Політика конфіденційності
ПОЛОЖЕННЯ ПРО ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ ТА ПЕРЕДАЧІ ІНФОРМАЦІЇ
ТОВ "ГРУПІУС"
ЗМІСТ
1. Загальні положення
1.1. Загальні вимоги та сфера застосування
1.2. Визначення термінів
1.3. База персональних даних, володарем і розпорядником яких є Компанія
1.4. Мета обробки персональних даних
1.5. Склад персональних даних, які обробляються Компанією
1.6. Повідомлення про права суб’єктів персональних даних
2. Обробка персональних даних
2.1. Підстави для обробки персональних даних
3. Порядок доступу до персональних даних
3.1. Доступ суб’єктів персональних даних
3.2. Доступ третіх осіб
4. Захист персональних даних
5. Захист персональних даних у сфері електронної комерції
6. Відповідальність за порушення порядку обробки персональних даних
7. Державна реєстрація баз персональних даних
1. Загальні положення
1.1. Загальні вимоги та сфера застосування.
Дане Положення про порядок обробки персональних даних та передачі інформації (надалі – "Положення") – є публічним оголошенням від ТОВ "ГРУПІУС" (надалі – "Компанія") на адресу невизначеного кола суб’єктів персональних даних, які тим чи іншим чином вступають у відносини з Компанією. Це Положення розроблено відповідно до Закону України (із змінами та доповненнями) "Про захист персональних даних" від 01.06.2010 №2297-VI (надалі - "Закон"), Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради з прав людини від 08.01.2014 № 1/02-14, а також інших нормативно-правових актів, які регулюють відносини у сфері захисту персональних даних.
Оголошенням цього Положення Компанія переслідує мету, на виконання вимог законодавства в галузі інформації в цілому та зокрема Закону, врегулювати відносини з суб’єктами персональних даних. Компанія також залишає за собою право трактувати відсутність офіційно виражених заперечень відносно предмету та змісту Положення з боку суб’єктів персональних даних, як підтвердження того, що вони ознайомилися з ним, воно їм зрозуміле та вони приймають оголошений в ньому порядок обробки своїх персональних даних Компанією. Положення дає визначення основним поняттям, що стосуються персональних даних, містить мету обробки персональних даних, права суб’єктів персональних даних, порядок захисту персональних даних, інші вимоги законодавства України із захисту персональних даних.
1.2. Визначення термінів
У цьому Положенні нижченаведені терміни вживаються в такому значенні:
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
компанія - власник персональних даних - ТОВ "ГРУПІУС", якому за законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, який затверджує мету обробки персональних даних, встановлює склад цих даних та порядок їх обробки. Реквізити Компанії: Товариство з обмеженою відповідальністю "ГРУПІУС", Україна, 08205, Київська область, Бучанський район, місто Ірпінь, вулиця Університетська, будинок 2/1, офіс 56/1, ЕДРПОУ 44822976;
згода - добровільне волевиявлення суб’єкта персональних даних щодо надання дозволу на обробку його персональних даних. Згода суб’єкта на обробку його персональних даних повинна бути добровільною, висловленою у письмовій формі або надана у електронній формі на сайті www.grupius.com або інших пов'заних з ним інтернет ресурсах шляхом натискання на кнопку "Оформити замовлення", "Придбати" та аналогічних;
клієнт – суб’єкт персональних даних, який діє у відносинах з Компанією;
обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
строк обробки персональних даних – строк, протягом якого Компанія здійснює обробку персональних даних суб’єкта персональних даних, який обчислюється з моменту отримання Компанією персональних даних та згоди на обробку персональних даних та не перевищує строк, необхідний для реалізації мети обробки та строк, визначений законодавством України у сфері архівної справи та діловодства.
суб'єкт персональних даних - фізична особа, персональні дані якої обробляються;
третя особа - будь-яка особа, за винятком суб'єкта персональних даних, Компанії чи Уповноваженого Верховної Ради України з прав людини, якій здійснюється передача персональних даних.
