Положение об обработке и защите персональных данных

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Интернет-магазина

prof1group.ua

 

Администрация интернет-магазина prof1group.ua принимает ряд организационных и технических мероприятий для надежной защиты предоставленных персональных данных от неправомерного доступа к ним третьими лицами.

Защита персональных данных, предоставленных клиентами нашего интернет-магазина, регламентируется Законом Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г.

 

Содержание

1. Общие понятия и сфера применения.

2. Перечень баз персональных данных.

3. Цель обработки персональных данных.

4. Порядок обработки персональных данных: получение согласия, сообщение о правах и действия с персональными данными субъекта персональных данных.

5. Местонахождение базы персональных данных.

6. Условия раскрытия информации о персональных данных третьим лицам.

7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и / или имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных.

8. Права субъекта персональных данных.

9. Порядок работы с запросами субъекта персональных данных.

10. Удаление или уничтожение персональных данных.

 

1. Общие понятия и область применения.

1.1. Настоящее Положение устанавливает общие требования к организационным и техническим мерам обработки и защиты персональных данных в Обществе с ограниченной ответственностью "О.С.С." (Далее - ООО "О.С.С."), которое является владельцем интернет-магазина prof1group.ua, для обработки и обеспечения защиты от случайной потери или уничтожения, незаконной обработки, в т.ч. незаконного уничтожения или доступа к персональным данным клиентов интернет-магазина prof1group.ua, ы во время выполнения работниками ООО "О.С.С." возложенных на них задач.

1.2. Положение является обязательным для исполнения ответственными лицами и сотрудниками ООО "О.С.С.", непосредственно осуществляющими обработку и / или имеющими доступ к персональным данным в связи с выполнением своих служебных обязанностей, которые ознакомлены с настоящим Положением под подпись.

1.3. Термины в этом Положении используются в следующих значениях:

- база персональных данных - поименованная совокупность упорядоченных персональных данных клиентов интернет-магазина prof1group.ua в электронной форме и / или в форме картотек персональных данных;

- ответственное лицо - определенный работник ООО "О.С.С.", организующий работу, связанную с защитой персональных данных при их обработке в соответствии с законом;

- владелец персональных данных (базы персональных данных) - ООО "О.С.С.", которое с согласия клиентов интернет-магазина prof1group.ua получило право на обработку их персональных данных, и которое утверждает цель обработки персональных данных в такой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;

- Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;

- общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги, другие систематизированы сборники открытой информации, содержащие персональные данные, размещенные и опубликованные с согласия субъекта персональных данных. Не считаются общедоступными источниками персональных данных социальные сети и Интернет-ресурсы, в которых субъекты персональных данных оставляют свои персональные данные (кроме случаев, когда субъектом персональных данных прямо указано, что персональные данные размещены с целью их свободного распространения и использования);

- согласие субъекта персональных данных - любое документированное, добровольное волеизъявление клиента интернет-магазина prof1group.ua (при условии его осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, которое выражается в бумажном или электронном документе с обязательными реквизитами, что позволяет идентифицировать этот документ и клиента, которое удостоверяется электронной подписью клиента, или отметкой, которую проставляет клиент на электронной странице документа или в электронном файле, обрабатываемой в информационной системе на основе документированных программно-технических решений. Такое согласие субъекта персональных данных также предоставляется при его регистрации на сайте интернет-магазина prof1group.ua путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при этом, эта система не создает возможностей для обработки персональных данных до момента проставления отметки;

- обезличивание персональных данных - изъятие сведений, которые позволяют идентифицировать клиента интернет-магазина prof1group.ua;

- обработка персональных данных - любое действие или совокупность действий, выполняемых полностью или частично в информационной (автоматизированной) системе и / или в картотеках персональных данных клиентов интернет-магазина prof1group.ua, связанные со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о клиентах интернет-магазина prof1group.ua;

- персональные данные - сведения или совокупность сведений о клиенте интернет-магазина prof1group.ua, который идентифицирован или может быть конкретно идентифицирован;

- распорядитель базы персональных данных клиентов интернет-магазина prof1group.ua - физическое или юридическое лицо, которому ООО "О.С.С.", как владелец базы персональных данных, или закон дает право обрабатывать эти данные. Не является распорядителем такой базы персональных данных лицо, которому владельцем и / или распорядителем базы персональных данных поручено осуществлять работы технического характера с базой персональных данных без доступа к содержанию персональных данных;

- субъект персональных данных - клиент интернет-магазина prof1group.ua, персональные данные которого обрабатываются в соответствии с Законом Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г.;

- третье лицо - любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и Уполномоченного Верховного Совета Украины по правам человека, которому владелец или распорядитель базы персональных данных передает персональные данные в соответствии с законом;

- особые категории данных - персональные данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни.

