Předpis o zpracování a ochraně osobních údajů v databázích osobních údajů, jejichž vlastníkem je prodávající

Obsah

  • Obecné pojmy a oblast použití

  • Seznam databází osobních údajů

  • Účel zpracování osobních údajů

  • Postup zpracování osobních údajů: získání souhlasu, oznámení o právech a opatření týkajících se osobních údajů subjektu údajů

  • Umístění databáze osobních údajů

  • Podmínky zpřístupnění informací o osobních údajích třetím osobám

  • Ochrana osobních údajů: způsoby ochrany, odpovědná osoba, zaměstnanci, kteří přímo provádějí zpracování a/nebo mají přístup k osobním údajům v souvislosti s výkonem svých pracovních povinností, doba uchovávání osobních údajů

  • Práva subjektu osobních údajů

  • Postup práce se žádostmi subjektu osobních údajů

  • Státní registrace databáze osobních údajů


1. Obecné pojmy a oblast použití

1.1. Definice pojmů:

  • databáze osobních údajů – pojmenovaná souhrnná množina uspořádaných osobních údajů v elektronické formě a/nebo ve formě kartoték osobních údajů;

  • odpovědná osoba – určená osoba, která organizuje práci spojenou s ochranou osobních údajů při jejich zpracování podle zákona;

  • vlastník databáze osobních údajů – fyzická nebo právnická osoba, které zákonem nebo se souhlasem subjektu osobních údajů bylo uděleno právo zpracovávat tyto údaje, která schvaluje účel zpracování osobních údajů v této databázi, určuje složení těchto údajů a postupy jejich zpracování, pokud zákon nestanoví jinak;

  • Státní registr databází osobních údajů – jednotný státní informační systém pro sběr, akumulaci a zpracování informací o registrovaných databázích osobních údajů;

  • veřejně dostupné zdroje osobních údajů – adresáře, seznamy, rejstříky, katalogy a jiné systematizované sbírky otevřených informací obsahující osobní údaje, zveřejněné s vědomím subjektu údajů. Mezi veřejně dostupné zdroje se nezahrnují sociální sítě a internetové zdroje, kde subjekt údajů zanechává své osobní údaje (s výjimkou případů, kdy subjekt údajů výslovně uvedl, že údaje jsou zveřejněny za účelem volného šíření a použití);

  • souhlas subjektu osobních údajů – jakékoli dokumentované, dobrovolné vyjádření vůle fyzické osoby ohledně poskytnutí souhlasu se zpracováním jejích osobních údajů pro stanovený účel;

  • anonymizace osobních údajů – odstranění informací umožňujících identifikaci osoby;

  • zpracování osobních údajů – jakákoli činnost nebo soubor činností prováděných zcela nebo částečně v informačním (automatizovaném) systému a/nebo v kartotékách osobních údajů, souvisejících se sběrem, registrací, akumulací, uchováváním, přizpůsobováním, změnou, obnovou, používáním, šířením (distribucí, realizací, předáním), anonymizací, zničením informací o fyzické osobě;

  • osobní údaje – informace nebo soubor informací o fyzické osobě, která je identifikovaná nebo může být konkrétně identifikována;

  • správce databáze osobních údajů – fyzická nebo právnická osoba, které vlastník databáze nebo zákonem udělil právo tyto údaje zpracovávat. Správce není osoba, které byla svěřena technická práce s databází bez přístupu k obsahu osobních údajů;

  • subjekt osobních údajů – fyzická osoba, jejíž osobní údaje jsou zpracovávány podle zákona;

  • třetí osoba – jakákoli osoba kromě subjektu údajů, vlastníka nebo správce databáze osobních údajů a oprávněného státního orgánu pro ochranu osobních údajů, které jsou osobní údaje předávány podle zákona;

  • zvláštní kategorie údajů – osobní údaje o rasovém nebo etnickém původu, politických, náboženských či filozofických přesvědčeních, členství v politických stranách a profesních sdruženích, a také údaje týkající se zdraví nebo sexuálního života.

