Trattamento e protezione dei dati personali

1. Concetti generali e ambito di applicazione.

1.1. Definizione dei termini:

base di dati personali – un insieme di dati personali ordinati in forma elettronica e/o sotto forma di file di dati personali;

responsabile – una persona designata che organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento in conformità alla legge;

titolare del database di dati personali – una persona fisica o giuridica che ha il diritto, per legge o con il consenso dell’interessato, di trattare questi dati, che approva lo scopo del trattamento dei dati personali in questo database, stabilisce la composizione di questi dati e le procedure per il loro trattamento, a meno che non sia previsto diversamente dalla legge;

Il consenso dell’interessato è una manifestazione volontaria di volontà di una persona (soggetta alla sua consapevolezza) di concedere l’autorizzazione al trattamento dei suoi dati personali in conformità con la finalità formulata del trattamento, espressa per iscritto o in una forma che consenta di concludere che il consenso è stato concesso;

spersonalizzazione dei dati personali – la rimozione delle informazioni che consentono l’identificazione di una persona;

per trattamento dei dati personali si intende qualsiasi azione o insieme di azioni eseguite in tutto o in parte in un sistema informativo (automatizzato) e/o in archivi di dati personali relativi alla raccolta, alla registrazione, all’accumulo, alla conservazione, all’adattamento, alla modifica, all’aggiornamento, all’uso e alla diffusione (distribuzione, vendita, trasferimento), alla spersonalizzazione, alla distruzione di informazioni su un individuo;

dati personali informazioni o un insieme di informazioni su un individuo identificato o identificabile, che possono includere la registrazione di uno o più cookie o identificatori anonimi, nonché cookie e identificatori anonimi quando l’interessato interagisce con servizi offerti dai nostri partner, come ad esempio servizi pubblicitari che possono apparire su altri siti web esplicitamente indicati dall’interessato, e altri dati;

Titolare del trattamento dei dati personali – una persona fisica o giuridica che è autorizzata dal proprietario della base di dati personali o dalla legge a trattare tali dati.
Una persona incaricata dal titolare e/o dal responsabile della banca dati personale di svolgere attività tecniche con la banca dati personale senza avere accesso al contenuto dei dati personali non è un responsabile dei dati personali;

soggetto interessato – una persona fisica nei confronti della quale i dati personali sono trattati in conformità alla legge;

terzo – qualsiasi persona, ad eccezione dell’interessato, del titolare o del responsabile della banca dati personale e dell’organismo statale autorizzato per la protezione dei dati personali, a cui il titolare o il responsabile della banca dati personale trasferisce i dati personali in conformità alla legge;

categorie particolari di dati – dati personali relativi all’origine razziale o etnica, alle convinzioni politiche, religiose o ideologiche, all’appartenenza a partiti politici e sindacati, nonché dati relativi alla salute o alla vita sessuale.
1.2. Il presente regolamento è obbligatorio per il responsabile e i dipendenti del venditore che trattano direttamente e/o hanno accesso ai dati personali in relazione allo svolgimento delle loro funzioni ufficiali.

2. Elenco delle banche dati personali.

2.1. Il Venditore è titolare dei seguenti dati personali:

  • database dei dati personali delle controparti.

3. Finalità del trattamento dei dati personali.

3.1. Lo scopo del trattamento dei dati personali nel sistema è quello di archiviare e conservare i dati della controparte in conformità con gli articoli 6 e 7 della Legge dell’Ucraina “Sulla protezione dei dati personali”:.

3.2. Lo scopo del trattamento dei dati personali è quello di garantire l’attuazione dei rapporti di diritto civile, la fornitura/ricezione e il pagamento dei beni/servizi acquistati in conformità al Codice Fiscale dell’Ucraina, alla Legge dell’Ucraina “Sulla contabilità e sul reporting finanziario in Ucraina” e ad altri obblighi imposti dalla legge al titolare dei dati personali, per proteggere gli interessi legittimi del titolare dei dati personali o di una terza parte a cui i dati personali vengono trasferiti.

3.3. Lo scopo del trattamento dei dati personali è quello di creare e implementare programmi di bonus, programmi di fidelizzazione, inviare messaggi sotto forma di e-mail, messaggi Viber, messaggi SMS, notifiche nell’applicazione mobile, notifiche nel browser web, anche allo scopo di inviare offerte commerciali, al fine di migliorare la qualità dei servizi.

