Vorschriften über die Verarbeitung und den Schutz personenbezogener Daten in persönlichen Datenbanken des Verkäufers
Inhalt
Allgemeine Bedingungen und Anwendungsbereich
Liste der Personendatenbanken
Zweck der Verarbeitung personenbezogener Daten
Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Zustimmung, Mitteilung der Rechte und Handlungen mit personenbezogenen Daten der betroffenen Person
Standort der Datenbank für personenbezogene Daten
Bedingungen für die Weitergabe von personenbezogenen Daten an Dritte
Schutz personenbezogener Daten: Schutzmethoden, verantwortliche Person, Mitarbeiter, die personenbezogene Daten in Verbindung mit der Erfüllung ihrer offiziellen Aufgaben direkt verarbeiten und/oder Zugang zu ihnen haben, Aufbewahrungsdauer personenbezogener Daten
Rechte der betroffenen Person
Verfahren zur Bearbeitung von Anträgen der betroffenen Person
Staatliche Registrierung der Datenbank für personenbezogene Daten
1. Allgemeine Begriffe und Anwendungsbereich
1.1. Definition der Begriffe:
Personenbezogene Datenbank - eine benannte Menge organisierter personenbezogener Daten in elektronischer Form und/oder in Form von Dateien mit personenbezogenen Daten;
Verantwortlicher - eine benannte Person, die die Arbeit im Zusammenhang mit dem Schutz personenbezogener Daten während ihrer Verarbeitung in Übereinstimmung mit dem Gesetz organisiert;
Inhaber einer Personendatenbank - eine natürliche oder juristische Person, die gesetzlich oder mit Zustimmung der betroffenen Person zur Verarbeitung dieser Daten befugt ist, den Zweck der Verarbeitung personenbezogener Daten in dieser Datenbank genehmigt, die Zusammensetzung dieser Daten und die Verfahren für ihre Verarbeitung festlegt, sofern gesetzlich nichts anderes bestimmt ist;
Das staatliche Register der Datenbanken mit personenbezogenen Daten ist ein einheitliches staatliches Informationssystem zur Sammlung, Akkumulation und Verarbeitung von Informationen über registrierte Datenbanken mit personenbezogenen Daten;
öffentlich zugängliche Quellen personenbezogener Daten - Verzeichnisse, Adressbücher, Register, Listen, Kataloge, andere systematisierte Sammlungen offener Informationen, die personenbezogene Daten enthalten und mit der Zustimmung der betroffenen Person angelegt und veröffentlicht wurden. Soziale Netzwerke und Internetressourcen, in denen die betroffene Person ihre personenbezogenen Daten hinterlässt, gelten nicht als öffentlich zugängliche Quellen personenbezogener Daten (es sei denn, die betroffene Person gibt ausdrücklich an, dass die personenbezogenen Daten zum Zwecke ihrer freien Verbreitung und Nutzung veröffentlicht werden);
Einwilligung der betroffenen Person - jede dokumentierte, freiwillige Willensbekundung der Person, die Verarbeitung ihrer personenbezogenen Daten im Einklang mit dem angegebenen Zweck der Verarbeitung zu gestatten;
Entpersonalisierung personenbezogener Daten: die Entfernung von Informationen, die die Identifizierung einer Person ermöglichen;
Verarbeitung personenbezogener Daten - jede Handlung oder Reihe von Handlungen, die ganz oder teilweise in einem (automatisierten) Informationssystem und/oder in Dateien mit personenbezogenen Daten im Zusammenhang mit dem Sammeln, der Registrierung, der Akkumulation, der Speicherung, der Anpassung, der Änderung, der Aktualisierung, der Verwendung und der Verbreitung (Verteilung, Verkauf, Übertragung), der Depersonalisierung und der Vernichtung von Informationen über eine Person durchgeführt werden;
Personenbezogene Daten - Informationen oder eine Reihe von Informationen über eine Person, die identifiziert wird oder spezifisch identifiziert werden kann;
Verantwortlicher für die Personendatenbank - eine natürliche oder juristische Person, die vom Eigentümer der Personendatenbank oder per Gesetz ermächtigt ist, diese Daten zu verarbeiten. Eine Person, die vom Inhaber und/oder Verwalter der personenbezogenen Datenbank beauftragt ist, technische Arbeiten mit der personenbezogenen Datenbank auszuführen, ohne Zugang zum Inhalt der personenbezogenen Daten zu haben, ist kein Verantwortlicher für die personenbezogenen Daten;
Betroffene Person - eine Person, in Bezug auf die personenbezogene Daten in Übereinstimmung mit dem Gesetz verarbeitet werden;
Dritter - jede Person, mit Ausnahme der betroffenen Person, des Inhabers oder Verwalters der Personendatenbank und des zuständigen staatlichen Organs für den Schutz personenbezogener Daten, an die der Inhaber oder Verwalter der Personendatenbank personenbezogene Daten in Übereinstimmung mit dem Gesetz übermittelt;
besondere Datenkategorien - personenbezogene Daten über die rassische oder ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, die Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten über Gesundheit oder Sexualleben.
