• Умови конфіденційності

УМОВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

УМОВИ ОБРОБКИ КОМПАНІЄЮ ПЕРСОНАЛЬНИХ ДАНИХ НА САЙТІ SPATE.UA

1. ПРЕАМБУЛА

Цей документ є локальним нормативним актом, що визначає умови компанії Спейт Інк (далі іменується в тексті даного документа «Компанія») обробки інформації, що відноситься прямо або опосередковано до певної чи визначеної фізичної особі (далі – «персональні дані»), з метою встановлення в Компанії загальних принципів, процедур, правил та умов дотримання законодавства України при організації та (або) здійсненні Компанії обробки ПД як їх оператора (далі – «Умови»).

2. ОСНОВНІ ПОНЯТТЯ

Персональні дані (далі — ПД) – будь-яка інформація, що відноситься прямо чи опосередковано до певної чи визначеної фізичної особи (суб'єкт ПД);

Законодательство України у області ПД – Конституція України, Закон України "Про захист персональних даних" від 01.06.2010 р. №2297-VI (далі – Закон про ПД), Генеральний регламент про захист даних(ЕС) 2016/679 от 27.04.2016 г. (EU General Data Protection Regulation, далее - GDPR) та інші визначальні для обробки ПД закони та нормативно-правові акти.

Категорії суб'єктів ПД – групи суб'єктів ПД, умовно розділені для цілей цих Умов, залежно від мети їх збору та джерел надходження;

Обробка ПД — будь-яка дія (операція) з ПД або їх сукупність, що здійснюються Компанією або за її дорученням третіми особами, як з використанням засобів обчислювальної техніки (автоматизації, ЕОМ) так і без їх використання, і включає себе (за винятком знеособлення): збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ, без транскордонної передачі), блокування, видалення, знищення.

Загальнодоступні ПД – такі ПД, доступ необмеженого кола осіб до яких надано самим суб'єктом ПД або на його прохання Компанії (або третьою особою за дорученням суб'єкта ПД та/або Компанії), при цьому таке дозвіл може бути дано як у простій письмовій формі (у формі згоди на обробку ПД, договору, заяви або іншого документа, в якому міститься прохання або дозвіл суб'єкта ПД на вчинення дій з ПД, спрямованих на їх розкриття невизначеному колу осіб), так і у формі конклюдентних дій (схвалення на сайті Компанії умов цієї Умов, включаючи її положення про розповсюдження ПД суб'єкта ПД), а подальше розповсюдження ПД може проводитись як в електронній формі (на офіційному сайті Компанії та інших сайтах у мережі Інтернет), так і іншими способами, включаючи паперову форму розповсюдження (в т.ч. у вигляді листівок).

Дані Умови поширюються на діяльність Компанії на сайті spate.ua

3. ПРАВА ТА ОБОВ'ЯЗКИ КОМПАНІЇ І СУБ'ЄКТІВ ПД

3.1. Суб'єкт ПД має такі основні права та обов'язки:

3.1.1. право на видачу Компанії згоди на обробку ПД за однією з форм, що рекомендуються Компанії, які є додатком до цих Умов, а також на розкриття для Компанії конфіденційних та інших відомостей (включаючи відомості, що становлять лікарську таємницю). Згода на обробку ПД має бути конкретною, поінформованою та свідомою, може бути надана суб'єктом ПД або його представником у будь-якій формі, що дозволяє підтвердити факт її отримання, при цьому повноваження представника суб'єкта ПД на дачу згоди від імені суб'єкта ПД підтверджуються відповідними документами. У передбачених законом про ПД випадках обробка ПД здійснюється тільки за згодою в письмовій формі суб'єкта ПД, зокрема у разі надання згоди на обробку спеціальних ПД (наприклад, про стан здоров'я) або біометричних ПД (в т.ч. зображення людини у формі фотографії або відеозаписи);

3.1.2. право на отримання відомостей про оброблювані Компанії ПД в обсязі, зазначеному в Законі про ПД, а також право вимагати від Компанії уточнення ПД, їх блокування або знищення у разі, якщо ПД є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої цілі обробки, а також вживати передбачених законом заходів щодо захисту своїх прав. Відомості надаються суб'єкту ПД або його представнику при зверненні або отриманні запиту суб'єкта ПД або його представника;