4. La procedura di trattamento dei dati personali. Ottenere il consenso, la notifica dei diritti e le azioni con i dati personali dell’interessato.

4.1. Il trattamento dei dati personali utilizzati per adempiere alle finalità del trattamento previste dalla clausola. 3.2 del presente regolamento, è effettuata sulla base dell’articolo 11 della legge ucraina “sulla protezione dei dati personali”.

4.2. Il trattamento dei dati personali utilizzati per adempiere alle finalità del trattamento previste dalla clausola. 3.3 del presente Regolamento, è effettuata sulla base del consenso dell’interessato o per l’esecuzione di offerte accettate dall’interessato, compresa l’esecuzione di sottoscrizioni.

4.2.1. Il consenso dell’interessato deve essere un’espressione volontaria della volontà dell’individuo di consentire il trattamento dei suoi dati personali in conformità con lo scopo dichiarato del trattamento. Il consenso dell’interessato può essere fornito nelle seguenti forme:

  • un documento cartaceo con dettagli che permettono di identificare questo documento e una persona;
  • un documento elettronico che deve contenere dettagli obbligatori che consentano l’identificazione del documento e dell’individuo. L’espressione volontaria della volontà di un individuo di concedere l’autorizzazione al trattamento dei propri dati personali deve essere certificata dalla firma elettronica dell’interessato.
  • un segno su una pagina elettronica di un documento o in un file elettronico elaborato in un sistema informativo basato su soluzioni software e hardware documentate.

4.3. L’interessato sarà informato dell’inclusione dei suoi dati personali nel database dei dati personali, dei diritti definiti dalla Legge dell’Ucraina “Sulla protezione dei dati personali”, dello scopo della raccolta dei dati e delle persone a cui i suoi dati personali sono trasferiti nel corso della registrazione dei rapporti di diritto civile in conformità con la legge applicabile.

4.4. È vietato il trattamento di dati personali relativi all’origine razziale o etnica, alle convinzioni politiche, religiose o ideologiche, all’appartenenza a partiti politici e sindacati, nonché di dati relativi alla salute o alla vita sessuale (categorie particolari di dati).

5. Posizione della banca dati personale.

5.1. Le banche dati personali specificate nella sezione 2 del presente Regolamento si trovano all’indirizzo del venditore.

6. Termini di divulgazione dei dati personali a terzi.

6.1. La procedura di accesso ai dati personali di terzi è determinata dai termini del consenso al trattamento dei dati personali fornito dall’interessato al titolare della banca dati personale al fine di adempiere agli obblighi assunti nei confronti dell’interessato o in conformità ai requisiti di legge.

6.2. L’accesso ai dati personali non sarà concesso a terzi se questi rifiutano di assumersi l’obbligo di garantire il rispetto dei requisiti della Legge ucraina “Sulla protezione dei dati personali” o non sono in grado di garantirlo.

6.3. L’oggetto dei rapporti relativi ai dati personali presenta una richiesta di accesso (di seguito denominata richiesta) ai dati personali al titolare della banca dati personale.

6.4. La richiesta deve includere:

  • cognome, nome e patronimico, luogo di residenza (luogo di soggiorno) e dettagli del documento che certifica la persona che presenta la richiesta (per un richiedente individuale);
  • nome, sede della persona giuridica che presenta la richiesta, posizione, cognome, nome e patronimico della persona che certifica la richiesta; conferma che il contenuto della richiesta corrisponde ai poteri della persona giuridica (per la persona giuridica – richiedente);
  • прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
  • informazioni sulla banca dati personale per la quale viene fatta la richiesta, o informazioni sul proprietario o sul gestore di tale banca dati;
  • un elenco dei dati personali richiesti;
  • lo scopo della richiesta.

6.5. Il periodo di revisione della richiesta non può superare i dieci giorni lavorativi dalla data di ricevimento della stessa.

Entro questo termine, il titolare della banca dati personale informerà la persona che ha presentato la richiesta che la richiesta sarà accolta o che i dati personali in questione non saranno forniti, indicando i motivi specificati nell’atto normativo pertinente.

La richiesta dovrà essere soddisfatta entro trenta giorni di calendario dalla data di ricevimento, a meno che la legge non disponga diversamente.

6.6. Tutti i dipendenti del titolare della banca dati personale sono tenuti a rispettare i requisiti di riservatezza relativi ai dati personali e alle informazioni sui conti titoli e sulla circolazione dei titoli.

