Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych, których właścicielem jest sprzedawca

Spis treści

  1. Pojęcia ogólne i zakres stosowania

  2. Wykaz baz danych osobowych

  3. Cel przetwarzania danych osobowych

  4. Tryb przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach oraz działania dotyczące danych osobowych osoby, której dane dotyczą

  5. Lokalizacja bazy danych osobowych

  6. Warunki ujawniania informacji o danych osobowych osobom trzecim

  7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych

  8. Prawa osoby, której dane dotyczą

  9. Procedura obsługi żądań osoby, której dane dotyczą

  10. Rejestracja państwowa bazy danych osobowych


1. Pojęcia ogólne i zakres stosowania

1.1. Definicje terminów:

  • baza danych osobowych – nazwana zbiorowość uporządkowanych danych osobowych w formie elektronicznej i/lub w postaci kartotek danych osobowych;

  • osoba odpowiedzialna – wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania, zgodnie z ustawą;

  • właściciel bazy danych osobowych – osoba fizyczna lub prawna, której ustawa lub zgoda osoby, której dane dotyczą, przyznaje prawo do przetwarzania tych danych, która zatwierdza cel przetwarzania danych osobowych w tej bazie danych, ustala skład tych danych oraz procedury ich przetwarzania, chyba że ustawa stanowi inaczej;

  • Państwowy rejestr baz danych osobowych – jednolity państwowy system informacji do gromadzenia, akumulacji i przetwarzania informacji o zarejestrowanych bazach danych osobowych;

  • publicznie dostępne źródła danych osobowych – podręczniki, książki adresowe, rejestry, listy, katalogi, inne zorganizowane zbiory informacji publicznych zawierające dane osobowe, udostępnione i opublikowane za wiedzą osoby, której dane dotyczą. Nie uważa się za publicznie dostępne źródła danych osobowych sieci społecznościowe ani zasoby internetowe, w których osoba, której dane dotyczą, pozostawia swoje dane osobowe (z wyjątkiem sytuacji, gdy osoba, której dane dotyczą, wyraźnie wskazuje, że dane osobowe zostały umieszczone w celu ich swobodnego rozpowszechniania i wykorzystywania);

  • zgoda osoby, której dane dotyczą – każde udokumentowane, dobrowolne oświadczenie woli osoby fizycznej w sprawie udzielenia pozwolenia na przetwarzanie jej danych osobowych zgodnie z określonym celem przetwarzania;

  • anonimizacja danych osobowych – usunięcie informacji umożliwiających identyfikację osoby;

  • przetwarzanie danych osobowych – jakiekolwiek działanie lub zestaw działań wykonywanych w całości lub częściowo w systemie informatycznym (zautomatyzowanym) i/lub w kartotekach danych osobowych, związanych z gromadzeniem, rejestracją, akumulacją, przechowywaniem, dostosowywaniem, zmianą, aktualizacją, używaniem i rozpowszechnianiem (dystrybucją, sprzedażą, przekazywaniem), anonimizacją, niszczeniem informacji o osobie fizycznej;

  • dane osobowe – informacje lub zbiór informacji o osobie fizycznej, która jest zidentyfikowana lub może zostać konkretnie zidentyfikowana;

  • administrator bazy danych osobowych – osoba fizyczna lub prawna, której właściciel bazy danych osobowych lub ustawa przyznaje prawo do przetwarzania tych danych. Nie jest administratorem bazy danych osobowych osoba, której właściciel i/lub administrator bazy zleca wykonywanie prac technicznych związanych z bazą danych osobowych bez dostępu do treści danych osobowych;

  • osoba, której dane dotyczą – osoba fizyczna, względem której zgodnie z ustawą dokonuje się przetwarzania jej danych osobowych;

  • osoba trzecia – każda osoba z wyjątkiem osoby, której dane dotyczą, właściciela lub administratora bazy danych osobowych oraz upoważnionego organu państwowego ds. ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z ustawą;

  • szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także danych dotyczących zdrowia lub życia seksualnego.

1.2. Niniejszy Regulamin jest obowiązkowy do stosowania przez osobę odpowiedzialną oraz pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Wykaz baz danych osobowych

2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:

  • baza danych osobowych kontrahentów.