3.1.3. право на оскарження дії або бездіяльності Компанії до уповноваженого органу захисту прав суб'єктів ПД або в судовому порядку, якщо суб'єкт ПД вважає, що Компанія здійснює обробку його ПД з порушенням вимог Закону про ПД або іншим чином порушує його права та свободи та відмовляється задовольнити запит суб'єкта ПД про усунення таких порушень у добровільному порядку;

3.1.4. при зверненні до Компанії із запитом, зобов'язаний вказати в запиті номер основного документа, що засвідчує особу суб'єкта ПД або його представника, відомості про дату видачі зазначеного документа та орган, що його видав, відомості, що підтверджують участь суб'єкта ПД у відносинах з оператором (номер договору, дата укладання договору, та (або) інші ідентифікуючі відомості), або відомості, що іншим чином підтверджують факт обробки ПД Компанії, проставити на запит власноручний підпис;

3.1.5. для складання запиту суб'єкт ПД має право використовувати рекомендовану Компанією форму запиту, яка є додатком до цих Умов;

3.1.6. інші права та обов'язки, зазначені у законодавстві України в галузі ПД.

3.2. Компанія має такі основні права та обов'язки:

3.2.1. право на отримання ПД від суб'єкта ПД, його представників та/або третіх осіб, для їх обробки з метою, обсягом та на строк, необхідним та достатнім для здійснення своєї діяльності відповідно до цілей;

3.2.2. право на обробку ПД без письмової згоди їх суб'єкта, отриманих Компанією у зв'язку з укладенням договору, стороною якого є суб'єкт ПД, або суб'єкт ПД є представником сторони договору, якщо ПД не поширюються та не надаються третім особам без згоди суб'єкта ПД та використовуються Компанією виключно для виконання зазначеного договору, а також в інших випадках прямо зазначених у Законі про ПД;

3.2.3. право використовувати ПД з метою здійснення своєї діяльності, шляхом прямих контактів із суб'єктом ПД за допомогою засобів зв'язку, зазначених суб'єктом ПД (включаючи розсилку на електронні адреси та СМС повідомлення за номером телефону, наданими суб'єктом ПД), за умови отримання попередньої згоди суб'єкта ПД у будь-який формі, що дозволяє згодом довести отримання такої згоди;

3.2.4. зобов'язана опублікувати ці Умови, що описують також реалізовані Компанією вимоги до захисту ПД, та забезпечити необмежений доступ до нього з використанням засобів інформаційно-телекомунікаційної мережі (Інтернет);

3.2.5. зобов'язана вживати необхідних заходів (або забезпечувати їх вжиття) для захисту ПД від неправомірного або випадкового доступу до них, несанкціонованого знищення, зміни, блокування, копіювання, надання, розповсюдження ПД, а також від інших неправомірних дій щодо ПД, включаючи: забезпечення безпеки ПД при їх обробці, облік машиночитаних носіїв ПД; призначення відповідального за організацію обробки ПД; видання цієї Умов та інших локальних актів з питань обробки ПД,а також локальних актів, що встановлюють процедури реагування на запити суб'єктів ПД та виявлення порушень, усунення наслідків; здійснення внутрішнього контролю відповідності обробки ПД вимогам до захисту ПД, політики та виданих локальних актів; оцінка шкоди, яка може бути заподіяна суб'єктам ПД у разі порушення захисту ПД, ознайомлення працівників Компанії, які безпосередньо здійснюють обробку ПД, з положеннями законодавства України про ПД, у тому числі вимогами цієї Умов та інших локальних актів з обробки ПД, та (або) навчання працівників Компанії роботі з ПД;

3.2.6. зобов'язаний повідомити суб'єкт ПД або його представника інформацію про наявність ПД, що належать до відповідного суб'єкта ПД, а також надати можливість ознайомлення з цими ПД — при зверненні суб'єкта ПД або його представника протягом тридцяти днів з дати отримання запиту суб'єкта ПД або його представника.

