1. Визначення та скорочення:
1.1. Політика конфіденційності - Політика ФОП Раскідайлова Марта Віталіївна про обробку персональних даних відвідувачів інтернет-магазину «http://routlette.com».
1.2. База даних – означає іменовану сукупність упорядкованих Персональних даних в електронній формі або формі картотек Персональних даних.
1.3. Розпорядник – фізична або юридична особа, державний орган, агентство або будь-яка інша особа, якій Володільцем персональних даних або законом надано право обробляти ці дані від імені Володільця.
1.4. Розкриття інформації - означає передачу персональної інформації будь-якій людини або компанії, окрім Суб'єкта даних, Володільця або Розпорядника. Це може включати, але не обмежуватися активною передачею персональної інформації афілійованим особам або третім особам, забезпечення доступу (у тому числі віддаленого доступу), розповсюдження або публікації.
1.5. Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
1.6. Володілець персональних даних (або Володілець) – фізична або юридична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
1.7. Знеособлення (деперсоналізація) - процес, за допомогою якого Персональні дані необоротно відокремлюються від всіх ідентифікаторів і не можуть бути в подальшому пов'язані з певною особою. Після цього вони більше не вважаються персональними даними.
1.8. Уповноважений Верховної Ради України з прав людини – орган, що здійснює повноваження у сфері захисту персональних даних відповідно до Закону.
1.9. Закон – Закон України «Про захист персональних даних» від 1 червня 2010 року, №2297-VI.
1.10. Оператор - ФОП Раскідайлова Марта Віталіївна (що діє на підставі запису в Єдиному державному реєстрі юридичних осіб, фізичних осіб-підприємців та громадських формувань №2000730000000059443 від 09.02.2021 року) самостійно або спільно з іншими особами організуючий і (або) здійснює обробку персональних даних, а також визначає мету обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними, далі іменоване також «ми», «наш», «нас».
1.11. Одержувач Персональних даних – означає юридичну, або фізичну особу, якій передаються або розкриваються Персональні дані Володільцем або Розпорядником.
1.12. Згода Суб’єкта даних – означає будь-яке добровільне, чітке та таке, що може бути відкликане вираження волі Суб’єкта даних, яке надане в письмовій або іншій задокументованій формі, що дає змогу зробити висновок про її надання, та яке дозволяє обробку його Персональних даних в межах визначеної цілі такої обробки (надалі – «Згода») та яке може бути анульоване. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються Володільцем впродовж часу обробки таких даних.
1.13. Пряма згода означає, що фізичній особі надається чітке право вибору дати або не дати свою згоду на збір, використання або розкриття Персональних даних і вона чітко визначає свій вибір.
1.14. Зміна Персональних даних – вид Обробки Персональних даних, який полягає у внесенні будь-яких змін до Персональних даних Суб’єкта даних, що зберігаються у Базах даних Володільця.
1.15. Картотека Персональних даних – будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за відповідними принципами.
1.16. Місця зберігання – захищені шафи або приміщення, в яких розташовані Файли Персональних даних, технічне обладнання та програмне забезпечення, що забезпечують доступ до Персональних даних.
1.17. Обробка Персональних даних – означає будь-яку операцію або набір операцій, які здійснюються повністю або частково в інформаційній (автоматичній) електронній системі та/або Картотеках Персональних даних, включаючи, зокрема, збір, реєстрацію, накопичення, зберігання, адаптацію, зміну, оновлення, використання, передачу, використання, знеособлення та знищення Персональних даних. Така обробка може здійснюватися вручну або автоматично (засоби обробки).
1.18. Файл Персональних даних – кожна упорядкована сукупність Персональних даних, яка містить, принаймні, одну частину Персональних даних та є доступним на основі критерію, що дозволяє використовувати або об’єднувати такі дані незважаючи на те, чи було централізовано, децентралізовано або розосереджено цю сукупність даних відповідно до функціонального або географічного критерію. Упорядкована сукупність Персональних даних означає будь-яку сукупність даних, яка складена у такий спосіб, що ідентифікує Суб’єкта даних або дає змогу його/її ідентифікацію.
1.19. Право доступу - означає право Суб'єкта даних запитувати та одержувати від Володільця інформацію про його/її персональну інформацію, що підлягає обробці, принаймні в цілях обробки, категорії персональних даних зацікавлених, а також походження таких даних та її розкриття або передбачуваного розкриття інформації.
1.20. Передача Персональних даних – означає передачу, розкриття та використання Персональних даних. Термін «Передача» може включати фізичне переміщення Персональних даних або надання доступу до Персональних даних.
1.21. Порушення конфіденційності даних - означає будь-яке несанкціоноване розкриття, отримання, доступ, знищення або зміну Персональних даних, або будь-який аналогічну дію по відношенню до Персональних даних, або будь-який інший інцидент, при якому може бути викликана небезпека порушення конфіденційності Персональних даних.
1.22. Суб’єкт даних (фізична особа) – означає будь-яку фізичну особу, Персональні дані якої обробляються.
1.23. Сайт - «http://routlette.com»
2. Загальні положення
2.1. Використовуючи сайт: «http://routlette.com» (далі по тексту «Сайт») і надаючи свою згоду на використання персональних даних, ви визнаєте, що ознайомилися з умовами цієї Політики про обробку персональних даних і згодні на обробку ваших персональних даних на зазначених нижче умовах.
2.2. Ця політика конфіденційності регулює питання щодо обробки та захисту персональних даних відвідувачів Сайту, а також особливості використання Сайту. У політиці конфіденційності ми інформуємо вас про загальні принципи, порядок обробки персональних даних, а також про заходи, які ми вживаємо для забезпечення безпеки ваших персональних даних. Крім того, тут ви можете ознайомитися з інформацією про ваші права і способах їх реалізації.
2.3. Політика розроблена відповідно до положень Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI та інших нормативно-правових актів України, що встановлюють вимоги до обробки персональних даних. Якщо будь-які обов'язки або будь-які права, умови, принципи обробки не згадані в Політиці, вони визначаються та регулюються відповідно до законодавства України.
2.4. ФОП Раскідайлова Марта Віталіївна має право оновлювати і змінювати свою політику конфіденційності, коли це необхідно без повідомлення (попереднього або наступного) користувачів Сайту, а тому ви зобов’язані періодично переглядайте цю політику конфіденційності перед тим, як надати будь-які свої персональні дані.
2.5. Дата останньої зміни буде вказуватися в пункті «Дата вступу в силу», яка буде позначати дату вступу політики конфіденційності в силу в новій редакції.
3. Сфера застосування
3.1. Дана Процедура застосовується ФОП Раскідайлова Марта Віталіївна, що обробляє інформацію, яка відноситься до особи (Персональні Дані), а також що обробляється третіми особами, які діють в інтересах або від імені ФОП Раскідайлова Марта Віталіївна, включаючи підрядників.
3.2. Ця Процедура визначає порядок обробки персональних даних, зміст, та способи обробки персональних даних, а також стандартні процедури та заходи для захисту персональних даних, які зберігаються в базах даних, якими володіє товариство.
3.3. Додатково, ця Процедура визначає основні правила обробки персональних даних в базах даних, процедуру визначення або зміни файлів персональних даних, включаючи осіб, відповідальних за окремі категорії файлів персональних даних, та осіб, які мають право обробляти певні персональні дані відповідно до характеру їх роботи (уповноважені особи для обробки персональних даних), порядок призначення особи, відповідальної за захист персональних даних, передачу персональних даних у треті країни, період зберігання персональних даних та внутрішні процедури відносно прав Суб’єктів даних.
4. Посилання
4.1. В політиці конфіденційності ФОП Раскідайлова Марта Віталіївна здійснено посилання на наступні нормативно-правові акти України та інше, а саме:
- Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних.
- Закон України від 02.10.1992 №2657-ХІІ «Про інформацію».
5. Процедура
5.1. Зміст, мета, принципи та способи обробки персональних даних
5.1.1. Збір та обробка персональних даних дозволяється за умови виконання вимог цієї політики конфіденційності, яка передбачає захист прав конфіденційності та дотримання законів про конфіденційність. Зміст Персональних даних Суб’єктів даних, які обробляються ФОП Раскідайлова Марта Віталіївна виключно з метою, передбаченою у Згоді або у законі, складають наступні види даних:
• відомості, про ім’я та прізвище;
• контактна інформація (номер мобільного телефону, адреса домашньої електронної пошти та інші контактні дані;
5.1.2 ФОП Раскідайлова Марта Віталіївна обробляє Персональні дані з наступною метою:
• реалізація маркетингової стратегії;
• здійснення інформаційних розсилок поштою або засобами телекомунікаційного зв’язку;
• контактування із Суб’єктами даних;
• реалізація договірних відносин із Суб’єктами даних;
• реалізація інших цілей, пов’язаних із діяльністю ФОП Раскідайлова Марта Віталіївна.
5.1.3. ФОП Раскідайлова Марта Віталіївна обробляє Персональні дані будь-якими способами, необхідними для досягнення мети їх Обробки. Способи Обробки Персональних даних охоплюються, але не обмежуються, наступними діями:
• збір Персональних даних в обсязі, необхідному для досягнення мети Обробки Персональних даних;
• обробку Персональних даних, включаючи, але не обмежуючись, збирання, одержання, реєстрацію, накопичення, систематизацію, зберігання, адаптування, уточнення (оновлення, зміну, поновлення), використання, знеособлення, блокування, знищення Персональних даних, а також будь-які інші;
• дії або сукупність дій, пов’язані з Обробкою Персональних даних відповідно до мети їх Обробки, включаючи Обробку у внутрішніх та/або корпоративних системах, ресурсах, програмах, Базах даних Компанії.
5.2. Обробка персональних даних та файлів персональних даних
5.2.1. Загальні положення
Збір та обробка Персональних даних дозволені за умови, що всі вимоги цієї Процедури дотримані.
5.2.2. Збір персональних даних.
Персональна інформація має бути зібрана на законних підставах з бізнес потреб.
Персональна інформація має збиратись і оброблятись справедливо і законно. Це означає, що збір, зокрема, з метою її обробки, повинен бути очевидним для суб'єкта даних (принцип прозорості).
Тільки Персональна інформація, яка має відношення до мети, може бути зібрана і оброблена (принцип пропорційності), але не більше.
Персональна інформація може бути оброблена тільки з метою, очевидно зазначеною у момент та обставинах її надання, або, якщо вона передана на підставах, передбачених законодавством. Законною підставою для збору Персональних даних є положення законодавства, що дозволяє Обробку певних категорій Персональних даних, або Згода Суб’єкта даних на Обробку Персональних даних. Згода Суб’єкта даних надається шляхом проставляння «галочки» у відповідному вікні під час реєстрації.
5.2.3. Захист Персональних даних передбачає організаційні, технічні та логічно-технічні процедури та заходи, що використовуються для запобігання випадкового або навмисного знищення даних, їх зміни, втрати або незаконної Обробки чи доступу до них з метою:
• захисту приміщень та технічного обладнання, за допомогою яких та в яких Персональні дані обробляються;
• захисту прикладного програмного забезпечення, що використовується для Обробки Персональних даних;
• забезпечення безпечної пересилки та передачі Персональних даних;
• запобігання доступу сторонніми особами до обладнання для Обробки Персональних даних та до Бази даних;
• забезпечення можливості наступного визначення, коли Персональні дані передавалися іншим Розпорядникам або Третім особам;
• забезпечення ефективної системи блокування, знищення, видалення та відображення Персональних даних.
5.2.4. Фізичний файл може існувати в наступних формах:
• паперова форма (книга, збірка, картотека та інше);
• електронна форма (магнітні диски, магнітні стрічки, CD-ROM та інші електронні носії даних);
• мікроплівка та інше.
5.2.5. Якість даних.
Персональні дані повинні бути точними, повними та актуальними.
