Підпишіться на нашу розсилку, щоб отримувати ексклюзивні оновлення

Політика конфіденційності


Угода користувача

Положення про обробку та захист персональних даних у базах персональних даних, які належать продавцю

Зміст

  1. Загальні поняття та сфера застосування
  2. Перелік баз персональних даних
  3. Мета обробки персональних даних
  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб'єкта персональних даних
  5. Розташування бази персональних даних
  6. Умови розкриття персональних даних третім особам
  7. Захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків, термін зберігання персональних даних.
  8. Права суб'єкта персональних даних
  9. Порядок роботи із зверненнями суб’єкта персональних даних
  10. Державна реєстрація бази персональних даних

1. Загальні поняття та сфера застосування

1.1. Визначення термінів:

  • база персональних даних - поіменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
  • відповідальна особа - визначена особа, яка організовує роботу, пов’язану із захистом персональних даних під час їх обробки, відповідно до законодавства;
  • володілець бази персональних даних - фізична або юридична особа, яка законом або за згодою суб'єкта персональних даних має право на обробку цих даних, яка погоджує мету обробки персональних даних у цій базі, визначену законом;
  • Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки інформації про зареєстровані бази персональних даних;
  • загальнодоступні джерела персональних даних - довідники, адресні книги, реєстри, списки, каталоги, інші систематичні збірки відкритої інформації, що містять персональні дані, розміщені та оприлюднені з відома суб'єкта персональних даних. Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та Інтернет-ресурси, в яких суб’єкт персональних даних залишає свої персональні дані (крім випадків, коли суб’єкт персональних даних прямо вказує, що персональні дані розміщуються з метою їх вільного поширення та використання);
  • згода суб’єкта персональних даних – будь-яке документально підтверджене добровільне волевиявлення фізичної особи про надання дозволу на обробку її персональних даних відповідно до заявленої мети їх обробки;
  • знеособлення персональних даних - видалення інформації, яка дозволяє ідентифікувати особу;
  • обробка персональних даних - будь-яка дія або сукупність дій, що здійснюються повністю або частково в інформаційній (автоматизованій) системі та/або у файлах персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, поновленням, використання та розповсюдження (поширення, збут, передача), знеособлення, знищення інформації про фізичну особу;
  • персональні дані - відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
  • розпорядник персональних даних - фізична або юридична особа, якій володільцем бази персональних даних або законом надано право на обробку цих даних. Не є розпорядником персональних даних особа, якій володілець та/або розпорядник бази персональних даних доручає технічну роботу з базою персональних даних без доступу до змісту персональних даних;
  • суб'єкт персональних даних - фізична особа, щодо якої відповідно до закону здійснюється обробка її персональних даних;
  • третя особа - будь-яка особа, крім суб'єкта персональних даних, володільця або розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володілець або розпорядник бази персональних даних передає персональні дані відповідно до закону. ;
  • спеціальні категорії даних - персональні дані про расове чи етнічне походження, політичні, релігійні чи світоглядні переконання, членство в політичних партіях і профспілках, а також дані, що стосуються здоров'я чи статевого життя.

1.2. Цей Регламент є обов’язковим для виконання відповідальною особою та працівниками Продавця, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх обов’язків.

2. Перелік баз персональних даних

2.1. Продавець є власником наступних баз персональних даних:

  • база персональних даних контрагентів.

3. Мета обробки персональних даних

3.1. Метою обробки персональних даних у системі є забезпечення реалізації цивільних відносин, надання, отримання та здійснення платежів за придбані товари та послуги відповідно до Закону Польщі «Про бухгалтерський облік та фінансову звітність у Польщі».

4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних

4.1. Згода суб’єкта персональних даних має бути добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до заявленої мети їх обробки.

4.2. Згода суб’єкта персональних даних може бути надана в таких формах:

  • паперовий документ із зазначенням реквізитів, що дозволяють ідентифікувати цей документ та особу;
  • електронний документ, який повинен містити обов’язкові реквізити, що дозволяють ідентифікувати цей документ та особу. Добровільне волевиявлення фізичної особи про надання дозволу на обробку її персональних даних має бути засвідчене електронним підписом суб’єкта персональних даних;
  • відмітка на електронній сторінці документа або в електронному файлі, що опрацьовується в інформаційній системі на основі документованих програмно-апаратних рішень.

