Політика конфіденційності

Обробка і захист персональних даних: основні положення онлайн-магазину Effecto

Зміст

1. Загальні поняття та сфера застосування.

2. Персональні дані: зміст і склад.

3. Оброблення персональних даних: мета, підстави, межі, терміни.

4. Порядок оброблення індивідуальної інформації про особу: отримання згоди, інформування про права та дії щодо персональних даних.

5. Розташування бази персональних даних.

6. Умови передачі інформації третім особам стосовно персональних даних.

7. Захист персональних даних: способи, терміни зберігання інформації, відповідальна особа, яка обробляє персональні дані чи має доступ до них у зв’язку з виконанням службових обов’язків.

8. Права суб'єкта персональних даних.

9. Порядок оброблення запитів від суб’єкта даних.

10. Видалення персональних даних.

1. Загальні поняття та сфера застосування.

1.1. Визначення: база персональних даних — збірник персональних даних, розташованих поіменно, у вигляді картотеки або в електронній формі;

відповідальна особа — працівник інтернет-магазину (далі — Продавця), який організовує оброблення персональних даних та їх захист у порядку, передбаченому законодавством;

володілець персональних даних — юридична чи фізична особа, що має право на основі законодавчих рішень або за згодою суб’єкта даних обробляти ці відомості, встановлювати мету роботи, визначати склад і порядок оброблення даних;

публічні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги та інші форми публічної інформації, в яких уміщено персональні дані, розміщення та оприлюднення яких відбувається з відома суб’єкта даних. Публічними джерелами персональних даних не вважаються інтернет-ресурси на зразок соціальних мереж, де суб’єкт залишає персональні відомості. Винятки становлять випадки прямого зазначення суб’єктом даних про розміщення його персональних даних з метою використання та вільного поширення;

згода суб’єкта даних — добровільне волевиявлення фізичної особи, задокументоване у будь-якому вигляді, щодо обробки її персональних даних із заявленою метою;

знеособлення персональних даних — видалення інформації, на основі якої видається можливою ідентифікація особи;

обробка персональних даних — будь-яка дія або сукупність дій, частково або повністю виконаних в інформаційній (автоматизованій) системі та/або в картотеках персональних даних стосовно збору, реєстрації, накопичення, зберігання, адаптації, модифікації, поновлення, використання, поширення (розповсюдження, реалізації, передачі), знеособлення, знищення інформації про фізичну особу;

персональні дані — відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути такою;

розпорядник персональних даних — фізична або юридична особа з правом на оброблення персональних даних, отриманим від володільця бази персональних даних або законодавчих актів. Розпорядником персональних даних не вважається особа, яка виконує технічні роботи з базою персональних даних і не має доступу до їх змісту;

суб’єкт даних — фізична особа, персональні дані якої обробляються відповідно до закону; третя особа — будь-яка особа, крім суб’єкта даних, володільця або розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, яка отримує персональні дані відповідно до законодавства від володільця або розпорядника бази;

спеціальні категорії даних — персональні дані, які вміщують інформацію про расове, етнічне походження особи, політичні, релігійні, філософські переконання, членство у політичних партіях і професійних союзах, а також дані, що стосуються здоров’я і статевого життя.

1.2. Відповідальні особи та працівники Продавця, які беруть безпосередню участь в обробці та/або мають доступ до персональних даних у зв’язку з виконанням своїх посадових обов’язків, мають обов’язково дотримуватися вимог цього Положення.

2. Персональні дані: зміст і склад.

2.1. Зміст бази персональних даних становлять прізвище, ім’я, по-батькові (за наявності) Користувача, а також дата народження, номер телефона, стать, наявність дітей, домашніх тварин, місце проживання/перебування/доставлення. До персональних даних відноситься інформація про користування мережею інтернет: IP-адреса, тип пристрою, який використовується для сайту, операційна система, історія повідомлень, відгуки та коментарі. Перелік персональних даних не вважається сталим і може змінюватися залежно від потреб Користувача.

2.2. Відповідальність за розміщення персональних даних на Сайті залишається на Користувачеві. Особа повинна усвідомлювати ризики, пов’язані з оприлюдненням інформації про місце проживання чи розташування.

3. Оброблення персональних даних: мета, підстави, межі, терміни.

3.1. Оброблення персональних даних відбувається з метою зберігання у системі та обслуговування даних контрагентів, відповідно до діючого законодавства України.

