Політика конфіденційності

Вміст

  1. Загальні поняття і сфера застосування.
  2. Перелік баз персональних даних.
  3. Мета обробки персональних даних.
  4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії щодо персональних даних суб’єкта персональних даних.
  5. Місцезнаходження бази персональних даних.
  6. Умови розкриття інформації про персональні дані третім особам.
  7. Захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх посадових обов’язків, строк зберігання персональних даних.
  8. Права суб’єкта персональних даних.
  9. Порядок роботи із запитами від суб’єкта персональних даних.

1. Загальні поняття і сфера застосування.

1.1. Визначення термінів:

База персональних даних – сукупність упорядкованих персональних даних в електронній формі та/або у вигляді файлів персональних даних;

Відповідальна особа – певна особа, яка організовує роботу, пов’язану із захистом персональних даних під час їх обробки, відповідно до закону;

Володар бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, затверджує мету обробки персональних даних у цій базі, встановлює склад цих даних та порядок їх обробки, якщо інше не передбачено законом;

згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови, що їй відомо) щодо надання дозволу на обробку її персональних даних відповідно до заявленої мети їх обробки, виражене у письмовій формі або у формі, що дозволяє зробити висновок про надання згоди;

Знеособлення персональних даних – витяг відомостей, що дозволяють ідентифікувати особу;

обробка персональних даних – будь-яка дія або сукупність дій, що здійснюються повністю або частково в інформаційній (автоматизованій) системі та/або в файлах персональних даних, пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

Персональні дані – інформація або сукупність інформації про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована і може включати запис одного або декількох файлів cookie або анонімних ідентифікаторів, а також файлів cookie та анонімних ідентифікаторів, коли суб’єкт даних взаємодіє з послугами, пропонованими нашими партнерами, такими як рекламні послуги, наприклад, які можуть з’явитися на інших сайтах, які були явно оприлюднені суб’єктом персональні дані та інші дані;

Розпорядник бази персональних даних – фізична або юридична особа, якій володарем бази персональних даних або законом надано право на обробку цих даних.

Особа, якій володарем та/або розпорядником бази персональних даних доручено проведення технічних робіт з базою персональних даних без доступу до змісту персональних даних, не є розпорядником бази персональних даних;

суб’єкт персональних даних – фізична особа, щодо якої відповідно до закону здійснюється обробка його персональних даних;

Третя особа – будь-яка особа, крім суб’єкта персональних даних, володара чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володарем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;

Особливі категорії даних – персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і професійних спілках, а також дані, що стосуються здоров’я або сексуального життя.

1.2. Це Положення є обов’язковим для використання відповідальною особою та працівниками продавця, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх посадових обов’язків.

2. Перелік баз персональних даних.

2.1. Продавець є власником наступних баз персональних даних:

  • база персональних даних контрагента.

3. Мета обробки персональних даних.

3.1. Метою обробки персональних даних в системі є зберігання та збереження даних контрагентів відповідно до статей 6, 7 Закону України «Про захист персональних даних»:

3.2. Метою обробки персональних даних є забезпечення реалізації цивільно-правових відносин, надання/отримання та здійснення розрахунків за придбані товари/послуги відповідно до Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні» та інших зобов’язань, покладених законом на володара персональних даних, для захисту законних інтересів володара персональних даних або третьої особи, якій передаються персональні дані дані.

3.3. Метою обробки персональних даних є створення та реалізація бонусних програм, програм лояльності, надсилання повідомлень у вигляді електронних листів, Viber-повідомлень, SMS-повідомлень, повідомлень у мобільному додатку, повідомлень у веб-браузері, в тому числі з метою надсилання комерційних пропозицій, з метою підвищення якості послуг, формування рейтингів, аналізу активності, пошуку ключових слів, розсилки інформаційних та маркетингових розсилок (новин, Акції компанії, інформація про акції, промокодом та знижки, персональні рекомендації, персональні знижки та пропозиції), що містять інформацію про товари та/або послуги, рекламні та комерційні пропозиції щодо таких товарів та/або послуг тощо.

4. Порядок обробки персональних даних. Отримання згоди, повідомлення про права та дії щодо персональних даних суб’єкта персональних даних.

4.1. Обробка персональних даних, що використовуються для виконання мети обробки, передбаченої пунктом 3.2 цього Положення, здійснюється на підставі статті 11 Закону України «Про захист персональних даних».

4.2. Обробка персональних даних, що використовуються для виконання мети обробки, передбаченої пунктом 3.3 цього Положення, здійснюється на підставі згоди суб’єкта персональних даних або для виконання пропозицій, прийнятих суб’єктом персональних даних, в тому числі підписок.

