Bestimmungen über die Verarbeitung und den Schutz personenbezogener Daten in personenbezogenen Datenbanken, deren Inhaber der Verkäufer ist

 

Inhalt

  1. Allgemeine Begriffe und Anwendungsbereich
  2. Liste der personenbezogenen Datenbanken
  3. Zweck der Verarbeitung personenbezogener Daten
  4. Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Zustimmung, Benachrichtigung über Rechte und Handlungen mit personenbezogenen Daten der betroffenen Person
  5. Standort der personenbezogenen Datenbank
  6. Bedingungen für die Offenlegung personenbezogener Daten an Dritte
  7. Schutz personenbezogener Daten: Schutzmethoden, verantwortliche Person, Mitarbeiter, die personenbezogene Daten direkt verarbeiten und/oder im Zusammenhang mit der Erfüllung ihrer dienstlichen Pflichten darauf zugreifen, Aufbewahrungsfrist der personenbezogenen Daten
  8. Rechte der betroffenen Person
  9. Verfahren zur Bearbeitung von Anfragen der betroffenen Person
  10. Staatliche Registrierung der personenbezogenen Datenbank

 

1. Allgemeine Begriffe und Anwendungsbereich

1.1. Definitionen:

personenbezogene Datenbank — eine benannte Sammlung geordneter personenbezogener Daten in elektronischer Form und/oder in Form von Karteien personenbezogener Daten;

verantwortliche Person — eine bestimmte Person, die die Arbeiten im Zusammenhang mit dem Schutz personenbezogener Daten während deren Verarbeitung organisiert, gemäß dem Gesetz;

Inhaber der personenbezogenen Datenbank — eine natürliche oder juristische Person, die durch Gesetz oder mit Zustimmung der betroffenen Person das Recht zur Verarbeitung dieser Daten erhalten hat, die den Zweck der Verarbeitung personenbezogener Daten in dieser Datenbank festlegt, den Umfang dieser Daten und die Verfahren ihrer Verarbeitung bestimmt, sofern nichts anderes gesetzlich vorgesehen ist;

Staatsregister der personenbezogenen Datenbanken — ein einheitliches staatliches Informationssystem zur Sammlung, Speicherung und Verarbeitung von Informationen über registrierte personenbezogene Datenbanken;

öffentlich zugängliche Quellen personenbezogener Daten — Verzeichnisse, Adressbücher, Register, Listen, Kataloge und andere systematisierte Sammlungen offener Informationen, die personenbezogene Daten enthalten, die mit Wissen der betroffenen Person veröffentlicht wurden. Soziale Netzwerke und Internetressourcen, auf denen die betroffene Person ihre personenbezogenen Daten hinterlässt, gelten nicht als öffentlich zugängliche Quellen personenbezogener Daten (außer wenn die betroffene Person ausdrücklich angegeben hat, dass die Daten zum freien Gebrauch veröffentlicht wurden);

Zustimmung der betroffenen Person — jede dokumentierte, freiwillige Willenserklärung einer natürlichen Person zur Genehmigung der Verarbeitung ihrer personenbezogenen Daten entsprechend dem angegebenen Zweck;

Anonymisierung personenbezogener Daten — Entfernung von Informationen, die eine Identifizierung einer Person ermöglichen;

Verarbeitung personenbezogener Daten — jede Handlung oder Gesamtheit von Handlungen, die ganz oder teilweise in einem Informationssystem (automatisiert) und/oder in Karteien personenbezogener Daten durchgeführt werden und mit der Erhebung, Registrierung, Speicherung, Anpassung, Änderung, Aktualisierung, Nutzung und Verbreitung (Weitergabe, Übermittlung), Anonymisierung oder Vernichtung von Informationen über eine natürliche Person verbunden sind;

personenbezogene Daten — Informationen oder eine Kombination von Informationen über eine natürliche Person, die identifiziert ist oder eindeutig identifiziert werden kann;

