Treść

  1. Ogólne pojęcia i zakres.
  2. Wykaz baz danych osobowych.
  3. Cel przetwarzania danych osobowych.
  4. Procedura przetwarzania danych osobowych: uzyskanie zgody, powiadomienie o prawach i czynnościach z danymi osobowymi podmiotu danych osobowych.
  5. Lokalizacja bazy danych osobowych.
  6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim.
  7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych.
  8. Prawa podmiotu danych osobowych.
  9. Procedura pracy z żądaniami podmiotu danych osobowych.

1. Ogólne pojęcia i zakres.

1.1. Określenie warunków:

baza danych osobowych – imienny zbiór uporządkowanych danych osobowych w postaci elektronicznej i/lub w postaci zbiorów danych osobowych;

odpowiedzialna osoba – określona osoba, która zgodnie z prawem organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania;

właściciel bazy danych osobowych – osoba fizyczna lub prawna, której ustawa przyznaje prawo do przetwarzania tych danych lub za zgodą podmiotu danych osobowych, która zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych i procedury ich przetwarzania o ile przepisy prawa nie stanowią inaczej;

zgoda podmiotu danych osobowych – dobrowolne wyrażenie woli osoby fizycznej (za jej wiedzą) wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z podanym celem ich przetwarzania, wyrażone na piśmie lub w formie pozwalającej stwierdzić, że zgoda została wyrażona nadany;

depersonalizacja danych osobowych – zajęcie informacji pozwalających na identyfikację osoby;

przetwarzanie danych osobowych – dowolna czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informacyjnym (zautomatyzowanym) i/lub w zbiorach danych osobowych związanych z gromadzeniem, rejestracją, gromadzeniem, przechowywaniem, adaptacją, modyfikacją, aktualizacją, użytkowaniem i dystrybucją (dystrybucja, sprzedaż , przekazanie), depersonalizację, zniszczenie informacji o osobie;

Informacje osobiste – informacje lub zbieranie informacji o osobie fizycznej, która została zidentyfikowana lub może być konkretnie zidentyfikowana i może obejmować zapisywanie jednego lub więcej plików cookie lub anonimowych identyfikatorów, a także plików cookie i anonimowych identyfikatorów, gdy osoba, której dane dotyczą, wchodzi w interakcję z usługami oferowanymi przez naszych partnerów , jak na przykład usługi reklamowe, które mogą pojawiać się na innych stronach internetowych, które zostały wyraźnie upublicznione przez podmiot danych osobowych i innych danych;

administrator bazy danych osobowych – osoba fizyczna lub prawna, której prawo do przetwarzania tych danych przyznaje właściciel bazy danych osobowych lub przepisy prawa.

Osoba, której właściciel i/lub zarządca bazy danych powierzył wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych nie jest administratorem bazy danych osobowych;

przedmiot danych osobowych – osoba fizyczna, w stosunku do której zgodnie z prawem odbywa się przetwarzanie jej danych osobowych;

strona trzecia – każda osoba, z wyłączeniem podmiotu danych osobowych, właściciela lub zarządcy bazy danych osobowych oraz uprawnionego państwowego organu ochrony danych osobowych, której właściciel lub zarządca bazy danych osobowych przekazuje dane osobowe zgodnie z art. z prawem;

specjalne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego.

1.2. Niniejsze rozporządzenie jest obowiązkowe do stosowania przez osobę odpowiedzialną i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Wykaz baz danych osobowych.

2.1. Sprzedawca jest właścicielem następujących baz danych osobowych:

  • baza danych osobowych kontrahentów.

3. Cel przetwarzania danych osobowych.

3.1. Celem przetwarzania danych osobowych w systemie jest przechowywanie i utrzymywanie danych kontrahentów zgodnie z art. 6, 7 ustawy Ukrainy „O ochronie danych osobowych”.

3.2. Celem przetwarzania danych osobowych jest zapewnienie realizacji stosunków cywilnoprawnych, zapewnienie / odbiór i rozliczenie płatności za zakupione towary / usługi zgodnie z Ordynacją Podatkową Ukrainy, Ustawą Ukrainy „O rachunkowości i sprawozdawczości finansowej na Ukrainie” ”, oraz innych obowiązków nałożonych przez prawo na właściciela danych osobowych, w celu ochrony uzasadnionych interesów właściciela danych osobowych lub osoby trzeciej, której dane osobowe są przekazywane.