уповноважений представник державної влади з питань захисту персональних даних - Уповноважений Верховної Ради України з прав людини (надалі – "Уповноважений").
1.3. База персональних даних, володарем яких є Компанія
Компанія є володарем бази персональних даних клієнтів ТОВ "ГРУПІУС". Компанія обробляє персональні дані суб’єктів, які самостійно звертаються до Компанії та надають їй свої персональні дані. Такі суб’єкти персональних даних надали згоду на обробку своїх персональних даних та внесення до бази протягом необхідного для цього часу та відповідно до зазначеної в цьому Положенні мети.
1.4. Мета обробки персональних даних
Метою обробки персональних даних є зберігання та обслуговування клієнтів відповідно до статей 6, 7 Закону України "Про захист персональних даних" та забезпечення реалізації цивільно-правових відносин, надання/отримання та здійснення розрахунків за придбані товари/послуги відповідно до Цивільного кодексу України, Господарського кодексу України, Податкового кодексу України, Закону України "Про бухгалтерський облік та фінансову звітність в Україні" та інших положень чинного законодавства України.
1.5. Склад персональних даних, які обробляються Компанією
В базах персональних даних обробляються відомості:
-
прізвище, ім’я та по батькові (за наявності) суб’єкта;
-
паспортні дані;
-
зразок особистого підпису;
-
вік;
-
стать;
-
місце постійного проживання або тимчасового перебування;
-
місце реєстрації;
-
реєстраційний номер облікової картки платника податків (за наявністю);
-
номери телефонів;
-
банківські реквізити;
-
адреса електронної поштової скриньки.
1.6. Повідомлення про права суб’єктів персональних даних
Цим Компанія повідомляє суб’єктів персональних даних про включення їх персональних даних до баз персональних даних Компанії, а також про їх права як суб’єктів персональних даних, обумовлені ст.8 Закону України № 2297-VI від 01.06.2010 "Про захист персональних даних" (із змінами та доповненнями), в тому числі:
-
знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження власника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
-
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються їх персональні дані;
-
на доступ до своїх персональних даних;
-
отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються їх персональні дані, а також зміст таких персональних даних;
-
пред'являти вмотивовану вимогу Компанії із запереченням проти обробки своїх персональних даних;
-
захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
-
звертатися із скаргами на обробку своїх персональних даних до Уповноваженого;
-
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
-
вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
-
відкликати згоду на обробку персональних даних;
-
знати механізм автоматичної обробки їх персональних даних;
-
на захист від автоматизованого рішення, яке має для них правові наслідки.
2. Обробка персональних даних
2.1. Підстави для обробки персональних даних
Підставами для обробки персональних даних в базах є згода суб’єкта персональних даних на обробку його персональних даних.
Згода суб’єкта персональних даних має бути добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Згода суб’єкта персональних даних може бути надана у формі відмітки на електронній сторінці документа чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень.
3. Порядок доступу до персональних даних
Усі персональні дані, крім знеособлених персональних даних, володарем яких є Компанія, за режимом доступу є інформацією з обмеженим доступом.
3.1. Доступ суб’єктів персональних даних
Доступ фізичної особи, чиї персональні дані обробляються Компанією, надається у порядку, передбаченому законодавством України та внутрішніми документами Компанії, на підставі письмового запиту фізичної особи - суб'єкта персональних даних. У запиті зазначаються: прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
3.2. Доступ третіх осіб
Даним положенням передбачається можливість доступу до персональних даних третіх осіб на підставі згоди суб’єкта персональних даних, наданої Компанії на обробку таких персональних даних, або (в деяких випадках) відповідно до вимог Закону.
Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити. Для отримання доступу до персональних даних суб'єкт відносин, пов'язаних з персональними даними, подає Компанії запит, у якому зазначаються: прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника); найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника); прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит; перелік персональних даних, що запитуються; мета та/або правові підстави для запиту.
