Przetwarzanie i ochrona danych osobowych

1. Pojęcia ogólne i zakres zastosowania.

1.1. Визначення термінів:

baza danych osobowych – nazwany zbiór uporządkowanych danych osobowych w formie elektronicznej i/lub w formie plików danych osobowych;

osoba odpowiedzialna – wyznaczona osoba, która organizuje prace związane z ochroną danych osobowych podczas ich przetwarzania zgodnie z prawem;

właściciel bazy danych osobowych – osoba fizyczna lub prawna, która jest uprawniona na mocy prawa lub za zgodą osoby, której dane dotyczą, do przetwarzania tych danych, która zatwierdza cel przetwarzania danych osobowych w tej bazie, ustala skład tych danych i procedury ich przetwarzania, chyba że prawo stanowi inaczej;

Zgoda osoby, której dane dotyczą, jest dobrowolnym wyrażeniem woli przez osobę fizyczną (z zastrzeżeniem jej świadomości) o udzieleniu zgody na przetwarzanie jej danych osobowych zgodnie ze sformułowanym celem ich przetwarzania, wyrażonym na piśmie lub w formie, która pozwala stwierdzić, że zgoda została udzielona;

depersonalizacja danych osobowych – usunięcie informacji umożliwiających identyfikację osoby;

Przetwarzanie danych osobowych oznacza każdą czynność lub zestaw czynności wykonywanych w całości lub w części w systemie informatycznym (zautomatyzowanym) i/lub w zbiorach danych osobowych związanych ze zbieraniem, rejestrowaniem, gromadzeniem, przechowywaniem, dostosowywaniem, modyfikowaniem, aktualizowaniem, wykorzystywaniem i rozpowszechnianiem (dystrybucją, sprzedażą, przekazywaniem), depersonalizacją, niszczeniem informacji o osobie fizycznej;

dane osobowe – informacje lub zestaw informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, które mogą obejmować zapis jednego lub większej liczby plików cookie lub anonimowych identyfikatorów, a także plików cookie i anonimowych identyfikatorów, gdy osoba, której dane dotyczą, wchodzi w interakcję z usługami oferowanymi przez naszych partnerów, takimi jak na przykład usługi reklamowe, które mogą pojawiać się na innych stronach internetowych, które zostały wyraźnie ujawnione przez osobę, której dane dotyczą, oraz inne dane;


Administrator danych osobowych – osoba fizyczna lub prawna, która jest upoważniona przez właściciela bazy danych osobowych lub przez prawo do przetwarzania tych danych. Osoba, której właściciel i/lub administrator bazy danych osobowych powierzył wykonanie prac technicznych z bazą danych osobowych bez dostępu do treści danych osobowych, nie jest administratorem danych osobowych;

podmiot danych osobowych – osoba fizyczna, której dane osobowe są przetwarzane zgodnie z prawem;

osoba trzecia – każda osoba, z wyjątkiem osoby, której dane dotyczą, właściciela lub administratora bazy danych osobowych oraz upoważnionego organu państwowego ds. ochrony danych osobowych, której właściciel lub administrator bazy danych osobowych przekazuje dane osobowe zgodnie z prawem;


Szczególne kategorie danych – dane osobowe dotyczące pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub ideologicznych, przynależności do partii politycznych i związków zawodowych, a także dane dotyczące zdrowia lub życia seksualnego. 1.2. Niniejsze rozporządzenie jest obowiązkowe dla osoby odpowiedzialnej i pracowników sprzedawcy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych.

2. Lista baz danych osobowych.

2.1. Продавець є власником наступних баз персональних даних:

  • baza danych osobowych kontrahentów.

3. Cel przetwarzania danych osobowych.

3.1. Метою обробки персональних даних у системі є зберігання та обслуговування даних контрагентів, відповідно до статей 6, 7 Закону України «Про захист персональних даних»:.

3.2. Метою обробки персональних даних є забезпечення реалізації цивільно-правових відносин, надання/ отримання та здійснення розрахунків за придбані товари/послуги відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», та інших обов’язків покладених законом на володільця персональними даними, для захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані.

3.3. Метою обробки персональних даних є створення і реалізації бонусних програм, програм лояльності, надсилання повідомлень у вигляді email-листів, повідомлень у Viber, SMS-повідомлень, сповіщень у мобільному додатку, сповіщень у веббраузері, в тому числі з метою відправки комерційних пропозицій, з метою покращення якості надання послуг.

4. Procedura przetwarzania danych osobowych. Uzyskiwanie zgody, powiadamianie o prawach i działaniach związanych z danymi osobowymi osoby, której dane dotyczą.

4.1. Обробка персональних даних, що використовуються на виконання мети обробки передбаченої п. 3.2 даного Положення, здійснюється на підставі статті 11 Закону України «Про захист персональних даних».

4.2. Обробка персональних даних, що використовуються на виконання мети обробки передбаченої п. 3.3 даного Положення, здійснюється на підставі згоди суб’єкта персональних даних або на виконання акцептованих суб’єктом персональних даних оферт, включаючи оформлення підписок.

