Regelungen zur Verarbeitung und zum Schutz personenbezogener Daten in den Datenbanken, deren Inhaber der Verkäufer ist

Inhalt

  • Allgemeine Begriffe und Anwendungsbereich

  • Verzeichnis der Datenbanken personenbezogener Daten

  • Zweck der Verarbeitung personenbezogener Daten

  • Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Zustimmung, Information über Rechte und Maßnahmen im Zusammenhang mit den personenbezogenen Daten der betroffenen Person

  • Standort der Datenbank personenbezogener Daten

  • Bedingungen für die Weitergabe von Informationen über personenbezogene Daten an Dritte

  • Schutz personenbezogener Daten: Schutzmaßnahmen, verantwortliche Person, Mitarbeiter, die personenbezogene Daten direkt verarbeiten und/oder im Rahmen ihrer dienstlichen Pflichten Zugang zu personenbezogenen Daten haben, Aufbewahrungsdauer der personenbezogenen Daten

  • Rechte der betroffenen Person

  • Verfahren für Anfragen der betroffenen Person

  • Staatliche Registrierung der Datenbank personenbezogener Daten


1. Allgemeine Begriffe und Anwendungsbereich

1.1. Begriffsdefinitionen:

  • Datenbank personenbezogener Daten – eine benannte Gesamtheit geordneter personenbezogener Daten in elektronischer Form und/oder in Form von Akten über personenbezogene Daten.

  • Verantwortliche Person – eine bestimmte Person, die die Arbeit im Zusammenhang mit dem Schutz personenbezogener Daten bei deren Verarbeitung gemäß dem Gesetz organisiert.

  • Inhaber der Datenbank personenbezogener Daten – eine natürliche oder juristische Person, der gesetzlich oder mit Zustimmung der betroffenen Person das Recht zur Verarbeitung dieser Daten eingeräumt wurde, die den Zweck der Verarbeitung personenbezogener Daten in dieser Datenbank festlegt, den Umfang dieser Daten bestimmt und die Verfahren zu deren Verarbeitung festlegt, soweit das Gesetz nichts anderes bestimmt.

  • Staatliches Register der Datenbanken personenbezogener Daten – ein einheitliches staatliches Informationssystem zur Sammlung, Speicherung und Verarbeitung von Informationen über registrierte Datenbanken personenbezogener Daten.

  • Öffentlich zugängliche Quellen personenbezogener Daten – Nachschlagewerke, Adressbücher, Register, Listen, Kataloge und andere systematisierte Sammlungen öffentlicher Informationen, die personenbezogene Daten enthalten, die mit Wissen der betroffenen Person veröffentlicht wurden. Sozialen Netzwerke und Internetressourcen, in denen die betroffene Person ihre Daten hinterlässt, gelten nicht als öffentlich zugängliche Quellen, außer wenn die betroffene Person ausdrücklich angibt, dass die Daten zur freien Nutzung und Verbreitung bestimmt sind.

  • Einwilligung der betroffenen Person – jede dokumentierte, freiwillige Willenserklärung einer natürlichen Person zur Erlaubnis der Verarbeitung ihrer personenbezogenen Daten gemäß dem festgelegten Zweck der Verarbeitung.

  • Anonymisierung personenbezogener Daten – Entfernung von Informationen, die eine Identifizierung der Person ermöglichen.

  • Verarbeitung personenbezogener Daten – jede Handlung oder Gesamtheit von Handlungen, die ganz oder teilweise in einem Informationssystem (automatisiert) und/oder in Akten personenbezogener Daten durchgeführt werden, die mit dem Sammeln, Registrieren, Speichern, Anpassen, Ändern, Aktualisieren, Verwenden und Verbreiten (Weitergeben, Realisieren, Übermitteln), Anonymisieren oder Vernichten von Informationen über eine natürliche Person verbunden sind.

  • Personenbezogene Daten – Informationen oder eine Gesamtheit von Informationen über eine identifizierte oder identifizierbare natürliche Person.

