законом Украины «О защите персональных данных», цели сбора данных и лицах, которым передаются его персональные данные, осуществляется во время оформления гражданско-правовых отношений в соответствии с действующим законодательством.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, связанных со здоровьем или сексуальной жизнью (специальные категории данных), запрещена.

  1. Местонахождение базы персональных данных

5.1. Базы персональных данных, указанные в разделе 2 настоящих Правил, находятся по адресу продавца.

  1. Условия раскрытия информации о персональных данных третьим лицам

6.1. Доступ третьих лиц к персональным данным определяется условиями согласия, данного субъектом персональных данных владельцу этих данных, либо в соответствии с требованиями законодательства.

6.2. Доступ к персональным данным не предоставляется третьему лицу, если оно отказывается от принятия на себя обязательств по обеспечению соблюдения требований Закона Украины «О защите персональных данных» или не может их предоставить.

6.3. Субъект отношений, связанных с персональными данными, направляет запрос на доступ к персональным данным владельцу этих данных.

6.4. В запросе должны быть указаны:

фамилия, имя, отчество, место жительства (пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее заявление (для физического лица – заявителя); наименование, место нахождения юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя); фамилия, имя и отчество, а также иные сведения, позволяющие идентифицировать физическое лицо, в отношении которого обращается запрос; сведения о базе персональных данных, в отношении которой сделан запрос, или сведения о владельце или распорядителе этой базы персональных данных; перечень запрашиваемых персональных данных; цель и/или правовое основание запроса.

6.5. Срок рассмотрения запроса не может превышать десяти рабочих дней со дня его получения. В течение этого срока владелец базы персональных данных уведомляет лицо, подавшее запрос, о том, что запрос будет удовлетворен или что соответствующие персональные данные не подлежат предоставлению, с указанием оснований, указанных в соответствующем нормативном правовом акте. Требование должно быть удовлетворено в течение тридцати календарных дней со дня его получения, если иное не предусмотрено законом.

6.6. Отсрочка доступа к персональным данным допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней с даты получения запроса. При этом общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.

6.7. Уведомление об отсрочке направляется третьему лицу, подавшему ходатайство, в письменной форме с разъяснением порядка обжалования такого решения.

6.8. В уведомлении об отсрочке указываются:

фамилия, имя и отчество должностного лица; дата отправки сообщения; причина переноса; срок, в течение которого запрос будет удовлетворен.

6.9. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен законодательством.

6.10. В уведомлении об отказе указываются:

фамилия, имя, отчество должностного лица, отказывающего в доступе; дата отправки сообщения; Причина отказа.

6.11. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в судебном порядке.

  1. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и/или имеющие доступ к персональным данным в связи с исполнением ими служебных обязанностей, срок хранения персональных данных

7.1. Владелец базы персональных данных оснащен системой, программно-аппаратными средствами и средствами связи, предотвращающими утрату, кражу, несанкционированное уничтожение, искажение, подделку, копирование информации и отвечающими требованиям международных и национальных стандартов.

7.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законодательством. Ответственное лицо определяется приказом Владельца базы персональных данных.

Обязанности ответственного лица в части организации работы, связанной с защитой персональных данных при их обработке, указаны в должностной инструкции.

7.3. Ответственное лицо обязано:

  • знать законодательство Украины в сфере защиты персональных данных;
  • разрабатывать процедуру доступа к персональным данным работников в соответствии с их профессиональными, служебными или трудовыми обязанностями;
  • обеспечить соблюдение работниками Владельца Базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регламентирующих деятельность Владельца Базы персональных данных относительно обработки и защиты персональных данных в базах персональных данных;
  • разработать порядок внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регламентирующих деятельность Владельца базы персональных данных относительно обработки и защиты персональных данных в базах персональных данных, которые, в частности, должны содержать правила о периодичности такого контроля;
  • уведомлять Владельца базы персональных данных о фактах нарушения работниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регламентирующих деятельность Владельца базы персональных данных относительно обработки и защиты персональных данных в базах персональных данных, не позднее одного рабочего дня с момента обнаружения таких нарушений;
  • обеспечить хранение документов, подтверждающих согласие субъекта персональных данных на обработку его персональных данных и уведомление указанного субъекта о его правах.

