Regolamento sul trattamento e sulla protezione dei dati personali nelle banche dati personali di cui il venditore è titolare

Indice

  1. Concetti generali e ambito di applicazione
  2. Elenco delle banche dati personali
  3. Finalità del trattamento dei dati personali
  4. Procedura di trattamento dei dati personali: ottenimento del consenso, comunicazione dei diritti e azioni relative ai dati personali dell'interessato
  5. Ubicazione della banca dati personale
  6. Condizioni per la divulgazione delle informazioni sui dati personali a terzi
  7. Protezione dei dati personali: metodi di protezione, persona responsabile, dipendenti che effettuano direttamente il trattamento e/o hanno accesso ai dati personali in relazione allo svolgimento delle proprie funzioni, periodo di conservazione dei dati personali
  8. Diritti dell'interessato
  9. Procedura per la gestione delle richieste dell'interessato
  10. Registrazione statale della banca dati personale

1. Concetti generali e ambito di applicazione

1.1. Definizione dei termini:

banca dati personale — insieme nominato di dati personali organizzati in forma elettronica e/o sotto forma di archivi di dati personali;

persona responsabile — persona designata che organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento, in conformità alla legge;

titolare della banca dati personale — persona fisica o giuridica alla quale, per legge o con il consenso dell'interessato, è concesso il diritto di trattare tali dati, che stabilisce la finalità del trattamento dei dati personali nella banca dati, determina la composizione di tali dati e le procedure per il loro trattamento, salvo diversa disposizione di legge;

Registro statale delle banche dati personali — sistema informativo statale unificato per la raccolta, l'accumulazione e il trattamento delle informazioni sulle banche dati personali registrate;

fonti pubblicamente accessibili di dati personali — directory, rubriche, registri, elenchi, cataloghi e altre raccolte sistematizzate di informazioni aperte che contengono dati personali pubblicati con il consenso dell'interessato. Non sono considerate fonti pubblicamente accessibili i social network e le risorse Internet nelle quali l'interessato lascia i propri dati personali (salvo i casi in cui l'interessato abbia indicato esplicitamente che i dati personali sono pubblicati con lo scopo della loro libera diffusione e utilizzo);

consenso dell'interessato — qualsiasi manifestazione documentata e volontaria della volontà di una persona fisica di concedere il permesso al trattamento dei propri dati personali in conformità con la finalità formulata del loro trattamento;

anonimizzazione dei dati personali — eliminazione delle informazioni che consentono l'identificazione di una persona;

trattamento dei dati personali — qualsiasi azione o insieme di azioni effettuate interamente o parzialmente in un sistema informativo (automatizzato) e/o negli archivi di dati personali, relative alla raccolta, registrazione, accumulo, conservazione, adattamento, modifica, aggiornamento, utilizzo e diffusione (distribuzione, realizzazione, trasferimento), anonimizzazione e distruzione delle informazioni su una persona fisica;

dati personali — informazioni o insieme di informazioni relative a una persona fisica identificata o che può essere specificamente identificata;

responsabile del trattamento della banca dati personale — persona fisica o giuridica alla quale il titolare della banca dati personale o la legge ha concesso il diritto di trattare tali dati. Non è considerata responsabile del trattamento della banca dati personale la persona alla quale il titolare e/o il responsabile della banca dati personale ha affidato lavori di carattere tecnico sulla banca dati senza accesso al contenuto dei dati personali;

interessato — persona fisica i cui dati personali sono trattati in conformità alla legge;

terza parte — qualsiasi persona, ad eccezione dell'interessato, del titolare o del responsabile della banca dati personale e dell'organo statale autorizzato per la protezione dei dati personali, alla quale il titolare o il responsabile della banca dati personale trasferisce dati personali in conformità alla legge;

categorie particolari di dati — dati personali relativi all'origine razziale o etnica, alle convinzioni politiche, religiose o filosofiche, all'appartenenza a partiti politici o sindacati, nonché dati relativi alla salute o alla vita sessuale.

1.2. Il presente Regolamento è obbligatorio per la persona responsabile e per i dipendenti del venditore che effettuano direttamente il trattamento e/o hanno accesso ai dati personali in relazione allo svolgimento delle loro funzioni.

2. Elenco delle banche dati personali

2.1. Il venditore è proprietario delle seguenti banche dati personali:

  • banca dati personale dei contraenti.