3.3. Celem przetwarzania danych osobowych jest tworzenie i realizacja programów bonusowych, programów lojalnościowych, wysyłanie wiadomości w formie e-mail, wiadomości w Viber, wiadomości SMS, powiadomień w aplikacji mobilnej, powiadomień w przeglądarce internetowej, w tym w celu przesyłania ofert handlowych w celu poprawy jakości usług, wystawiania ocen, analizowania aktywności, wyszukiwania po słowach kluczowych, wysyłania mailingów informacyjnych i marketingowych (aktualności, promocje firmy, informacje o promocjach, kody promocyjne i rabaty, osobiste rekomendacje, osobiste rabaty i oferty), które zawierają informacje o towarach i/lub usługach, reklamy i oferty handlowe takich towarów i/lub usług itp.

4. Procedura przetwarzania danych osobowych. Uzyskanie zgody, powiadomienie o prawach i działaniach z danymi osobowymi podmiotu danych osobowych.

4.1. Przetwarzanie danych osobowych wykorzystywanych do realizacji celu przetwarzania, o którym mowa w punkcie 3.2 niniejszego rozporządzenia, odbywa się na podstawie art. 11 ustawy Ukrainy „O ochronie danych osobowych”.

4.2. Przetwarzanie danych osobowych służących realizacji celu przetwarzania przewidzianego w pkt 3.3 niniejszego Regulaminu odbywa się na podstawie zgody podmiotu danych osobowych lub w celu realizacji ofert przyjętych przez podmiot danych osobowych, w tym realizacji subskrypcji.

4.2.1. Zgoda podmiotu danych osobowych musi być dobrowolnym wyrażeniem woli osoby fizycznej do wyrażenia zgody na przetwarzanie jej danych osobowych zgodnie z sformułowanym celem ich przetwarzania. Zgoda podmiotu danych osobowych może być wyrażona w następujących formach:

  • dokument na papierze ze szczegółami umożliwiającymi identyfikację tego dokumentu i osoby;
  • dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu oraz osoby fizycznej. Wskazane jest poświadczenie dobrowolnej woli osoby fizycznej do wyrażenia zgody na przetwarzanie jej danych osobowych podpisem elektronicznym podmiotu danych osobowych.
  • znak na stronie elektronicznej dokumentu lub w pliku elektronicznym, który jest przetwarzany w systemie informatycznym w oparciu o udokumentowane rozwiązania programowe i sprzętowe.

4.3. Powiadomienie podmiotu danych osobowych o umieszczeniu jego danych osobowych w bazie danych osobowych, prawach określonych w Ustawie Ukrainy „O ochronie danych osobowych”, celu zbierania danych oraz osobach, którym dane osobowe są przekazywane przekazana, odbywa się przy rejestracji stosunków cywilnoprawnych zgodnie z obowiązującymi przepisami prawa.

4.4. Zabronione jest przetwarzanie danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub światopoglądowych, przynależności do partii politycznych i związków zawodowych, a także danych dotyczących zdrowia lub życia seksualnego (szczególne kategorie danych).

5. Lokalizacja bazy danych osobowych.

5.1. Bazy danych osobowych, o których mowa w ust. 2 niniejszego Regulaminu, znajdują się pod adresem Sprzedawcy.

6. Warunki udostępniania informacji o danych osobowych podmiotom trzecim.

6.1. Procedurę dostępu do danych osobowych osób trzecich określają warunki zgody podmiotu danych osobowych udzielonej właścicielowi bazy danych osobowych na przetwarzanie tych danych w celu wypełnienia jego obowiązków wobec podmiotu danych osobowych danych lub zgodnie z wymogami prawa.

6.2. Dostęp do danych osobowych nie jest udzielany osobie trzeciej, jeżeli osoba ta odmawia przyjęcia obowiązków zapewnienia zgodności z wymogami Ustawy Ukrainy „O ochronie danych osobowych” lub nie może ich zapewnić.

6.3. Podmiot relacji związanych z danymi osobowymi występuje z żądaniem dostępu (dalej jako żądanie) do danych osobowych do właściciela bazy danych osobowych.

6.4. Żądanie określa:

  • nazwisko, imię, patronimikę, miejsce zamieszkania (lokalizację) oraz dane dokumentu poświadczającego osobę składającą wniosek (dla wnioskodawcy indywidualnego);
  • imię i nazwisko, lokalizacja osoby prawnej składającej wniosek, stanowisko, nazwisko, imię, patronim osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada kompetencjom osoby prawnej (dla osoby prawnej – wnioskodawcy);
  • nazwisko, imię, patronimikę, a także inne informacje pozwalające zidentyfikować osobę, której dotyczy żądanie;
  • informacje o bazie danych osobowych, której dotyczy żądanie lub informacje o właścicielu lub zarządcy tej bazy;
  • wykaz żądanych danych osobowych;
  • cel żądania.

6.5. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania.

W tym okresie właściciel bazy danych osobowych informuje zgłaszającego żądanie, że żądanie zostanie spełnione lub dane osobowe nie zostaną przekazane, wskazując przyczyny określone we właściwym akcie regulacyjnym.