1.4. Владелец базы персональных данных получает персональные данные от субъекта персональных данных при оформлении последним заказа через корзину интернет-магазина prof1group.ua, во время оформления заказа по телефонам, которые указываются на сайте интернет-магазина prof1group.ua, или во время регистрации субъекта персональных данных (создание Личного кабинета) на указанном сайте интернет-магазина, а также во время оставления субъектом персональных данных на данном веб-сайте интернет-магазина своего отзыва или запроса.

1.5. Конфиденциальность персональных данных субъекта персональных данных является обязательным условием для использования владельцем базы персональных данных с доступом к таким персональным данным, при условии недопущения их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.6. Использование пользователем интернет-магазина prof1group.ua означает согласие с этой Политикой конфиденциальности и условиями обработки персональных данных субъектов персональных данных. В случае несогласия с условиями Политики конфиденциальности и условиями обработки персональных данных, пользователь обязан прекратить использовать сайт интернет-магазина prof1group.ua.

1.7. Эта политика конфиденциальности и условия обработки персональных данных касаются только веб-сайта интернет-магазина prof1group.ua. Интернет-магазин prof1group.ua не контролирует и не несет ответственности за другие веб-сайты третьих лиц, на которые субъект персональных данных может перейти по ссылкам, доступным на веб-сайте интернет-магазина prof1group.ua.

1.8. Администрация владельца базы персональных данных не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных.

1.9. Субъект персональных данных признает, что в случае его небрежного отношения к безопасному хранению своего логина и пароля, которое дает доступ к его персональным данным, третьи лица могут получить несанкционированный доступ к учетной записи субъекта персональных данных, персональных и других данных последнего. Владелец базы персональных данных не несет ответственность за ущерб, нанесенный таким доступом, и рекомендует субъектам персональных данных использовать сложные пароли, состоящие из цифр и букв. Изменить пароль доступа к своим данным субъект персональных данных может воспользовавшись функцией "Личный кабинет", войдя в раздел «Мой профиль».

2. Перечень баз персональных данных.

2.1. Владелец базы персональных данных является владельцем базы персональных данных клиентов интернет-магазина prof1group.ua.

3. Цель обработки персональных данных.

3.1. Целью обработки персональных данных в базе персональных данных является хранение и обслуживание данных субъектов персональных данных, в соответствии со статьями 6, 7 Закона Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г.

3.2. Целью обработки персональных данных субъектов персональных данных являются:

- реализация гражданско-правовых отношений с субъектами персональных данных, проведения расчетов за реализованные товары / услуги в соответствии с Налоговым кодексом Украины, Законом Украины «О бухгалтерском учете и финансовой отчетности в Украине»;

- отправка субъектам персональных данных заказов средствами почтовых сервисов и информирование субъектов персональных данных электронными письмами, сообщениями в мессенджерах, или смс сообщениями об этих заказах;

- информирование субъектов персональных данных средствами различных сообщений о новых товарах / услугах, специальных предложениях, акциях и различных событиях в интернет-магазине prof1group.ua. Субъект персональных данных всегда может отказаться от получения информационных сообщений, перейдя по соответствующей ссылке в электронном письме.

3.3. Обезличенные данные пользователей сайта интернет-магазина prof1group.ua, которые собираются с помощью сервисов интернет-статистики, используются для сбора информации о действиях пользователей на сайте интернет-магазина prof1group.ua, улучшение качества этого сайта и его содержания.

4. Порядок обработки персональных данных: получение согласия, сообщение о правах и действия с персональными данными субъекта персональных данных.

4.1. Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.

4.2. Согласие субъекта персональных данных может быть предоставлено ​​в следующих формах:

- документ на бумажном носителе с обязательными реквизитами, позволяющий идентифицировать этот документ с физическим лицом;

- электронный документ с обязательными реквизитами, позволяющий идентифицировать этот документ с физическим лицом, который удостоверяется электронной подписью субъекта персональных данных или отметкой, проставляемой субъектом персональных данных на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений;

- регистрация субъекта персональных данных на сайте интернет-магазина prof1group.ua путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки.