6.7. Il differimento dell’accesso ai dati personali di terzi è consentito se i dati necessari non possono essere forniti entro trenta giorni di calendario dalla data di ricezione della richiesta. In questo caso, il periodo complessivo per risolvere le questioni sollevate nella richiesta non può superare i quarantacinque giorni di calendario.

6.8. L’avviso di rinvio sarà comunicato per iscritto al terzo che ha presentato la richiesta, spiegando la procedura per impugnare tale decisione.

6.9. L’avviso di differimento deve specificare:

  • cognome, nome e patronimico del funzionario;
  • data di invio del messaggio;
  • il motivo del ritardo;
  • il periodo di tempo entro il quale la richiesta sarà accolta.

6.10. Il rifiuto di accedere ai dati personali è consentito se l’accesso a tali dati è vietato dalla legge.

6.11. L’avviso di rifiuto deve specificare:

  • cognome, nome, patronimico del funzionario che nega l’accesso;
  • data di invio del messaggio;
  • il motivo del rifiuto.

6.12. La decisione di rinviare o negare l’accesso ai dati personali può essere impugnata presso l’ente statale autorizzato per la protezione dei dati personali, presso le altre autorità statali e gli enti locali responsabili della protezione dei dati personali o presso un tribunale.

7. Protezione dei dati personali: modalità di protezione, responsabile, dipendenti che trattano direttamente e/o hanno accesso ai dati personali nell’ambito dell’esercizio delle loro funzioni ufficiali e periodo di conservazione dei dati personali.

7.1. Il titolare della banca dati personale è dotato di sistemi, software e hardware e strutture di comunicazione che impediscono la perdita, il furto, la distruzione non autorizzata, la distorsione, la falsificazione e la copia delle informazioni e soddisfano i requisiti degli standard internazionali e nazionali.

7.2. Il responsabile deve organizzare il lavoro relativo alla protezione dei dati personali durante il loro trattamento in conformità con la legge. Il responsabile è determinato per ordine del Titolare dei Dati Personali.

Le responsabilità del responsabile per l’organizzazione del lavoro relativo alla protezione dei dati personali durante il loro trattamento sono specificate nella descrizione del lavoro.

7.3. La persona responsabile è tenuta a:

  • conoscere la legislazione ucraina in materia di protezione dei dati personali;
  • sviluppare procedure per l’accesso ai dati personali dei dipendenti in base alle loro mansioni professionali o ufficiali o alle loro responsabilità lavorative;
  • garantire che i dipendenti del Titolare del trattamento dei dati personali rispettino i requisiti della legislazione ucraina in materia di protezione dei dati personali e i documenti interni che regolano le attività del Titolare del trattamento dei dati personali in materia di trattamento e protezione dei dati personali nei database personali;
  • розробити порядок (процедуру) внутрішнього контролю за дотриманням вимог законодавства України в сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність Володільця бази персональних даних щодо обробки і захисту персональних даних у базах персональних даних, який, зокрема, повинен містити норми щодо періодичності здійснення такого контролю;
  • notificare al Proprietario di database personali i fatti di violazione da parte dei dipendenti dei requisiti della legislazione ucraina in materia di protezione dei dati personali e dei documenti interni che regolano le attività del Proprietario di database personali in materia di trattamento e protezione dei dati personali nei database personali entro un giorno lavorativo dalla data di rilevamento di tali violazioni;
  • garantire la conservazione dei documenti che confermano che l’interessato ha dato il consenso al trattamento dei suoi dati personali e che è stato informato dei suoi diritti.

7.4. Per svolgere i suoi compiti, la persona responsabile avrà il diritto di:

  • Ricevere i documenti necessari, compresi gli ordini e altri documenti amministrativi emessi dal Titolare della banca dati personale relativi al trattamento dei dati personali;
  • fare copie dei documenti ricevuti, comprese le copie dei file, di qualsiasi registrazione archiviata nelle reti informatiche locali e nei sistemi informatici autonomi;
  • partecipare alle discussioni sull’organizzazione del lavoro relativo alla protezione dei dati personali durante il loro trattamento;
  • presentare proposte per il miglioramento delle attività e dei metodi di lavoro, presentare commenti e opzioni per eliminare le carenze individuate nel processo di trattamento dei dati personali;
  • ricevere spiegazioni sul trattamento dei dati personali;
  • firmare e avallare i documenti di loro competenza.