3.2. Оброблення персональних даних здійснюється з метою забезпечення реалізації цивільно-правових відносин, надання чи отримання та проведення розрахунків за придбані товари і послуги відповідно до Податкового кодексу та Закону України «Про бухгалтерський облік та фінансову звітність в Україні», а також для ведення управлінського та бухгалтерського обліку. Метою оброблення персональних даних є надсилання повідомлень про дію програми лояльності, акції, бонусні програми електронною поштою, поштою, телефоном та іншими видами зв’язку.

3.3. Згода Користувача на оброблення персональних даних вважається підставою для вчинення такої дії. Виразником згоди є користування інтернет-платформою Продавця. Оброблення не стосується персональних даних стосовно національної або расової належності Користувача, релігійних переконань і політичних поглядів, членствах у різноманітних організаціях. Не підлягає обробленню інформація, на основі якої можна встановити фізіологічні особливості Користувача.

3.4. Оброблення персональних даних відбувається у будь-який законний спосіб незалежно від терміну, з використанням засобів автоматизації чи без них. Терміни оброблення та зберігання персональних даних обумовлюються метою оброблення та умовами діючого законодавства України. Тривалість оброблення та зберігання персональних даних відбувається так довго, настільки це потрібно для досягнення мети оброблення. При цьому зберігається право Користувача надати запит стосовно припинення оброблення або видалити персональні дані.

4. Порядок оброблення індивідуальної інформації про особу: отримання згоди, інформування про права та дії щодо персональних даних

4.1. Суб’єкт персональних даних має надати згоду у формі добровільного волевиявлення фізичної особи щодо оброблення її персональних даних для досягнення визначеної мети оброблення. Суб’єкт даних надає згоду в таких формах:

    ● документ на паперовому носії з реквізитами на дозвіл ідентифікації документа й особи;

    ● електронний документ з обов'язковими реквізитами для встановлення документа й особи;

    ● відмітка на електронній сторінці документа або в електронному файлі, який обробляється в інформаційній системі документованими програмно-технічними рішеннями.

4.2. Суб'єкт даних надає згоду щодо обробки персональних даних під час укладення цивільно-правових відносин відповідно до чинного законодавства.

4.3. Суб’єкт персональних даних отримує інформацію про включення його персональних даних до бази персональних даних, права, визначені Законом України «Про захист персональних даних», мету збирання даних та осіб, яким передаються персональні дані, під час укладення цивільно-правових відносин відповідно до чинного законодавства.

4.4. Оброблення персональних даних заборонено стосовно расового чи етнічного походження, політичних, релігійних, філософських переконань, членства в політичних партіях і професійних союзах, а також інформації, пов’язаної зі здоров’ям чи статевим життям.

5. Розташування бази персональних даних

5.1. Бази персональних даних, зазначені у розділі 2 цього Положення, знаходяться на захищених серверах Продавця.

6. Умови передачі інформації третім особам стосовно персональних даних.

6.1. Доступ третіх осіб до персональних даних надається згідно з умовами згоди суб’єкта даних, яку отримує володілець бази персональних даних для оброблення таких даних, або відповідно до законодавчих вимог.

6.2. Третій особі буде відмовлено у відкритті доступу до персональних даних у разі відмови нею від взяття зобов’язань щодо забезпечення дотримання вимог Закону України «Про захист персональних даних» або неможливості їх виконання.

6.3. Суб’єкт відносин, пов’язаних із персональними даними, надає володільцю бази персональних даних запит на доступ (далі – запит).

6.4. У запиті може бути зазначено:

    ● прізвище, ім'я, по-батькові, місце проживання (перебування) та реквізити документа для посвідчення особи фізичної особи, яка подає запит (для заявника-фізичної особи);

    ● найменування, місцезнаходження юридичної особи, яка подає запит, посаду, прізвище, ім'я, по-батькові особи, яка посвідчує запит; підтвердження правильності змісту запиту повноваженням юридичної особи (для заявника-юридичної особи);

    ● прізвище, ім'я, по-батькові та інші відомості для ідентифікації фізичної особу, якої стосується запит;

    ● інформацію про базу персональних даних стосовно запиту або інформацію про власника чи розпорядника цієї бази;

    ● перелік запитуваних персональних даних;

    ● мету запиту.

6.5. Термін вивчення звернення з метою його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього терміну володілець бази персональних даних повідомляє особу, яка подає запит, про задоволення потреби або ненадання відповідних персональних даних із зазначенням правової підстави відповідно до нормативно-правового акту. Термін задоволення запиту становить тридцять календарних днів з моменту його надходження, якщо інше не передбачено законом.