7.4. Для выполнения своих обязанностей ответственное лицо имеет право:

  • получать необходимые документы, в том числе распоряжения и иные распорядительные документы, изданные Владельцем базы персональных данных, связанные с обработкой персональных данных;
  • делать копии полученных документов, в том числе копий файлов, любых записей, хранящихся в локальных компьютерных сетях и автономных компьютерных системах;
  • участвовать в обсуждении выполняемых им обязанностей, организации работы, связанной с защитой персональных данных при их обработке;
  • вносить предложения по совершенствованию деятельности и методов работы, вносить замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;
  • получать разъяснения по вопросам обработки персональных данных;
  • подписывать и индоссировать документы в пределах своей компетенции.

7.5. Работники, которые непосредственно обрабатывают и/или имеют доступ к персональным данным в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов относительно обработки и защиты персональных данных в базах персональных данных.

7.6. Работники, имеющие доступ к персональным данным, в том числе те, кто их обрабатывает, обязаны не допускать разглашения любым способом персональных данных, которые им доверены или которые стали известны в связи с исполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство вступает в силу после прекращения их деятельности, связанной с персональными данными, если иное не предусмотрено законом.

7.7. Лица, которые имеют доступ к персональным данным, в том числе те, кто обрабатывает их в случае нарушения требований Закона Украины «О защите персональных данных», несут ответственность в соответствии с законодательством Украины.

7.8. Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой такие данные хранятся, но ни в коем случае не дольше срока хранения данных, определяемого согласием субъекта персональных данных на обработку этих данных.

  1. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

  • знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначении и наименовании, местонахождении и (или) месте жительства (пребывания) владельца или распорядителя этой базы данных, либо давать соответствующее поручение о получении этой информации уполномоченным им лицам, за исключением случаев, установленных законом;
  • получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются их персональные данные, содержащиеся в соответствующей базе персональных данных;
  • на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
  • не позднее тридцати календарных дней со дня получения запроса, за исключением случаев, предусмотренных законом, получить ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получить содержание своих персональных данных, которые хранятся;
  • подать мотивированное требование с возражением против обработки своих персональных данных государственными органами, органами местного самоуправления при осуществлении ими полномочий, предусмотренных законом;
  • обращаться с мотивированным требованием об изменении или уничтожении своих персональных данных любым владельцем и администратором этой базы данных, если эти данные обрабатываются незаконно или являются недостоверными;
  • на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения вследствие умышленного сокрытия, непредоставления или несвоевременного предоставления, а также на защиту от предоставления сведений, являющихся недостоверными или порочащих честь, достоинство и деловую репутацию физического лица;
  • обращаться за защитой своих прав в отношении персональных данных в органы государственной власти, органы местного самоуправления, в полномочия которых входит защита персональных данных;
  • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
  1. Порядок работы с обращениями субъекта персональных данных

9.1. Субъект персональных данных вправе получать любую информацию о себе от любого субъекта отношений, связанных с персональными данными, без указания цели запроса, за исключением случаев, установленных законодательством.

9.2. Доступ субъекта персональных данных к данным о себе является бесплатным.

9.3. Субъект персональных данных направляет запрос на доступ (далее – запрос) к персональным данным владельцу базы персональных данных.

Запрос должен содержать:

  • фамилию, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
  • иные сведения, позволяющие идентифицировать личность субъекта персональных данных;
  • сведения о базе персональных данных, в отношении которой сделан запрос, или сведения о владельце или распорядителе этой базы данных;
  • перечень запрашиваемых персональных данных.

9.4. Срок рассмотрения запроса о его удовлетворении не может превышать десяти рабочих дней со дня его получения. В течение этого срока владелец базы персональных данных информирует субъекта персональных данных о том, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием оснований, указанных в соответствующем нормативном правовом акте.

9.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его получения, если иное не предусмотрено законодательством.

  1. Государственная регистрация базы персональных данных

10.1. Государственная регистрация баз персональных данных осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных».