Intimité

Réglementation sur le traitement et la protection des données personnelles dans les bases de données personnelles appartenant au vendeur

Contenu

Concepts généraux et portée.

Liste des bases de données personnelles.

La finalité du traitement des données personnelles.

Procédure de traitement des données personnelles : obtention du consentement, notification des droits et actions avec les données personnelles de la personne concernée.

Emplacement de la base de données personnelle.

Conditions de divulgation des données personnelles à des tiers.

Protection des données personnelles : méthodes de protection, personne responsable, employés qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles, la durée de conservation des données personnelles.

Droits de la personne concernée.

Procédure de traitement des demandes des personnes concernées.

1. Concepts généraux et champ d'application.

1.1. Définition des termes:

base de données personnelle - un ensemble nommé de données personnelles organisées sous forme électronique et/ou sous forme de fichiers de données personnelles ;

personne responsable - une personne désignée qui organise le travail lié à la protection des données personnelles lors de leur traitement, conformément à la loi ;

propriétaire de la base de données personnelle - une personne physique ou morale qui, en vertu de la loi ou avec le consentement de la personne concernée, a le droit de traiter ces données, qui approuve la finalité du traitement des données personnelles dans cette base de données, établit la composition de ces données et le traitement procédures, sauf disposition contraire de la loi ;

consentement de la personne concernée - l'expression volontaire de la volonté d'une personne (sous réserve de sa connaissance) d'autoriser le traitement de ses données personnelles conformément à la finalité déclarée de leur traitement, exprimée par écrit ou sous une forme qui permet de conclure le consentement ;

dépersonnalisation des données personnelles - suppression des informations permettant d'identifier une personne ;

traitement de données personnelles - toute action ou ensemble d'actions effectuées en tout ou en partie dans le système d'information (automatisé) et/ou dans les fichiers de données personnelles liées à la collecte, l'enregistrement, l'accumulation, le stockage, l'adaptation, la modification, le renouvellement, utilisation et diffusion (diffusion, vente, transfert), dépersonnalisation, destruction d'informations sur un individu ;

données personnelles - informations ou un ensemble d'informations sur une personne qui est identifiée ou peut être spécifiquement identifiée et peut inclure un enregistrement d'un ou plusieurs cookies ou identifiants anonymes, ainsi que des cookies et des identifiants anonymes lorsque la personne concernée interagit avec les services offerts par nos partenaires, tels que les services publicitaires, tels que ceux qui peuvent apparaître sur d'autres sites qui ont été explicitement divulgués par la personne concernée, et d'autres données ;

responsable du traitement des données personnelles - une personne physique ou morale qui a le droit de traiter ces données par le propriétaire de la base de données personnelle ou par la loi.

Une personne qui est chargée par le propriétaire et/ou l'administrateur de la base de données personnelle d'effectuer un travail technique avec la base de données personnelle sans avoir accès au contenu des données personnelles n'est pas l'administrateur de la base de données personnelle ;

personne concernée - une personne physique à l'égard de laquelle ses données personnelles sont traitées conformément à la loi ;

tiers - toute personne, à l'exception de la personne concernée, du propriétaire ou de l'administrateur de la base de données personnelle et de l'organisme public autorisé pour la protection des données personnelles, à qui le propriétaire ou l'administrateur de la base de données personnelle transfère des données personnelles conformément à la loi ;

catégories particulières de données - données personnelles sur l'origine raciale ou ethnique, les convictions politiques, religieuses ou idéologiques, l'appartenance à des partis politiques et à des syndicats, ainsi que des données relatives à la santé ou à la vie sexuelle.

1.2. Le présent règlement lie le responsable et les employés du vendeur qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles.

2. Liste des bases de données personnelles.

2.1. Le vendeur possède les bases de données personnelles suivantes :

base de données des sous-traitants de données personnelles.

3. La finalité du traitement des données personnelles.

3.1. Le but du traitement des données personnelles dans le système est le stockage et la maintenance des données des sous-traitants, conformément aux articles 6 et 7 de la loi ukrainienne "sur la protection des données personnelles".

3.2. Le but du traitement des données personnelles est d'assurer la mise en œuvre des relations civiles, de fournir/recevoir et d'effectuer des paiements pour les biens/services achetés conformément au Code fiscal de l'Ukraine, à la loi ukrainienne "Sur la comptabilité et les rapports financiers en Ukraine" et autres responsabilités du propriétaire des données personnelles, pour protéger les intérêts légitimes du propriétaire des données personnelles ou d'un tiers auquel les données personnelles sont transférées.