3. Cel przetwarzania danych osobowych

3.1. Celem przetwarzania danych osobowych w systemie jest zapewnienie realizacji stosunków cywilnoprawnych, świadczenie, otrzymywanie oraz dokonywanie rozliczeń za nabyte towary i usługi zgodnie z Kodeksem Podatkowym Ukrainy oraz ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie”.


4. Tryb przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach oraz działania dotyczące danych osobowych osoby, której dane dotyczą

4.1. Zgoda osoby, której dane dotyczą, musi być dobrowolnym wyrażeniem woli osoby fizycznej w sprawie udzielenia pozwolenia na przetwarzanie jej danych osobowych zgodnie z określonym celem przetwarzania.

4.2. Zgoda osoby, której dane dotyczą, może być wyrażona w następujących formach:

  • dokument papierowy zawierający dane umożliwiające identyfikację dokumentu i osoby fizycznej;

  • dokument elektroniczny zawierający obowiązkowe dane umożliwiające identyfikację dokumentu oraz osoby fizycznej. Dobrowolne wyrażenie woli osoby fizycznej w sprawie udzielenia pozwolenia na przetwarzanie jej danych osobowych zaleca się potwierdzać podpisem elektronicznym osoby, której dane dotyczą;

  • zaznaczenie na elektronicznej stronie dokumentu lub w pliku elektronicznym przetwarzanym w systemie informatycznym na podstawie udokumentowanych rozwiązań programowo-technicznych.

4.3. Zgoda osoby, której dane dotyczą, udzielana jest w trakcie zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.4. Powiadomienie osoby, której dane dotyczą, o włączeniu jej danych osobowych do bazy danych osobowych, o prawach określonych w ustawie Ukrainy „O ochronie danych osobowych”, celu gromadzenia danych oraz o osobach, którym przekazywane są jej dane osobowe, odbywa się w trakcie zawierania stosunków cywilnoprawnych zgodnie z obowiązującym prawem.

4.5. Przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, członkostwa w partiach politycznych i związkach zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych) jest zabronione.


5. Lokalizacja bazy danych osobowych

5.1. Bazy danych osobowych wskazane w rozdziale 2 niniejszego Regulaminu znajdują się pod adresem sprzedawcy.


6. Warunki ujawniania informacji o danych osobowych osobom trzecim

6.1. Tryb dostępu do danych osobowych osób trzecich określa zgoda osoby, której dane dotyczą, udzielona właścicielowi danych osobowych na przetwarzanie tych danych, lub odpowiednio wymogi prawa.

6.2. Dostęp do danych osobowych osobie trzeciej nie jest udzielany, jeśli dana osoba odmawia podjęcia zobowiązania do zapewnienia przestrzegania wymogów ustawy Ukrainy „O ochronie danych osobowych” lub nie jest w stanie ich zapewnić.

6.3. Podmiot stosunków związanych z danymi osobowymi składa wniosek o dostęp (dalej – wniosek) do danych osobowych właścicielowi danych osobowych.

6.4. We wniosku należy podać:

  • nazwisko, imię i imię ojca, miejsce zamieszkania (pobytu) oraz dane dokumentu potwierdzającego tożsamość osoby składającej wniosek (dla osoby fizycznej – wnioskodawcy);

  • nazwę, siedzibę osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i imię ojca osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej – wnioskodawcy);

  • nazwisko, imię i imię ojca oraz inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;

  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu bazy danych osobowych bądź administratorze;

  • wykaz danych osobowych, o które wnioskuje się;

  • cel i/lub podstawę prawną wniosku.

6.5. Termin rozpatrzenia wniosku w celu jego zaspokojenia nie może przekraczać dziesięciu dni roboczych od dnia jego wpływu. W tym czasie właściciel bazy danych osobowych informuje osobę składającą wniosek, czy wniosek zostanie zaspokojony lub odpowiednie dane osobowe nie podlegają udostępnieniu, wskazując podstawę określoną w odpowiednim akcie prawnym. Wniosek zaspokaja się w ciągu trzydziestu dni kalendarzowych od dnia jego wpływu, chyba że przepisy prawa stanowią inaczej.