  • Verwalter der Datenbank personenbezogener Daten – eine natürliche oder juristische Person, der vom Inhaber der Datenbank personenbezogener Daten oder vom Gesetz das Recht zur Verarbeitung dieser Daten eingeräumt wurde. Personen, die lediglich technische Arbeiten an der Datenbank ohne Zugriff auf den Inhalt der personenbezogenen Daten durchführen, gelten nicht als Verwalter.

  • Betroffene Person – eine natürliche Person, deren personenbezogene Daten gemäß Gesetz verarbeitet werden.

  • Dritte Person – jede Person außer der betroffenen Person, dem Inhaber oder Verwalter der Datenbank personenbezogener Daten sowie der befugten staatlichen Stelle zum Schutz personenbezogener Daten, an die personenbezogene Daten gemäß Gesetz übermittelt werden.

  • Besondere Kategorien von Daten – personenbezogene Daten über rassische oder ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten über Gesundheit oder Sexualleben.

1.2. Anwendungsbereich
Diese Regelungen sind für die verantwortliche Person und die Mitarbeiter des Verkäufers verbindlich, die personenbezogene Daten direkt verarbeiten und/oder im Rahmen ihrer dienstlichen Pflichten Zugang zu diesen Daten haben.

2. Verzeichnis der Datenbanken personenbezogener Daten

2.1. Der Verkäufer ist Inhaber folgender Datenbanken personenbezogener Daten:

  • Datenbank personenbezogener Daten von Geschäftspartnern.


3. Zweck der Verarbeitung personenbezogener Daten

3.1. Zweck der Verarbeitung personenbezogener Daten im System ist die Sicherstellung der Durchführung zivilrechtlicher Beziehungen, die Erbringung, Entgegennahme und Durchführung von Zahlungen für erworbene Waren und Dienstleistungen gemäß dem Steuergesetzbuch der Ukraine und dem Gesetz der Ukraine „Über Buchhaltung und Finanzberichterstattung in der Ukraine“.


4. Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Zustimmung, Information über Rechte und Maßnahmen im Zusammenhang mit den personenbezogenen Daten der betroffenen Person

4.1. Die Einwilligung der betroffenen Person muss eine freiwillige Willenserklärung der natürlichen Person zur Erlaubnis der Verarbeitung ihrer personenbezogenen Daten gemäß dem festgelegten Zweck der Verarbeitung darstellen.

4.2. Die Einwilligung der betroffenen Person kann in folgenden Formen erteilt werden:

  • Dokument auf Papier mit Angaben, die die Identifizierung dieses Dokuments und der natürlichen Person ermöglichen;

  • Elektronisches Dokument, das die erforderlichen Angaben zur Identifizierung des Dokuments und der natürlichen Person enthält. Es wird empfohlen, die freiwillige Willenserklärung zur Erlaubnis der Verarbeitung der personenbezogenen Daten elektronisch mit der Signatur der betroffenen Person zu bestätigen;

  • Markierung auf einer elektronischen Seite eines Dokuments oder in einer elektronischen Datei, die im Informationssystem auf der Grundlage dokumentierter softwaretechnischer Lösungen verarbeitet wird.

4.3. Die Einwilligung der betroffenen Person wird bei der Begründung zivilrechtlicher Beziehungen gemäß den geltenden Rechtsvorschriften erteilt.

4.4. Die Information der betroffenen Person über die Aufnahme ihrer personenbezogenen Daten in die Datenbank, die Rechte gemäß dem Gesetz der Ukraine „Über den Schutz personenbezogener Daten“, den Zweck der Datensammlung sowie die Empfänger der personenbezogenen Daten erfolgt bei der Begründung zivilrechtlicher Beziehungen gemäß den geltenden Rechtsvorschriften.

4.5. Die Verarbeitung personenbezogener Daten über rassische oder ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten über Gesundheit oder Sexualleben (besondere Kategorien von Daten) ist verboten.