3.3. Le but du traitement des données personnelles est de créer et de mettre en œuvre des programmes de bonus, des programmes de fidélité, d'envoyer des messages sous forme d'e-mails, de messages Viber, de messages SMS, de notifications dans l'application mobile, de notifications dans le navigateur Web, y compris pour envoyer des offres commerciales , pour améliorer la qualité des services, la notation, l'analyse de l'activité, la recherche de mots clés, l'envoi de newsletters d'information et de marketing (actualités, promotions de l'entreprise, informations sur les promotions, codes promotionnels et remises, recommandations personnelles, remises et offres personnelles), qui contiennent des informations sur les produits et/ou services, publicités et offres commerciales pour ces biens et/ou services, etc.

La procédure de traitement des données personnelles. Obtention du consentement, notification des droits et actions avec les données personnelles de la personne concernée.

4.1. Le traitement des données personnelles utilisées pour atteindre l'objectif de traitement prévu au paragraphe 3.2 du présent règlement est effectué sur la base de l'article 11 de la loi ukrainienne "sur la protection des données personnelles".

4.2. Le traitement des données personnelles utilisées pour remplir la finalité de traitement prévue au paragraphe 3.3 du présent règlement est effectué sur la base du consentement de la personne concernée ou pour répondre aux offres acceptées par la personne concernée, y compris les abonnements.

4.2.1. Le consentement de la personne concernée doit être une expression volontaire de la volonté de la personne d'autoriser le traitement de ses données personnelles conformément à la finalité déclarée de leur traitement. Le consentement de la personne concernée peut être donné sous les formes suivantes :

un document sur papier avec des détails, qui permet d'identifier ce document et l'individu;

un document électronique, qui doit contenir les données obligatoires permettant d'identifier ce document et la personne. L'expression volontaire de la volonté d'un individu d'autoriser le traitement de ses données personnelles doit être certifiée par une signature électronique de la personne concernée.

marque sur la page électronique du document ou dans le fichier électronique traité dans le système d'information sur la base de solutions logicielles et matérielles documentées.

4.3. Notification à la personne concernée de l'inclusion de ses données personnelles dans la base de données personnelles, des droits définis par la loi ukrainienne "sur la protection des données personnelles", de la finalité de la collecte des données et des personnes à qui ses données personnelles sont transférées au cours de la enregistrement de la législation sur les relations civiles.

4.4. Le traitement de données personnelles sur l'origine raciale ou ethnique, les convictions politiques, religieuses ou idéologiques, l'appartenance à des partis politiques et à des syndicats, ainsi que des données relatives à la santé ou à la vie sexuelle (catégories particulières de données) est interdit.

5. Emplacement de la base de données personnelle.

5.1. Les bases de données personnelles visées à l'article 2 du présent règlement sont situées à l'adresse du vendeur.

6. Conditions de divulgation des données personnelles à des tiers.

6.1. La procédure d'accès aux données personnelles de tiers est déterminée par le consentement de la personne concernée fourni au propriétaire de la base de données personnelles pour le traitement de ces données, afin de remplir les obligations envers la personne concernée ou conformément à droit.

6.2. L'accès aux données personnelles n'est pas accordé à un tiers si ladite personne refuse de s'engager à assurer le respect des exigences de la loi ukrainienne "sur la protection des données personnelles" ou est incapable de les fournir.

6.3. Le sujet de la relation relative aux données personnelles soumet une demande d'accès (ci-après - la demande) aux données personnelles au propriétaire de la base de données personnelle.

6.4. La demande précise :

nom, prénom et patronyme, lieu de résidence (lieu) et détails du document attestant la personne physique qui soumet la demande (pour la personne physique - le demandeur);

nom, lieu de la personne morale qui soumet la demande, fonction, nom, prénom et patronyme de la personne qui certifie la demande ; confirmation que le contenu de la demande correspond aux pouvoirs de la personne morale (pour la personne morale - le demandeur);

nom, prénom et patronyme, ainsi que d'autres informations permettant d'identifier la personne physique à l'égard de laquelle la demande est faite ;

des informations sur la base de données personnelles faisant l'objet de la demande, ou des informations sur le propriétaire ou l'administrateur de cette base de données ;

liste des données personnelles demandées ;

l'objet de la demande.

6.5. Le délai d'étude de la demande en vue de sa satisfaction ne peut excéder dix jours ouvrables à compter de la date de sa réception.