6.6. Odroczenie dostępu do danych osobowych osób trzecich dopuszczalne jest w przypadku, gdy nie można udostępnić wymaganych danych w ciągu trzydziestu dni kalendarzowych od dnia wpływu wniosku. Całkowity termin rozpatrzenia spraw poruszonych we wniosku nie może przekraczać czterdziestu pięciu dni kalendarzowych.

6.7. Powiadomienie o odroczeniu przekazuje się osobie trzeciej składającej wniosek w formie pisemnej wraz z wyjaśnieniem trybu odwołania od tej decyzji.

6.8. W powiadomieniu o odroczeniu należy wskazać:

  • nazwisko, imię i imię ojca osoby zajmującej stanowisko;

  • datę wysłania powiadomienia;

  • przyczynę odroczenia;

  • termin, w którym wniosek zostanie zaspokojony.

6.9. Odmowa dostępu do danych osobowych dopuszczalna jest, jeśli dostęp do nich jest zabroniony zgodnie z prawem.

6.10. W powiadomieniu o odmowie należy wskazać:

  • nazwisko, imię i imię ojca osoby zajmującej stanowisko, która odmawia dostępu;

  • datę wysłania powiadomienia;

  • przyczynę odmowy.

6.11. Decyzję o odroczeniu lub odmowie dostępu do danych osobowych można zaskarżyć do sądu.

7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych

7.1. Posiadacz bazy danych osobowych jest wyposażony w systemy oraz środki techniczno-programowe i środki komunikacji, które zapobiegają utracie, kradzieży, nieautoryzowanemu zniszczeniu, zniekształceniu, podrabianiu, kopiowaniu informacji i które spełniają wymagania międzynarodowych i krajowych standardów.

7.2. Osoba odpowiedzialna organizuje pracę związaną z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem. Osoba odpowiedzialna jest wyznaczana zarządzeniem posiadacza bazy danych osobowych.

Obowiązki osoby odpowiedzialnej w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania określa jej instrukcja stanowiskowa.

7.3. Osoba odpowiedzialna zobowiązana jest:

  • znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;

  • opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi;

  • zapewnić przestrzeganie przez pracowników posiadacza bazy danych osobowych wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność posiadacza bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;

  • opracować procedurę wewnętrznej kontroli przestrzegania wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność posiadacza bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych, która powinna określać m.in. częstotliwość takiej kontroli;

  • informować posiadacza bazy danych osobowych o przypadkach naruszeń przez pracowników wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność posiadacza bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w terminie nie późniejszym niż jeden dzień roboczy od momentu wykrycia takich naruszeń;

  • zapewnić przechowywanie dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz poinformowanie podmiotu o jego prawach.

7.4. W celu wykonywania swoich obowiązków osoba odpowiedzialna ma prawo:

  • otrzymywać niezbędne dokumenty, w tym zarządzenia i inne dokumenty wydane przez posiadacza bazy danych osobowych, związane z przetwarzaniem danych osobowych;

  • sporządzać kopie otrzymanych dokumentów, w tym kopie plików i wszelkich zapisów przechowywanych w sieciach komputerowych i systemach autonomicznych;

  • uczestniczyć w dyskusjach dotyczących wykonywanych przez siebie obowiązków w zakresie organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;

  • zgłaszać propozycje poprawy działalności i udoskonalenia metod pracy, przedstawiać uwagi i propozycje usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych;

  • otrzymywać wyjaśnienia w sprawach związanych z przetwarzaniem danych osobowych;

  • podpisywać i wizować dokumenty w granicach swojej kompetencji.

7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (zawodowych), zobowiązani są przestrzegać wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów dotyczących przetwarzania i ochrony danych osobowych w bazach danych osobowych.

7.6. Pracownicy mający dostęp do danych osobowych, w tym przetwarzający je, zobowiązani są nie ujawniać w żaden sposób danych osobowych, które zostały im powierzone lub które stały się znane w związku z wykonywaniem obowiązków zawodowych lub służbowych. Obowiązek ten obowiązuje również po zakończeniu działalności związanej z danymi osobowymi, z wyjątkiem przypadków przewidzianych prawem.