5.2.6. Збір/передача персональних даних між Суб’єктом персональних даних, Одержувачем персональних даних, Оператором, Володільцем персональних даних, Розпорядником персональних даних та третіми особами здійснюється за допомогою поштового зв’язку, електронного зв’язку та за допомогою телефонного зв’язку.
5.2.7. Суб’єкт персональних даних може передавати свої персональні дані шляхом заповнення відповідної форми на Сайті підчас реєстрації.
5.3. Способи обробки персональних даних
5.3.1. Обробка загальнодоступних персональних даних.
Одержувач персональних даних має право використовувати Персональні дані Суб’єктів даних, отриманих з відкритих джерел, з метою організації та проведення маркетингових досліджень,організації та проведення будь-яких заходів шляхом використання поштових послуг, телефонних дзвінків, електронної пошти або інших телекомунікаційних засобів (далі – «прямий маркетинг») тільки відповідно до згоди відповідного Суб’єкта даних, якщо інше не визначене законодавством.
Під час здійснення діяльності, зазначеної у цій Статті, Одержувач персональних даних повинен проінформувати Суб’єкта даних про його права шляхом розміщення на Сайті цієї політики конфіденційності.
Всі положення цієї Процедури, що пов’язані з Обробкою Персональних даних, повинні застосовуватися до Обробки Персональних даних у випадках здійснення діяльності, передбаченої цією статтею.
5.4. Зберігання даних
Персональна інформація може бути збережена тільки протягом такого терміну, який є необхідно для мети, якщо правовими та внутрішніми правилами зберігання записів передбачено більш тривалий період.
Інформація, яка більше не використовується повинна бути знищена або Знеособлена. Процес забезпечення дотримання цього зобов'язання повинен включати в себе періодичний огляд всіх баз даних.
З метою забезпечення належного зберігання та періодичного огляду персональних даних у базах даних власник процесу повинен дотримувати всіх правил прописаних та визначених у Процедурі Управління Записами.
5.5. Передача
Персональні дані, що зберігаються в Базі даних Одержувач персональних даних, можуть передаватися іншим Користувачам Персональних даних, тільки якщо останні мають право отримувати та використовувати такі дані відповідно до закону або на основі письмового запиту або Згоди Суб’єкта даних, якому належать такі дані.
Особа, відповідальна за окрему категорію Файлів Персональних даних, повинна повідомити відповідного Суб’єкта даних про передачу його Персональних даних протягом 10 (десяти) робочих днів за умови, що таке повідомлення вимагається за Згодою Суб’єкта даних, якщо інше не визначене законодавством.
Для кожної передачі Персональних даних Одержувач персональних даних повинен забезпечити наступне визначення того, які Персональні дані були передані, кому, коли та на якій підставі. Це повинно здійснюватися для періоду, протягом якого право особи у зв’язку з незаконною передачею Персональних даних може бути захищено на законних підставах.
5.6. Обробка третіми особами (аутсорсинг обробки)
5.6.1. Одержувач персональних даних має право покладати виконання окремих операцій, пов’язаних з Обробкою Персональних даних, на договірній основі на Розпорядника, який має право здійснювати такі операції та гарантує застосування належних процедур та заходів для захисту Персональних даних.
5.6.2. Особи, відповідальні за окрему категорію Файлів Персональних даних, зобов’язані укладати відповідну угоду про Обробку Персональних даних у письмовій формі, а також повинні інформувати особу, відповідальну за захист Персональних даних, про підписання такої угоди. Одержувач персональних даних повинен визначити список Розпорядників для окремих категорій Файлів Персональних даних.
5.6.3. В письмовій угоді Одержувач персональних даних визначає право доступу кожному Розпоряднику до окремих Файлів Персональних даних або окремих категорій Файлів Персональних даних в Базі даних, повноваження Розпорядників відносно таких Файлів Персональних даних або окремих категорій Файлів Персональних даних (доступ, перегляд, зміна, знищення, передача) та які заходи та процедури повинні вживатися або виконуватися Розпорядником для захисту таких даних.