4.2.1. Згода суб’єкта персональних даних повинна бути добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Згода суб’єкта персональних даних може бути надана в наступних формах:

  • паперовий документ з реквізитами, що дозволяє ідентифікувати цей документ і фізичну особу;
  • електронний документ, що містить обов’язкові реквізити, що дозволяють ідентифікувати цей документ і фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних доцільно засвідчувати електронним підписом суб’єкта персональних даних.
  • відмітка на електронній сторінці документа або електронний файл, що обробляється в інформаційній системі на основі документованих програмно-апаратних рішень.

4.3. Повідомлення суб’єкта персональних даних про включення його персональних даних до бази персональних даних, прав, визначених Законом України «Про захист персональних даних», мету збору даних та осіб, яким передаються його персональні дані, здійснюється при оформленні цивільно-правових відносин відповідно до чинного законодавства.

4.4. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і професійних спілках, а також даних, що стосуються здоров’я або сексуального життя (особливі категорії даних).

5. Місцезнаходження бази персональних даних.

5.1. Бази персональних даних, зазначені в розділі 2 цього Положення, знаходяться за адресою продавця.

6. Умови розкриття інформації про персональні дані третім особам.

6.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володару бази персональних даних на обробку цих даних, з метою виконання зобов’язань, взятих на себе перед суб’єктом персональних даних, або відповідно до вимог законодавства.

6.2. Доступ до персональних даних не надається третій особі, якщо зазначена особа відмовляється взяти на себе обов’язок забезпечити дотримання вимог Закону України «Про захист персональних даних» або не може їх надати.

6.3. Суб’єкт відносин, пов’язаних з персональними даними, подає запит на доступ (далі – запит) до персональних даних володару бази персональних даних.

6.4. У запиті зазначаються:

  • прізвище, ім’я та по батькові, місце проживання (місце перебування) та реквізити документа, що посвідчує особу, яка подає запит (для фізичної особи-заявника);
  • найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника);
  • прізвище, ім’я та по батькові, а також інші відомості, що дозволяють ідентифікувати фізичну особу, щодо якої зроблено запит;
  • відомості про базу персональних даних, щодо якої подано запит, або відомості про володара чи розпорядника цієї бази;
  • перелік запитуваних персональних даних;
  • Мета запиту.

6.5. Строк вивчення запиту на його задоволення не може перевищувати десяти робочих днів з дня їх надходження.

Протягом цього строку володар бази персональних даних повідомляє особу, яка подає запит, про те, що запит буде задоволено або відповідні персональні дані не будуть надані, із зазначенням підстав, зазначених у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не встановлено законом.

6.6. Усі працівники володара бази персональних даних зобов’язані дотримуватися вимог конфіденційності щодо персональних даних та інформації про рахунки в цінних паперах та обіг цінних паперів.

6.7. Відстрочка доступу до персональних даних третіх осіб допускається, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня отримання запиту. При цьому загальний строк вирішення питань, порушених у запиті, не може перевищувати сорока п’яти календарних днів.

6.8. Повідомлення про перенесення повідомляється третій особі, яка подала запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення.

6.9. У повідомленні про відстрочку зазначаються:

  • прізвище, ім’я та по батькові посадової особи;
  • дата відправлення повідомлення;
  • причина перенесення;
  • термін, протягом якого запит буде задоволений.

6.10. Відмова в доступі до персональних даних допускається, якщо доступ до них заборонений законом.

6.11. У повідомленні про відмову зазначаються:

  • прізвище, ім’я, по батькові посадової особи, яка відмовляє в доступі;
  • дата відправлення повідомлення;
  • Причина відмови.

6.12. Рішення про відстрочку або відмову в доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить захист персональних даних або до суду.

7. Захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх посадових обов’язків, період зберігання персональних даних.

7.1. Володар бази персональних даних укомплектовані системними та програмно-технічними засобами зв’язку, що запобігають втраті, крадіжці, несанкціонованому знищенню, спотворенню, підробленню, копіюванню інформації та відповідають вимогам міжнародних та національних стандартів.

7.2. Відповідальна особа організовує роботу, пов’язану із захистом персональних даних під час їх обробки, відповідно до законодавства. Відповідальна особа визначається наказом володара бази персональних даних.

Обов’язки відповідальної особи за організацію роботи, пов’язаної із захистом персональних даних при їх обробці, вказуються в посадовій інструкції.