6.6. Працівники володільця бази персональних даних повинні дотримуватись вимог конфіденційності стосовно персональних даних.

6.7. Відтермінування доступу до персональних даних третіх осіб допускається за умови неможливості надання необхідних даних протягом тридцяти календарних днів з моменту надходження запиту. При цьому загальний термін вирішення питань, порушених у зверненні, повинен становити не більше сорока п’яти календарних днів.

6.8. Повідомлення про відтермінування надсилається третій особі, що звернулася зі зверненням, у письмовій формі з роз’ясненням порядку оскарження такого рішення.

6.9. У повідомленні про затримку повинна міститися така інформація:

    ● прізвище, ім'я та по-батькові посадової особи;

    ● дата відправлення повідомлення;

    ● причина затримання;

    ● термін виконання запиту.

6.10. У доступі до персональних даних може бути відмовлено, якщо це заборонено законом.

6.11. Повідомлення про відмову містить:

    ● прізвище, ім'я та по-батькові посадової особи, яка відмовляє у доступі;

    ● дата відправлення повідомлення;

    ● причина відмови.

6.12. Рішення про відтермінування або відмову в доступі до персональних даних може бути оскаржено через звернення до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та місцевого самоврядування, що мають повноваження стосовно захисту персональних даних, або до суду.

7. Захист персональних даних: способи, терміни зберігання інформації, відповідальна особа, яка обробляє персональні дані чи має доступ до них у зв’язку з виконанням службових обов’язків.

7.1. Володілець бази персональних даних оснащений програмно-технічними засобами та засобами зв’язку, що запобігають втраті, розкраданню, несанкціонованому знищенню, спотворенню, фальсифікації, копіюванню персональних даних і відповідають вимогам національних та міжнародних стандартів.

7.2. Оброблення персональних даних здійснюється за умови вжиття заходів стосовно їх захисту, організованих відповідальною особою, відповідно до законодавчих вимог. Володілець бази персональних даних призначає відповідальну особу, обов’язки якої визначені посадовою інструкцією.

7.3. До обов’язків відповідальної особи входять:

    ● знання законодавства України про захист персональних даних;

    ● розроблення процедури доступу працівників до персональних даних відповідно до професійних, службових, трудових обов’язків;

    ● забезпечення дотримання працівниками володільця бази персональних даних вимог законодавства України щодо захисту персональних даних та внутрішніх документів, які регламентують діяльність володільця бази персональних даних стосовно обробки та захисту персональних даних у базі;

    ● розроблення порядку здійснення внутрішнього контролю за дотриманням вимог законодавства України стосовно захисту персональних даних та внутрішніх документів, які регламентують діяльність володільця бази персональних даних в обробленні та захисті персональних даних у базах персональних даних. Документ повинен містити положення щодо періодичності такого контролю;

    ● повідомлення володільця бази персональних даних про факти порушення вимог законодавства України про захист персональних даних та внутрішніх документів, які регламентують діяльність володільця бази персональних даних стосовно обробки та захисту персональних даних у базі персональних даних, не пізніше одного робочого дня з моменту виявлення подібного порушення;

    ● забезпечення зберігання документів щодо підтвердження згоди суб’єкта даних на оброблення його персональних даних та повідомлень про права.

7.4. Для виконання обов'язків передбачені такі права відповідальної особи:

    ● отримання необхідних документів від володільця бази персональних даних щодо обробки персональних даних;

    ● виготовлення копії отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних комп’ютерних мережах та автономних комп’ютерах;

    ● участь в обговоренні покладених на особу обов’язків щодо захисту персональних даних під час їх оброблення;

    ● внесення пропозиції щодо вдосконалення діяльності та методів роботи, надання зауважень та пропозицій стосовно усунення виявлених недоліків у процесі обробки персональних даних;

    ● отримання роз’яснень стосовно оброблення персональних даних.

7.5. Працівники, які безпосередньо займаються обробленням та/або мають доступ до персональних даних у зв’язку з виконанням службових обов’язків, повинні дотримуватись вимог законодавства України про захист персональних даних та внутрішніх документів стосовно обробки і захисту персональних даних.