5.6.4. Розпорядник має право здійснювати окремі операції з Обробки Персональних даних в межах повноважень, покладених на нього Одержувач персональних даних, а також не повинен обробляти Персональні дані заради інших цілей.
5.6.5. У разі виникнення суперечки між Одержувач персональних даних та Розпорядником, Розпорядник зобов’язаний негайно повернути на вимогу Одержувача персональних даних Персональні дані, що були оброблені відповідно до угоди. Розпорядник повинен негайно знищити всі можливі копії Персональних даних, якщо вони існують.
5.6.6. Якщо Розпорядник припиняє свою діяльність, Персональні дані повинні бути повернуті Одержувачу персональних даних без затримки.
5.7. Знищення
Персональні дані повинні знищуватися в наступних випадках:
• завершення терміну зберігання Персональних даних, зазначеного у Згоді Суб’єкта даних (якщо таке зазначення є) або відповідно до законодавства;
• припинення законних відносин між Одержувачем персональних даних та відповідним Суб’єктом даних, якщо інше не визначене законодавством;
• набуття чинності судового рішення, відповідно до якого Персональні дані повинні бути видалені з Бази даних.
6. Захист та безпека
6.1. Забезпечення цілісності, конфіденційності та доступності, та інших вимог до персональних даних, а також контролю за операціями, що виконуються з такими даними
6.1.1. Цілісність даних, що обробляються
Цілісність Персональних даних (незмінність) забезпечується шляхом використання систем та програм, що запобігають Зміні та знищенню отриманих Персональних даних, а також різних логічних та технічних процедур, а саме використання електронного підпису та іншого.
Враховуючи організаційний аспект, цілісність Персональних даних забезпечується шляхом надання доступу уповноваженим особам до окремих частин інформації виключно в межах наданих прав Користувачів Персональних даних, а також таким особам, які приймають на себе зобов’язання щодо захисту цілісності Персональних даних.
Цілісність Персональних даних також забезпечується фізичним захистом приміщень, технічного обладнання та носіїв таких даних.
6.1.2. Конфіденційність даних
Одержувач персональних даних повинен забезпечувати конфіденційність Персональних даних, що обробляються.
Конфіденційність Персональних даних забезпечуються шляхом використання імен Користувачів Персональних та паролів на рівні системи та прикладного програмного забезпечення, що використовується для Обробки Персональних даних. Персональні дані можуть бути закодовані, зашифровані або повинні іншим чином захищатися від несанкціонованого доступу до них системою управління даними. Додатково, конфіденційність Персональних даних може забезпечуватися шифруванням таких даних (кодуванням), що запобігає доступу до них сторонніми особами.
Враховуючи організаційний аспект, конфіденційність Персональних даних забезпечується відповідними Стандартними операційними процедурами, в яких визначаються права та повноваження щодо кожного окремого Файлу Персональних даних для кожної посади.
Конфіденційність Персональних даних також забезпечується фізичним захистом приміщень, систем, прикладного програмного забезпечення та носіїв таких даних.
Доступ до Персональних даних через прикладне програмне забезпечення необхідно захищати системою паролів для авторизації та ідентифікації Користувачів Персональних даних та програм. Система паролів визначає для кожного окремого суб’єкта групу прав та повноважень відносно кожної окремої системи та прикладного програмного забезпечення.
6.2.3. Доступність
Одержувач персональних даних повинен забезпечувати доступ до Персональних даних, що обробляються.
Доступ до Персональних даних забезпечується відповідними заходами, які передбачають тривалий та постійний (до моменту знищення) доступ до них, включаючи підготовку резервних копій, архівування, паралельне документування, підготовку виконаних документів та інше. Резервна копія Персональних даних може існувати в тому самому форматі як і їх оригінали (наприклад, паперова копія), вона може бути вірною копією оригінального документа (наприклад, скановані документи, що зберігаються в системі управління електронним документообігом) або вона може бути коротким резюме Персональних даних в іншому форматі (наприклад, перенесення таких даних з паперових документів до електронної Бази даних).