Pendant cette période, le propriétaire de la base de données personnelle informe la personne qui soumet la demande que la demande sera satisfaite ou que les données personnelles pertinentes ne sont pas soumises à la disposition, en indiquant les motifs spécifiés dans l'acte juridique pertinent.

La demande doit être satisfaite dans les trente jours calendaires à compter de la date de sa réception, sauf disposition contraire de la loi.

6.6. Tous les employés du propriétaire de la base de données personnelle sont tenus de respecter les exigences de confidentialité des données personnelles et des informations sur les comptes-titres et la circulation des titres.

6.6.1. Les commandes internationales seront expédiées par le service Ukrposhta. Le délai de livraison est de 10 à 20 jours ouvrables.

6.7. Le report de l'accès aux données personnelles de tiers est autorisé si les données nécessaires ne peuvent pas être fournies dans les trente jours calendaires à compter de la date de réception de la demande. Toutefois, le délai total de résolution des problèmes soulevés dans la demande ne peut excéder quarante-cinq jours calendaires.

6.8. L'avis d'ajournement est notifié par écrit au tiers qui en a fait la demande en expliquant la procédure de recours contre une telle décision.

6.9. L'avis de report indique :

nom, prénom et patronyme du fonctionnaire ;

date d'envoi du message ;

raison du report;

la période pendant laquelle la demande sera satisfaite.

6.10. Le refus d'accès aux données personnelles est autorisé si l'accès à celles-ci est interdit par la loi.

6.11. L'avis de refus mentionne :

nom, prénom, patronyme du fonctionnaire qui refuse l'accès ;

date d'envoi du message ;

motif de refus.

6.12. La décision de reporter ou de refuser l'accès aux données personnelles peut faire l'objet d'un recours auprès de l'organisme public compétent pour la protection des données personnelles, d'autres autorités publiques et des gouvernements locaux, dont les compétences incluent la protection des données personnelles, ou devant le tribunal.

7. Protection des données personnelles : méthodes de protection, personne responsable, employés qui traitent directement et/ou ont accès aux données personnelles dans le cadre de l'exercice de leurs fonctions officielles, la durée de conservation des données personnelles.

7.1. Les propriétaires de la base de données personnelle sont équipés d'un système et de logiciels et de matériel et de moyens de communication qui empêchent la perte, le vol, la destruction non autorisée, la déformation, la falsification, la copie d'informations et répondent aux exigences des normes internationales et nationales.

7.2. Le responsable organise le travail lié à la protection des données personnelles lors de leur traitement, conformément à la loi. La personne responsable est déterminée par l'ordre du Propriétaire de la base de données personnelle.

Les responsabilités du responsable de l'organisation du travail lié à la protection des données personnelles lors de leur traitement sont précisées dans la fiche de poste.

7.3. La personne responsable est tenue de :

connaître la législation de l'Ukraine dans le domaine de la protection des données personnelles ;

développer des procédures d'accès aux données personnelles des employés conformément à leurs responsabilités professionnelles ou officielles ou de travail ;

assurer le respect des exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes régissant les activités du propriétaire de la base de données personnelle sur le traitement et la protection des données personnelles dans les bases de données personnelles ;

élaborer une procédure (procédure) de contrôle interne du respect de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes régissant les activités du propriétaire des données personnelles sur le traitement et la protection des données personnelles dans les bases de données personnelles, qui, en particulier , doit contenir le contrôle ;

informer le propriétaire de la base de données personnelle des faits de violation par les employés des exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes régissant les activités du propriétaire de la base de données personnelle sur le traitement et la protection des données personnelles dans bases de données personnelles ;

assurer le stockage des documents confirmant le consentement de la personne concernée au traitement de ses données personnelles et la notification de la personne concernée sur ses droits.

7.4. Pour l'exercice de ses fonctions, le responsable a le droit de :

recevoir les documents nécessaires, y compris les commandes et autres documents administratifs émis par le Propriétaire de la base de données personnelle liés au traitement des données personnelles ;

faire des copies des documents reçus, y compris des copies de fichiers, de tout enregistrement stocké sur des réseaux locaux et des systèmes informatiques autonomes ;

participer à la discussion de ses responsabilités pour l'organisation du travail lié à la protection des données personnelles lors de leur traitement ;

faire des propositions pour l'amélioration des activités et l'amélioration des méthodes de travail, soumettre des commentaires et des options pour éliminer les lacunes identifiées dans le processus de traitement des données personnelles ;

recevoir des explications sur le traitement des données personnelles ;

signer et viser les documents relevant de sa compétence.