Żądanie zostanie zrealizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.

6.6. Wszyscy pracownicy właściciela bazy danych osobowych zobowiązani są do zachowania poufności danych osobowych oraz informacji o rachunkach papierów wartościowych i obrocie papierami wartościowymi.

6.7. Odroczenie dostępu do danych osobowych osób trzecich jest dozwolone, jeżeli niezbędne dane nie mogą zostać dostarczone w ciągu trzydziestu dni kalendarzowych od daty otrzymania żądania. Jednocześnie łączny termin rozstrzygnięcia kwestii podniesionych we wniosku nie może przekroczyć czterdziestu pięciu dni kalendarzowych.

6.8. Zawiadomienie o odroczeniu przekazuje się osobie trzeciej, która złożyła wniosek, na piśmie, wyjaśniając procedurę odwołania się od takiej decyzji.

6.9. W zawiadomieniu o odroczeniu czytamy:

  • nazwisko, imię, patronimik urzędnika;
  • datę wysłania wiadomości;
  • powód opóźnienia;
  • okres, w którym żądanie zostanie spełnione.

6.10. Odmowa dostępu do danych osobowych jest dopuszczalna, jeżeli dostęp do nich jest prawnie zabroniony.

6.11. Wiadomość o odrzuceniu stwierdza:

  • nazwisko, imię, patronimika urzędnika odmawiającego dostępu;
  • datę wysłania wiadomości;
  • powód odrzucenia.

6.12. Od decyzji o odroczeniu lub odmowie dostępu do danych osobowych przysługuje odwołanie do uprawnionego państwowego organu ochrony danych osobowych, innych organów państwowych i samorządowych, do których kompetencji należy ochrona danych osobowych, lub do sądu.

7. Ochrona danych osobowych: sposoby ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych, okres przechowywania danych osobowych.

7.1. Właściciel bazy danych osobowych jest wyposażony w system, oprogramowanie i sprzęt oraz narzędzia komunikacyjne, które zapobiegają utracie, kradzieży, nieuprawnionemu zniszczeniu, zniekształceniu, fałszerstwu, kopiowaniu informacji i spełniają wymagania standardów międzynarodowych i krajowych.

7.2. Osoba odpowiedzialna organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z przepisami prawa. Osobę odpowiedzialną ustala zarządzeniem właściciela bazy danych osobowych.

Obowiązki osoby odpowiedzialnej za organizację pracy związanej z ochroną danych osobowych podczas ich przetwarzania wskazane są w opisie stanowiska.

7.3. Osoba odpowiedzialna musi:

  • znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
  • opracować procedury dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub pracowniczymi;
  • zapewnić, aby pracownicy Właściciela bazy danych osobowych przestrzegali wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
  • opracować procedurę (procedurę) kontroli wewnętrznej spełniania wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w baz danych, które w szczególności powinny zawierać zasady dotyczące częstotliwości takiej kontroli;
  • informować Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymagań ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz dokumentów wewnętrznych regulujących działalność właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych danych osobowych w bazach danych osobowych, nie później niż jeden dzień roboczy od momentu wykrycia takich naruszeń;
  • zapewnić przechowywanie dokumentów potwierdzających udzielenie przez podmiot danych osobowych zgody na przetwarzanie jego danych osobowych oraz poinformowanie wskazanego podmiotu o jego prawach.

7.4. W celu wypełnienia swoich obowiązków osoba odpowiedzialna ma prawo do:

  • otrzymania niezbędnych dokumentów, w tym zarządzeń i innych dokumentów administracyjnych wystawionych przez Właściciela bazy danych osobowych, związanych z przetwarzaniem danych osobowych;
  • wykonywania kopii otrzymanych dokumentów, w tym kopii akt, wszelkich zapisów przechowywanych w sieciach lokalnych i autonomicznych systemach informatycznych;
  • do udziału w omówieniu obowiązków organizacji pracy związanych z ochroną danych osobowych w trakcie ich przetwarzania;
  • zgłaszania propozycji usprawnienia działań i metod pracy, zgłaszania uwag i możliwości usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych;
  • otrzymania wyjaśnień dotyczących realizacji przetwarzania danych osobowych;
  • podpisywać i zatwierdzać dokumenty w ramach swoich kompetencji.

7.5. Pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych (pracowniczych), są zobowiązani do przestrzegania wymogów ustawodawstwa ukraińskiego w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów dotyczących przetwarzania i ochrony danych osobowych. danych osobowych w bazach danych osobowych.