4.3. Согласие субъекта персональных данных предоставляется при оформлении гражданско-правовых отношений в соответствии с действующим законодательством, или во время регистрации субъекта персональных данных (создание Личного кабинета) на сайте интернет-магазина prof1group.ua, а также во время оставления на этом сайте своего отзыва или запроса.

4.4. Субъект персональных данных получает сообщение о включении его персональных данных в базу персональных данных клиентов интернет-магазина prof1group.ua, о правах, установленных Законом Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г.,  о целях сбора персональных данных,  лицах, которым передаются его персональные данные, во время оформления гражданско-правовых отношений в соответствии с действующим законодательством, или во время регистрации субъекта персональных данных (создание Личного кабинета) на сайте интернет-магазина prof1group.ua, а также во время оставления на этом сайте своего отзыва или запроса.

4.5. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных) запрещается.

5. Местонахождение базы персональных данных.

5.1. Указанные в разделе 2 настоящего Положения базы персональных данных находятся по адресу владельца базы персональных данных.

6. Условия раскрытия информации о персональных данных третьим лицам.

6.1. Порядок доступа третьих лиц к персональным данным субъектов персональных данных определяется условиями согласия, предоставленного субъектами персональных данных владельцу базы персональных данных на обработку этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г. или не может их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее - запрос) в базу персональных данных клиентов интернет-магазина prof1group.ua владельцу указанной базы персональных данных.

6.4. В запросе указываются:

• фамилия, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего физическое лицо, которое подает запрос (для физического лица - заявителя);

• наименование, местонахождение юридического лица, которое подает запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);

• фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;

• сведения о базе персональных данных, в отношении которой подается запрос, сведения о владельце или распорядителе этой базы;

• перечень запрашиваемых персональных данных;

• цель и / или правовые основания для запроса.

6.5. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления.

В течение этого срока владелец базы персональных данных уведомляет лицо, которое обратилось с запросом, о том, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, содержащегося в соответствующем нормативно-правовом акте.

Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

6.6. Все работники владельца базы персональных данных обязаны соблюдать требования конфиденциальности в отношении персональных данных и информации, содержащейся в базе персональных данных клиентов интернет-магазина prof1group.ua.

6.7. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, поставленных в запросе, не может превышать сорока пяти календарных дней.

6.8. Сообщение об отсрочке сообщается третьему лицу, подавшему запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.9. В сообщении об отсрочке указываются:

• фамилия, имя и отчество должностного лица;

• дата отправки сообщения;

• причина отсрочки;

• срок, в течение которого будет удовлетворен запрос.

6.10. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен по закону.

6.11. В сообщении об отказе указываются:

• фамилия, имя, отчество должностного лица, которое отказывает в доступе;

• дата отправки сообщения;

• причина отказа.

6.12. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в Уполномоченного Верховного Совета Украины по правам человека или в суд.

7. Защита персональных данных: способы защиты, ответственное лицо, работники, непосредственно осуществляющие обработку и / или, имеющие доступ к персональным данным в связи с выполнением своих служебных обязанностей, срок хранения персональных данных.

7.1. Владелец базы персональных данных клиентов интернет-магазина prof1group.ua имеет системные и программно-технические средства и средства связи, которые предотвращают потерю, кражу, несанкционированное уничтожение, искажения, подделку, копирование информации и отвечают требованиям международных и национальных стандартов.

7.2. Ответственное лицо владельца базы персональных данных организует работу, связанную с защитой персональных данных при их обработке в соответствии с законом. Ответственное лицо назначается приказом владельца базы персональных данных.

Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.

7.3. Ответственное лицо обязано:

• знать законодательство Украины в сфере защиты персональных данных;

• разработать процедуры доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или трудовыми обязанностями;

• обеспечить выполнение сотрудниками владельца базы персональных данных требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базе персональных данных клиентов интернет-магазина prof1group.ua;

• разработать порядок (процедуру) внутреннего контроля за соблюдением требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базах персональных данных, который, в частности, должен содержать нормы о периодичности осуществления такого контроля;

• сообщать владельцу базы персональных данных о фактах нарушений сотрудниками требований законодательства Украины в сфере защиты персональных данных и внутренних документов, регулирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базе персональных данных клиентов интернет-магазина prof1group.ua в срок не позднее одного рабочего дня с момента выявления таких нарушений;

• обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомление указанного субъекта о его правах.