3. Finalità del trattamento dei dati personali

3.1. La finalità del trattamento dei dati personali nel sistema è garantire l'attuazione dei rapporti giuridici civili, la fornitura, la ricezione e l'esecuzione dei pagamenti per i beni e i servizi acquistati in conformità con il Codice fiscale dell'Ucraina e con la Legge dell'Ucraina «Sulla contabilità e la rendicontazione finanziaria in Ucraina».

4. Procedura di trattamento dei dati personali: ottenimento del consenso, comunicazione dei diritti e azioni relative ai dati personali dell'interessato

4.1. Il consenso dell'interessato deve essere una manifestazione volontaria della volontà della persona fisica di concedere il permesso al trattamento dei propri dati personali in conformità con la finalità formulata del loro trattamento.

4.2. Il consenso dell'interessato può essere fornito nelle seguenti forme:

  • documento cartaceo con i dati che consentono di identificare tale documento e la persona fisica;
  • documento elettronico che deve contenere i dati obbligatori che consentono di identificare tale documento e la persona fisica. La manifestazione volontaria della volontà della persona fisica di concedere il permesso al trattamento dei propri dati personali è opportuno che sia certificata con la firma elettronica dell'interessato;
  • contrassegno su una pagina elettronica del documento o in un file elettronico trattato nel sistema informativo sulla base di soluzioni software e tecniche documentate.

4.3. Il consenso dell'interessato viene fornito al momento della formalizzazione dei rapporti giuridici civili in conformità con la legislazione vigente.

4.4. La comunicazione all'interessato dell'inclusione dei suoi dati personali nella banca dati personale, dei diritti stabiliti dalla Legge dell'Ucraina «Sulla protezione dei dati personali», della finalità della raccolta dei dati e delle persone alle quali vengono trasferiti i suoi dati personali avviene al momento della formalizzazione dei rapporti giuridici civili in conformità con la legislazione vigente.

4.5. Il trattamento dei dati personali relativi all'origine razziale o etnica, alle convinzioni politiche, religiose o filosofiche, all'appartenenza a partiti politici o sindacati, nonché dei dati relativi alla salute o alla vita sessuale (categorie particolari di dati) è vietato.

5. Ubicazione della banca dati personale

5.1. Le banche dati personali indicate nella sezione 2 del presente Regolamento si trovano all'indirizzo del venditore.

6. Condizioni per la divulgazione delle informazioni sui dati personali a terzi

6.1. La procedura di accesso ai dati personali da parte di terzi è determinata dalle condizioni del consenso dell'interessato fornite al titolare dei dati personali per il trattamento di tali dati, oppure in conformità con i requisiti della legge.

6.2. L'accesso ai dati personali a una terza parte non è concesso se tale persona rifiuta di assumere l'obbligo di garantire il rispetto dei requisiti della Legge dell'Ucraina «Sulla protezione dei dati personali» o non è in grado di garantirli.

6.3. Il soggetto delle relazioni relative ai dati personali presenta una richiesta di accesso (di seguito — richiesta) ai dati personali al titolare dei dati personali.

6.4. Nella richiesta sono indicati:

  • cognome, nome e patronimico, luogo di residenza (luogo di soggiorno) e dati del documento che identifica la persona fisica che presenta la richiesta (per la persona fisica — richiedente);
  • denominazione, sede della persona giuridica che presenta la richiesta, posizione, cognome, nome e patronimico della persona che certifica la richiesta; conferma che il contenuto della richiesta corrisponde ai poteri della persona giuridica (per la persona giuridica — richiedente);
  • cognome, nome e patronimico, nonché altre informazioni che consentono di identificare la persona fisica a cui si riferisce la richiesta;
  • informazioni sulla banca dati personale a cui si riferisce la richiesta o informazioni sul titolare o responsabile di tale banca dati personale;
  • elenco dei dati personali richiesti;
  • finalità e/o basi giuridiche della richiesta.

6.5. Il termine per l'esame della richiesta per determinarne la soddisfazione non può superare dieci giorni lavorativi dalla data di ricezione. Durante tale periodo il titolare della banca dati personale informa la persona che presenta la richiesta che essa sarà soddisfatta oppure che i dati personali pertinenti non sono soggetti a divulgazione, indicando la base stabilita nell'atto normativo pertinente. La richiesta viene soddisfatta entro trenta giorni di calendario dalla data di ricezione, salvo diversa disposizione di legge.

