1. Загальні положення
1.1. Цей документ – Політика з обробки персональних даних (далі – Політика) визначає політику «ФОП Хан Дарина Андріївна» (далі – Компанія) щодо обробки персональних даних.
1.2. Політика Компанії заснована на дотриманні чинного законодавства України щодо персональних даних.
1.3. Дія Політики поширюється на всі процеси обробки персональних даних, включаючи процеси зі збору, запису, систематизації, накопичення, зберігання, уточнення (оновлення, зміни), вилучення, використання, передачі (розповсюдження, надання, доступу), знеособлення, блокування, видалення, знищення, транскордонної передачі персональних даних, що здійснюються як з використанням засобів автоматизації, так і без використання таких засобів.
2. Терміни та визначення
2.1. Персональні дані – будь-яка інформація, що відноситься до прямо або опосередковано визначеної або фізичної особи (суб'єкта персональних даних).
2.2. Оператор – державний орган, муніципальний орган, юридична або фізична особа, що самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються із персональними даними. «ФОП Хан Дарина Андріївна» виступає оператором, який здійснює обробку персональних даних, а також визначає цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними.
2.3. Обробка персональних даних – будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.
2.4. Автоматизована обробка персональних даних – обробка персональних даних за допомогою засобів обчислювальної техніки.
2.5. Поширення персональних даних – дії, створені задля розкриття персональних даних невизначеному колу осіб.
2.6. Надання персональних даних – дії, створені задля розкриття персональних даних певній особі чи певному колу осіб.
2.7. Блокування персональних даних – тимчасове припинення обробки персональних даних (крім випадків, якщо обробка необхідна для уточнення персональних даних).
2.8. Знищення персональних даних – дії, внаслідок яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних та (або) внаслідок яких знищуються матеріальні носії персональних даних.
2.9. Знеособлення персональних даних – дії, у результаті яких стає неможливим без використання додаткової інформації визначити належність персональних даних конкретному суб'єкту персональних даних.
2.10. Інформаційна система персональних даних – сукупність персональних даних, що містяться в базах даних, що забезпечують їх обробку інформаційних технологій і технічних засобів.
2.11. Транскордонна передача персональних даних - передача персональних даних на територію іноземної держави до органу влади іноземної держави, іноземної фізичної особи або іноземної юридичної особи.
2.12. Сайт компанії: www.skinexi.com
3. Принципи обробки персональних даних
Обробка персональних даних здійснюється на основі наступних принципів:
3.1. Обробка персональних даних здійснюється на законній та справедливій основі.
3.2. Обробка персональних даних обмежується досягненням конкретних, наперед визначених та законних цілей. Компанією не проводиться і є неприпустимою обробка персональних даних, несумісна з метою збору персональних даних.
3.3. Не допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється в цілях, несумісних між собою. Компанія не проводить і не здійснює об'єднання баз даних, що містять персональні дані, обробка яких здійснюється в цілях, несумісних між собою.
3.4. Обробці підлягають ті персональні дані, які відповідають цілям їх обробки.
3.5. Зміст та обсяг оброблюваних персональних даних відповідають заявленим цілям обробки. Оброблювані персональні дані є надмірними по відношенню до заявленим цілям обробки.
3.6. При обробці персональних даних забезпечується точність персональних даних, їх достатність, а у необхідних випадках і актуальність стосовно заявленим цілям їх обробки.
3.7. Компанія своєчасно вживає необхідних заходів або забезпечує їх своєчасне прийняття щодо видалення чи уточнення неповних чи неточних персональних даних.
3.8. Зберігання персональних даних здійснюється у формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагають цілі обробки персональних даних, якщо термін зберігання персональних даних не встановлений законом, договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних. Оброблювані персональні дані підлягають знищенню, чи знеособленню по досягненню цілей обробки або у разі втрати необхідності у досягненні цих цілей, якщо інше не передбачено законом.
3.9. Передбачається, якщо не доведено інше, що у процесі взаємодії з Компанією суб'єкт персональних даних надає точну та достовірну інформацію та своєчасно повідомляє Компанію про зміну своїх персональних даних.
4. Правові основи обробки персональних даних
Компанія здійснює обробку персональних даних згідно з договорами, що укладаються між Компанією та суб'єктами персональних даних, а також на підставі згоди суб'єктів персональних даних на обробку персональних даних.