1.2. Použití předpisu
Tento předpis je závazný pro odpovědnou osobu a zaměstnance prodávajícího, kteří přímo provádějí zpracování a/nebo mají přístup k osobním údajům v souvislosti s výkonem svých pracovních povinností.

 

2. Seznam databází osobních údajů

2.1. Prodávající je vlastníkem následujících databází osobních údajů:

  • databáze osobních údajů obchodních partnerů.


3. Účel zpracování osobních údajů

3.1. Účelem zpracování osobních údajů v systému je zajištění realizace občanskoprávních vztahů, poskytování, přijímání a provádění plateb za zakoupené zboží a služby v souladu s daňovým zákoníkem Ukrajiny a Zákonem Ukrajiny o účetnictví a finančním výkaznictví.


4. Postup zpracování osobních údajů: získání souhlasu, oznámení o právech a opatření týkajících se osobních údajů subjektu údajů

4.1. Souhlas subjektu osobních údajů musí být dobrovolným vyjádřením vůle fyzické osoby ohledně poskytnutí povolení ke zpracování jejích osobních údajů v souladu se stanoveným účelem jejich zpracování.

4.2. Souhlas subjektu osobních údajů může být poskytnut v následujících formách:

  • dokument v papírové podobě s údaji umožňujícími identifikaci dokumentu a fyzické osoby;

  • elektronický dokument obsahující povinné údaje umožňující identifikaci dokumentu a fyzické osoby. Dobrovolné vyjádření vůle fyzické osoby ohledně poskytnutí souhlasu ke zpracování osobních údajů je vhodné potvrdit elektronickým podpisem subjektu údajů;

  • označení na elektronické stránce dokumentu nebo v elektronickém souboru, který je zpracováván v informačním systému na základě dokumentovaných programově-technických řešení.

4.3. Souhlas subjektu osobních údajů je udělován při uzavírání občanskoprávních vztahů v souladu s platnou legislativou.

4.4. Oznámení subjektu osobních údajů o zahrnutí jeho osobních údajů do databáze, o právech vyplývajících ze Zákona Ukrajiny o ochraně osobních údajů, o účelu sběru údajů a o osobách, kterým jsou jeho osobní údaje předávány, se provádí při uzavírání občanskoprávních vztahů v souladu s platnou legislativou.

4.5. Zpracování osobních údajů týkajících se rasového nebo etnického původu, politických, náboženských či filozofických přesvědčení, členství v politických stranách a profesních sdruženích, a rovněž údajů týkajících se zdraví nebo sexuálního života (zvláštní kategorie údajů) je zakázáno.

 

5. Umístění databází osobních údajů

5.1. Databáze osobních údajů uvedené v oddíle 2 tohoto nařízení se nacházejí na adrese prodávajícího.


6. Podmínky zpřístupnění informací o osobních údajích třetím osobám

6.1. Pravidla přístupu k osobním údajům třetích osob jsou určena podmínkami souhlasu subjektu osobních údajů, poskytnutého vlastníku databáze osobních údajů pro zpracování těchto údajů, nebo v souladu s požadavky zákona.

6.2. Přístup k osobním údajům třetí osobě není poskytován, pokud uvedená osoba odmítá převzít závazek k zajištění dodržování požadavků Zákona Ukrajiny o ochraně osobních údajů nebo není schopna je zajistit.

6.3. Subjekt vztahů souvisejících s osobními údaji podává žádost o přístup (dále jen „žádost“) k osobním údajům vlastníkovi databáze osobních údajů.