7.6. Pracownicy, którzy mają dostęp do danych osobowych, w tym do ich przetwarzania, zobowiązani są do nieujawniania w jakikolwiek sposób danych osobowych, które zostały im powierzone lub które stały się znane w związku z wykonywaniem obowiązków zawodowych lub urzędowych lub pracowniczych. Taki obowiązek obowiązuje po zakończeniu ich działalności związanej z danymi osobowymi, z wyjątkiem przypadków określonych przez prawo.

7.7. Osoby, które mają dostęp do danych osobowych, w tym te, które je przetwarzają, w przypadku naruszenia wymogów Ustawy Ukrainy „O ochronie danych osobowych”, ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.

7.8. Dane osobowe nie powinny być przechowywane dłużej, niż jest to niezbędne do celu, w jakim te dane są przechowywane, ale w żadnym wypadku nie dłużej niż przez okres przechowywania danych określony zgodą osoby, której dane dotyczą, na przetwarzanie tych danych.

8. Prawa podmiotu danych osobowych.

8.1. Podmiot danych osobowych ma prawo:

  • wiedzieć o lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej przeznaczeniu i nazwie, lokalizacji i/lub miejscu zamieszkania (pobytu) właściciela lub zarządcy tej bazy lub wydać odpowiednią instrukcję uzyskania tych informacji osobom upoważnionym przez niego, z wyjątkiem przypadków określonych przez prawo;
  • otrzymania informacji o warunkach udzielania dostępu do danych osobowych, w tym informacji o osobach trzecich, którym przekazywane są jego dane osobowe zawarte we właściwej bazie danych osobowych;
  • dostępu do swoich danych osobowych zawartych we właściwej bazie danych osobowych;
  • zarządzać procedurą wysyłania wiadomości poprzez odpowiednie ustawienia w Serwisie.
  • otrzymać nie później niż trzydzieści dni kalendarzowych od dnia otrzymania żądania, o ile przepisy prawa nie stanowią inaczej, odpowiedzi, czy jego dane osobowe są przechowywane we właściwej bazie danych osobowych, a także otrzymać treść swoich danych osobowych, która jest przechowywane;
  • przedstawienia umotywowanego żądania ze sprzeciwem wobec przetwarzania jego danych osobowych przez organy władzy publicznej, samorządu terytorialnego w ramach wykonywania uprawnień przewidzianych przepisami prawa;
  • przedstawienia umotywowanego żądania zmiany lub zniszczenia swoich danych osobowych przez dowolnego właściciela i zarządcę tej bazy danych, jeżeli dane te są przetwarzane niezgodnie z prawem lub są niewiarygodne;
  • ochrony swoich danych osobowych przed bezprawnym przetwarzaniem oraz przypadkową utratą, zniszczeniem, uszkodzeniem w wyniku umyślnego zatajenia, nieudostępnienia lub nieterminowego ich dostarczenia, a także ochrony przed przekazaniem informacji nierzetelnych lub uwłaczających honorowi, godności i interesom reputacja osoby;
  • zwracać się w sprawach ochrony swoich praw dotyczących danych osobowych do organów państwowych, samorządowych, do których kompetencji należy realizacja ochrony danych osobowych;
  • skorzystać ze środków ochrony prawnej w przypadku naruszenia przepisów o ochronie danych osobowych.

9. Procedura pracy z żądaniami podmiotu danych osobowych.

9.1. Podmiot danych osobowych ma prawo do otrzymywania wszelkich informacji o sobie od dowolnego podmiotu stosunków związanych z danymi osobowymi, bez określania celu żądania, z wyjątkiem przypadków określonych przez prawo.

9.2. Dostęp podmiotu danych osobowych do danych o sobie jest bezpłatny.

9.3. Podmiot danych osobowych występuje z żądaniem dostępu (dalej jako żądanie) do danych osobowych do właściciela bazy danych osobowych.

Żądanie określa:

  • nazwisko, imię, patronimikę, miejsce zamieszkania (lokalizację) oraz dane dokumentu tożsamości podmiotu danych osobowych;
  • inne informacje pozwalające zidentyfikować osobowość podmiotu danych osobowych;
  • informacje o bazie danych osobowych, której dotyczy żądanie lub informacje o właścicielu lub zarządcy tej bazy;
  • wykaz żądanych danych osobowych.

9.4. Termin rozpatrzenia wniosku o jego zaspokojenie nie może przekroczyć dziesięciu dni roboczych od dnia jego otrzymania.

9.5. W tym okresie właściciel bazy danych osobowych informuje osobę, której dane dotyczą, że żądanie zostanie spełnione lub że dane osobowe nie zostaną przekazane, wskazując przyczyny określone w odpowiednim akcie regulacyjnym.

9.6. Żądanie zostanie zrealizowane w ciągu trzydziestu dni kalendarzowych od dnia jego otrzymania, chyba że przepisy prawa stanowią inaczej.