4.3. Згода суб’єкта персональних даних надається під час реєстрації цивільних відносин відповідно до чинного законодавства.

4.4. Повідомлення суб’єкта персональних даних про включення його персональних даних до бази персональних даних, права, визначені Законом Польщі «Про захист персональних даних», мету збору даних та осіб, яким передаються його персональні дані під час реєстрація законодавства про цивільні відносини.

4.5. Забороняється обробка персональних даних щодо расового чи етнічного походження, політичних, релігійних чи ідеологічних переконань, членства в політичних партіях і профспілках, а також даних про здоров’я чи статеве життя (спеціальні категорії даних).

5. Розташування бази персональних даних

5.1. Бази персональних даних, зазначені в розділі 2 цього Положення, знаходяться за адресою продавця.

6. Умови розкриття персональних даних третім особам

6.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку таких даних, або відповідно до вимог законодавства.

6.2. Доступ до персональних даних третій стороні не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення дотримання вимог Закону Польщі «Про захист персональних даних» або не може їх надати.

6.3. Суб’єкт відносин, пов’язаних із персональними даними, подає володільцю персональних даних запит на доступ (далі – запит) до персональних даних.

6.4. У запиті зазначено:

  • прізвище, ім'я та по батькові, місце проживання (місцезнаходження) та реквізити документа, що посвідчує особу, яка подає запит (для фізичної особи - заявника);
  • найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я, по батькові особи, яка посвідчує запит; підтвердження відповідності змісту запиту повноваженням юридичної особи (для юридичної особи - заявника);
  • прізвище, ім'я та по батькові, а також інші відомості, що дозволяють ідентифікувати фізичну особу, щодо якої подається запит;
  • відомості про базу персональних даних, щодо якої подається запит, або відомості про володільця чи розпорядника цієї бази персональних даних;
  • перелік запитуваних персональних даних;
  • мету та/або правову основу запиту.

6.5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. У цей строк володілець бази персональних даних повідомляє особу, яка подає запит, про те, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстав, визначених відповідним нормативно-правовим актом. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не встановлено законом.

6.6. Відстрочення доступу до персональних даних третіх осіб допускається, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня отримання запиту. При цьому загальний строк вирішення питань, порушених у зверненні, не може перевищувати сорока п'яти календарних днів.

6.7. Повідомлення про відстрочку повідомляється третій особі, яка подала запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення.

6.8. У повідомленні про відстрочку зазначається:

  • прізвище, ім'я та по батькові посадової особи;
  • дата відправлення повідомлення;
  • причина відстрочки;
  • строк, протягом якого запит буде задоволено.

6.9. Відмова в доступі до персональних даних допускається, якщо доступ до них заборонено законом.

6.10. У повідомленні про відмову зазначається:

  • прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
  • дата відправлення повідомлення;
  • причина відмови.

6.11. Рішення про відстрочку або відмову в доступі до персональних даних може бути оскаржено до суду.

7. Захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків, термін зберігання персональних даних.

7.1. Володільці бази персональних даних оснащені системними та програмно-технічними засобами та засобами зв’язку, які унеможливлюють втрату, викрадення, несанкціоноване знищення, спотворення, підробку, копіювання інформації та відповідають вимогам міжнародних і національних стандартів.

7.2. Відповідальна особа організовує роботу, пов’язану із захистом персональних даних під час їх обробки, відповідно до законодавства. Відповідальна особа визначається наказом Володільця бази персональних даних.

Обов'язки відповідальної особи за організацію роботи, пов'язаної із захистом персональних даних під час їх обробки, визначаються посадовою інструкцією.

7.3. Відповідальна особа зобов'язана:

  • знати законодавство Польщі у сфері захисту персональних даних;
  • розробити процедури доступу до персональних даних працівників відповідно до їх професійних чи службових або трудових обов’язків;
  • забезпечити виконання працівниками Власника бази персональних даних вимог законодавства Польщі у сфері захисту персональних даних та внутрішніх документів, що регламентують діяльність Власника бази персональних даних щодо обробки та захисту персональних даних у базах персональних даних;
  • розробити процедуру (процедуру) внутрішнього контролю за дотриманням законодавства Польщі у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Власника щодо обробки персональних даних та захисту персональних даних у базах персональних даних, які, зокрема, має містити правила контролю;
  • повідомляти Власника бази персональних даних про факти порушення працівниками законодавства Польщі у сфері захисту персональних даних та внутрішніх документів, що регламентують діяльність Власника бази персональних даних щодо обробки та захисту персональних даних у базах персональних даних протягом одного робочий день таких порушень ;
  • забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку його персональних даних та повідомлення зазначеного суб’єкта про його права.

