• Условия конфиденциальности

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМПАНИЕЙ НА САЙТЕ SPATE.UA

1. ПРЕАМБУЛА

Настоящий документ является локальным нормативным актом, определяющим условия компании Спейт Инк (далее именуемой в тексте данного документа «Компания») обработки информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (далее – «персональные данные»), в целях установления в Компании общих принципов, процедур, правил и условий соблюдения законодательства Украины при организации и (или) осуществлении Компании обработки ПД в качестве их оператора (далее – «Условия»).

2. ОСНОВНЫЕ ПОНЯТИЯ

Персональные данные (далее — ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъект ПД);

Законодательство Украины в области ПД – Конституция Украины, Закон Украины “О защите персональных данных” от 01.06.2010 г. №2297-VI (далее – Закон о ПД), Генеральный регламент о защите данных (ЕС) 2016/679 от 27.04.2016 г. (EU General Data Protection Regulation, далее - GDPR) и другие определяющие обработку ПД законы и нормативно-правовые акты.

Категории субъектов ПД – группы субъектов ПД, условно разделенные для целей настоящих Условий, в зависимости от цели их сбора и источников поступления;

Обработка ПД — любое действие (операция) с ПД или их совокупность, совершаемые Компанией или по ее поручению третьими лицами, как с использованием средств вычислительной техники (автоматизации, ЭВМ) так и без их использования, и включает в себя (исключая обезличивание): сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, без трансграничной передачи), блокирование, удаление, уничтожение.

Общедоступные ПД – такие ПД, доступ неограниченного круга лиц к которым предоставлен самим субъектом ПД либо по его просьбе Компании (или третьим лицом по поручению субъекта ПД и/или Компании), при этом такое дозволение может быть дано как в простой письменной форме (в форме согласия на обработку ПД, договора, заявления или иного документа, в котором содержится просьба или разрешение субъекта ПД на совершение действий с ПД, направленных на их раскрытие неопределенному кругу лиц), так и в форме конклюдентных действий (одобрение на сайте Компании условий настоящей Условий, включая ее положения о распространении ПД субъекта ПД), а последующее распространение ПД может производиться как в электронной форме (на официальном сайте Компании и иных сайтах в сети Интернет), так и другими способами, включая бумажную форму распространения (в т.ч. в виде листовок).

Данные Условия распространяются на деятельность компании на сайте spate.ua

3. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ И СУБЪЕКТОВ ПД

3.1. Субъект ПД имеет следующие основные права и обязанности:

3.1.1. право на выдачу Компании согласия на обработку ПД по одной из форм, рекомендуемых Компании, которые являются приложением к настоящим Условиям, а также на раскрытие для Компании конфиденциальных и иных сведений (включая сведения, составляющие врачебную тайну). Согласие на обработку ПД должно быть конкретным, информированным и сознательным, может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, при этом полномочия представителя субъекта ПД на дачу согласия от имени субъекта ПД подтверждаются соответствующими документами. В предусмотренных законом о ПД случаях, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД, в частности в случае дачи согласия на обработку специальных ПД (например, о состоянии здоровья) либо биометрических ПД (в т.ч. изображение человека в форме фотографии или видеозаписи);

3.1.2. право на получение сведений об обрабатываемых Компании ПД в объеме, указанном в Законе о ПД, а также право требовать от Компании уточнения ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Сведения предоставляются субъекту ПД или его представителю при обращении либо при получении запроса субъекта ПД или его представителя;

3.1.3. право на обжалование действия или бездействия Компании в уполномоченный орган по защите прав субъектов ПД или в судебном порядке, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона о ПД или иным образом нарушает его права и свободы и отказывается удовлетворить запрос субъекта ПД об устранении таких нарушений в добровольном порядке;

3.1.4. при обращении в Компанию с запросом, обязан указать в запросе номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с оператором (номер договора, дата заключения договора, и (или) иные идентифицирующие сведения), либо сведения, иным образом подтверждающие факт обработки ПД Компании, проставить на запросе собственноручную подпись;

3.1.5. для составления запроса субъект ПД вправе использовать рекомендуемую Компанией форму запроса, которая является приложением к настоящим Условиям;

3.1.6. иные права и обязанности, указанные в законодательстве Украины в области ПД.