7. Відповідальність та контроль змін
7.1. Відповідальні особи
7.1.1. Особи, відповідальні за окремі категорії Файлів Персональних даних, призначаються Одержувачем персональних даних. Такі особи несуть відповідальність за наступні дії:
• підготовку Персональних даних для окремої Бази даних;
• повідомлення Суб’єктів даних про Обробку їх Персональних даних та отримання їх Згоди на Обробку таких даних;
• передачу інформації у випадках, передбачених цією політикою конфіденційності, особі, відповідальній за захист Персональних даних;
• інші завдання.
7.1.2. Особи, відповідальні за окремі категорії Персональних даних, визначають посади або осіб, які мають право, у зв’язку з характером їх роботи, обробляти певні Персональні дані. Особи, відповідальні за окремі категорії Файлів Персональних даних, зобов’язані гарантувати, що особи, які не є співробітниками Одержувача персональних даних (наприклад, студенти), але працюють з Персональними даними під час виконання своєї роботи, підписали відповідні форми.
7.1.3. Інформація про визначення посад або осіб, які мають право, у зв’язку з характером їх роботи, обробляти певні Персональні дані (особи, відповідальні за Обробку Персональних даних), повинна передаватися особі, відповідальній за захист Персональних даних.
7.1.4. Одержувач персональних даних/Розпорядник веде облік працівників, які мають доступ до персональних даних суб’єктів. Одержувач персональних даних/Розпорядник визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
7.2. Відповідальна особа за захист персональних даних
Відповідальна особа за захист Персональних даних, призначаються рішенням ФОП Раскідайлова Марта Віталіївна. Особа, відповідальна за захист Персональних даних, відповідає за:
• взаємодію з відповідними контролюючими органами;
• підготовку та перегляд внутрішніх документів у сфері захисту Персональних даних відповідно до положень, що регламентують захист Персональних даних;
• здійснення внутрішніх процедур щодо захисту прав Суб’єктів даних;
• інші завдання відповідно до цієї Процедури.
7.3. Права суб’єктів даних
7.3.1. Суб’єкт даних повинен мати наступні права щодо процесу Обробки його Персональних даних Одержувачем персональних даних або Розпорядником:
1) знати місце розташування Бази даних, де містяться його Персональні дані, її мету та назву, місцезнаходження Одержувача персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до Персональних даних, зокрема, інформацію про третіх осіб, яким передаються його Персональні дані, що містяться у відповідній Базі даних;
3) мати доступ до власних Персональних даних, що зберігаються в Базі даних;
4) отримувати інформацію про те, чи обробляються його Персональні дані в Базі даних, а також отримувати зміст таких Персональних даних, що зберігаються в Базі даних;
5) висувати обґрунтовану вимогу щодо зміни чи знищення своїх Персональних даних, які є недостовірними або обробляються незаконно;
6) на захист власних Персональних даних від незаконної Обробки та випадкової втрати, знищення чи пошкодження у зв’язку з умисним приховуванням, неповідомленням або повідомленням з запізненням, а також від розкриття Персональних даних, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
7) звертатися з питань захисту своїх прав щодо Персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту Персональних даних;
8) застосовувати засоби правового захисту в разі порушення законодавства про захист Персональних даних.
9) відкликати Згоду на обробку персональних даних.
7.3.2. Одержувач персональних даних та Розпорядник повинні забезпечувати додержання прав Суб’єктів даних, зазначених вище.
7.4. Процедура опрацювання скарг
Скарги щодо розглядаються відповідно до чинного законодавства України.
7.4.1. Якщо Суб’єкт персональних даних розумно і сумлінно вважає, що мало місце порушення, він чи вона може подати скаргу ФОП Раскідайлова Марта Віталіївна.
7.4.2. Копії скарг та процедура їх опрацювання, включаючи заходи виправлення, зберігаються локально у Уповноваженого з захисту персональних даних.
7.5. Як зв’язатися з нами
Якщо у вас виникли будь-які питання в зв'язку з обробкою ваших персональних даних або цією політикою конфіденційності, ви можете звернутися до нас з відповідним запитом будь-яким з наступних способів – за телефоном 0800335870 або email info@routlette.com