5. Standort der Datenbank personenbezogener Daten

5.1. Die in Abschnitt 2 genannten Datenbanken personenbezogener Daten befinden sich an der Adresse des Verkäufers.


6. Bedingungen für die Weitergabe von Informationen über personenbezogene Daten an Dritte

6.1. Der Zugang Dritter zu personenbezogenen Daten wird durch die Bedingungen der Einwilligung der betroffenen Person bestimmt, die dem Inhaber der personenbezogenen Daten zur Verarbeitung dieser Daten erteilt wurde, oder gemäß den gesetzlichen Anforderungen.

6.2. Der Zugang zu personenbezogenen Daten wird Dritten nicht gewährt, wenn diese Person sich weigert, die Verpflichtungen zur Einhaltung der Anforderungen des Gesetzes der Ukraine „Über den Schutz personenbezogener Daten“ zu übernehmen oder diese nicht erfüllen kann.

6.3. Die betroffene Partei, die mit personenbezogenen Daten in Verbindung steht, stellt dem Inhaber der Datenbank personenbezogener Daten eine Anfrage auf Zugang (im Folgenden „Anfrage“) zu personenbezogenen Daten.

6.4. Die Anfrage muss enthalten:

  • Vorname, Nachname, ggf. Patronym, Wohnsitz (Aufenthaltsort) und Angaben zum Ausweisdokument der anfragenden natürlichen Person (für natürliche Personen – Antragsteller);

  • Name, Sitz der juristischen Person, die die Anfrage stellt, Position, Vorname, Nachname, ggf. Patronym der Person, die die Anfrage beglaubigt; Bestätigung, dass der Inhalt der Anfrage den Befugnissen der juristischen Person entspricht (für juristische Personen – Antragsteller);

  • Vorname, Nachname, ggf. Patronym sowie weitere Informationen zur Identifizierung der natürlichen Person, auf die sich die Anfrage bezieht;

  • Angaben zur Datenbank personenbezogener Daten, auf die sich die Anfrage bezieht, bzw. Angaben zum Inhaber oder Verwalter dieser Datenbank;

  • Liste der angefragten personenbezogenen Daten;

  • Zweck und/oder rechtliche Grundlage der Anfrage.

6.5. Die Bearbeitungsfrist der Anfrage darf zehn Arbeitstage ab Eingang der Anfrage nicht überschreiten. Innerhalb dieser Frist informiert der Inhaber der Datenbank die anfragende Person darüber, ob die Anfrage erfüllt wird oder die entsprechenden personenbezogenen Daten nicht bereitgestellt werden können, unter Angabe der gesetzlichen Grundlage. Die Anfrage wird innerhalb von dreißig Kalendertagen ab Eingang bearbeitet, sofern gesetzlich nichts anderes vorgesehen ist.

6.6. Eine Verzögerung des Zugangs zu personenbezogenen Daten Dritter ist zulässig, wenn die erforderlichen Daten nicht innerhalb von dreißig Kalendertagen ab Eingang der Anfrage bereitgestellt werden können. Die Gesamtdauer zur Bearbeitung der in der Anfrage gestellten Fragen darf jedoch vierundvierzig Kalendertage nicht überschreiten.

6.7. Die Mitteilung über die Verzögerung wird der anfragenden Drittperson schriftlich mit Erläuterung des Verfahrens zur Anfechtung dieser Entscheidung mitgeteilt.

6.8. Die Mitteilung über die Verzögerung muss enthalten:

  • Vorname, Nachname, ggf. Patronym der zuständigen Person;

  • Datum der Mitteilung;

  • Grund der Verzögerung;

  • Frist, innerhalb derer die Anfrage erfüllt wird.

6.9. Eine Ablehnung des Zugangs zu personenbezogenen Daten ist zulässig, wenn der Zugang gesetzlich verboten ist.

6.10. Die Mitteilung über die Ablehnung muss enthalten:

  • Vorname, Nachname, ggf. Patronym der zuständigen Person, die den Zugang verweigert;

  • Datum der Mitteilung;

  • Grund der Ablehnung.

