Předpisy o zpracování a ochraně osobních údajů v databázích osobních údajů ve vlastnictví prodávajícího
Obsah
Obecné pojmy a rozsah
Seznam databází osobních údajů
Účel zpracování osobních údajů
Postup při zpracování osobních údajů: získání souhlasu, oznámení práv a úkonů s osobními údaji subjektu osobních údajů
Umístění osobní databáze
Podmínky zpřístupnění osobních údajů třetím stranám
Ochrana osobních údajů: způsoby ochrany, odpovědná osoba, zaměstnanci, kteří přímo zpracovávají osobní údaje a/nebo k nim mají přístup v souvislosti s plněním svých služebních povinností, doba uložení osobních údajů
Práva subjektu osobních údajů
Postup při vyřizování žádostí subjektu osobních údajů
Státní registrace databáze osobních údajů
1. Obecné pojmy a rozsah
1.1. Definice pojmů:
databáze osobních údajů - pojmenovaný soubor uspořádaných osobních údajů v elektronické podobě a/nebo ve formě souborů osobních údajů;
odpovědná osoba - určená osoba, která v souladu se zákonem organizuje práce související s ochranou osobních údajů při jejich zpracování;
vlastníkem databáze osobních údajů je fyzická nebo právnická osoba, které zákon nebo se souhlasem subjektu osobních údajů přiznává právo zpracovávat tyto údaje, která schvaluje účel zpracování osobních údajů v této databázi, stanoví složení těchto údajů a postupy jejich zpracování, pokud zákon nestanoví jinak;
Státní registr databází osobních údajů je jednotný státní informační systém pro shromažďování, shromažďování a zpracování informací o evidovaných databázích osobních údajů;
veřejně dostupné zdroje osobních údajů - adresáře, adresáře, rejstříky, seznamy, katalogy, jiné systematické sběry otevřených informací, které obsahují osobní údaje, umístěné a zveřejněné známým subjektem osobních údajů. Sociální sítě a internetové zdroje, ve kterých subjekt osobních údajů zanechává své osobní údaje, se nepovažují za veřejně dostupné zdroje osobních údajů (pokud subjekt osobních údajů výslovně neuvede, že osobní údaje jsou zveřejňovány za účelem jejich bezplatného šíření a využívání) ;
souhlas subjektu osobních údajů - jakýkoli doložený, dobrovolný projev vůle fyzické osoby ohledně udělení souhlasu se zpracováním jejích osobních údajů v souladu s formulovaným účelem jejich zpracování;
depersonalizace osobních údajů – odstranění osobních údajů;
zpracování osobních údajů - jakákoli akce nebo soubor úkonů provedených zcela nebo zčásti v informačním (automatizovaném) systému a/nebo v souborech osobních údajů, které souvisejí se shromažďováním, evidencí, shromažďováním, uchováváním, přizpůsobováním, změnou, obnovou , využívání a šíření (distribuce, implementace, přenos), depersonalizace, ničení informací o fyzické osobě;
osobní údaje - informace nebo soubor informací o fyzické osobě, která je identifikována nebo může být konkrétně identifikována;
správcem databáze osobních údajů je fyzická nebo právnická osoba, která je ke zpracování těchto údajů pověřena vlastníkem databáze osobních údajů nebo zákonem. Osoba, která je vlastníkem a/nebo správcem osobní databáze pověřena prováděním technických prací s osobní databází bez přístupu k obsahu osobních údajů, není správcem osobní databáze;
subjekt osobních údajů - fyzická osoba, ve vztahu k níž jsou v souladu se zákonem zpracovávány její osobní údaje;
třetí osoba - každá osoba, s výjimkou subjektu osobních údajů, vlastníka nebo správce databáze osobních údajů a pověřeného státního orgánu pro otázky ochrany osobních údajů, které vlastník nebo správce databáze osobních údajů předává osobní údaje v souladu se zákonem;
zvláštní kategorie údajů – osobní údaje o rasovém nebo etnickém původu, politickém, náboženském nebo ideologickém přesvědčení, členství v politických stranách a odborech, jakož i údaje související se zdravím nebo sexuálním životem.
1.2. Toto nařízení je závazné pro odpovědnou osobu a zaměstnance prodávajícího, kteří přímo zpracovávají a/nebo mají přístup k osobním údajům v souvislosti s plněním svých služebních povinností.
2. Seznam databází osobních údajů
2.1. Prodávající je vlastníkem následujících databází osobních údajů:
databáze osobních údajů protistran.