Auftragsverarbeiter der personenbezogenen Datenbank — eine natürliche oder juristische Person, der der Inhaber der personenbezogenen Datenbank oder das Gesetz das Recht zur Verarbeitung dieser Daten eingeräumt hat. Eine Person, die lediglich technische Arbeiten an der personenbezogenen Datenbank ohne Zugriff auf den Inhalt der personenbezogenen Daten ausführt, gilt nicht als Auftragsverarbeiter;

betroffene Person — eine natürliche Person, deren personenbezogene Daten gemäß dem Gesetz verarbeitet werden;

Dritte — jede Person außer der betroffenen Person, dem Inhaber oder Auftragsverarbeiter der personenbezogenen Datenbank sowie der zuständigen staatlichen Datenschutzbehörde, an die personenbezogene Daten gesetzlich übertragen werden;

besondere Kategorien von Daten — personenbezogene Daten über Rasse oder ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten über Gesundheit oder Sexualleben.

1.2. Diese Bestimmung ist für die verantwortliche Person und die Mitarbeiter des Verkäufers verbindlich, die personenbezogene Daten direkt verarbeiten und/oder im Zusammenhang mit der Erfüllung ihrer dienstlichen Pflichten darauf zugreifen.

 

2. Liste der personenbezogenen Datenbanken

2.1. Der Verkäufer ist Inhaber folgender personenbezogener Datenbanken:

  • Datenbank personenbezogener Daten von Vertragspartnern.

 

3. Zweck der Verarbeitung personenbezogener Daten

3.1. Zweck der Verarbeitung personenbezogener Daten im System ist die Sicherstellung der Durchführung zivilrechtlicher Beziehungen, die Erbringung, der Erhalt und die Abwicklung von Zahlungen für erworbene Waren und Dienstleistungen gemäß dem Steuergesetzbuch der Ukraine und dem Gesetz der Ukraine „Über Rechnungswesen und Finanzberichterstattung in der Ukraine“.

 

4. Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Zustimmung, Benachrichtigung über Rechte und Handlungen mit personenbezogenen Daten der betroffenen Person

4.1. Die Zustimmung der betroffenen Person muss eine freiwillige Willenserklärung zur Genehmigung der Verarbeitung ihrer personenbezogenen Daten entsprechend dem angegebenen Zweck darstellen.

4.2. Die Zustimmung der betroffenen Person kann in folgenden Formen erfolgen:

  • Papierdokument mit Angaben, die eine Identifizierung des Dokuments und der Person ermöglichen;
  • elektronisches Dokument mit den erforderlichen Angaben zur Identifizierung des Dokuments und der Person. Die Zustimmung sollte vorzugsweise mit einer elektronischen Signatur der betroffenen Person bestätigt werden;
  • Markierung auf einer elektronischen Seite eines Dokuments oder in einer elektronischen Datei, die im Informationssystem verarbeitet wird, auf Basis dokumentierter Software- und technischer Lösungen.

4.3. Die Zustimmung der betroffenen Person wird beim Abschluss zivilrechtlicher Beziehungen gemäß geltendem Recht erteilt.

4.4. Die Benachrichtigung der betroffenen Person über die Aufnahme ihrer personenbezogenen Daten in die Datenbank, die durch das Gesetz der Ukraine „Über den Schutz personenbezogener Daten“ festgelegten Rechte, den Zweck der Datenerhebung und die Empfänger ihrer personenbezogenen Daten erfolgt beim Abschluss zivilrechtlicher Beziehungen gemäß geltendem Recht.

4.5. Die Verarbeitung personenbezogener Daten über Rasse oder ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten über Gesundheit oder Sexualleben (besondere Kategorien von Daten) ist untersagt.

 

5. Standort der personenbezogenen Datenbank

5.1. Die in Abschnitt 2 dieser Bestimmung genannten personenbezogenen Datenbanken befinden sich an der Adresse des Verkäufers.