7.4. С целью выполнения своих обязанностей ответственное лицо имеет право:

• получать необходимые документы, в том числе приказы и другие распорядительные документы, выданные Владельцем базы персональных данных, связанные с обработкой персональных данных;

• делать копии с полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;

• участвовать в обсуждении выполняемых им обязанностей организации работы, связанной с защитой персональных данных при их обработке;

• вносить на рассмотрение предложения по улучшению деятельности и совершенствование методов работы, подавать замечания и варианты устранения выявленных недостатков в процессе обработки персональных данных;

• получать объяснения по вопросам осуществления обработки персональных данных;

• подписывать и визировать документы в пределах своей компетенции.

7.5. Работники, непосредственно осуществляющие обработку персональных данных и / или имеющие доступ к базе персональных данных в связи с выполнением своих служебных (трудовых) обязанностей, обязаны соблюдать требования законодательства Украины в сфере защиты персональных данных и внутренних документов, по обработке и защите персональных данных в базе персональных данных клиентов интернет-магазина prof1group.ua.

7.6. Работники, имеющие доступ к персональным данным и / или базе персональных данных, в том числе, осуществляющие их обработку, обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей. Это обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом.

7.7. Лица, которые имеют доступ к персональным данным и / или базе персональных данных, в том числе, осуществляют их обработку, в случае нарушения ими требований Закона Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г., несут ответственность согласно действующему законодательству Украины.

7.8. Персональные данные субъектов персональных данных хранятся только в течение срока, необходимого для цели, для которой такие данные сохраняются, но в любом случае такое хранение длится не дольше чем это определено согласием субъекта персональных данных на хранение и обработку этих данных.

8. Права субъекта персональных данных.

8.1. Субъект персональных данных имеет право:

- знать об источниках сбора своих персональных данных и местонахождение базы персональных данных, содержащей его персональные данные, ее назначение и наименование, местонахождение и / или место жительства (пребывания) владельца или распорядителя этой базы, или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;

- получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в базе персональных данных;

- на доступ к своим персональным данным, содержащимся в базе персональных данных;

- получать не позднее чем через тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в базе персональных данных, а также получать содержание его персональных данных, которые хранятся;

- предъявлять мотивированное требование владельцу базы персональных данных с возражением против обработки своих персональных данных владельцем и распорядителем указанной базы персональных данных;

- предъявлять мотивированное требование об изменении или уничтожение своих персональных данных владельцем и распорядителем базы персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;

- на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочащими честь, достоинство и деловую репутацию физического лица;

- обращаться по вопросам защиты своих прав персональных данных к Уполномоченному Верховного Совета Украины по правам человека или в суд;

- применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;

- вносить оговорки об ограничении права на обработку своих персональных данных при предоставлении согласия;

- отозвать согласие на обработку персональных данных;

- знать механизм автоматической обработки персональных данных;

- на защиту от автоматизированного решения, которое имеет для него правовые последствия.

9. Порядок работы с запросами субъекта персональных данных.

9.1. Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.

9.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.

9.3. Субъект персональных данных подает запрос о доступе (далее - запрос) к персональным данным владельцу базы персональных данных.

В запросе указываются:

• фамилия, имя и отчество, место жительства (место нахождения) и реквизиты документа, удостоверяющего личность субъекта персональных данных;

• другие сведения, позволяющие идентифицировать личность субъекта персональных данных;

• сведения о базе персональных данных, в отношении которой подается запрос, сведения о владельце или распорядителе этой базы;

• перечень запрашиваемых персональных данных.

9.4. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления.

9.5. В течение этого срока владелец базы персональных данных уведомляет субъекта персональных данных, о том, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, содержащегося в соответствующем нормативно-правовом акте.

9.6. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

10. Удаление или уничтожение персональных данных.

10.1. Персональные данные удаляются или уничтожаются в порядке, установленном в соответствии с требованиями закона.

10.2. Персональные данные подлежат удалению или уничтожению в случае:

- истечения срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом;

- прекращение правоотношений между владельцем базы персональных данных или распорядителем, если иное не предусмотрено законом;

- издания соответствующего предписания Уполномоченного Верховного Совета Украины по правам человека или определенных им должностных лиц секретариата Уполномоченного;

- вступления в законную силу решения суда об удалении или уничтожение персональных данных.

10.3. Персональные данные, собранные с нарушением требований Закона Украины "О защите персональных данных" № 2297-VI от 01.06.2010 г., подлежат удалению или уничтожению в установленном законодательством порядке.