5. Цілі збору, обробки та використання персональних даних
5.1. Персональні дані суб'єктів персональних даних збираються, обробляються та використовуються: з метою здійснення продажу товару за допомогою сайту; надання наступних послуг, пов'язаних із доставкою товару, заміною товару; взаємодії з суб'єктами персональних даних з питань організації збуту та просування товару; надання послуг та сприяння в організації бізнес-процесів, пов'язаних зі збутом та просуванням товару; налагодження та реалізації бізнес-партнерства із суб'єктами персональних даних; укладання, реалізації або розірвання договорів між Компанією та суб'єктами персональних даних; з метою вдосконалення способів та методів представлення інформації на сайті, покращення обслуговування користувачів інформації, виявлення найбільш відвідуваних сторінок та інтерактивних сервісів сайту, ведення статистики відвідувань сайту.
6. Збір та обробка персональних даних
6.1. У Компанії проводиться обробка персональних даних відвідувачів сайту Компанії. У п. 5.1. Політики для цих категорій суб'єктів персональних даних визначено мету обробки їх персональних даних.
6.2. При використанні інформації, розміщеної на сайті, технічні засоби сайту автоматично розпізнають мережеві (IP) адреси та доменні імена кожного користувача інформації.
6.3. У Компанії проводять обробку та зберігання наступних категорій персональних даних: відомості та електронні адреси осіб, які користуються інтерактивними сервісами сайту та (або) надсилають електронні повідомлення на адреси, вказані на сайті; відомості про те, до яких сторінок сайту зверталися користувачі інформації, та інші відомості (у тому числі персонального характеру), що повідомляються користувачами інформації; персональні дані, отримані з використанням різних технологій, таких як cookie-файли, flash cookie-файли та веб-маяки під час відвідування сайту; реєстраційні дані, що вказуються покупцем (або відвідувачем сайту) на сайті: прізвище, ім'я, по батькові, номер телефону, адреса доставки, індекс, адреса електронної пошти.
6.4. Поза межами, зазначеними у пункті 5.1. Політики, інформація про користувачів інформації не може бути використана або розголошена. Доступ до таких відомостей мають лише особи, спеціально уповноважені на проведення робіт, пов'язаних з обробкою персональних даних, та попереджені про відповідальність за випадкове чи навмисне розголошення або несанкціоноване використання таких відомостей.
6.5. Будь-яка інформація, яка є похідною стосовно відомостей, зазначених у п. 6.2. Політики представляється для подальшого використання (розповсюдження) виключно в узагальненому вигляді, без вказівки конкретних мережевих адрес та доменних імен користувачів інформації.
6.6. Розсилання будь-яких електронних повідомлень за мережевими адресами користувачів інформації, а також розміщення на сайті гіперпосилань на мережеві адреси користувачів інформації та (або) їх інтернет-сторінки допускаються виключно, якщо таке розсилання та (або) розміщення прямо передбачені правилами використання відповідного інтерактивного сервісу та на таке розсилання та (або) розміщення отримано попередню згоду користувача інформації. Листування з користувачами інформації, що не відноситься до використання інтерактивних сервісів сайту або інших інформаційних розділів сайту, не провадиться.
7. Умови обробки персональних даних
7.1. Обробка персональних даних здійснюється з дотриманням вимог, встановлених законом "Про персональні дані".
7.2. Обробка персональних даних допускається у таких випадках: обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних; обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором України або законом, для здійснення та виконання покладених законодавством України на оператора функцій, повноважень та обов'язків; обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, які підлягають виконанню відповідно до законодавства України про виконавче провадження; обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем; обробка персональних даних необхідна захисту життя, здоров'я чи інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе; обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб, або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних; обробка персональних даних здійснюється у статистичних чи інших дослідницьких цілях, за умови обов'язкового знеособлення персональних даних. Винятком є обробка персональних даних з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також з метою політичної агітації; здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі – персональні дані, зроблені загальнодоступними суб'єктом персональних даних); здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до закону.
7.3. Компанія може здійснювати обробку спеціальних категорій персональних даних, що стосуються расової, національної власності, стану здоров'я, при цьому Компанія зобов'язується брати письмову згоду суб'єкта на обробку його персональних даних. Біометричні персональні дані (відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу та які використовуються оператором для встановлення особи суб'єкта персональних даних) у Компанії не обробляються.
7.4. Компанія може включати персональні дані суб'єктів до загальнодоступних джерел персональних даних, при цьому Компанія бере письмову згоду суб'єкта на обробку його персональних даних.
7.5. Компанія здійснює транскордонну передачу персональних даних лише на територію іноземних держав, які забезпечують адекватний захист прав суб'єктів персональних даних.
7.6. Прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси, не здійснюється.
7.7. За відсутності необхідності письмової згоди суб'єкта на обробку його персональних даних згоду суб'єкта може бути надано суб'єктом персональних даних або його представником у будь-якій формі, що дозволяє отримати факт його отримання.
