ЗАТВЕРДЖУЮ
ТОВ "Академія бізнесу Баланс"
Вітковська М.В.
"11" серпня 2021 р.
ПОЛОЖЕННЯ ПРО ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ
1. Загальні положення
1.1 Цим Положенням регулюються відносини, пов'язані із захистом персональних даних під час їх обробки в процесі діяльності ТОВ "Академія бізнесу Баланс" (далі - Підприємство).
1.2 Метою обробки персональних даних на Підприємстві є здійснення кадрового, податкового, управлінського обліку та забезпечення ефективної взаємодії із партнерами та клієнтами Підприємства.
1.3 Вимоги цього Положення стосуються як працівників Підприємства, так і власників Підприємства, їх представників.
2. Визначення термінів
2.1 У цьому Положенні терміни використовуються в такому значенні:
автентифікація - процедура встановлення належності працівникові володільця або розпорядника бази персональних даних пред'явленого ним ідентифікатора;
авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов'язків покладено організацію роботи, пов'язану із захистом персональних даних при їх обробці;
володілець персональних даних - особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, установлює склад цих даних і процедуру їх обробки, якщо інше не визначено законом;
згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене в письмовій формі або у формі, що дає змогу зробити висновок про її надання;
знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
персональні дані - відомості чи сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано;
розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.
3. Бази персональних даних
3.1 На Підприємстві існують такі бази персональних даних: Партнери та клієнти підприємства.
3.2 Бази персональних даних на Підприємстві існують у складі інформаційної (автоматизованої) системи.
3.3 Підприємство є володільцем і розпорядником зазначених баз персональних даних.
3.4 Підприємство має право визначати і залучати на підставі договору іншого розпорядника баз персональних даних за умови обов'язкового повідомлення суб'єктів персональних даних у порядку, визначеному законодавством.
3.5 До складу персональних даних у базах персональних даних входить така інформація: прізвище, ім'я, по батькові, номери телефонів, адресу особистої електронної пошти.
3.6 Місцезнаходженням бази персональних даних є: м.Київ, вул.В.Тютюнника, 37/1, секція 2 офіс 2110; адміністрація ТОВ "Академія бізнесу Баланс", та на сервеерах домену та підоменах https://uteka.ua/ та https://topaccountant.pro
4. Права суб'єктів персональних даних
4.1 На Підприємстві забезпечується дотримання прав суб'єктів персональних даних.
4.2 Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і професійних спілках, звинувачення у скоєні злочину або засудження до кримінального покарання, а також даних, що стосуються здоров'я чи статевого життя особи, окрім випадків, прямо передбачених законодавством.
4.3 Суб'єкти персональних даних мають право:
4.3.1 знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, установлених законом;
4.3.2 отримувати інформацію про умови надання доступу до персональних даних, зокрема, інформацію про третіх осіб, яким передаються його персональні дані;
4.3.3 на доступ до своїх персональних даних;
4.3.4 отримувати не пізніш як за тридцять календарних днів із дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
4.3.5 пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
4.3.6 пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем і розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
4.3.7 на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
4.3.8 звертатися зі скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;
4.3.9 застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
4.3.10 вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
4.3.11 відкликати згоду на обробку персональних даних;
4.3.12 знати механізм автоматичної обробки персональних даних;
4.3.13 на захист від автоматизованого рішення, яке має для нього правові наслідки.
5. Порядок обробки персональних даних
5.1 Збирання та внесення персональних даних до баз персональних даних Підприємства здійснюється на підставі:
5.1.1 згоди суб'єкта персональних даних на обробку його персональних даних, що оформляється у вигляді проставляння відповідного символу при реєстрації в електронному ресурсі Підприємства ;
5.1.2 факту укладення та виконання правочину, стороною якого є суб'єкт персональних даних, або який укладено на користь суб'єкта персональних даних, чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних .
5.3 Зміна інформації в базах персональних даних Підприємства здійснюється на підставі документів, що надаються суб'єктами персональних даних, або уповноваженими ними особами.
5.4 Використання персональних даних на Підприємстві здійснюється винятково з метою, визначеною цим Положенням відповідно до вимог законодавства.
5.5 Використання персональних даних працівниками Підприємства здійснюється лише відповідно до їхніх професійних та/або трудових обов'язків. Працівники Підприємства зобов'язані не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних та/або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
5.6 Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
5.7 Поширення персональних даних, тобто дії щодо передачі відомостей про фізичну особу, здійснюється винятково за згодою суб'єкта персональних даних, що оформлюється в письмовій формі.
5.8 Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи, дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
5.9 При поширенні персональних даних Підприємство забезпечує виконання вимог встановленого режиму захисту персональних даних.