1.2. Diese Verordnung ist für die verantwortliche Person und die Angestellten des Verkäufers, die im Zusammenhang mit der Ausübung ihrer dienstlichen Tätigkeit personenbezogene Daten direkt verarbeiten und/oder Zugang zu ihnen haben, verbindlich.
2. Liste der personenbezogenen Datengrundlagen
2.1. Der Verkäufer ist Inhaber der folgenden personenbezogenen Datengrundlagen:
Datenbank mit personenbezogenen Daten von Vertragspartnern.
3. Zweck der Verarbeitung personenbezogener Daten
3.1. Der Zweck der Verarbeitung personenbezogener Daten im System ist es, die Umsetzung der zivilrechtlichen Beziehungen, die Bereitstellung, den Erhalt und die Bezahlung für gekaufte Waren und Dienstleistungen in Übereinstimmung mit dem Steuergesetzbuch der Ukraine, dem Gesetz der Ukraine „Über die Buchhaltung und Finanzberichterstattung in der Ukraine“ zu gewährleisten.
4. Verfahren für die Verarbeitung personenbezogener Daten: Einholung der Einwilligung, Mitteilung der Rechte und Handlungen mit personenbezogenen Daten der betroffenen Person
4.1 Die Einwilligung der betroffenen Person muss ein freiwilliger Ausdruck ihres Willens sein, die Verarbeitung ihrer personenbezogenen Daten gemäß dem angegebenen Zweck der Verarbeitung zuzulassen.
4.2. Die Einwilligung der betroffenen Person kann in folgenden Formen erteilt werden
ein Dokument auf Papier mit Angaben, die eine Identifizierung dieses Dokuments und der Person ermöglichen;
ein elektronisches Dokument, das obligatorische Angaben enthalten muss, die die Identifizierung dieses Dokuments und einer Person ermöglichen. Die freiwillige Willensbekundung einer Person, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten zu erteilen, sollte durch eine elektronische Unterschrift der betroffenen Person bestätigt werden;
eine Markierung auf der elektronischen Seite des Dokuments oder in einer elektronischen Datei, die im Informationssystem auf der Grundlage von dokumentierten Software- und Hardware-Lösungen verarbeitet wird.
4.3. Die Zustimmung der betroffenen Person wird bei der Registrierung von zivilrechtlichen Beziehungen in Übereinstimmung mit der geltenden Gesetzgebung erteilt.
4.4. Die Benachrichtigung des Betroffenen über die Aufnahme seiner personenbezogenen Daten in die Datenbank, über die im Gesetz der Ukraine „Über den Schutz personenbezogener Daten“ festgelegten Rechte, über den Zweck der Datenerfassung und über die Personen, an die seine personenbezogenen Daten weitergegeben werden, erfolgt bei der Registrierung der zivilrechtlichen Beziehungen gemäß der geltenden Gesetzgebung.
4.5. Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, die Zugehörigkeit zu politischen Parteien und Gewerkschaften sowie Daten über die Gesundheit oder das Sexualleben (besondere Datenkategorien) ist verboten.
5. Standort der Datenbank für personenbezogene Daten
5.1. Die in Abschnitt 2 dieser Verordnung genannten Datenbanken mit personenbezogenen Daten befinden sich an der Adresse des Verkäufers.
6. Bedingungen für die Weitergabe von personenbezogenen Daten an Dritte
6.1. Das Verfahren für den Zugriff auf personenbezogene Daten Dritter richtet sich nach den Bedingungen der Zustimmung der betroffenen Person, die dem Inhaber der personenbezogenen Daten zur Verarbeitung dieser Daten erteilt wurde, oder nach den gesetzlichen Bestimmungen.