7.8. Компанія має право доручити обробку персональних даних третій особі виключно за наявності згоди суб'єкта персональних даних, якщо інше не передбачено законом, на підставі укладеного з третьою особою договору (далі – доручення оператора). При цьому Компанія в договорі зобов'язує особу, яка здійснює обробку персональних даних за дорученням Компанії, дотримуватися принципів та правил обробки персональних даних, передбачених цим законом. Відповідальність перед суб'єктом персональних даних за дії третьої особи несе Компанія. Третя особа, яка здійснює обробку персональних даних за дорученням Компанії, відповідає перед Компанією.
7.9. Компанія зобов'язується та зобов'язує інших осіб, які отримали доступ до персональних даних, не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено законом.
8. Обов'язки компанії
Відповідно до вимог закону "Про персональні дані" Компанія зобов'язується: надавати суб'єкту персональних даних на його запит інформацію, що стосується обробки його персональних даних, або на законних підставах надати мотивовану відмову; на вимогу суб'єкта персональних даних уточнювати оброблювані персональні дані, блокувати або видаляти, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки; вести облік звернень суб'єктів персональних даних, у межах якого мають фіксуватися запити суб'єктів персональних даних отримання персональних даних, і навіть факти надання персональних даних із цим запросам. Повідомляти суб'єкта персональних даних про обробку персональних даних у тому випадку, якщо персональні дані були отримані не від суб'єкта персональних даних, за винятком таких випадків:
а) суб'єкта персональних даних повідомлено про здійснення обробки його персональних даних відповідним оператором;
б) персональні дані отримані Компанією на підставі закону або у зв'язку з виконанням договору, стороною якого вигодонабувачем або поручителем за яким є суб'єкт персональних даних;
в) персональні дані зроблені загальнодоступними суб'єктом персональних даних або отримані із загальнодоступного джерела;
г) Компанія здійснює обробку персональних даних для статистичних або інших дослідницьких цілей, для здійснення професійної діяльності журналіста чи наукової, літературної чи іншої творчої діяльності, якщо при цьому не порушуються права та законні інтереси суб'єкта персональних даних;
д) надання суб'єкту персональних даних відомостей, що містяться в повідомленні про обробку персональних даних, порушує права та законні інтереси третіх осіб;
У разі досягнення мети обробки персональних даних негайно припинити обробку персональних даних та знищити відповідні персональні дані у строк, що не перевищує тридцяти днів з дати досягнення мети обробки персональних даних, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт персональних даних , іншою угодою між Компанією та суб'єктом персональних даних або якщо Компанія не вправі здійснювати обробку персональних даних без згоди суб'єкта персональних даних на підставах, передбачених «Про персональні дані» або іншими законами; у разі відкликання суб'єктом персональних даних згоди на обробку своїх персональних даних припинити обробку персональних даних та знищити персональні дані у строк, що не перевищує тридцяти днів з дати надходження зазначеного відкликання, якщо інше не передбачено угодою між Компанією та суб'єктом персональних даних. Про знищення персональних даних Компанія зобов'язана повідомити суб'єкт персональних даних; у разі надходження вимог суб'єкта про припинення обробки персональних даних з метою просування товарів, робіт, послуг на ринку негайно припинити обробку персональних даних; здійснювати обробку персональних даних лише за згодою у письмовій формі суб'єкта персональних даних, у випадках, передбачених законом. Роз'яснювати суб'єкту персональних даних юридичні наслідки відмови надати його персональні дані, якщо надання персональних даних є обов'язковим відповідно до закону; повідомляти суб'єкта персональних даних або його представника про всі зміни, що стосуються відповідного суб'єкта персональних даних.
9. Заходи щодо забезпечення безпеки персональних даних під час їх обробки
9.1. При обробці персональних даних Компанія вживає необхідних правових, організаційних та технічних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також від інших неправомірних дій щодо персональних даних.
9.2. Забезпечення безпеки персональних даних досягається, зокрема: визначення загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних; застосуванням організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог щодо захисту персональних даних, виконання яких забезпечує встановлені Урядом України рівні захищеності персональних даних; застосуванням процедури оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку; оцінкою ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних; з урахуванням машинних носіїв персональних даних; виявленням фактів несанкціонованого доступу до персональних даних та вжиття заходів; відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них; встановлення правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних; контролем за вживаними заходами щодо забезпечення безпеки персональних даних та рівня захищеності інформаційних систем персональних даних; оцінкою шкоди, яка може бути заподіяна суб'єктам персональних даних у разі порушення законодавства України у сфері персональних даних, співвідношення зазначеної шкоди та вжитих заходів, спрямованих на забезпечення виконання законодавства України у сфері персональних даних.