3.2. Компания имеет следующие основные права и обязанности:

3.2.1. право на получение ПД от субъекта ПД, его представителей и/или третьих лиц, для их обработки в целях, объеме и на срок, необходимых и достаточных для осуществления своей деятельности в соответствии с целями;

3.2.2. право на обработку ПД без письменного согласия их субъекта, полученных Компанией в связи с заключением договора, стороной которого является субъект ПД, либо субъект ПД является представителем стороны договора, если ПД не распространяются и не предоставляются третьим лицам без согласия субъекта ПД и используются Компанией исключительно для исполнения указанного договора, а также в иных случаях прямо указанных в Законе о ПД;

3.2.3. право использовать ПД в целях осуществления своей деятельности, путем прямых контактов с субъектом ПД с помощью средств связи, указанных субъектом ПД (включая рассылку на электронные адреса и СМС сообщения по номеру телефона, предоставленных субъектом ПД), при условии получения предварительного согласия субъекта ПД в любой форме, позволяющей в последствии доказать получение такого согласия;

3.2.4. обязана опубликовать настоящие Условия, описывающие также реализуемые Компанией требования к защите ПД, и обеспечить неограниченный доступ к нему с использованием средств информационно-телекоммуникационной сети (Интернет);

3.2.5. обязана принимать необходимые меры (или обеспечивать их принятие) для защиты ПД от неправомерного или случайного доступа к ним, несанкционированного уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД, включая: обеспечение безопасности ПД при их обработке, учет машиночитаемых носителей ПД; назначение ответственного за организацию обработки ПД; издание настоящей Условий и иных локальных актов по вопросам обработки ПД, а также локальных актов, устанавливающих процедуры реагирования на запросы субъектов ПД и выявление нарушений, устранение их последствий; осуществление внутреннего контроля соответствия обработки ПД требованиям к защите ПД, политике и изданным локальным актам; оценка вреда, который может быть причинен субъектам ПД в случае нарушения защиты ПД, ознакомление работников Компании, непосредственно осуществляющих обработку ПД, с положениями законодательства Украины о ПД, в том числе требованиями из настоящей Условий и иных локальных актов по обработке ПД, и (или) обучение работников Компании работе с ПД;

3.2.6. обязан сообщить субъекту ПД или его представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, а также предоставить возможность ознакомления с этими ПД — при обращении субъекта ПД или его представителя, в течение тридцати дней с даты получения запроса субъекта ПД или его представителя.

3.2.7. обязана внести в ПД необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными, а также уничтожить ПД в срок, не превышающий семи рабочих дней со дня представления субъектом ПД или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уведомить субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПД этого субъекта были переданы;

3.2.8. обязана осуществить блокирование ПД (или обеспечить их блокирование), уточнить ПД (либо обеспечить их уточнение), прекратить обработку ПД (или обеспечить прекращение), уничтожить ПД (или обеспечить их уничтожение), в случаях установленных Законом о ПД

3.2.9. иные права и обязанности, указанные в законодательстве Украины в области ПД, локальных документах Компании.

4. ЦЕЛИ СБОРА ПД

Целью сбора и обработки ПД в Компании является уставная деятельность Компании, в том числе: продажа товаров посредством Интернет, маркетинг, бухгалтерский, налоговый и кадровый (трудовой) учет внутри Компании, заключение и исполнение договоров и соглашений с контрагентами Компании, а также для подтверждения открытости деятельности Компании, поддержания интереса и повышения доверия к Компании и ее деятельности.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПД

Правовым основанием обработки ПД является совокупность правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку ПД, в том числе: Конституция Украины, Гражданский кодекс Украины, настоящие Условия и иные локальные акты Компании, гражданско-правовые и трудовые договоры с субъектами ПД, согласия субъектов ПД на обработку их ПД.

6. ОБЪЕМ И КАТЕГОРИИ ПД И ИХ СУБЪЕКТОВ

6.1. Категории субъектов ПД.

В соответствии с целями уставной деятельности Компании, в зависимости от направления использования ПД и источников их получения, Компанией обрабатываются ПД основных категорий субъектов ПД с нижеследующими условными их наименованиями, составом и целями сбора:

6.1.1. «покупатели» (включая ПД граждан, индивидуальных предпринимателей (ИП), представителей юридических лиц и ИП) – для целей деятельности Компании, в основном, для продажи товаров и услуг посредством Интернет;

6.1.2. «бенефициары» (как правило ПД граждан Украины, их законных представителей, членов их семей) — для целей деятельности Компании, в основном, для обеспечения получения подарков;

6.1.3. «контрагенты» (физические лица — представители юридических лиц и ИП) – для целей деятельности Компании, в основном, для совершения гражданско-правовых сделок, заключения и исполнения договоров и соглашений в целях обеспечения ведения Компании уставной деятельности.

