Положення Про захист та обробку персональних даних контрагентів

serta.ua

І. Загальні положення

1.1. Положення про порядок обробки та захисту персональних даних контрагентів (далі – Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних контрагентів інтернет-магазину serta.ua (далі – інтернет-магазин) від незаконної обробки, в т. ч. від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.

1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 №2297-VI (далі – Закон №2297) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14.

1.3. Положення є обов'язковим для виконання особами, що мають доступ до персональних даних та обробляють персональні дані.

1.4. Усі строки в цьому положенні визначаються відповідно до Закону № 2297, при цьому відповідно до термінології Закону № 2297 інтернет-магазин вважається власником персональних даних.

1.5. До персональних даних відносяться будь-які відомості або сукупність відомостей про фізичну особу, за якими вона ідентифікується або може бути визначено ідентифікована.

1.6. Персональні дані контрагентів інтернет-магазина за режимом доступу є інформацією з обмеженим доступом. Інтернет-магазин прийняв на себе зобов'язання щодо забезпечення захисту персональних даних контрагентів.

1.7. Персональні дані контрагентів інтернет-магазину обробляються на електронних носіях, за допомогою програмних продуктів, таких як Excel, Word і т. п.

1.8. Під обробкою персональних даних мається на увазі будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних.

ІІ. Мета і підстави обробки персональних даних

2.1. Обробка персональних даних контрагентів здійснюється з метою забезпечення реалізації договірних відносин при здійсненні інтернет-магазином господарської діяльності, адміністративно-правових відносин (згідно з Господарським кодексом України, Цивільним кодексом України), відносин у сфері бухгалтерського і податкового обліку (відповідно з Податковим кодексом України, Законом України «Про бухгалтерський облік та фінансову звітність в Україні», інших нормативно-правових актів у сфері бухгалтерського та податкового обліку).

2.2. Персональні дані обробляються на підставі згоди суб'єкта персональних даних і на інших законних підставах у суворій відповідності з чинним законодавством України в сфері захисту персональних даних і зберігаються в паперовій та/або електронній формі.

ІІІ. Склад персональних даних контрагентів, що обробляються інтернет-магазином

3.1. Відповідно до певної мети опрацювання, нормативно-правових актів, потреб господарської діяльності інтернет-магазином обробляються такі персональні дані контрагентів:

Контактна інформація:

• ім'я;
• адреса електронної пошти (e-mail);
• мобільний телефон;
• адреса (и);
• пароль;
• інформація про вчинені на сайті дії.

ІV. Організація роботи з персональними даними

4.1. Для забезпечення дотримання вимог законодавства України щодо захисту та обробки персональних даних, а також умов цього Положення Власник призначає відповідальних осіб з числа своїх працівників.

4.2. Відповідальна особа виконує свої обов'язки відповідно до цього Положення та норм чинного законодавства України щодо обробки та захисту персональних даних.

V. Права та обов'язки контрагентів як суб'єктів персональних даних

5.1. Контрагент як суб'єкт персональних даних має право у сфері захисту персональних даних згідно зі статтею 8 Закону № 2297, а саме:

1. знати про джерела збору, місцезнаходження своїх персональних даних, мети їх обробки, місцезнаходження або місце проживання (перебування) власника чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3. на доступ до своїх персональних даних;
4. отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, як обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5. пред'являти мотивовану вимогу власнику персональних даних із запереченням проти обробки своїх персональних даних;
6. пред'являти мотивовану вимогу про зміну або знищення своїх персональних даних будь-яким власником і розпорядником персональних даних, якщо ці дані обробляються незаконно або є недостовірними;
7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8. звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або у суд;
9. застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;
10. вносити застереження щодо обмеження права на обробку своїх персональних даних при наданні згоди;
11. відкликати згоду на обробку персональних даних;
12. знати механізм автоматичної обробки персональних даних;
13. на захист від автоматизованого рішення, яке має для нього правові наслідки.

VІ. Збір персональних даних контрагентів

6.1. Збір персональних даних контрагентів є складовою частиною процесу обробки таких персональних даних, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

6.2. Підставами для обробки персональних даних контрагентів є:

• укладення та виконання угоди, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних або для здійснення дій, що передують укладенню угоди на вимогу суб'єкта персональних даних (п. 3 частини першої ст. 11 Закону № 2297);
• необхідність захисту законних інтересів володарів персональних даних, третіх осіб, крім випадків, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних перевищують такий інтерес (п. 6 частини першої ст. 11 Закону № 2297).

6.3. Факт ознайомлення контрагента з правами у сфері захисту персональних даних, повідомлення про власника персональних даних, склад і зміст зібраних персональних даних, мета збору персональних даних та особи, яким будуть передаватися персональні дані, підтверджується акцептом оферти.

6.4. При укладенні договору персональні дані контрагента вносяться у Базу даних "Контрагенти".

6.5. У разі виявлення факту обробки інформації про контрагента, які не відповідають дійсності, такі відомості повинні бути виправлені або знищені.

VІІ. Зберігання та знищення персональних даних контрагентів

7.1. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

7.2. Персональні дані контрагентів обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, і зберігаються у строк не більше, ніж це необхідно відповідно до їх законного призначеннення та метою їх обробки, якщо інше не передбачено законодавством у сфері архівної справи і діловодства.

7.3. Персональні дані контрагентів видаляються або знищуються у порядку, встановленому відповідно до вимог закону.

7.4. Персональні дані підлягають знищенню у разі:

закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом; припинення правовідносин між суб'єктом персональних даних та інтернет-магазином, якщо інше не передбачено законом; набрання законної сили рішенням суду про вилучення даних про фізичну особу з бази персональних даних; видання відповідного припису Уповноваженого Верховної Ради з прав людини або певних посадових осіб секретаріату Уповноваженого.

7.5. Персональні дані, зібрані з порушенням вимог Закону № 2297, підлягають знищенню в установленому законодавством порядку.

7.6. Відбір для знищення документів з персональними даними, терміни зберігання яких минули, проводиться експертною комісією, склад якої визначається товариством.

7.7. Знищення персональних даних проводиться способом, що виключає подальшу можливість поновлення таких персональних даних.

VІІІ. Передача персональних даних третім особам та надання третім особам доступу до персональних даних

8.1. Передача персональних даних контрагента третім особам визначається умовами згоди на обробку персональних даних або відповідно до вимог закону.

8.2. Без згоди контрагента його персональні дані можуть передаватися у випадках:

коли передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;

отримання запиту від органів державної влади та місцевого самоврядування, діють у межах повноважень, наданих законодавством України.

8.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону № 2297 або не може їх забезпечити.

8.4. Контрагент має право на одержання будь-яких відомостей про себе, що містяться у відповідній базі персональних даних, без зазначення мети запиту.

ІХ. Захист персональних даних при їх обробці

9.1. Захист персональних даних в автоматизованій системі

9.1.1. Право доступу до автоматизованої системи надається працівникам інтернет-магазину, у посадових інструкціях яких передбачено функції по обробці даних в автоматизованій системі та які надали письмове зобов'язання про нерозголошення персональних даних.

9.1.2. Автоматизована система в обов'язковому порядку забезпечується антивірусним захистом і засобами безперебійного живлення елементів системи.

9.1.3. Право доступу до персональних даних контрагентів надається третім особам, з якими інтернет-магазином укладено договір на виконання договірних зобов'язань перед контрагентами.