6.11. Entscheidungen über Verzögerungen oder Ablehnungen des Zugangs zu personenbezogenen Daten können gerichtlich angefochten werden.

7. Schutz personenbezogener Daten: Schutzmethoden, verantwortliche Person, Mitarbeiter, die direkt die Verarbeitung durchführen und/oder Zugang zu personenbezogenen Daten im Rahmen ihrer dienstlichen Pflichten haben, Aufbewahrungsdauer personenbezogener Daten

7.1. Der Inhaber der personenbezogenen Datenbanken ist mit systemischen, softwaretechnischen Mitteln und Kommunikationsmitteln ausgestattet, die Verluste, Diebstahl, unbefugte Zerstörung, Verzerrung, Fälschung oder Kopieren von Informationen verhindern und den Anforderungen internationaler und nationaler Standards entsprechen.

7.2. Die verantwortliche Person organisiert die Arbeit im Zusammenhang mit dem Schutz personenbezogener Daten bei deren Verarbeitung gemäß Gesetz. Die verantwortliche Person wird durch Anordnung des Inhabers der personenbezogenen Datenbank bestimmt.

Die Aufgaben der verantwortlichen Person in Bezug auf die Organisation der Arbeit im Zusammenhang mit dem Schutz personenbezogener Daten bei deren Verarbeitung werden in der Stellenbeschreibung festgelegt.

7.3. Die verantwortliche Person ist verpflichtet:

  • das Gesetz der Ukraine zum Schutz personenbezogener Daten zu kennen;

  • Zugriffsverfahren auf personenbezogene Daten der Mitarbeiter entsprechend ihren beruflichen oder dienstlichen Pflichten zu entwickeln;

  • die Einhaltung der gesetzlichen Vorschriften der Ukraine zum Schutz personenbezogener Daten und der internen Dokumente durch die Mitarbeiter des Inhabers der personenbezogenen Datenbanken sicherzustellen;

  • interne Kontrollverfahren zur Einhaltung der gesetzlichen Vorschriften und internen Dokumente zu entwickeln, einschließlich Regelungen zur Häufigkeit solcher Kontrollen;

  • den Inhaber der personenbezogenen Datenbanken über Verstöße von Mitarbeitern gegen das Gesetz zum Schutz personenbezogener Daten und interne Dokumente unverzüglich, spätestens jedoch innerhalb eines Arbeitstages, zu informieren;

  • die Aufbewahrung von Dokumenten sicherzustellen, die die Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten und deren Information über ihre Rechte bestätigen.

7.4. Zur Erfüllung seiner Aufgaben hat die verantwortliche Person das Recht:

  • erforderliche Dokumente zu erhalten, einschließlich Anordnungen und anderer verwaltungstechnischer Dokumente des Inhabers der Datenbank im Zusammenhang mit der Verarbeitung personenbezogener Daten;

  • Kopien der erhaltenen Dokumente anzufertigen, einschließlich Dateien oder Aufzeichnungen in lokalen Netzwerken oder autonomen Computersystemen;

  • an Besprechungen über die Organisation der Arbeit im Zusammenhang mit dem Schutz personenbezogener Daten teilzunehmen;

  • Vorschläge zur Verbesserung der Tätigkeit und Methoden einzubringen, Anmerkungen zu machen und Lösungen für festgestellte Mängel vorzuschlagen;

  • Erklärungen zur Verarbeitung personenbezogener Daten einzuholen;

  • Dokumente innerhalb seiner Zuständigkeit zu unterzeichnen und zu visieren.

7.5. Mitarbeiter, die direkt die Verarbeitung durchführen und/oder Zugang zu personenbezogenen Daten im Rahmen ihrer dienstlichen Pflichten haben, sind verpflichtet, die gesetzlichen Vorschriften der Ukraine und interne Dokumente zum Schutz personenbezogener Daten einzuhalten.

7.6. Mitarbeiter mit Zugriff auf personenbezogene Daten, einschließlich deren Verarbeitung, sind verpflichtet, die Vertraulichkeit der ihnen anvertrauten oder im Rahmen ihrer Pflichten bekannt gewordenen personenbezogenen Daten zu wahren. Diese Verpflichtung gilt auch nach Beendigung ihrer Tätigkeit, außer in gesetzlich geregelten Fällen.