6.2. Объем и категории обрабатываемых ПД.

Для достижения заявленных целей сбора и обработки ПД и в зависимости от категории субъектов ПД, Компания обрабатывает следующий объем и категории ПД:

6.2.1. для категорий субъектов ПД «покупатели» «бенефициары»: фамилия, имя и отчество (при наличии), адрес электронной почты, номер телефона; номер, серия, дата, орган выдачи паспорта, адрес прописки и проживания, ИНН, скан-копия паспорта, фотография, географические координаты местонахождения, данные платежных карт и других средств платежа;

6.2.2. для категории субъектов ПД «контрагенты»: те же ПД, что и по категории «покупатели», а также: должность, банковские реквизиты (для граждан — ИП);

Компания приступает к обработке ПД — по категориям субъектов ПД: «покупатели» , «бенефициары» и «контрагенты», после получения от них согласия на обработку ПД в форме конклюдентных действий на сайте Компании. Таким образом, по всем категориям субъектов ПД, обрабатываемых Компании, такое их согласие на обработку ПД, включающее согласие на обработку ПД в форме распространения (в т.ч. в форме их размещения в сети Интернет), по своей сути является действием самого субъекта ПД, направленным на раскрытие ПД неопределенному кругу лиц (общедоступные ПД), что исключает угрозы безопасности ПД для всех категорий субъектов ПД, обрабатываемых Компании.

Однако, обнародование или распространение Компании на законных основаниях, специальных или иных ПД субъекта ПД в сети Интернет и их общедоступность, сами по себе не дают третьим лицам права на свободное использование таких ПД без получения согласия субъекта ПД.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПД

При обработке ПД Компания обеспечивает их обработку на законной основе, обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей, указанных в настоящих Условиях, обработка ПД, несовместимая с целями их сбора в Комании не производится, обработке подлежат только такие ПД, которые отвечают целям их обработки и не являются избыточными, по отношению к заявленным целям их обработки, также Компания обеспечивает точность и достаточность ПД, а в необходимых случаях и актуальность по отношению к целям обработки, принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных ПД на всех этапах обработки, а именно:

7.1. Порядок и условия сбора, записи, систематизации и накопления ПД

По всем категориям субъектов ПД Компания получает ПД (включая их сбор, запись, систематизацию и накопление) исключительно от самих субъектов ПД, а не от третьих лиц или сторонних источников. В зависимости от категории субъектов ПД, Компания получает ПД в следующем порядке:

7.1.1. По категории субъектов ПД «покупатели» — Компания получает ПД от таких субъектов ПД через сайт Компании в сети Интернет, посредством заполнения субъектом ПД разделов формы оформления заказа или регистрации на сайте обозначенных как: «Ваше имя» и «Ваш email», при этом субъект ПД дает конклюдентное согласие (акцепт) на обработку своих ПД на настоящих Условиях и Публичной оферты Компании проставлением отметки в специальных «чек-боксах» перед совершением действий по покупке или регистрации нажатием виртуальных кнопок «Купить» или «Зарегистрироваться». Добровольное согласие субъекта ПД на обработку его ПД на настоящих Условиях и Публичной оферты Компании, тексты которых размещены на сайте Компании, является обязательным условием для потребления услуг или приобретения товаров;

7.1.2. По категории субъектов ПД «контрагенты» — Компания получает ПД таких субъектов ПД (физических лиц, представителей контрагентов) при заключении гражданско-правовых договоров заполнением их соответствующих реквизитов, пунктов, условий, приложений либо необходимых документов к ним, в объеме необходимом для заключения и исполнения указанных договоров, стороной (либо выгодоприобретателем) которых является организация или ИП представляемая субъектом ПД, при этом Компания не вправе разглашать такие ПД, если договором или соглашением к нему не предусмотрена возможность такого разглашения;

7.1.3. По категории субъектов ПД «бенефициары» — Компания получает ПД от таких субъектов ПД через сайт Компании в сети Интернет, посредством предоставляния субъектом ПД ПД «бенефициара» в полях на сайте обозначенных как: «Имя получателя» и «email получателя».

7.2. Порядок и условия хранения, уточнения, извлечения, использования, блокирования, удаления, уничтожения и передачи ПД

По всем категориям субъектов ПД Компания использует ПД (включая их хранение, уточнение, извлечение, использование, блокирование, удаление, уничтожение и передачу, в т.ч. распространение, предоставление и доступ) исключительно с согласия субъектов ПД, без их обезличивания и без трансграничной передачи.