3.2.7. зобов'язана внести до ПД необхідні зміни у строк, що не перевищує сім робочих днів з дня надання суб'єктом ПД або його представником відомостей, що підтверджують, що ПД є неповними, неточними або неактуальними, а також знищити ПД у строк, що не перевищує сім робочих днів з дня подання суб'єктом ПД або його представником відомостей, що підтверджують, що такі ПД є незаконно отриманими або не є необхідними для заявленої мети обробки, повідомити суб'єкта ПД або його представника про внесені зміни та вжиті заходи та вжити розумних заходів для повідомлення третіх осіб, яким ПД цього суб'єкта було передано;

3.2.8. зобов'язана здійснити блокування ПД (або забезпечити їхнє блокування), уточнити ПД (або забезпечити їх уточнення), припинити обробку ПД (або забезпечити припинення), знищити ПД (або забезпечити їх знищення), у випадках встановлених Законом про ПД

3.2.9. інші права та обов'язки, зазначені у законодавстві України в галузі ПД, локальних документах Компанії.

4. МЕТА ЗБОРУ ПД

Метою збору та обробки ПД у Компанії є статутна діяльність Компанії, у тому числі: продаж товарів через Інтернет, маркетинг, бухгалтерський, податковий та кадровий (трудовий) облік усередині Компанії, укладання та виконання договорів та угод з контрагентами Компанії, а також для підтвердження відкритості діяльності Компанії, підтримки інтересу та підвищення довіри до Компанії та її діяльності.

5. ПРАВОВІ ПІДСТАВИ ОБРОБКИ ПД

Правовим підґрунтям обробки ПД є сукупність правових актів, на виконання яких та відповідно до яких Компанія здійснює обробку ПД, у тому числі: Конституція України, Цивільний кодекс України, ці Умови та інші локальні акти Компанії, цивільно-правові та трудові договори із суб'єктами ПД, згоди суб'єктів ПД на обробку їх ПД.

6. ОБСЯГ І КАТЕГОРІЇ ПД І ЇХ СУБ'ЄКТІВ

6.1. Категорії суб'єктів ПД.

Відповідно до цілей статутної діяльності Компанії, залежно від напрямку використання ПД та джерел їх отримання, Компанією обробляються ПД основних категорій суб'єктів ПД з нижченаведеними умовними їх найменуваннями, складом та цілями збору:

6.1.1. «покупці» (включаючи ПД громадян, індивідуальних підприємців (ІП), представників юридичних осіб та ІП) – для цілей діяльності Компанії, в основному, для продажу товарів та послуг через Інтернет;

6.1.2. «бенефіціари» (як правило ПД громадян України, їхніх законних представників, членів їхніх сімей) — для цілей діяльності Компанії, в основному для забезпечення отримання подарунків;

6.1.3. «контрагенти» (фізичні особи — представники юридичних осіб та ІП) – для цілей діяльності Компанії, в основному, для здійснення цивільно-правових угод, укладання та виконання договорів та угод з метою забезпечення ведення Компанії статутної діяльності.

6.2. Обсяг та категорії оброблюваних ПД.

Для досягнення заявлених цілей збору та обробки ПД та залежно від категорії суб'єктів ПД, Компанія обробляє наступний обсяг та категорії ПД:

6.2.1. для категорій суб'єктів ПД «покупці» «бенефіціари»: прізвище, ім'я та по батькові (за наявності), адреса електронної пошти, номер телефону; номер, серія, дата, орган видачі паспорта, адреса прописки та проживання, ІПН, скан-копія паспорта, фотографія, географічні координати місцезнаходження, дані платіжних карток та інших засобів платежу;

6.2.2. для категорії суб'єктів ПД «контрагенти»: ті самі ПД, що й за категорією «покупці», а також: посада, банківські реквізити (для громадян — ІП);

Компанія приступає до обробки ПД — за категоріями суб'єктів ПД: «покупці», «бенефіціари» та «контрагенти», після отримання від них згоди на обробку ПД у формі конклюдентних дій на сайті Компанії. Таким чином, за всіма категоріями суб'єктів ПД, що обробляються Компанією, така їх згода на обробку ПД, що включає згоду на обробку ПД у формі розповсюдження (в т.ч. у формі їх розміщення в мережі Інтернет), по суті є дією самого суб'єкта ПД , спрямованим на розкриття ПД невизначеному колу осіб (загальнодоступні ПД), що виключає загрози безпеці ПД всім категорій суб'єктів ПД, оброблюваних Компанії.

Однак, оприлюднення або розповсюдження Компанії на законних підставах, спеціальних або інших ПД суб'єкта ПД у мережі Інтернет та їх загальнодоступність, самі по собі не дають третім особам права на вільне використання таких ПД без отримання згоди суб'єкта ПД.