6.4. Žádost obsahuje:

  • jméno, příjmení a střední jméno, místo bydliště (pobytu) a údaje o dokladu totožnosti fyzické osoby, která žádost podává (pro fyzickou osobu – žadatele);

  • název, sídlo právnické osoby podávající žádost, pozice, jméno, příjmení a střední jméno osoby, která žádost potvrzuje; potvrzení, že obsah žádosti odpovídá pravomocím právnické osoby (pro právnickou osobu – žadatele);

  • jméno, příjmení a střední jméno a další údaje umožňující identifikaci fyzické osoby, k níž se žádost vztahuje;

  • informace o databázi osobních údajů, k níž se žádost vztahuje, nebo informace o vlastníkovi či správci této databáze;

  • seznam osobních údajů, které jsou žádány;

  • účel a/nebo právní důvody žádosti.

6.5. Doba pro vyřízení žádosti nesmí přesáhnout deset pracovních dnů ode dne jejího doručení. Během této doby vlastník databáze osobních údajů informuje osobu podávající žádost, zda bude žádost vyřízena, nebo zda příslušné osobní údaje nemohou být poskytnuty, s uvedením důvodu stanoveného příslušným právním předpisem. Žádost je vyřízena do třiceti kalendářních dnů ode dne jejího doručení, pokud zákon nestanoví jinak.

6.6. Odložení přístupu k osobním údajům třetích osob je možné, pokud požadované údaje nelze poskytnout do třiceti kalendářních dnů ode dne doručení žádosti. Celková doba řešení záležitostí uvedených v žádosti však nesmí přesáhnout čtyřicet pět kalendářních dnů.

6.7. Oznámení o odložení je třetí osobě, která žádost podala, doručeno písemně s vysvětlením postupu odvolání proti tomuto rozhodnutí.

6.8. V oznámení o odložení se uvádí:

  • jméno, příjmení a střední jméno odpovědné osoby;

  • datum odeslání oznámení;

  • důvod odložení;

  • doba, během níž bude žádost vyřízena.

6.9. Odmítnutí přístupu k osobním údajům je přípustné, pokud je přístup k nim zákonem zakázán.

6.10. V oznámení o odmítnutí se uvádí:

  • jméno, příjmení a střední jméno odpovědné osoby, která odmítá přístup;

  • datum odeslání oznámení;

  • důvod odmítnutí.

6.11. Rozhodnutí o odložení nebo odmítnutí přístupu k osobním údajům lze napadnout u soudu.

 

7. Ochrana osobních údajů: způsoby ochrany, odpovědná osoba, zaměstnanci s přístupem k osobním údajům, doba uchovávání osobních údajů

7.1. Vlastník databáze osobních údajů je vybaven systémovými a programově-technickými prostředky a komunikačními prostředky, které zabraňují ztrátám, krádežím, neoprávněnému zničení, zkreslení, padělání, kopírování informací a odpovídají požadavkům mezinárodních a národních standardů.

7.2. Odpovědná osoba organizuje práci související s ochranou osobních údajů při jejich zpracování v souladu se zákonem. Odpovědná osoba je určena příkazem vlastníka databáze osobních údajů.

Povinnosti odpovědné osoby ohledně organizace práce související s ochranou osobních údajů jsou uvedeny v pracovní náplni.

7.3. Odpovědná osoba je povinna:

  • znát legislativu Ukrajiny v oblasti ochrany osobních údajů;

  • vypracovat postupy přístupu zaměstnanců k osobním údajům podle jejich profesních, služebních či pracovních povinností;

  • zajistit, aby zaměstnanci vlastníka databáze osobních údajů dodržovali zákony Ukrajiny o ochraně osobních údajů a interní dokumenty upravující zpracování a ochranu osobních údajů v databázích;

  • vypracovat postup (proceduru) interní kontroly dodržování zákona a interních dokumentů, který mimo jiné stanoví periodicitu provádění kontroly;

  • informovat vlastníka databáze o porušení zákona zaměstnanci nejpozději do jednoho pracovního dne od zjištění;

  • zajistit uchovávání dokumentů potvrzujících souhlas subjektu osobních údajů se zpracováním jeho osobních údajů a informování subjektu o jeho právech.