Хранение ПД осуществляется в форме, позволяющей определить субъект ПД, не дольше, чем этого требуют цели обработки его ПД, а по достижении целей обработки или в случае утраты необходимости в достижении этих целей, используемые ПД подлежат уничтожению, если иное не предусмотрено законодательством Украины.

Срок хранения ПД для всех категорий субъектов ПД определяется периодом времени, на который они необходимы для определения субъекта ПД, но не дольше, чем этого требуют цели обработки ПД, исключая случаи, когда срок хранения ПД ограничен иным сроком, на основании закона, договора или письменным согласием субъекта ПД. Обработка ПД прекращается Компанией если достигнуты цели обработки ПД, либо истек срок действия письменного согласия или поступил письменный отзыв согласия от субъекта ПД на обработку его ПД, либо в других указанных в законе случаях.

Хранение ПД в Компании возможно как в электронной, так и бумажной форме. Несмотря на получаемые Компании от всех категорий субъектов ПД согласия на распространение ПД неопределенному кругу лиц, что устраняет их конфиденциальный характер, — на все формы хранения ПД в Компании действует режим защиты, включая: ограничение доступа в помещения, в которых хранятся носители ПД (документы или машинные носители), хранение их в специально оборудованных запираемых шкафах и (или) сейфах, учетом машиночитаемых носителей ПД (включая персональные компьютеры работников, допущенных к обработке ПД), защиту их паролями доступа, назначение ответственного за организацию обработки ПД в Компании и обеспечение им безопасности ПД.

Передача ПД Компанией третьим лицам возможна только с согласия субъекта ПД (если иное не предусмотрено законом), на основании заключаемого Компанией с этим третьим лицом договора, при этом, третье лицо, осуществляющее обработку ПД по поручению Компании, обязано соблюдать принципы и правила обработки ПД, предусмотренные законодательством Украины, настоящими Условиями и условиями договора, в котором Компания определяет перечень действий (операций) с ПД, которые будут совершаться третьим лицом, цели обработки, обязанность третього лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность ПД при их обработке, а также указывает требования к защите обрабатываемых ПД, при этом, третье лицо, не обязано получать согласие субъекта ПД на обработку его ПД, ответственность перед субъектом ПД за действия третьего лица с ПД — несет Компания, а третье лицо — ответственно перед Компании.

Машиночитаемые носители информации, на которых осуществляется запись и хранение ПД, в форме изображений субъекта ПД (фото и видео материалы, на основе которых можно установить его личность, именуемые в настоящей Политике - биометрические ПД) хранятся в информационных системах ПД в Компании, при этом доступ к таким носителям имеет президент Компании, а также работники Компании, которых президент Компании уполномочивает соответствующим документом на обработку ПД и которым предоставляет доступ к бумажному носителю ПД либо пароль доступа к содержимому машиночитаемого носителя ПД.

Иные общие для всех категорий субъектов ПД формы, способы, условия и порядок использования ПД указаны выше в разделах настоящих Условий, описывающих права и обязанности Компании и субъекта ПД в отношении хранения, уточнения, извлечения, использования, блокирования, удаления, уничтожения и передачи ПД, в соответствии с содержанием этих понятий, указанным в Законе о ПД.

Лицом, ответственным за организацию обработки ПД всех категорий субъектов ПД, является президент Компании, он обязан в том числе: приказом возложить на себя эти обязанности, принять в Компании меры правового, организационного и технического характера по обеспечению безопасности ПД от неправомерного намеренного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД, издать настоящую Политику и иные локальные акты о порядке и условиях обработки ПД в Компании, ознакомить работников Компании с порядком и условиями обработки ПД в соответствии с настоящими Условиями и иными локальными актами Компании, разрешать доступ к ПД только специально уполномоченным лицам в объеме, необходимом для выполнения их конкретных функций, осуществлять внутренний контроль за соблюдением Компанией и его работниками норм о ПД, локальных актов по вопросам обработки и защиты ПД, организовывать прием и обработку обращений/запросов субъектов ПД, их представителей, уполномоченного органа по защите прав субъектов ПД, осуществлять контроль за приемом и обработкой таких обращений и запросов, соблюдением принятых мер, направленных на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений, а также обеспечить публикацию (неограниченный доступ) настоящих Условий на сайте Компании в сети Интернет и возможность доступа к указанному документу с использованием средств информационно-телекоммуникационной сети.

Настоящие Условия подготовлены на основании законодательства Украины в области ПД, определяющего политику Компании в отношении обработки персональных данных, в порядке, установленном Закон Украины “О защите персональных данных” от 01.06.2010 г. №2297-VI.