7.5. I dipendenti che trattano direttamente e/o hanno accesso ai dati personali in relazione allo svolgimento delle loro mansioni ufficiali (lavorative) sono tenuti a rispettare i requisiti della legislazione ucraina in materia di protezione dei dati personali e i documenti interni sul trattamento e la protezione dei dati personali nei database personali.

7.6. I dipendenti che hanno accesso ai dati personali, compresi quelli che li trattano, hanno l’obbligo di impedire la divulgazione in qualsiasi modo dei dati personali a loro affidati o di cui sono venuti a conoscenza in relazione all’esercizio delle funzioni professionali o ufficiali o dell’impiego. Tale obbligo è valido anche dopo la cessazione delle attività relative ai dati personali, salvo i casi stabiliti dalla legge.

7.7 Le persone che hanno accesso ai dati personali, compresi coloro che li elaborano, in caso di violazione dei requisiti della Legge dell’Ucraina “Sulla protezione dei dati personali” saranno responsabili in conformità alla legislazione dell’Ucraina.

7.8. I dati personali non saranno conservati più a lungo di quanto sia necessario per lo scopo per cui sono conservati, ma in ogni caso non più a lungo del periodo di conservazione dei dati determinato dal consenso dell’interessato al trattamento di tali dati.

8. Diritti dell’interessato.

8.1. L’interessato ha il diritto di:

  • conoscere l’ubicazione della banca dati personale contenente i suoi dati personali, il suo scopo e il nome, l’ubicazione e/o il luogo di residenza (soggiorno) del proprietario o del gestore di questa banca dati o dare un ordine corrispondente per ottenere queste informazioni a persone da lui autorizzate, tranne nei casi stabiliti dalla legge;
  • ricevere informazioni sulle condizioni di concessione dell’accesso ai dati personali, comprese le informazioni sui terzi a cui vengono trasferiti i suoi dati personali contenuti nella relativa banca dati;
  • l’accesso ai propri dati personali contenuti nella relativa banca dati personale;
  • di ricevere, entro e non oltre trenta giorni di calendario dalla data di ricezione della richiesta, salvo i casi previsti dalla legge, una risposta in merito alla presenza o meno dei suoi dati personali nella banca dati personale in questione, nonché di ricevere il contenuto dei suoi dati personali conservati;
  • di presentare una richiesta motivata di opposizione al trattamento dei propri dati personali da parte delle autorità statali e degli enti locali nell’esercizio dei poteri previsti dalla legge;
  • di fare una richiesta motivata di modifica o distruzione dei propri dati personali da parte di qualsiasi proprietario e gestore di questo database, qualora tali dati siano trattati in modo illegale o inaffidabile;
  • di proteggere i propri dati personali da trattamenti illeciti e da perdite accidentali, distruzione, danni dovuti a occultamento intenzionale, mancato o intempestivo conferimento, nonché di tutelarsi contro la fornitura di informazioni inesatte o che screditino l’onore, la dignità e la reputazione commerciale di una persona;
  • di richiedere la tutela dei propri diritti in materia di dati personali alle autorità statali e agli organi di governo locale, i cui poteri includono la protezione dei dati personali;
  • застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

9. La procedura di gestione delle richieste dell’interessato.

9.1. L’interessato ha il diritto di ricevere qualsiasi informazione su di sé da qualsiasi soggetto che intrattiene rapporti relativi ai dati personali senza specificare lo scopo della richiesta, tranne nei casi stabiliti dalla legge.

9.2. L’accesso dell’interessato ai dati personali è gratuito.

9.3. Un soggetto interessato presenta una richiesta di accesso (di seguito denominata richiesta) ai dati personali al titolare della banca dati personale.

La richiesta deve includere:

  • прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує особу суб’єкта персональних даних;
  • altre informazioni che consentano di identificare l’identità dell’interessato;
  • informazioni sulla banca dati personale per la quale viene fatta la richiesta, o informazioni sul proprietario o sul gestore di tale banca dati;
  • un elenco dei dati personali richiesti.

9.4. Il periodo di revisione della richiesta non può superare i dieci giorni lavorativi dalla data di ricevimento della stessa.

9.5. Durante questo periodo, il titolare della banca dati personale dovrà informare l’interessato che la richiesta sarà accolta o che i dati personali in questione non saranno forniti, indicando i motivi specificati nell’atto normativo pertinente.

9.6. La richiesta dovrà essere soddisfatta entro trenta giorni di calendario dalla data di ricevimento, a meno che la legge non disponga diversamente.