6.2. Der Zugang zu personenbezogenen Daten wird einem Dritten nicht gewährt, wenn dieser sich weigert, Verpflichtungen zur Einhaltung der Anforderungen des ukrainischen Gesetzes „Über den Schutz personenbezogener Daten“ einzugehen, oder nicht in der Lage ist, diese zu erfüllen.
6.3. Das Subjekt der Beziehungen, die sich auf personenbezogene Daten beziehen, stellt beim Inhaber der personenbezogenen Daten einen Antrag auf Zugang zu den personenbezogenen Daten (nachstehend „Antrag“ genannt).
6.4. Der Antrag muss Folgendes enthalten:
Name, Vorname und Vatersname, Wohnort (Aufenthaltsort) und Angaben zum Dokument, das die antragstellende Person (im Falle einer natürlichen Person - der Antragsteller) bescheinigt
Name, Sitz der antragstellenden juristischen Person, Stellung, Name, Vorname und Vatersname der Person, die den Antrag beglaubigt; Bestätigung, dass der Inhalt des Antrags mit den Befugnissen der juristischen Person übereinstimmt (für eine juristische Person - Antragsteller);
Name, Vorname und Vatersname sowie andere Informationen, die es ermöglichen, die Person, für die der Antrag gestellt wird, zu identifizieren;
Informationen über die Datenbank mit personenbezogenen Daten, für die der Antrag gestellt wird, oder Informationen über den Inhaber oder Verwalter dieser Datenbank;
Liste der angeforderten personenbezogenen Daten;
den Zweck und/oder die rechtlichen Gründe für den Antrag.
6.5. Die Frist für die Prüfung des Antrags darf zehn Arbeitstage ab dem Datum seines Eingangs nicht überschreiten. Innerhalb dieser Frist teilt der Inhaber der Datenbank der antragstellenden Person mit, ob dem Antrag stattgegeben wird oder ob die betreffenden personenbezogenen Daten nicht zur Verfügung gestellt werden, wobei er die in der einschlägigen Rechtsvorschrift genannten Gründe angibt. Dem Antrag ist innerhalb von dreißig Kalendertagen nach Eingang des Antrags stattzugeben, sofern das Gesetz nichts anderes vorsieht.
6.6. Ein Aufschub des Zugangs zu personenbezogenen Daten Dritter ist zulässig, wenn die erforderlichen Daten nicht innerhalb von dreißig Kalendertagen nach Eingang des Antrags bereitgestellt werden können. In diesem Fall darf die Gesamtfrist für die Klärung der im Antrag aufgeworfenen Fragen fünfundvierzig Kalendertage nicht überschreiten.
6.7. Die Mitteilung über den Aufschub wird dem Dritten, der den Antrag gestellt hat, schriftlich mit einer Erläuterung des Verfahrens zur Anfechtung dieser Entscheidung übermittelt.
6.8. Die Mitteilung über die Vertagung muss enthalten:
Name, Vorname und Vatersname des Beamten;
Datum der Absendung der Mitteilung;
den Grund für die Verzögerung;
die Frist, innerhalb derer dem Ersuchen entsprochen werden soll.
6.9. Die Verweigerung des Zugangs zu personenbezogenen Daten ist zulässig, wenn der Zugang zu diesen Daten gesetzlich verboten ist.
6.10 Die Mitteilung über die Verweigerung muss Folgendes enthalten
Name, Vorname, Vatersname des Beamten, der den Zugang verweigert;
Datum der Absendung der Mitteilung;
Grund für die Verweigerung.
6.11. Gegen die Entscheidung, den Zugang zu personenbezogenen Daten aufzuschieben oder zu verweigern, kann ein Rechtsbehelf bei einem Gericht eingelegt werden.