 

6. Bedingungen für die Offenlegung personenbezogener Daten an Dritte

6.1. Das Verfahren für den Zugang Dritter zu personenbezogenen Daten wird durch die Bedingungen der Zustimmung der betroffenen Person bestimmt oder durch die gesetzlichen Bestimmungen geregelt.

6.2. Dritten wird der Zugang zu personenbezogenen Daten nicht gewährt, wenn sie sich weigern, die Verpflichtungen zum Schutz personenbezogener Daten gemäß dem Gesetz der Ukraine „Über den Schutz personenbezogener Daten“ zu übernehmen oder nicht in der Lage sind, diese zu erfüllen.

6.3. Ein Beteiligter der Beziehungen im Zusammenhang mit personenbezogenen Daten stellt einen Antrag auf Zugang (im Folgenden – Antrag) an den Inhaber der personenbezogenen Daten.

6.4. Der Antrag muss enthalten:

  • Name, Vorname, Vatersname, Wohnsitz (Aufenthalt) und Angaben des Identitätsdokuments der Person, die den Antrag stellt (für natürliche Personen – Antragsteller);
  • Name, Standort der juristischen Person, die den Antrag stellt, Position, Name, Vorname und Vatersname der die Anfrage bestätigenden Person; Bestätigung, dass der Inhalt des Antrags den Befugnissen der juristischen Person entspricht (für juristische Personen – Antragsteller);
  • Name, Vorname und Vatersname sowie weitere Angaben zur Identifizierung der betroffenen Person, auf die sich der Antrag bezieht;
  • Informationen über die personenbezogene Datenbank, auf die sich der Antrag bezieht, oder Informationen über den Inhaber oder Verarbeiter dieser Datenbank;
  • Liste der angeforderten personenbezogenen Daten;
  • Zweck und/oder rechtliche Grundlage des Antrags.

6.5. Die Frist für die Prüfung des Antrags darf zehn Arbeitstage ab Eingang nicht überschreiten. Innerhalb dieser Frist informiert der Inhaber der personenbezogenen Datenbank den Antragsteller, ob der Antrag erfüllt wird oder die personenbezogenen Daten nicht bereitgestellt werden, unter Angabe der gesetzlichen Grundlage. Der Antrag wird innerhalb von dreißig Kalendertagen ab Eingang erfüllt, sofern nicht gesetzlich anders vorgesehen.

6.6. Eine Verzögerung des Zugangs ist zulässig, wenn die erforderlichen Daten nicht innerhalb von dreißig Kalendertagen bereitgestellt werden können. Die Gesamtdauer darf jedoch fünfundvierzig Kalendertage nicht überschreiten.

6.7. Eine Benachrichtigung über die Verzögerung wird dem Antragsteller schriftlich mitgeteilt, einschließlich einer Erläuterung der Möglichkeiten zur Anfechtung der Entscheidung.

6.8. Die Benachrichtigung über die Verzögerung muss Folgendes enthalten:

  • Name, Vorname und Vatersname des Beamten;
  • Datum der Benachrichtigung;
  • Grund der Verzögerung;
  • Frist, innerhalb der der Antrag erfüllt wird.

6.9. Eine Ablehnung des Zugangs ist zulässig, wenn der Zugang gesetzlich verboten ist.

6.10. Die Benachrichtigung über die Ablehnung muss Folgendes enthalten:

  • Name, Vorname und Vatersname des Beamten, der den Zugang verweigert;
  • Datum der Benachrichtigung;
  • Grund der Ablehnung.

6.11. Eine Entscheidung über die Verzögerung oder Ablehnung kann vor Gericht angefochten werden.

 

7. Schutz personenbezogener Daten: Schutzmethoden, verantwortliche Person, Mitarbeiter, die personenbezogene Daten direkt verarbeiten und/oder im Zusammenhang mit der Erfüllung ihrer dienstlichen Pflichten darauf zugreifen, Aufbewahrungsfrist der personenbezogenen Daten

7.1. Der Inhaber der personenbezogenen Datenbank ist mit systemischen und softwaretechnischen Mitteln sowie Kommunikationsmitteln ausgestattet, die Verluste, Diebstähle, unbefugte Zerstörung, Verfälschung, Fälschung oder Kopieren von Informationen verhindern und internationalen sowie nationalen Standards entsprechen.