3. Účel zpracování osobních údajů
3.1. Účelem zpracování osobních údajů v systému je zajištění realizace občanskoprávních vztahů, poskytování, přijímání a provádění plateb za nakoupené zboží a služby v souladu s daňovým řádem Ukrajiny, zákonem Ukrajiny „O účetnictví a finančním výkaznictví v Ukrajina".
4. Postup při zpracování osobních údajů: získání souhlasu, oznámení práv a úkonů s osobními údaji subjektu osobních údajů
4.1. Souhlas subjektu osobních údajů musí být dobrovolným projevem vůle fyzické osoby udělit souhlas se zpracováním svých osobních údajů v souladu s uvedeným účelem jejich zpracování.
4.2. Souhlas subjektu osobních údajů lze udělit v následujících formách:
doklad na listinném nosiči s údaji umožňujícími identifikaci tohoto dokladu a fyzické osoby;
elektronický dokument, který musí obsahovat povinné náležitosti umožňující identifikaci tohoto dokumentu a fyzické osoby. Dobrovolný projev vůle fyzické osoby ohledně udělení souhlasu se zpracováním jejích osobních údajů je účelné osvědčit elektronickým podpisem subjektu osobních údajů;
poznámka na elektronické stránce dokumentu nebo v elektronickém souboru, který je zpracováván v informačním systému na základě doloženého softwarového a technického řešení.
4.3. Souhlas subjektu osobních údajů se uděluje při evidenci občanskoprávních vztahů v souladu s platnou právní úpravou.
4.4. Oznámení subjektu osobních údajů o zařazení jeho osobních údajů do databáze osobních údajů, práva vymezená zákonem Ukrajiny „O ochraně osobních údajů“, účel shromažďování údajů a osoby, kterým jsou jeho osobní údaje určeny se převádí se provádí při evidenci občanskoprávních vztahů v souladu s platnou právní úpravou.
4.5. Zpracování osobních údajů o rasovém nebo etnickém původu, politickém, náboženském nebo ideologickém přesvědčení, členství v politických stranách a odborových svazech, jakož i údajů týkajících se zdraví nebo sexuálního života (zvláštní kategorie údajů) je zakázáno.
5. Umístění databáze osobních údajů
5.1. Databáze osobních údajů uvedená v odst. 2 tohoto nařízení je umístěna na adrese prodávajícího.
6. Podmínky zpřístupnění osobních údajů třetím osobám
6.1. Postup pro přístup k osobním údajům třetích osob je dán podmínkami souhlasu subjektu osobních údajů, daným vlastníkem osobních údajů se zpracováním těchto údajů, nebo v souladu s požadavky zákona.
6.2. Přístup k osobním údajům není udělen třetí straně, pokud uvedená osoba odmítne převzít závazky k zajištění plnění požadavků zákona Ukrajiny „O ochraně osobních údajů“ nebo je není schopna zajistit.
6.3. Subjekt vztahů souvisejících s osobními údaji podává žádost o přístup (dále - žádost) k osobním údajům vlastníkovi osobních údajů.
6.4. V žádosti se uvádí:
příjmení, jméno a příjmení, bydliště (místo pobytu) a údaje o dokladu osvědčujícím fyzickou osobu podávající žádost (u fyzické osoby - žadatele);
název, sídlo právnické osoby, která žádost podává, funkce, příjmení, jméno a příjmení osoby, která žádost potvrzuje; potvrzení, že obsah žádosti odpovídá oprávnění právnické osoby (u právnické osoby - žadatele);
příjmení, jméno a rodokmen, jakož i další údaje, které umožňují identifikaci fyzické osoby, pro kterou se žádost podává;
informace o databázi osobních údajů, ohledně které je žádost podána, nebo informace o vlastníkovi nebo správci této databáze osobních údajů;
seznam požadovaných osobních údajů;
účel a/nebo právní základ žádosti.
6.5. Lhůta pro posouzení žádosti o její vyhovění nesmí přesáhnout deset pracovních dnů ode dne jejího obdržení. Vlastník databáze osobních údajů po tuto dobu prokáže známé osobě, která žádost podává, že žádosti bude vyhověno nebo že příslušné osobní údaje nebudou poskytnuty s uvedením důvodů uvedených v příslušném regulačním právním aktu. Žádosti je vyhověno do třiceti kalendářních dnů ode dne jejího doručení, pokud zákon nestanoví jinak.
6.6. Zpoždění přístupu k osobním údajům třetích stran je povoleno, pokud potřebné údaje nelze poskytnout do třiceti kalendářních dnů ode dne obdržení žádosti. Celková lhůta pro řešení otázek vznesených v žádosti přitom nesmí přesáhnout čtyřicet pět kalendářních dnů.