Компанія вивчає запит на предмет його задоволення упродовж 10 (десяти) робочих днів з дня його надходження. Протягом цього строку Компанія доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави.
Запит задовольняється протягом 30 (тридцяти) календарних днів з дня його надходження, якщо інше не передбачено Законом.
Допускається відстрочення доступу до персональних даних третіх осіб у разі, якщо необхідні дані не можуть бути надані Компанією протягом 30 (тридцяти) календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати 45 (сорока п'яти) календарних днів.
У повідомленні про відстрочення Компанією зазначаються:
1) прізвище, ім'я та по батькові посадової особи;
2) дата відправлення повідомлення;
3) причина відстрочення;
4) строк, протягом якого буде задоволено запит.
Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом. У повідомленні про відмову Компанія зазначає: прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі; дата відправлення повідомлення; причина відмови.
4. Захист персональних даних
Компанія обладнана системними і програмно-технічними засобами та засобами зв’язку та вживає всі необхідні заходи щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів, які запобігають втратам, крадіжкам, несанкціонованому знищенню, незаконній обробці чи доступу до персональних даних.
До організаційних заходів відносяться: визначення порядку доступу до персональних даних працівників Компанії; визначення порядку ведення обліку операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них; розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій; регулярне навчання співробітників, які працюють з персональними даними.
Компанія веде облік працівників, які мають доступ до персональних даних суб'єктів. Компанія визначає рівень доступу зазначених працівників до персональних даних суб'єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб'єктів, які необхідні йому у зв'язку з виконанням своїх професійних чи службових або трудових обов'язків.
Працівники, які мають доступ до персональних даних, дають письмове зобов'язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. У даному письмовому зобов’язанні визначається рівень відповідальності працівників, які мають доступ до персональних даних.
Працівники , що мають доступ до персональних даних, у тому числі, здійснюють їх обробку, у разі порушення ними вимог Закону несуть відповідальність згідно законодавства України.
Компанія самостійно визначає процедуру збереження інформації про операції, пов'язані з обробкою персональних даних суб'єкта та доступу до них.
У випадку обробки персональних даних суб'єктів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається Компанією упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України. З метою забезпечення безпеки обробки персональних даних Компанією також вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються, та роботи технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
5. Захист персональних даних у сфері електронної комерції
Використання персональних даних у сфері електронної комерції може здійснюватися у разі створення суб’єктом електронної комерції умов для захисту таких даних. Учасники відносин у сфері електронної комерції зобов’язані забезпечити захист персональних даних, що стали їм відомі з електронних документів (повідомлень) під час вчинення електронних правочинів, у порядку, передбаченому Законом України "Про захист персональних даних". Забороняється використання та витребування персональних даних сторонами електронного правочину з іншою метою, ніж вчинення електронного правочину, якщо інше не встановлено законом або за домовленістю сторін.
Реєстрація фізичної особи в інформаційній системі суб’єкта електронної комерції означає надання нею згоди на використання та обробку її персональних даних і вчинення інших дій, передбачених Законом України "Про захист персональних даних".
Ідентифікація особи за допомогою електронного підпису має здійснюватися під час кожного входу в інформаційну систему суб’єкта електронної комерції.
З метою недопущення несанкціонованого доступу до облікового запису особи в інформаційно-телекомунікаційній системі суб’єкта електронної комерції для ідентифікації такої особи може використовуватися додатковий унікальний набір електронних даних, що додаються (приєднуються) до спеціального набору електронних даних, який був введений (створений) такою особою під час реєстрації.
6. Відповідальність за порушення порядку обробки персональних даних
Порушення законодавства про захист персональних даних та недотримання вимог даного Положення тягне за собою відповідальність, встановлену нормативно-правовими актами, а також внутрішніми документами Компанії.
7. Державна реєстрація бази персональних даних
Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України "Про захист персональних даних".