Затверджено
наказом № ___ від _____ року
ТОВ "Інтернет Інвест"
______________________________
ПОЛОЖЕННЯ
про захист та обробку персональних даних контрагентів
ТОВ "Інтернет Інвест"
І. Загальні положення
1.1. Положення про порядок обробки та захисту персональних даних контрагентів (далі - Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних контрагентів Товариства з обмеженою відповідальністю "Інтернет Інвест" (далі - Товариство), від незаконної обробки, у т. ч. від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 №2297-VI (далі - Закон №2297) та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14.
1.3. Положення є обов’язковим для виконання особами, які мають доступ до персональних даних та обробляють персональні дані.
1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону №2297, при цьому згідно із термінологією Закону № 2297 Товариство вважається володільцем персональних даних.
1.5. До персональних даних належать будь-які відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікується чи може бути конкретно ідентифікованою.
1.6. Персональні дані контрагентів Товариства за режимом доступу є інформацією з обмеженим доступом. Товариство прийняло на себе зобов’язання щодо забезпечення захисту персональних даних контрагентів.
1.7. Персональні дані контрагентів Товариства обробляються на електронних носіях, за допомогою програмних продуктів, таких як Excel, Word тощо.
1.8. Під обробкою персональних даних розуміється будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних.
ІІ. Мета та підстави обробки персональних даних
2.1. Обробка персональних даних контрагентів здійснюється з метою забезпечення реалізації договірних відносин під час здійснення Товариством господарської діяльності, адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України), відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», інших нормативно-правових актів у сфері бухгалтерського та податкового обліку).
2.2. Персональні дані обробляються на підставі згоди суб'єкта персональних даних та на інших законних підставах в суворій відповідності з чинним законодавством України в сфері захисту персональних даних і зберігаються у паперовій та/або електронній формах.
ІІІ. Склад персональних даних контрагентів, що обробляються Товариством
3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб господарської діяльності Товариством обробляються такі персональні дані контрагентів:
Контактна інформація:
- ім'я;
- адреса електронної пошти (e-mail);
- мобільний телефон;
- адреса(и);
- пароль;
- інформація про здійснені на Сайті дії.
ІV. Організація роботи із персональними даними
4.1. Для забезпечення дотримання вимог законодавства України щодо захисту та обробки персональних даних, а також умов цього Положення, Володілець призначає відповідальних осіб з кола своїх працівників.
4.2. Відповідальна особа виконує свої обов‘язки у відповідності до цього Положення та норм чинного законодавства України щодо обробки та захисту персональних даних.
V. Права та обов’язки контрагентів як суб’єктів персональних даних
5.1. Контрагент як суб’єкт персональних даних має права у сфері захисту персональних даних згідно зі статтею 8 Закону № 2297, а саме:
- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
- на доступ до своїх персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
- пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
- відкликати згоду на обробку персональних даних;
- знати механізм автоматичної обробки персональних даних;
- на захист від автоматизованого рішення, яке має для нього правові наслідки.
VІ. Збирання персональних даних контрагентів
6.1. Збирання персональних даних контрагентів є складовою процесу обробки таких персональних даних, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
6.2. Підставами для обробки персональних даних контрагентів є:
- укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних (п. 3 частини першої ст. 11 Закону № 2297);
- необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес (п. 6 частини першої ст. 11 Закону № 2297).
6.3. Факт ознайомлення контрагента з правами у сфері захисту персональних даних, повідомлення про володільця персональних даних, склад та зміст зібраних персональних даних, мету збору персональних даних та осіб, яким передаватимуться персональні дані, підтверджується Акцептом Оферти.
6.4. При укладанні договору персональні дані контрагента вносяться до Бази даних "Контрагенти".
6.5. У разі виявлення факту обробки відомостей про контрагента, які не відповідають дійсності, такі відомості мають бути виправлені або знищені.
VІІ. Зберігання та знищення персональних даних контрагентів
7.1. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
7.2. Персональні дані контрагентів обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, та зберігаються у строк не більше, ніж це необхідно відповідно до їх законного призначення та мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.
7.3. Персональні дані контрагентів видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
7.4. Персональні дані підлягають знищенню у разі:
- закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
- припинення правовідносин між суб’єктом персональних даних та Товариством, якщо інше не передбачено законом;
- набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних;
- видання відповідного припису Уповноваженого Верховної Ради з прав людини або визначених ним посадових осіб секретаріату Уповноваженого.
7.5. Персональні дані, зібрані з порушенням вимог Закону № 2297, підлягають знищенню у встановленому законодавством порядку.
7.6. Відбір для знищення документів з персональними даними, терміни зберігання яких закінчилися, провадиться експертною комісією, склад якої визначається Товариством.
7.7. Знищення персональних даних проводиться у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
VІІІ. Передання персональних даних третім особам та
надання третім особам доступу до персональних даних
8.1. Передання персональних даних контрагента третім особам визначається умовами згоди на обробку персональних даних або відповідно до вимог закону.
8.2. Без згоди контрагента його персональні дані можуть передаватися у випадках:
- коли передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;
- отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України.
8.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону № 2297 або неспроможна їх забезпечити.
8.4. Контрагент має право на одержання будь-яких відомостей про себе, що містяться у відповідній базі персональних даних, без зазначення мети запиту.
ІХ. Захист персональних даних при їх обробці
9.1. Захист персональних даних в автоматизованій системі
9.1.1. Право доступу до автоматизованої системи надається працівникам Товариства, в посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.
9.1.2. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи.
9.1.3. Право доступу до персональних даних контрагентів надається третім особам, з якими Товариством укладено договори на виконання договірних зобов'язань перед контрагентами.