6.7. Oznámení o odložení se předá třetí osobě, která podala žádost písemně, s vysvětlením postupu odvolání proti takovému rozhodnutí.
6.8. Oznámení o odkladu uvádí:
příjmení, jméno a patronymie úředníka;
datum odeslání zprávy;
důvod zpoždění;
dobu, po kterou bude žádosti vyhověno.
6.9. Odepření přístupu k osobním údajům je povoleno, pokud je přístup k nim zakázán zákonem.
6.10. Oznámení o zamítnutí uvádí:
příjmení, jméno, patronymie úředníka odmítajícího přístup;
datum odeslání zprávy;
důvod odmítnutí.
6.11. Proti rozhodnutí o odkladu nebo odepření přístupu k osobním údajům se lze odvolat k soudu.
7. Ochrana osobních údajů: způsoby ochrany, odpovědná osoba, zaměstnanci, kteří přímo zpracovávají a/nebo mají přístup k osobním údajům v souvislosti s plněním svých povinností, doba uchovávání osobních údajů
7.1. Vlastník databáze osobních údajů je vybaven systémovými a softwarovými a komunikačními nástroji, které zabraňují ztrátě, odcizení, neoprávněnému zničení, zkreslení, padělání, kopírování informací a splňují požadavky mezinárodních a národních norem.
7.2. Odpovědná osoba organizuje práce související s ochranou osobních údajů při jejich zpracování v souladu se zákonem. Odpovědná osoba je určena objednávkou Majitele osobní databáze.
Povinnosti odpovědné osoby ohledně organizace práce související s ochranou osobních údajů při jejich zpracování jsou uvedeny v pracovní náplni.
7.3. Odpovědná osoba je povinna:
znát právní předpisy Ukrajiny v oblasti ochrany osobních údajů;
vypracovat postupy pro přístup k osobním údajům zaměstnanců v souladu s jejich profesními nebo služebními nebo pracovními povinnostmi;
zajistit, aby zaměstnanci Vlastníka databáze osobních údajů dodržovali požadavky právních předpisů Ukrajiny v oblasti ochrany osobních údajů a interní dokumenty upravující činnost Vlastníka databáze osobních údajů ohledně zpracování a ochrany osobních údajů údaje v databázích osobních údajů;
vypracovat postup (postup) pro vnitřní kontrolu dodržování požadavků právních předpisů Ukrajiny v oblasti ochrany osobních údajů a interních dokumentů upravujících činnost Vlastníka osobní databáze týkající se zpracování a ochrany osobních údajů v osobních databázích , který by měl zejména obsahovat normy týkající se periodicity takové kontroly;
informovat Vlastníka databáze osobních údajů o skutečnostech, kdy zaměstnanci porušují požadavky právních předpisů Ukrajiny v oblasti ochrany osobních údajů a interních dokumentů upravujících činnost Vlastníka databáze osobních údajů ohledně zpracování a ochrany osobních údajů v databázích osobních údajů nejpozději do jednoho pracovního dne od okamžiku zjištění takového porušení;
zajistit uchování dokladů potvrzujících poskytnutí subjektem osobních údajů souhlasu se zpracováním jeho osobních údajů a upozornění uvedeného subjektu o jeho právech.
7.4. Za účelem plnění svých povinností má odpovědná osoba právo:
k přijímání nezbytných dokumentů, včetně objednávek a jiných administrativních dokumentů vystavených Majitelem databáze osobních údajů, souvisejících se zpracováním osobních údajů;
pořizovat kopie přijatých dokumentů, včetně kopií souborů, jakýchkoli záznamů uložených v místních počítačových sítích a autonomních počítačových systémech;
účastnit se projednání svých povinností při organizaci práce souvisejících s ochranou osobních údajů při jejich zpracování;
posuzovat návrhy na zlepšení činnosti a zkvalitnění metod práce, podávat připomínky a možnosti odstranění zjištěných nedostatků v procesu zpracování osobních údajů;
dostávat vysvětlení k otázkám zpracování osobních údajů;
podepisovat a ověřovat dokumenty v mezích své působnosti.
7.5. Zaměstnanci, kteří přímo zpracovávají a/nebo mají přístup k osobním údajům v souvislosti s plněním svých služebních (pracovních) povinností, jsou povinni dodržovat požadavky právních předpisů Ukrajiny v oblasti ochrany osobních údajů a interních dokumentů, týkající se zpracování a ochranu osobních údajů v osobních databázích.