5.10 Підприємство протягом десяти робочих днів повідомляє суб'єкта персональних даних про передачу персональних даних третій особі, якщо цього вимагають умови його згоди або інше не передбачено законом.
5.11 Задля виконання цілей і завдань Підприємства або з метою виконання вимог законодавства, Підприємство може здійснювати знеособлення персональних даних і користуватися знеособленими персональними даними у спосіб, не заборонений законодавством.
5.12 Персональні дані підлягають знищенню в разі:
5.12.1 закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
5.12.2 припинення правовідносин між суб'єктом персональних даних і Підприємством, якщо інше не передбачено законом;
5.12.3 набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних;
5.12.4 встановлення фактів їх недостовірності або незаконного збору.
5.13 Знищені персональні дані можуть бути поновлені за згодою суб'єкта персональних даних, що оформлюється в письмовій формі.
5.14 Про зміну чи знищення персональних даних або обмеження доступу до них Підприємство протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
6. Порядок захисту персональних даних
6.1 Персональні дані (крім знеособлених) за режимом доступу є інформацією з обмеженим доступом.
6.2 На Підприємстві забезпечується захист персональних даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
6.3 Перелік працівників, що мають доступ до кожної конкретної бази персональних даних Підприємства, та перелік осіб, що здійснюють обробку персональних даних у кожній конкретній базі персональних даних, визначається керівником Підприємства.
6.4 Відповідальним за захист персональних даних на Підприємстві є Директор.
6.5 Відповідальний за захист персональних здійснює такі заходи:
6.5.1 забезпечує ознайомлення працівників Підприємства з вимогами законодавства про захист персональних даних, зокрема, щодо їхнього обов'язку не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
6.5.2 забезпечує організацію обробки персональних даних працівниками Підприємства відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
6.5.3 організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних із обробкою персональних даних протягом строку, встановленого законодавством;
6.5.4 забезпечує доступ суб'єктів персональних даних до власних персональних даних;
6.5.5 інформує керівника Підприємства про заходи, яких необхідно вжити для приведення складу персональних даних і процедур їх обробки у відповідність до закону;
6.5.6 інформує керівника Підприємства про порушення встановлених процедур з обробки персональних даних;
6.5.7 здійснює заходи, спрямовані на дотримання прав суб'єктів персональних даних.
6.6 З метою захисту персональних даних заборонено:
6.6.1 розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних із такими даними;
6.6.2 ознайомлювати будь-яких третіх осіб із персональними даними, що містяться в базах персональних даних Підприємства, якщо таке ознайомлення не є обов'язковим згідно із законодавством;
6.6.3 ознайомлювати з персональними даними працівників Підприємства, яким таке ознайомлення не є необхідним для виконання їх трудових обов'язків;
6.6.4 надавати доступ до персональних даних третій особі, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог законодавства про захист персональних даних або неспроможна їх забезпечити.
7. Обробка персональних даних у складі інформаційної (автоматизованої) системи
7.1 Інформаційна (автоматизована) система, у якій здійснюється обробка персональних даних, повинна забезпечувати захист персональних даних від несанкціонованого втручання та стороннього доступу.
7.2 Обробка персональних даних у складі інформаційної (автоматизованої) системи може здійснюватися у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
7.3 Уповноважені працівники Підприємства допускаються до обробки персональних даних лише після їх авторизації.
7.4 Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, повинен блокуватися.
7.5 В інформаційній (автоматизованій) системі, де обробляються персональні дані, здійснюється реєстрація:
7.5.1 результатів ідентифікації та/або автентифікації працівників Підприємства та дій із обробки персональних даних;
7.5.2 факту встановлення ознаки "Підтвердження надання згоди на обробку персональних даних у базі персональних даних" за допомогою управляючих елементів веб-ресурсів Підприємства (або іншого розпорядника бази персональних даних у разі залучення його на підставі договору), інтерфейсів користувача програмного забезпечення;
7.5.3 результатів перевірки цілісності засобів захисту персональних даних.
7.6 Відповідальна особа здійснює аналіз реєстраційних даних.
7.7 Відповідальна особа забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
7.8 Реєстраційні дані захищаються від модифікації та знищення.
7.9 Реєстраційні дані зберігаються та надаються за вмотивованою вимогою для аналізу суб'єктами відносин, які пов'язані із персональними даними.
8. Обробка персональних даних у формі картотек
8.1 Документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних.
8.2 Справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних.
8.3 Картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
8.4 Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ "Академія бізнесу Баланс"
(ТОВ "Академія бізнесу Баланс")
Ідентифікаційний код 43231884
Україна, 03150, місто Київ, ВУЛИЦЯ ВАСИЛЯ ТЮТЮННИКА, будинок 37/1, секція 2, офіс 2110