7.3. Die verantwortliche Person ist dazu verpflichtet:
die Gesetzgebung der Ukraine auf dem Gebiet des Schutzes personenbezogener Daten zu kennen;
Verfahren für den Zugriff auf personenbezogene Daten von Mitarbeitern in Übereinstimmung mit ihren beruflichen oder dienstlichen Pflichten oder ihrer Verantwortung im Arbeitsverhältnis zu entwickeln;
sicherzustellen, dass die Mitarbeiter des Verantwortlichen für personenbezogene Daten die Anforderungen der Gesetzgebung der Ukraine im Bereich des Schutzes personenbezogener Daten und der internen Dokumente, die die Tätigkeit des Verantwortlichen für personenbezogene Daten in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten in personenbezogenen Datenbanken regeln, einhalten
ein Verfahren (Prozedur) für die interne Kontrolle der Einhaltung der Anforderungen der ukrainischen Gesetzgebung im Bereich des Schutzes personenbezogener Daten und der internen Dokumente, die die Tätigkeit des Inhabers der Personendatenbank in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten in Personendatenbanken regeln, zu entwickeln, das insbesondere Regeln für die Häufigkeit einer solchen Kontrolle enthalten sollte;
den Inhaber der Personendatenbank über Verstöße der Mitarbeiter gegen die Anforderungen der ukrainischen Gesetzgebung im Bereich des Schutzes personenbezogener Daten und der internen Dokumente, die die Tätigkeit des Inhabers der Personendatenbank in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten in Personendatenbanken regeln, innerhalb eines Arbeitstages ab dem Zeitpunkt der Feststellung solcher Verstöße zu informieren;
für die Aufbewahrung von Dokumenten zu sorgen, die bestätigen, dass die betroffene Person ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten gegeben und sie über ihre Rechte informiert hat.
7.4. Zur Erfüllung seiner Aufgaben hat der Verantwortliche das Recht auf:
die erforderlichen Unterlagen zu erhalten, einschließlich der vom Inhaber der Datenbank im Zusammenhang mit der Verarbeitung personenbezogener Daten ausgestellten Anordnungen und sonstigen Verwaltungsdokumente;
Kopien der erhaltenen Dokumente anzufertigen, einschließlich Kopien von Dateien und Aufzeichnungen, die in lokalen Computernetzen und autonomen Computersystemen gespeichert sind;
an der Erörterung seiner Aufgaben bei der Organisation der Arbeiten im Zusammenhang mit dem Schutz personenbezogener Daten bei deren Verarbeitung teilzunehmen;
Vorschläge zur Verbesserung der Tätigkeiten und Arbeitsmethoden zu unterbreiten, Kommentare und Optionen zur Beseitigung festgestellter Mängel im Prozess der Verarbeitung personenbezogener Daten vorzulegen;
Erläuterungen zu Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten entgegenzunehmen;
Dokumente, die in ihren Zuständigkeitsbereich fallen, zu unterzeichnen und mit einem Sichtvermerk zu versehen.
7.5. Mitarbeiter, die im Zusammenhang mit der Erfüllung ihrer dienstlichen (Arbeits-)Pflichten personenbezogene Daten direkt verarbeiten und/oder Zugang zu ihnen haben, müssen die Anforderungen der ukrainischen Gesetzgebung auf dem Gebiet des Schutzes personenbezogener Daten sowie die internen Dokumente über die Verarbeitung und den Schutz personenbezogener Daten in persönlichen Datenbanken einhalten.
7.6. Die Mitarbeiter, die Zugang zu personenbezogenen Daten haben, einschließlich derjenigen, die diese verarbeiten, dürfen die ihnen anvertrauten oder im Zusammenhang mit der Ausübung ihrer beruflichen oder dienstlichen Tätigkeit bekannt gewordenen personenbezogenen Daten in keiner Weise weitergeben. Diese Verpflichtung gilt auch nach Beendigung ihrer Tätigkeit im Zusammenhang mit personenbezogenen Daten, außer in gesetzlich festgelegten Fällen.
7.7. Personen, die Zugang zu personenbezogenen Daten haben, einschließlich derjenigen, die diese Daten verarbeiten, haften im Falle eines Verstoßes gegen die Anforderungen des ukrainischen Gesetzes „Über den Schutz personenbezogener Daten“ gemäß den Rechtsvorschriften der Ukraine.
7.8. Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für den Zweck, für den sie gespeichert werden, erforderlich ist, in jedem Fall aber nicht länger als die Aufbewahrungsfrist, die sich aus der Einwilligung der betroffenen Person in die Verarbeitung dieser Daten ergibt.