7.7. Personen, die Zugriff auf personenbezogene Daten haben, einschließlich deren Verarbeitung, haften bei Verstößen gegen das Gesetz der Ukraine „Zum Schutz personenbezogener Daten“ nach ukrainischem Recht.

7.8. Personenbezogene Daten dürfen nicht länger als für den vorgesehenen Zweck erforderlich aufbewahrt werden, jedoch in jedem Fall nicht länger als der in der Zustimmung der betroffenen Person zur Datenverarbeitung festgelegte Zeitraum.


8. Rechte der betroffenen Person

8.1. Die betroffene Person hat das Recht:

  • über den Standort der personenbezogenen Datenbank, die ihre Daten enthält, deren Zweck und den Namen, Standort und/oder Wohnsitz des Inhabers oder Verwalters der Datenbank informiert zu sein oder eine entsprechende Vollmacht zur Informationsbeschaffung an Beauftragte zu erteilen, außer in gesetzlich geregelten Fällen;

  • Informationen über die Zugangsbedingungen zu ihren personenbezogenen Daten zu erhalten, einschließlich der Informationen über Dritte, an die ihre Daten weitergegeben werden;

  • Zugang zu ihren personenbezogenen Daten in der jeweiligen Datenbank zu erhalten;

  • spätestens 30 Kalendertage nach Eingang des Antrags eine Antwort zu erhalten, ob ihre Daten in der jeweiligen Datenbank gespeichert sind, sowie den Inhalt ihrer gespeicherten personenbezogenen Daten einzusehen;

  • einen begründeten Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten durch staatliche Behörden oder lokale Selbstverwaltungskörper einzulegen;

  • die Änderung oder Löschung ihrer personenbezogenen Daten durch den Inhaber oder Verwalter zu verlangen, wenn die Daten rechtswidrig oder unzutreffend verarbeitet werden;

  • ihre personenbezogenen Daten vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen;

  • sich an staatliche Behörden oder lokale Selbstverwaltungskörper zum Schutz ihrer Rechte in Bezug auf personenbezogene Daten zu wenden;

  • rechtliche Mittel bei Verstößen gegen das Datenschutzgesetz zu nutzen.


9. Verfahren für Anfragen der betroffenen Person

9.1. Die betroffene Person hat das Recht, ohne Angabe eines Zwecks Informationen über sich selbst von jedem Beteiligten an Beziehungen im Zusammenhang mit personenbezogenen Daten zu erhalten, außer in gesetzlich geregelten Fällen.

9.2. Der Zugang zu den eigenen personenbezogenen Daten erfolgt kostenfrei.

9.3. Die betroffene Person stellt einen Antrag auf Zugang zu personenbezogenen Daten beim Inhaber der Datenbank.

Der Antrag enthält:

  • Name, Vorname, Patronym, Wohnsitz und Ausweisdaten der betroffenen Person;

  • weitere Angaben zur Identifikation der betroffenen Person;

  • Angaben zur Datenbank oder zum Inhaber/Verwalter;

  • Liste der angeforderten personenbezogenen Daten.

9.4. Die Bearbeitungsfrist für den Antrag darf 10 Arbeitstage ab Eingang nicht überschreiten. Innerhalb dieser Frist informiert der Inhaber, ob der Antrag erfüllt werden kann oder die Daten nicht bereitgestellt werden dürfen, unter Angabe der gesetzlichen Grundlage.

9.5. Der Antrag wird innerhalb von 30 Kalendertagen nach Eingang bearbeitet, sofern nicht gesetzlich anders vorgesehen.


10. Staatliche Registrierung der personenbezogenen Datenbank

10.1. Die staatliche Registrierung personenbezogener Datenbanken erfolgt gemäß Artikel 9 des Gesetzes der Ukraine „Zum Schutz personenbezogener Daten“.