6.6. Il rinvio dell'accesso ai dati personali da parte di terzi è consentito nel caso in cui i dati richiesti non possano essere forniti entro trenta giorni di calendario dalla ricezione della richiesta. In tal caso il termine complessivo per la risoluzione delle questioni sollevate nella richiesta non può superare quarantacinque giorni di calendario.

6.7. La comunicazione del rinvio viene inviata alla terza parte che ha presentato la richiesta in forma scritta con la spiegazione della procedura per impugnare tale decisione.

6.8. Nella comunicazione di rinvio sono indicati:

  • cognome, nome e patronimico del funzionario;
  • data di invio della comunicazione;
  • motivo del rinvio;
  • termine entro il quale la richiesta sarà soddisfatta.

6.9. Il rifiuto di accesso ai dati personali è consentito se l'accesso è vietato dalla legge.

6.10. Nella comunicazione di rifiuto sono indicati:

  • cognome, nome e patronimico del funzionario che rifiuta l'accesso;
  • data di invio della comunicazione;
  • motivo del rifiuto.

6.11. La decisione di rinvio o di rifiuto di accesso ai dati personali può essere impugnata in tribunale.

7. Protezione dei dati personali

7.1. Il titolare della banca dati personale è dotato di mezzi di sistema, software e tecnici, nonché di mezzi di comunicazione che impediscono perdita, furto, distruzione non autorizzata, distorsione, falsificazione e copia delle informazioni e che soddisfano i requisiti degli standard internazionali e nazionali.

7.2. La persona responsabile organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento in conformità alla legge. La persona responsabile è nominata con ordine del titolare della banca dati personale.

I doveri della persona responsabile relativi all'organizzazione del lavoro di protezione dei dati personali durante il loro trattamento sono indicati nella descrizione delle mansioni.

7.3. La persona responsabile è obbligata a:

  • conoscere la legislazione dell'Ucraina nel campo della protezione dei dati personali;
  • sviluppare procedure di accesso ai dati personali dei dipendenti in conformità con i loro obblighi professionali o lavorativi;
  • garantire il rispetto da parte dei dipendenti del titolare della banca dati personale dei requisiti della legislazione ucraina nel campo della protezione dei dati personali e dei documenti interni che regolano l'attività relativa al trattamento e alla protezione dei dati personali;
  • sviluppare una procedura di controllo interno per il rispetto dei requisiti della legislazione nel campo della protezione dei dati personali;
  • informare il titolare della banca dati personale dei casi di violazione della legislazione in materia di protezione dei dati personali;
  • garantire la conservazione dei documenti che confermano il consenso dell'interessato al trattamento dei propri dati personali.

8. Diritti dell'interessato

8.1. L'interessato ha il diritto di:

  • conoscere l'ubicazione della banca dati personale che contiene i suoi dati personali, la sua finalità e il nome del titolare o del responsabile;
  • ricevere informazioni sulle condizioni di accesso ai dati personali;
  • accedere ai propri dati personali;
  • ricevere risposta entro trenta giorni di calendario dalla richiesta sull'esistenza dei propri dati personali nella banca dati;
  • presentare richiesta motivata di opposizione al trattamento dei propri dati personali;
  • richiedere la modifica o la distruzione dei propri dati personali se trattati illegalmente o inesatti;
  • proteggere i propri dati personali dal trattamento illegale e dalla perdita accidentale;
  • rivolgersi agli organi statali competenti per la protezione dei dati personali;
  • utilizzare mezzi di tutela legale in caso di violazione della legislazione sulla protezione dei dati personali.

9. Procedura per la gestione delle richieste dell'interessato

9.1. L'interessato ha il diritto di ottenere qualsiasi informazione su di sé da qualsiasi soggetto delle relazioni relative ai dati personali senza indicare la finalità della richiesta, salvo i casi previsti dalla legge.

9.2. L'accesso dell'interessato ai propri dati personali è gratuito.

9.3. L'interessato presenta una richiesta di accesso ai dati personali al titolare della banca dati personale.

9.4. Il termine per l'esame della richiesta non può superare dieci giorni lavorativi dalla data di ricezione.

9.5. La richiesta viene soddisfatta entro trenta giorni di calendario dalla data di ricezione, salvo diversa disposizione di legge.

10. Registrazione statale della banca dati personale

10.1. La registrazione statale delle banche dati personali viene effettuata in conformità con l'articolo 9 della Legge dell'Ucraina «Sulla protezione dei dati personali».