7.6. Працівники з доступом до персональних даних, у тому числі ті, хто займається їх обробленням, зобов’язані в будь-якому разі не розголошувати довірені або відомі у зв’язку з виконанням професійних чи службових обов’язків персональні дані. Вказане зобов’язання зберігає чинність після припинення працівниками діяльності, пов’язаної з персональними даними, за винятком передбачених законом випадків.

7.7. Особи з доступом до персональних даних, у тому числі й через необхідність їх обробітку, несуть відповідальність згідно із законодавством України у разі порушення Закону України «Про захист персональних даних».

7.8. Термін зберігання персональних даних не повинен бути довшим, ніж це необхідно для мети збереження, однак не довше терміну зберігання даних, визначеного згодою суб’єкта на обробку.

8. Права суб'єкта персональних даних.

8.1. У коло прав суб’єкта персональних даних входить:

    ● знання розташування бази персональних даних із зазначенням своїх персональних даних, призначення, найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника бази або надання відповідного дозволу уповноваженим особам на отримання цієї інформації, крім  передбачених законодавством випадків;

    ● отримання інформації стосовно умов надання доступу до персональних даних, у тому числі інформації про третіх осіб, яким передаються їх персональні дані, вміщені у відповідній базі;

    ● отримання доступу до своїх персональних даних, вміщених у відповідній базі даних;

     ● отримання не пізніше як за тридцять календарних днів з дня звернення, крім передбачених законодавством випадків, відповіді стосовно наявності своїх персональних даних у відповідній базі та отримання змісту персональних даних, які зберігаються;

     ● подання вмотивованого запиту із запереченням щодо обробки своїх персональних даних органами державної влади, місцевого самоврядування під час здійснення ними передбачених законодавством повноважень;

    ● подання вмотивованої вимоги стосовно зміни або знищення своїх персональних даних будь-яким власником та розпорядником цієї бази у разі недостовірності даних або оброблення у незаконний спосіб;

    ● захист своїх персональних даних від неправомірної обробки та випадкової втрати, знищення, пошкодження внаслідок їх умисного приховування, нерозголошення чи несвоєчасного надання, а також від надання недостовірної інформації або інформації, що принижує честь, гідність і ділову репутацію фізичної особи;

    ● звернення до органів державної влади та місцевого самоврядування, у коло повноважень яких входить захист персональних даних, щодо захисту своїх прав стосовно персональних даних;

    ● застосування засобів правового захисту у разі порушення законодавства про захист персональних даних.

9. Порядок оброблення запитів від суб’єкта даних.

9.1. Суб’єкт персональних даних має право на отримання будь-якої інформації про себе від будь-якого суб’єкта відносин, які стосуються персональних даних, без зазначення мети запиту, крім передбачених законодавством випадків.

9.2. Доступ суб’єкта персональних даних до інформації про себе здійснюється на безоплатній основі.

9.3. Суб’єкт персональних даних подає запит на доступ до персональних даних володільцю бази персональних даних. У запиті обов’язково вказується:

    ● прізвище, ім'я та по-батькові, місце проживання (місцезнаходження), реквізити документа на посвідчення особи суб'єкта персональних даних;

    ● інші відомості, які дають можливість ідентифікувати особу;

    ● інформація про базу персональних даних, якої стосується запит, або інформацію про володільця чи розпорядника цієї бази;

    ● список запитуваних персональних даних.

9.4. Термін розгляду звернення для задоволення не може перевищувати десяти робочих днів з дня його надходження.

9.5. У цей термін володілець бази персональних даних повідомляє суб’єкта персональних даних стосовно задоволення запиту або ненадання відповідних персональних даних із зазначенням підстав, які визначаються відповідним нормативно-правовим актом.

9.6. Задоволення запиту відбувається протягом тридцяти календарних днів з дня його надходження, якщо інше не встановлено законом.

10. Видалення персональних даних.

10.1. Користувач може видалити персональні дані самостійно за власним бажанням. Це здійснюється за таких умов: подання у паперовій чи електронній формі листа-прохання з указаннями вимоги припинити оброблення персональних даних на фізичну чи електронну адресу Продавця; видалення особистого кабінету Користувача разом із указаними персональними даними. Разом із цією дією відбувається автоматичне знищення персональних даних;

10.2. За потреби Користувач може відкликати згоду на оброблення персональних даних. Для цього необхідно надати запит на електронну пошту чи фізичну адресу Продавця. Уповноважена особа розглядає звернення і видаляє персональні дані.

10.3. Подальше відновлення персональних даних Користувача з метою його ідентифікації неможливе