7.2. Die verantwortliche Person organisiert die Arbeiten im Zusammenhang mit dem Schutz personenbezogener Daten während deren Verarbeitung gemäß dem Gesetz. Die verantwortliche Person wird durch eine Anordnung des Inhabers der personenbezogenen Datenbank bestimmt.

Die Aufgaben der verantwortlichen Person in Bezug auf die Organisation des Schutzes personenbezogener Daten während deren Verarbeitung sind in der Stellenbeschreibung festgelegt.

7.3. Die verantwortliche Person ist verpflichtet:

  • das Gesetz der Ukraine im Bereich des Schutzes personenbezogener Daten zu kennen;
  • Verfahren für den Zugang zu personenbezogenen Daten für Mitarbeiter gemäß deren beruflichen, dienstlichen oder arbeitsrechtlichen Pflichten zu entwickeln;
  • die Einhaltung der Anforderungen des ukrainischen Gesetzes zum Schutz personenbezogener Daten sowie interner Vorschriften durch die Mitarbeiter des Inhabers der personenbezogenen Datenbank sicherzustellen;
  • ein Verfahren für die interne Kontrolle über die Einhaltung der gesetzlichen Vorschriften zum Schutz personenbezogener Daten sowie interner Dokumente des Inhabers zu entwickeln, das u.a. Häufigkeit und Umfang solcher Kontrollen festlegt;
  • den Inhaber der Datenbank spätestens einen Arbeitstag nach Feststellung über Verstöße von Mitarbeitern gegen Datenschutzbestimmungen zu informieren;
  • Dokumente aufzubewahren, die die Zustimmung der betroffenen Person zur Verarbeitung personenbezogener Daten sowie die Information über deren Rechte bestätigen.

7.4. Zur Erfüllung ihrer Pflichten hat die verantwortliche Person das Recht:

  • notwendige Dokumente, einschließlich Anordnungen und anderer Verwaltungsdokumente, die vom Inhaber der Datenbank im Zusammenhang mit der Verarbeitung personenbezogener Daten herausgegeben wurden, anzufordern;
  • Kopien der erhaltenen Dokumente, einschließlich Dateien und Aufzeichnungen in lokalen Netzwerken und autonomen Computersystemen, zu erstellen;
  • an der Erörterung der Organisation der Arbeit zum Schutz personenbezogener Daten teilzunehmen;
  • Vorschläge zur Verbesserung und Optimierung der Arbeit einzubringen, Mängel aufzuzeigen und Lösungen anzubieten;
  • Erklärungen zu Fragen der Verarbeitung personenbezogener Daten einzuholen;
  • Dokumente im Rahmen ihrer Zuständigkeit zu unterzeichnen und zu visieren.

7.5. Mitarbeiter, die personenbezogene Daten direkt verarbeiten und/oder darauf zugreifen, sind verpflichtet, die gesetzlichen Bestimmungen der Ukraine im Bereich des Datenschutzes sowie interne Dokumente einzuhalten.

7.6. Mitarbeiter mit Zugang zu personenbezogenen Daten sind verpflichtet, die Vertraulichkeit der ihnen anvertrauten oder im Rahmen ihrer beruflichen bzw. dienstlichen Tätigkeit bekannt gewordenen personenbezogenen Daten zu wahren. Diese Verpflichtung bleibt auch nach Beendigung ihrer Tätigkeit bestehen, außer in gesetzlich geregelten Fällen.

7.7. Personen, die Zugang zu personenbezogenen Daten haben und diese verarbeiten, haften bei Verstößen gegen das Gesetz der Ukraine „Über den Schutz personenbezogener Daten“ gemäß dem geltenden Recht.

7.8. Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für den Zweck erforderlich ist, für den sie erhoben wurden, jedoch in jedem Fall nicht länger als in der Einwilligung der betroffenen Person festgelegt.