7.4. Для виконання своїх обов'язків відповідальна особа має право:

  • отримувати необхідні документи, в тому числі видані Володільцем бази персональних даних накази та інші розпорядчі документи, пов’язані з обробкою персональних даних;
  • робити копії отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних мережах та автономних комп’ютерних системах;
  • брати участь в обговоренні його обов’язків щодо організації роботи, пов’язаної із захистом персональних даних під час їх обробки;
  • вносити пропозиції щодо вдосконалення діяльності та вдосконалення методів роботи, подавати зауваження та варіанти усунення виявлених недоліків у процесі обробки персональних даних;
  • отримувати роз’яснення щодо здійснення обробки персональних даних;
  • підписує та візує документи в межах своєї компетенції.

7.5. Працівники, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків, зобов’язані дотримуватися вимог законодавства Польщі у сфері захисту персональних даних та внутрішніх документів щодо обробки та захисту персональні дані в базах персональних даних.

7.6. Працівники, які мають доступ до персональних даних, у тому числі ті, хто їх обробляє, зобов’язані у будь-який спосіб не допускати розголошення персональних даних, які були їм довірені або стали відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків. мови. Цей обов’язок діє після припинення їх діяльності, пов’язаної з персональними даними, крім випадків, передбачених законодавством.

7.7. Особи, які мають доступ до персональних даних, у тому числі, обробляють їх у разі порушення ними вимог Закону Польщі «Про захист персональних даних», несуть відповідальність згідно з законодавством Польщі.

7.8. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої вони зберігаються, але в будь-якому випадку не довше строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку таких даних.

8. Права суб'єкта персональних даних

8.1. Суб’єкт персональних даних має право:

  • знати про місцезнаходження бази персональних даних, що містить її персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця або розпорядника цієї бази або дати відповідне доручення про отримання цієї інформації уповноваженим особам, крім випадків, передбачених законом;
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
  • отримувати доступ до своїх персональних даних, які містяться у відповідній базі персональних даних;
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, що зберігаються;
  • звертатися з вмотивованим запитом із запереченням щодо обробки своїх персональних даних органами державної влади, органами місцевого самоврядування під час виконання ними повноважень, передбачених законом;
  • пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником та розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними;
  • на захист своїх персональних даних від неправомірної обробки та випадкової втрати, знищення, пошкодження внаслідок умисного приховування, ненадання чи несвоєчасного надання, а також на захист від надання інформації, яка є недостовірною або ганьбить честь, гідність і ділову репутацію. фізична особа;
  • звертатися за захистом своїх прав на персональні дані до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
  • застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

9. Порядок роботи із зверненнями суб’єктів персональних даних

9.1. Суб’єкт персональних даних має право отримувати будь-яку інформацію про себе від будь-якого суб’єкта відносин, пов’язаних із персональними даними, без зазначення мети запиту, крім випадків, передбачених законом.

9.2. Суб’єкт персональних даних має безоплатний доступ до даних про себе.

9.3. Суб’єкт персональних даних подає запит на доступ (далі – запит) до персональних даних володільцю бази персональних даних.

У запиті зазначено:

  • прізвище, ім'я та по батькові, місце проживання (місцезнаходження) та реквізити документа, що посвідчує особу суб'єкта персональних даних;
  • інші відомості, що дозволяють ідентифікувати суб’єкта персональних даних;
  • відомості про базу персональних даних, щодо якої подається запит, або відомості про володільця чи розпорядника цієї бази;
  • список запитуваних персональних даних.

9.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. У цей строк володілець бази персональних даних повідомляє суб’єкта персональних даних про те, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстав, визначених у відповідному нормативно-правовому акті.

9.5. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не встановлено законом.

10. Державна реєстрація бази персональних даних

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до Закону Польщі «Про захист персональних даних».