4.2.1. Згода суб’єкта персональних даних має бути добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Згода суб’єкта персональних даних може бути надана у наступних формах:

  • dokument na papierze ze szczegółami umożliwiającymi identyfikację tego dokumentu i osoby;
  • dokument elektroniczny, który musi zawierać obowiązkowe dane umożliwiające identyfikację tego dokumentu i osoby fizycznej. Dobrowolne wyrażenie przez osobę fizyczną zgody na przetwarzanie jej danych osobowych powinno być poświadczone podpisem elektronicznym osoby, której dane dotyczą.
  • znak na elektronicznej stronie dokumentu lub w pliku elektronicznym przetwarzanym w systemie informatycznym opartym na udokumentowanych rozwiązaniach programowych i sprzętowych.

4.3. Повідомлення суб’єкта персональних даних про включення його персональних даних до бази персональних даних, права, визначені Законом України «Про захист персональних даних», мету збору даних та осіб, яким передаються його персональні дані здійснюється під час оформлення цивільно-правових відносин відповідно до чинного законодавства.

4.4. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя (особливі категорії даних) забороняється.

5. Lokalizacja bazy danych osobowych.

5.1. Вказані у розділі 2 цього Положення бази персональних даних знаходяться за адресою продавця.

6. Warunki ujawniania danych osobowych osobom trzecim.

6.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, з метою виконання взятих зобов’язань перед суб’єктом персональних даних або відповідно до вимог закону.

6.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.

6.3. Суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.

6.4. У запиті зазначаються:

  • nazwisko, imię i nazwisko rodowe, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu poświadczającego osobę fizyczną składającą wniosek (w przypadku wnioskodawcy indywidualnego);
  • nazwa, siedziba osoby prawnej składającej wniosek, stanowisko, nazwisko, imię i nazwisko osoby poświadczającej wniosek; potwierdzenie, że treść wniosku odpowiada uprawnieniom osoby prawnej (dla osoby prawnej – wnioskodawcy);
  • nazwisko, imię i nazwisko rodowe, a także inne informacje umożliwiające identyfikację osoby fizycznej, której dotyczy wniosek;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy danych;
  • listę wymaganych danych osobowych;
  • cel wniosku.

6.5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

W tym terminie właściciel bazy danych osobowych poinformuje osobę składającą wniosek, że wniosek zostanie uwzględniony lub odpowiednie dane osobowe nie zostaną udostępnione, wskazując powody określone w odpowiednim regulacyjnym akcie prawnym.

Żądanie zostanie spełnione w ciągu trzydziestu dni kalendarzowych od daty jego otrzymania, chyba że prawo stanowi inaczej.

6.6. Усі працівники володільця бази персональних даних зобов’язані додержуватися вимог конфіденційності щодо персональних даних та інформації щодо рахунків у цінних паперах та обігу цінних паперів.

6.7. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п’яти календарних днів.

6.8. Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення.

6.9. У повідомленні про відстрочення зазначаються:

  • nazwisko, imię i nazwisko rodowe urzędnika;
  • data wysłania wiadomości;
  • powód opóźnienia;
  • okres, w którym wniosek zostanie rozpatrzony pozytywnie.

6.10. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

6.11. У повідомленні про відмову зазначаються:

  • nazwisko, imię, patronimik urzędnika, który odmawia dostępu;
  • data wysłania wiadomości;
  • powód odmowy.

6.12. Рішення про відстрочення або відмову із доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, або до суду.

7. Ochrona danych osobowych: metody ochrony, osoba odpowiedzialna, pracownicy, którzy bezpośrednio przetwarzają i/lub mają dostęp do danych osobowych w związku z wykonywaniem swoich obowiązków służbowych oraz okres przechowywania danych osobowych.

7.1. Володільця бази персональних даних обладнано системними і програмно-технічними засобами та засобами зв’язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню інформації і відповідають вимогам міжнародних та національних стандартів.

7.2. Відповідальна особа організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону. Відповідальна особа визначається наказом Володільця бази персональних даних.

Obowiązki osoby odpowiedzialnej za organizację pracy związanej z ochroną danych osobowych podczas ich przetwarzania są określone w opisie stanowiska.

7.3. Відповідальна особа зобов’язана:

  • znać ustawodawstwo Ukrainy w zakresie ochrony danych osobowych;
  • opracowanie procedur dostępu do danych osobowych pracowników zgodnie z ich obowiązkami zawodowymi lub służbowymi lub obowiązkami wynikającymi z zatrudnienia;
  • zapewnienie przestrzegania przez pracowników Administratora Danych Osobowych wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Administratora Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych;
  • opracowanie procedury wewnętrznej kontroli zgodności z wymogami ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela Danych Osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych, które w szczególności powinny zawierać zasady dotyczące częstotliwości takiej kontroli;
  • powiadomić Właściciela bazy danych osobowych o faktach naruszenia przez pracowników wymogów ustawodawstwa Ukrainy w zakresie ochrony danych osobowych oraz wewnętrznych dokumentów regulujących działalność Właściciela bazy danych osobowych w zakresie przetwarzania i ochrony danych osobowych w bazach danych osobowych w ciągu jednego dnia roboczego od daty wykrycia takich naruszeń;
  • zapewnić przechowywanie dokumentów potwierdzających, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych oraz że została poinformowana o przysługujących jej prawach.