7. ПОРЯДОК І УМОВИ ОБРОБКИ ПД

При обробці ПД Компанія забезпечує їх обробку на законній основі, обробка ПД обмежується досягненням конкретних, заздалегідь визначених та законних цілей, зазначених у цих Умовах, обробка ПД, несумісна з цілями їх збору в Команії, не виробляється, обробці підлягають тільки такі ПД, які відповідають цілі їх обробки та не є надмірними, по відношенню до заявлених цілей їх обробки, також Компанія забезпечує точність і достатність ПД, а в необхідних випадках і актуальність по відношенню до цілей обробки, вживає необхідних заходів (або забезпечує їх прийняття) щодо видалення або уточнення неповних або неточних ПД на всіх етапах обробки, а саме:

7.1. Порядок та умови збору, запису, систематизації та накопичення ПД

За всіма категоріями суб'єктів ПД Компанія отримує ПД (включаючи їх збирання, запис, систематизацію та накопичення) виключно від самих суб'єктів ПД, а не від третіх осіб чи сторонніх джерел. Залежно від категорії суб'єктів ПД, Компанія отримує ПД у такому порядку:

7.1.1. За категорією суб'єктів ПД «покупці» — Компанія отримує ПД від таких суб'єктів ПД через сайт Компанії в мережі Інтернет через заповнення суб'єктом ПД розділів форми оформлення замовлення або реєстрації на сайті позначених як: «Ваше ім'я» та « Ваш email», при цьому суб'єкт ПД дає конклюдентну згоду (акцепт) на обробку своїх ПД на цих Умовах та Публічної оферти Компанії проставленням позначки у спеціальних «чек-боксах» перед здійсненням дій з купівлі або реєстрації натисканням віртуальних кнопок «Купити» або «Зареєструватися». Добровільна згода суб'єкта ПД на обробку його ПД за цими Умовами та Публічною офертою Компанії, тексти яких розміщені на сайті Компанії, є обов'язковою умовою для споживання послуг або придбання товарів;

7.1.2. За категорією суб'єктів ПД «контрагенти» — Компанія отримує ПД таких суб'єктів ПД (фізичних осіб, представників контрагентів) під час укладання цивільно-правових договорів заповненням їх відповідних реквізитів, пунктів, умов, додатків чи необхідних документів до них, в обсязі необхідному для укладання та виконання зазначених договорів, стороною (або вигодонабувачем) яких є організація або ІП, що надається суб'єктом ПД, при цьому Компанія не має права розголошувати такі ПД, якщо договором або угодою до нього не передбачена можливість такого розголошення;

7.1.3. За категорією суб'єктів ПД «бенефіціари» — Компанія отримує ПД від таких суб'єктів ПД через сайт Компанії в мережі Інтернет за допомогою надання суб'єктом ПД ПД «бенефіціара» в полях на сайті позначених як: «Ім'я одержувача» та «email одержувача».

7.2. Порядок та умови зберігання, уточнення, вилучення, використання, блокування, видалення, знищення та передачі ПД

За всіма категоріями суб'єктів ПД Компанія використовує ПД (включаючи їх зберігання, уточнення, вилучення, використання, блокування, видалення, знищення та передачу, в т.ч. розповсюдження, надання та доступ) виключно за згодою суб'єктів ПД, без їх знеособлення та без транскордонної передачі.

Зберігання ПД здійснюється у формі, що дозволяє визначити суб'єкт ПД, не довше, ніж цього вимагають мети обробки його ПД, а після досягнення цілей обробки або у разі втрати необхідності у досягненні цих цілей, використовувані ПД підлягають знищенню, якщо інше не передбачено законодавством України.

Термін зберігання ПД всім категорій суб'єктів ПД визначається періодом часу, який вони необхідні визначення суб'єкта ПД, але з довше, ніж цього вимагають мети обробки ПД, виключаючи випадки, коли термін зберігання ПД обмежений іншим терміном, виходячи з закону, договору чи письмовим згодою суб'єкта ПД. Обробка ПД припиняється Компанією, якщо досягнуто мети обробки ПД, або закінчився термін дії письмової згоди або надійшов письмовий відгук згоди від суб'єкта ПД на обробку його ПД, або в інших зазначених у законі випадках.