7.4. Pro plnění svých povinností má odpovědná osoba právo:

  • získávat potřebné dokumenty, včetně příkazů a dalších dispozičních dokumentů vlastníka databáze;

  • pořizovat kopie těchto dokumentů, včetně kopií souborů a záznamů uložených v lokálních sítích a autonomních počítačových systémech;

  • účastnit se diskusí o své práci týkající se ochrany osobních údajů;

  • předkládat návrhy na zlepšení činnosti a metod práce, podávat připomínky a návrhy na odstranění nedostatků;

  • získávat vysvětlení týkající se zpracování osobních údajů;

  • podepisovat a visařovat dokumenty v rámci své kompetence.

7.5. Zaměstnanci, kteří přímo zpracovávají nebo mají přístup k osobním údajům v souvislosti se svými služebními (pracovními) povinnostmi, jsou povinni dodržovat zákony Ukrajiny o ochraně osobních údajů a interní předpisy upravující zpracování a ochranu osobních údajů.

7.6. Zaměstnanci s přístupem k osobním údajům jsou povinni nešířit tyto údaje jakýmkoli způsobem, ani po ukončení své práce s osobními údaji, kromě případů stanovených zákonem.

7.7. Osoby, které poruší zákon Ukrajiny o ochraně osobních údajů při zpracování osobních údajů, nesou odpovědnost v souladu s legislativou Ukrajiny.

7.8. Osobní údaje nesmí být uchovávány déle, než je nezbytné pro účel, ke kterému jsou uchovávány, a v žádném případě déle než doba uchovávání stanovená souhlasem subjektu osobních údajů.


8. Práva subjektu osobních údajů

8.1. Subjekt osobních údajů má právo:

  • znát umístění databáze osobních údajů, která obsahuje jeho údaje, její účel a identifikaci vlastníka nebo správce, či udělit oprávnění k získání těchto informací;

  • získávat informace o podmínkách přístupu k osobním údajům, včetně informací o třetích osobách, kterým jsou jeho údaje poskytovány;

  • přístup ke svým osobním údajům v databázi;

  • získat odpověď nejpozději do třiceti kalendářních dnů, zda jsou jeho údaje uchovávány, a obsah svých osobních údajů;

  • podat odůvodněnou žádost proti zpracování jeho osobních údajů orgány státní správy a místní samosprávy;

  • požadovat změnu nebo zničení svých osobních údajů, pokud jsou zpracovávány nezákonně nebo jsou nepřesné;

  • chránit své údaje před nezákonným zpracováním, ztrátou, zničením či poškozením;

  • obracet se na státní orgány či samosprávu ohledně ochrany svých práv;

  • využívat právní prostředky ochrany při porušení zákonů o ochraně osobních údajů.


9. Postup práce s žádostmi subjektu osobních údajů

9.1. Subjekt má právo získat jakékoli informace o sobě od libovolného subjektu vztahů spojených s osobními údaji, bez uvedení účelu, kromě případů stanovených zákonem.

9.2. Přístup subjektu k jeho údajům je bezplatný.

9.3. Subjekt podává žádost o přístup k osobním údajům vlastníkovi databáze. Žádost obsahuje:

  • jméno, příjmení a střední jméno, místo pobytu a údaje o dokladu totožnosti;

  • jiné údaje umožňující identifikaci subjektu;

  • informace o databázi nebo vlastníkovi či správci;

  • seznam požadovaných údajů.

9.4. Doba zkoumání žádosti nesmí přesáhnout deset pracovních dnů. Vlastník informuje subjekt, zda žádost bude vyřízena, nebo zda údaje nelze poskytnout s uvedením důvodu.

9.5. Žádost je vyřízena do třiceti kalendářních dnů od jejího doručení, pokud zákon nestanoví jinak.


10. Státní registrace databáze osobních údajů

10.1. Státní registrace databází osobních údajů se provádí v souladu s článkem 9 Zákona Ukrajiny o ochraně osobních údajů.