 

8. Rechte der betroffenen Person

8.1. Die betroffene Person hat das Recht:

  • den Standort, den Zweck und den Namen der personenbezogenen Datenbank sowie den Standort und/oder Wohnsitz/Aufenthalt des Inhabers oder Verarbeiters dieser Datenbank zu kennen oder eine autorisierte Person damit zu beauftragen, diese Information zu erhalten, außer in gesetzlich geregelten Fällen;
  • Informationen über die Bedingungen des Zugangs zu personenbezogenen Daten, insbesondere über Dritte, an die ihre personenbezogenen Daten weitergegeben werden, zu erhalten;
  • Zugang zu ihren personenbezogenen Daten in der betreffenden Datenbank zu erhalten;
  • spätestens innerhalb von dreißig Kalendertagen ab Eingang einer Anfrage eine Antwort darüber zu erhalten, ob ihre personenbezogenen Daten in der betreffenden Datenbank gespeichert sind, sowie deren Inhalt, außer in gesetzlich vorgesehenen Fällen;
  • eine begründete Forderung mit dem Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten durch staatliche oder kommunale Behörden im Rahmen ihrer gesetzlichen Befugnisse zu erheben;
  • eine begründete Forderung zur Änderung oder Löschung ihrer personenbezogenen Daten an jeden Inhaber oder Verarbeiter dieser Datenbank zu richten, wenn diese Daten unrechtmäßig verarbeitet oder unrichtig sind;
  • ihre personenbezogenen Daten vor unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Beschädigung zu schützen, insbesondere bei absichtlicher Verschleierung, Nichtbereitstellung oder verspäteter Bereitstellung sowie vor der Bereitstellung falscher Informationen, die ihre Ehre, Würde oder geschäftlichen Ruf beeinträchtigen;
  • sich in Fragen des Datenschutzes an staatliche oder kommunale Behörden zu wenden, die für den Schutz personenbezogener Daten zuständig sind;
  • Rechtsmittel einzulegen im Falle von Verstößen gegen die Datenschutzbestimmungen.

 

9. Verfahren zur Bearbeitung von Anfragen der betroffenen Person

9.1. Die betroffene Person hat das Recht, von jedem Beteiligten an den Beziehungen zu personenbezogenen Daten Informationen über sich selbst zu erhalten, ohne den Zweck der Anfrage anzugeben, außer in gesetzlich vorgesehenen Fällen.

9.2. Der Zugang der betroffenen Person zu ihren eigenen Daten ist kostenlos.

9.3. Die betroffene Person stellt einen Antrag auf Zugang (im Folgenden — Antrag) zu personenbezogenen Daten an den Inhaber der personenbezogenen Datenbank.

Der Antrag muss enthalten:

  • Name, Vorname, Vatersname, Wohnsitz/Aufenthalt und Angaben des Identitätsdokuments der betroffenen Person;
  • weitere Informationen zur Identifizierung der betroffenen Person;
  • Informationen über die personenbezogene Datenbank oder den Inhaber/Verarbeiter dieser Datenbank, auf die sich der Antrag bezieht;
  • Liste der angeforderten personenbezogenen Daten.

9.4. Die Frist für die Prüfung des Antrags darf zehn Arbeitstage ab Eingang nicht überschreiten. Innerhalb dieser Frist informiert der Inhaber der personenbezogenen Datenbank die betroffene Person darüber, ob der Antrag erfüllt wird oder die personenbezogenen Daten nicht bereitgestellt werden, mit Angabe der gesetzlichen Grundlage.

9.5. Der Antrag wird innerhalb von dreißig Kalendertagen ab Eingang erfüllt, sofern nicht gesetzlich anders vorgesehen.

 

10. Staatliche Registrierung der personenbezogenen Datenbank

10.1. Die staatliche Registrierung personenbezogener Datenbanken erfolgt gemäß Artikel 9 des Gesetzes der Ukraine „Über den Schutz personenbezogener Daten“.