7.3. Відповідальна особа зобов’язана:

  • знати законодавство України у сфері захисту персональних даних;
  • розробляти процедури доступу до персональних даних працівників відповідно до їх професійних, службових або трудових обов’язків;
  • забезпечувати дотримання працівниками бази персональних даних Vladylets вимог законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність бази персональних даних Vladylets щодо обробки та захисту персональних даних у базах персональних даних;
  • розробити порядок (порядок) внутрішнього контролю за дотриманням вимог законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність володара бази персональних даних щодо обробки та захисту персональних даних у базах персональних даних, які, зокрема, повинні містити норми щодо періодичності здійснення такого контролю;
  • інформувати володара бази персональних даних про факти порушень працівниками вимог законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність володара бази персональних даних щодо обробки та захисту персональних даних у базах персональних даних, не пізніше одного робочого дня з дня виявлення таких порушень;
  • забезпечувати зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку його персональних даних та повідомлення зазначеного суб’єкта про його права.

7.4. З метою виконання своїх обов’язків відповідальна особа має право:

  • отримувати необхідні документи, в тому числі накази та інші розпорядчі документи, видані володарем бази персональних даних, пов’язані з обробкою персональних даних;
  • робити копії отриманих документів, включаючи копії файлів, будь-яких записів, що зберігаються в локальних мережах і автономних комп’ютерних системах;
  • брати участь в обговоренні виконуваних ним обов’язків по організації роботи, пов’язаної із захистом персональних даних при їх обробці;
  • вносити на розгляд пропозиції щодо вдосконалення діяльності та вдосконалення методів роботи, подавати зауваження та варіанти усунення виявлених недоліків в обробці персональних даних;
  • отримувати пояснення з питань обробки персональних даних;
  • підписувати та візувати документи в межах своєї компетенції.

7.5. Працівники, які безпосередньо обробляють та/або мають доступ до персональних даних у зв’язку з виконанням своїх посадових (трудових) обов’язків, зобов’язані виконувати вимоги законодавства України у сфері захисту персональних даних та внутрішніх документів щодо обробки та захисту персональних даних у базах персональних даних

7.6. Працівники, які мають доступ до персональних даних, у тому числі особи, які їх обробляють, зобов’язані не допускати розголошення будь-яким способом персональних даних, які їм довірені або стали відомі у зв’язку з виконанням професійних або службових чи трудових обов’язків. Посилання. Такий обов’язок діє після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, встановлених законом.

7.7 Особи, які мають доступ до персональних даних, у тому числі їх обробку, якщо вони порушують вимоги Закону України «Про захист персональних даних», несуть відповідальність згідно із законодавством України.

7.8. Персональні дані не повинні зберігатися довше, ніж це необхідно для цілей, для яких ці дані зберігаються, але ні в якому разі не довше терміну зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних.

8. Права суб’єкта персональних даних.

8.1. Суб’єкт персональних даних має право:

  • знати про місцезнаходження бази персональних даних, що містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (знаходження) володара чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, передбачених законом;
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема, інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
  • на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
  • управляти процедурою відправки повідомлень через відповідні налаштування на Сайті
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, якщо інше не передбачено законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його збережених персональних даних;
  • пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні ними своїх повноважень, передбачених законом;
  • пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володарем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи недостовірно;
  • на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
  • звертатися за захистом своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить захист персональних даних;
  • застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

9. Порядок роботи із запитами від суб’єкта персональних даних.

9.1. Суб’єкт персональних даних має право отримати будь-яку інформацію про себе від будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, якщо інше не передбачено законом.

9.2. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.

9.3. Суб’єкт персональних даних подає запит на доступ (далі – запит) до персональних даних володару бази персональних даних.

У запиті зазначаються:

  • прізвище, ім’я та по батькові, місце проживання (місце перебування) та реквізити документа, що посвідчує особу суб’єкта персональних даних;
  • інші відомості, що дозволяють ідентифікувати особу суб’єкта персональних даних;
  • відомості про базу персональних даних, щодо якої подано запит, або відомості про володара чи розпорядника цієї бази;
  • перелік запитуваних персональних даних.

9.4. Строк вивчення запиту на його задоволення не може перевищувати десяти робочих днів з дня їх надходження.

9.5. Протягом цього строку володар бази персональних даних повідомляє суб’єкта персональних даних про те, що запит буде задоволено або відповідні персональні дані не підлягають наданню із зазначенням підстав, зазначених у відповідному нормативно-правовому акті.

9.6. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не встановлено законом.