7.7. Osoby mające dostęp do danych osobowych, w tym je przetwarzające, w przypadku naruszenia wymagań ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.

7.8. Dane osobowe nie powinny być przechowywane dłużej niż jest to konieczne dla celu, dla którego dane te są przechowywane, ale w każdym przypadku nie dłużej niż okres przechowywania danych określony zgodą podmiotu danych osobowych na ich przetwarzanie.


8. Prawa podmiotu danych osobowych

8.1. Podmiot danych osobowych ma prawo:

  • znać lokalizację bazy danych osobowych, która zawiera jego dane osobowe, jej przeznaczenie oraz nazwę, lokalizację i/lub miejsce zamieszkania (pobytu) posiadacza lub administratora tej bazy, lub wydać odpowiednie upoważnienie w celu uzyskania tych informacji przez upoważnione osoby, z wyjątkiem przypadków przewidzianych prawem;

  • otrzymywać informacje o warunkach dostępu do danych osobowych, w tym informacje o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;

  • mieć dostęp do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;

  • otrzymać odpowiedź w terminie nie później niż 30 dni kalendarzowych od dnia otrzymania zapytania, z wyjątkiem przypadków przewidzianych prawem, informującą, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, oraz otrzymać treść przechowywanych danych;

  • zgłaszać uzasadnione żądanie sprzeciwu wobec przetwarzania swoich danych osobowych przez organy władzy państwowej lub samorządu lokalnego w zakresie wykonywania ich kompetencji przewidzianych prawem;

  • zgłaszać uzasadnione żądanie zmiany lub zniszczenia swoich danych osobowych przez dowolnego posiadacza lub administratora tej bazy, jeśli dane te są przetwarzane niezgodnie z prawem lub są nieprawdziwe;

  • chronić swoje dane osobowe przed nielegalnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w związku z umyślnym ukryciem, niewydaniem lub nieterminowym ich przekazaniem, a także przed podawaniem informacji nieprawdziwych lub naruszających honor, godność i reputację osoby fizycznej;

  • zwracać się w sprawach ochrony swoich praw dotyczących danych osobowych do organów władzy państwowej, organów samorządu lokalnego, do kompetencji których należy ochrona danych osobowych;

  • stosować środki prawne w przypadku naruszenia ustawodawstwa dotyczącego ochrony danych osobowych.


9. Procedura pracy z zapytaniami podmiotu danych osobowych

9.1. Podmiot danych osobowych ma prawo do otrzymania wszelkich informacji o sobie od dowolnego podmiotu uczestniczącego w relacjach związanych z danymi osobowymi, bez podania celu zapytania, z wyjątkiem przypadków przewidzianych prawem.

9.2. Dostęp podmiotu danych osobowych do danych o sobie jest bezpłatny.

9.3. Podmiot danych osobowych składa zapytanie w sprawie dostępu do danych osobowych do posiadacza bazy danych osobowych.

W zapytaniu należy podać:

  • imię, nazwisko, miejsce zamieszkania (pobytu) oraz dane dokumentu potwierdzającego tożsamość podmiotu danych osobowych;

  • inne informacje pozwalające zidentyfikować podmiot danych osobowych;

  • informacje o bazie danych osobowych, której dotyczy zapytanie, lub informacje o posiadaczu lub administratorze tej bazy;

  • wykaz danych osobowych, które są przedmiotem zapytania.

9.4. Termin rozpatrzenia zapytania nie może przekraczać dziesięciu dni roboczych od dnia jego otrzymania. W tym czasie posiadacz bazy danych osobowych informuje podmiot danych osobowych, czy zapytanie zostanie zrealizowane lub czy odpowiednie dane osobowe nie podlegają udostępnieniu, wskazując podstawę prawną.

9.5. Zapytanie jest realizowane w ciągu 30 dni kalendarzowych od dnia jego otrzymania, chyba że prawo stanowi inaczej.


10. Rejestracja państwowa bazy danych osobowych

10.1. Rejestracja państwowa baz danych osobowych odbywa się zgodnie z artykułem 9 Ustawy Ukrainy „O ochronie danych osobowych”.