7.5. Les employés qui traitent directement et/ou ont accès à des données personnelles dans le cadre de l'exercice de leurs fonctions (professionnelles) officielles sont tenus de se conformer aux exigences de la législation ukrainienne dans le domaine de la protection des données personnelles et des documents internes concernant le traitement et la protection des données personnelles dans des bases de données personnelles.

7.6. Les employés qui ont accès aux données personnelles, y compris ceux qui les traitent, sont tenus d'empêcher la divulgation de quelque manière que ce soit des données personnelles qui leur sont confiées ou qui sont devenues connues dans le cadre de l'exercice de fonctions professionnelles ou officielles ou d'un emploi. langues. Cette obligation est valable après la cessation de leurs activités liées aux données personnelles, sauf dans les cas prévus par la loi.

7.7 Les personnes qui ont accès aux données personnelles, y compris, les traitent en cas de violation des exigences de la loi ukrainienne "sur la protection des données personnelles" sont responsables en vertu des lois ukrainiennes.

7.8. Les données personnelles ne seront pas conservées plus longtemps que nécessaire aux fins pour lesquelles ces données sont stockées, mais en tout cas pas plus longtemps que la durée de stockage des données déterminée par le consentement de la personne concernée par le traitement de ces données.

8. Droits de la personne concernée.

8.1. La personne concernée a le droit de :

connaître l'emplacement de la base de données personnelle contenant ses données personnelles, son objectif et le nom, l'emplacement et/ou le lieu de résidence (séjour) du propriétaire ou de l'administrateur de cette base de données ou donner un ordre correspondant pour obtenir ces informations aux personnes autorisées, sauf tel que prévu par la loi ;

recevoir des informations sur les conditions d'accès aux données personnelles, en particulier des informations sur les tiers auxquels ses données personnelles contenues dans la base de données personnelle concernée sont transférées ;

d'accéder à leurs données personnelles contenues dans la base de données personnelle correspondante ;

recevoir au plus tard trente jours calendaires à compter de la date de réception de la demande, sauf dans les cas prévus par la loi, une réponse quant à savoir si ses données personnelles sont stockées dans la base de données personnelle concernée, ainsi que recevoir le contenu de ses données personnelles stockées ;

faire une demande motivée avec une objection au traitement de leurs données personnelles par les autorités publiques, les gouvernements locaux dans l'exercice de leurs pouvoirs en vertu de la loi ;

faire une demande motivée de modification ou de destruction de ses données personnelles par tout propriétaire et administrateur de cette base de données, si ces données sont traitées illégalement ou sont inexactes ;

pour protéger leurs données personnelles contre le traitement illicite et la perte accidentelle, la destruction, les dommages dus à la dissimulation intentionnelle, au défaut de fourniture ou à la fourniture intempestive, ainsi que pour se protéger contre la fourniture d'informations inexactes ou ternissant l'honneur, la dignité et la réputation commerciale de un individu ;

de demander la protection de leurs droits sur les données personnelles aux autorités publiques, aux gouvernements locaux, dont les compétences incluent la protection des données personnelles ;

appliquer les recours légaux en cas de violation de la législation sur la protection des données personnelles.

9. Procédure de traitement des demandes de la personne concernée.

9.1. Le sujet des données personnelles a le droit d'obtenir toute information sur lui-même de tout sujet de relations liées aux données personnelles, sans préciser le but de la demande, sauf dans les cas prévus par la loi.

9.2. Le sujet des données personnelles a accès gratuitement aux données personnelles.

9.3. La personne concernée soumet une demande d'accès (ci-après - la demande) aux données personnelles au propriétaire de la base de données personnelle.

La demande précise :

nom, prénom et patronyme, lieu de résidence (localisation) et détails de la pièce d'identité de la personne concernée ;

autres informations permettant d'identifier le sujet des données personnelles ;

des informations sur la base de données personnelles faisant l'objet de la demande, ou des informations sur le propriétaire ou l'administrateur de cette base de données ;

liste des données personnelles demandées.

9.4. Le délai d'étude de la demande en vue de sa satisfaction ne peut excéder dix jours ouvrables à compter de la date de sa réception.

9.5. Pendant cette période, le propriétaire de la base de données personnelles informe la personne concernée que la demande sera satisfaite ou que les données personnelles pertinentes ne sont pas soumises à la disposition, en indiquant les motifs spécifiés dans l'acte juridique pertinent.

9.6. La demande doit être satisfaite dans les trente jours calendaires à compter de la date de sa réception, sauf disposition contraire de la loi.