7.4. З метою виконання своїх обов’язків відповідальна особа має право:

  • Otrzymania niezbędnych dokumentów, w tym nakazów i innych dokumentów administracyjnych wydanych przez Właściciela bazy danych osobowych związanych z przetwarzaniem danych osobowych;
  • sporządzać kopie otrzymanych dokumentów, w tym kopie plików, wszelkich zapisów przechowywanych w lokalnych sieciach komputerowych i autonomicznych systemach komputerowych;
  • uczestniczyć w dyskusjach na temat organizacji pracy związanej z ochroną danych osobowych podczas ich przetwarzania;
  • zgłaszania propozycji usprawnień działań i metod pracy, zgłaszania uwag i możliwości wyeliminowania stwierdzonych uchybień w procesie przetwarzania danych osobowych;
  • otrzymywania wyjaśnień dotyczących przetwarzania danych osobowych;
  • podpisywać i zatwierdzać dokumenty w ramach swoich kompetencji.

7.5. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, щодо обробки і захисту персональних даних у базах персональних даних.

7.6. Працівники, що мають доступ до персональних даних, у тому числі, здійснюють їх обробку зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.

7.7 Osoby, które mają dostęp do danych osobowych, w tym osoby, które je przetwarzają, w przypadku naruszenia wymogów ustawy Ukrainy „O ochronie danych osobowych” ponoszą odpowiedzialność zgodnie z ustawodawstwem Ukrainy.

7.8. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних.

8. Prawa osoby, której dane dotyczą.

8.1. Суб’єкт персональних даних має право:

  • wiedzieć o lokalizacji bazy danych osobowych zawierającej jego dane osobowe, jej celu i nazwie, lokalizacji i / lub miejscu zamieszkania (pobytu) właściciela lub administratora tej bazy danych lub wydać odpowiednie polecenie uzyskania tych informacji osobom przez niego upoważnionym, z wyjątkiem przypadków określonych przez prawo;
  • otrzymywania informacji o warunkach przyznawania dostępu do danych osobowych, w tym informacji o osobach trzecich, którym przekazywane są jego dane osobowe zawarte w odpowiedniej bazie danych osobowych;
  • dostępu do swoich danych osobowych zawartych w odpowiedniej bazie danych osobowych;
  • otrzymania, nie później niż w ciągu trzydziestu dni kalendarzowych od daty otrzymania wniosku, z wyjątkiem przypadków przewidzianych przez prawo, odpowiedzi na pytanie, czy jego dane osobowe są przechowywane w odpowiedniej bazie danych osobowych, a także do otrzymania treści jego danych osobowych, które są przechowywane;
  • wniesienia umotywowanego żądania wraz ze sprzeciwem wobec przetwarzania ich danych osobowych przez organy państwowe, organy samorządu terytorialnego w ramach wykonywania przez nie uprawnień przewidzianych prawem;
  • do złożenia uzasadnionego wniosku o zmianę lub zniszczenie swoich danych osobowych przez dowolnego właściciela i administratora tej bazy danych, jeśli dane te są przetwarzane niezgodnie z prawem lub są niewiarygodne;
  • do ochrony swoich danych osobowych przed bezprawnym przetwarzaniem i przypadkową utratą, zniszczeniem, uszkodzeniem w wyniku celowego ukrycia, niedostarczenia lub nieterminowego dostarczenia, a także do ochrony przed dostarczaniem informacji, które są niedokładne lub dyskredytują honor, godność i reputację biznesową osoby fizycznej;
  • zwrócenia się o ochronę swoich praw w zakresie danych osobowych do organów państwowych i organów samorządu terytorialnego, do których kompetencji należy ochrona danych osobowych;
  • stosowania środków prawnych w przypadku naruszenia przepisów o ochronie danych osobowych.

9. Procedura obsługi żądań osoby, której dane dotyczą.

9.1. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.

9.2. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.

9.3. Суб’єкт персональних даних подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.

Wniosek powinien zawierać:

  • nazwisko, imię i nazwisko rodowe, miejsce zamieszkania (miejsce pobytu) oraz dane dokumentu tożsamości osoby, której dane dotyczą;
  • inne informacje pozwalające zidentyfikować tożsamość osoby, której dane dotyczą;
  • informacje o bazie danych osobowych, której dotyczy wniosek, lub informacje o właścicielu lub administratorze tej bazy danych;
  • listę wymaganych danych osobowych.

9.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

9.5. Протягом цього строку володілець бази персональних даних доводить до відома суб’єкта персональних даних, що запит буде задоволене або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

9.6. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.