Зберігання ПД у Компанії можливе як в електронній, так і паперовій формі. Незважаючи на отримувані Компанії від усіх категорій суб'єктів ПД згоди на поширення ПД невизначеному колу осіб, що усуває їх конфіденційний характер, — на всі форми зберігання ПД у Компанії діє режим захисту, включаючи: обмеження доступу до приміщень, в яких зберігаються носії ПД (документи або машинні носії), зберігання їх у спеціально обладнаних шафах, що замикаються, та (або) сейфах, обліком машиночитаних носіїв ПД (включаючи персональні комп'ютери працівників, допущених до обробки ПД), захист їх паролями доступу , призначення відповідального за організацію обробки ПД у Компанії та забезпечення ним безпеки ПД.

Передача ПД Компанією третім особам можлива лише за згодою суб'єкта ПД (якщо інше не передбачено законом), на підставі укладеного Компанією з цією третьою особою договору, при цьому, третя особа, яка здійснює обробку ПД за дорученням Компанії, зобов'язана дотримуватись принципів та правил обробки ПД, передбачені законодавством України, цими Умовами та умовами договору, в якому Компанія визначає перелік дій (операцій) з ПД, які будуть здійснюватися третьою особою, цілі обробки, обов'язок третьої особи дотримуватись конфіденційності персональних даних та забезпечувати безпеку ПД при їх обробці, а також вказує вимоги до захисту оброблюваних ПД, при цьому, третя особа не зобов'язана отримувати згоду суб'єкта ПД на обробку її ПД, відповідальність перед суб'єктом ПД за дії третьої особи з ПД несе Компанія, а третя особа відповідальна перед Компанії.

Машиносчитувальні носії інформації, на яких здійснюється запис та зберігання ПД, у формі зображень субъекта ПД (фото та відео матеріали, на підставі яких можна встановити його особистість, названі у цих Умовах - біометричні ПД) зберігаються у інформаційних системах ПД у Компанії, при цьому доступ до таких носіїв має президент Компанії, а також робітники Компании, яких президент Компанії вповноважує відповідним документом на обробку ПД і яким надає доступ до бумажного носія ПД або пароль доступу до вмісту машиносчитувального носія ПД.

Інші загальні для всіх категорій суб'єктів ПД форми, способи, умови та порядок використання ПД зазначені вище у розділах цих Умов, що описують права та обов'язки Компанії та суб'єкта ПД щодо зберігання, уточнення, вилучення, використання, блокування, видалення, знищення та передачі ПД, відповідно до змісту цих понять, зазначених у Законі про ПД.

Особою, відповідальною за організацію обробки ПД всіх категорій суб'єктів ПД, є президент Компанії, він зобов'язаний у тому числі: наказом покласти на себе ці обов'язки, вжити у Компанії заходів правового, організаційного та технічного характеру щодо забезпечення безпеки ПД від неправомірного навмисного чи випадкового доступу до ним, знищення, зміни, блокування, копіювання, надання, розповсюдження ПД, а також від інших неправомірних дій щодо ПД, видати цю Політику та інші локальні акти про порядок та умови обробки ПД у Компанії, ознайомити працівників Компанії з порядком та умовами обробки ПД відповідно до цих Умов та інших локальних актів Компанії, дозволяти доступ до ПД тільки спеціально уповноваженим особам в обсязі, необхідному для виконання їх конкретних функцій, здійснювати внутрішній контроль за дотриманням Компанією та її працівниками норм про ПД, локальних актів з питань обробки та захисту ПД, організовувати прийом та обробку звернень/запитів суб'єктів ПД, їх представників, уповноваженого органу захисту прав суб'єктів ПД, здійснювати контроль за прийомом та опрацюванням таких звернень та запитів, дотриманням вжитих заходів, спрямованих на запобігання та виявлення порушень законодавства, усунення наслідків таких порушень, а також забезпечити публікацію (необмежений доступ) цих Умов на сайті Компанії в мережі Інтернет та можливість доступу до зазначеного документа з використанням засобів інформаційно-телекомунікаційної мережі.

Ці Умови підготовлені на підставі законодавства України в галузі ПД, що визначає політику Компанії щодо обробки персональних даних, у порядку, встановленому Законом України "Про захист персональних даних" від 01.06.2010 р. №2297-VI.