8. Rechte der betroffenen Person
8.1. Die betroffene Person hat das Recht auf:
den Standort der Datenbank, in der seine personenbezogenen Daten gespeichert sind, deren Zweck sowie den Namen, den Ort und/oder den Wohnsitz (Aufenthalt) des Inhabers oder des Verwalters dieser Datenbank zu erfahren oder einen entsprechenden Auftrag zur Einholung dieser Informationen an die von ihm beauftragten Personen zu erteilen, außer in den gesetzlich festgelegten Fällen;
Informationen über die Bedingungen für die Gewährung des Zugangs zu den personenbezogenen Daten zu erhalten, insbesondere Informationen über Dritte, an die seine in der betreffenden Datenbank enthaltenen personenbezogenen Daten übermittelt werden;
Zugang zu ihren personenbezogenen Daten in der betreffenden Datenbank zu erhalten;
spätestens innerhalb von dreißig Kalendertagen nach Eingang des Antrags eine Antwort auf die Frage zu erhalten, ob seine personenbezogenen Daten in der betreffenden Datenbank gespeichert sind, außer in den gesetzlich vorgesehenen Fällen, sowie den Inhalt seiner gespeicherten personenbezogenen Daten zu erhalten;
einen begründeten Antrag auf Einspruch gegen die Verarbeitung seiner personenbezogenen Daten durch staatliche Behörden und lokale Selbstverwaltungsorgane in Ausübung ihrer gesetzlich vorgesehenen Befugnisse zu stellen;
einen begründeten Antrag auf Änderung oder Löschung seiner personenbezogenen Daten durch jeden Eigentümer und Verwalter dieser Datenbank zu stellen, wenn diese Daten unrechtmäßig verarbeitet werden oder unzuverlässig sind;
ihre persönlichen Daten vor unrechtmäßiger Verarbeitung und zufälligem Verlust, Zerstörung, Beschädigung durch absichtliche Verheimlichung, Nichtbereitstellung oder nicht rechtzeitige Bereitstellung zu schützen sowie sich gegen die Bereitstellung von Informationen zu schützen, die unrichtig sind oder die Ehre, Würde und den geschäftlichen Ruf einer Person verletzen;
den Schutz ihrer Rechte in Bezug auf personenbezogene Daten bei staatlichen Behörden und lokalen Selbstverwaltungsorganen zu beantragen, die zum Schutz personenbezogener Daten befugt sind;
Rechtsbehelfe im Falle der Verletzung der Rechtsvorschriften über den Schutz personenbezogener Daten zu beantragen.
9. Verfahren zur Bearbeitung von Anträgen der betroffenen Person
9.1. Der Betroffene hat das Recht, von jedem Subjekt der Beziehungen, die sich auf personenbezogene Daten beziehen, jede Auskunft über seine Person zu erhalten, ohne dass der Zweck der Anfrage angegeben werden muss, außer in gesetzlich festgelegten Fällen.
9.2. Der Zugang der betroffenen Person zu den sie betreffenden Daten ist unentgeltlich.
9.3. Die betroffene Person stellt einen Antrag auf Zugang zu den personenbezogenen Daten (im Folgenden „Antrag“) beim Inhaber der Datenbank.
Der Antrag muss Folgendes enthalten
Name, Vorname und Vatersname, Wohnort (Aufenthaltsort) und Angaben zum Ausweis der betroffenen Person
andere Informationen, die es ermöglichen, die Identität der betroffenen Person zu ermitteln;
Informationen über die personenbezogene Datenbank, für die der Antrag gestellt wird, oder Informationen über den Eigentümer oder Verwalter dieser Datenbank;
Liste der angeforderten personenbezogenen Daten.
9.4. Die Frist für die Prüfung des Antrags auf Erledigung darf zehn Arbeitstage ab dem Datum seines Eingangs nicht überschreiten. Innerhalb dieser Frist teilt der Inhaber der Datenbank der betroffenen Person mit, ob dem Antrag entsprochen wird oder ob die betreffenden personenbezogenen Daten nicht zur Verfügung gestellt werden, wobei er die in der einschlägigen Rechtsvorschrift genannten Gründe angibt.
9.5. Dem Antrag wird innerhalb von dreißig Kalendertagen nach Eingang des Antrags entsprochen, sofern gesetzlich nichts anderes vorgesehen ist.
10. Staatliche Registrierung der Datenbank mit personenbezogenen Daten
10.1. Die staatliche Registrierung von Datenbanken mit personenbezogenen Daten erfolgt gemäß Artikel 9 des Gesetzes der Ukraine „Über den Schutz personenbezogener Daten“.