7.6. Zaměstnanci, kteří mají přístup k osobním údajům, včetně jejich zpracování, jsou povinni žádným způsobem nezveřejňovat osobní údaje, které jim byly svěřeny nebo o kterých se dozvěděli v souvislosti s plněním profesních nebo služebních či pracovních povinností Taková povinnost je účinná po ukončení činnosti související s osobními údaji, s výjimkou případů stanovených zákonem.
7.7 Osoby, které mají přístup k osobním údajům, včetně těch, které je zpracovávají v případě porušení požadavků zákona Ukrajiny „O ochraně osobních údajů“, jsou odpovědné v souladu s právními předpisy Ukrajiny.
7.8. Osobní údaje nesmí být uchovávány déle, než je nezbytné pro účel, pro který jsou tyto údaje uchovávány, v žádném případě však ne déle, než je doba uložení údajů stanovená souhlasem subjektu osobních údajů se zpracováním těchto údajů.
8. Práva subjektu osobních údajů
8.1. Subjekt osobních údajů má právo:
znát umístění databáze osobních údajů, která obsahuje jeho osobní údaje, její účel a název, umístění a/nebo místo bydliště (bydliště) vlastníka nebo správce této databáze, případně dát příslušné pokyny k získání těchto informací jím pověřené osoby, kromě případů stanovených zákonem;
získat informace o podmínkách poskytování přístupu k osobním údajům, zejména informace o třetích osobách, kterým jsou jeho osobní údaje předávány, obsažené v příslušné databázi osobních údajů;
pro přístup k vašim osobním údajům obsaženým v příslušné databázi osobních údajů;
obdržet nejpozději do třiceti kalendářních dnů ode dne obdržení žádosti, s výjimkou případů stanovených zákonem, odpověď o tom, zda jsou jeho osobní údaje uloženy v příslušné databázi osobních údajů, jakož i obdržet obsah jeho osobních údajů data, která jsou uložena;
podat odůvodněnou žádost s námitkou proti zpracování Vašich osobních údajů státními orgány, orgány územní samosprávy při výkonu jejich zákonem stanovených pravomocí;
vznést odůvodněnou žádost o změnu nebo zničení vašich osobních údajů kterýmkoli vlastníkem a správcem této databáze, pokud jsou tyto údaje zpracovávány nezákonně nebo jsou nespolehlivé;
k ochraně vašich osobních údajů před nezákonným zpracováním a náhodnou ztrátou, zničením, poškozením v důsledku úmyslného zatajení, jejich neposkytnutím nebo předčasným poskytnutím, jakož i ochranu před poskytnutím informací, které jsou nevěrohodné nebo hanobí čest, důstojnost a obchodní pověst fyzická osoba ;
obracet se na otázky ochrany svých práv ohledně osobních údajů státním orgánům, orgánům územní samosprávy, do jejichž působnosti spadá ochrana osobních údajů;
uplatnit opravné prostředky v případě porušení právních předpisů o ochraně osobních údajů.
9. Postup při vyřizování žádostí subjektu osobních údajů
9.1. Subjekt osobních údajů má právo obdržet o sobě jakékoli informace od jakéhokoli subjektu vztahů souvisejících s osobními údaji, a to bez uvedení účelu žádosti, s výjimkou případů stanovených zákonem.
9.2. Přístup subjektu osobních údajů k údajům o jeho osobě je bezplatný.
9.3. Subjekt osobních údajů podává žádost o přístup (dále - žádost) k osobním údajům vlastníkovi databáze osobních údajů.
V žádosti se uvádí:
příjmení, jméno a rodokmen, bydliště (místo pobytu) a údaje o dokladu osvědčujícím totožnost subjektu osobních údajů;
další informace umožňující identifikaci subjektu osobních údajů;
informace o databázi osobních údajů, ohledně které je žádost podána, nebo informace o vlastníkovi nebo správci této databáze;
seznam požadovaných osobních údajů.
9.4. Lhůta pro posouzení žádosti o její vyhovění nesmí přesáhnout deset pracovních dnů ode dne jejího obdržení. Vlastník databáze osobních údajů po tuto dobu známému subjektu osobních údajů prokáže, že žádosti bude vyhověno nebo že příslušné osobní údaje nejsou předmětem poskytování, s uvedením důvodů vymezených v příslušném regulačním právním aktu.
9.5. Žádosti je vyhověno do třiceti kalendářních dnů ode dne jejího doručení, pokud zákon nestanoví jinak.
10. Státní registrace databáze osobních údajů
10.1. Státní registrace databází osobních údajů se provádí v souladu s článkem 9 zákona Ukrajiny „O ochraně osobních údajů“.