Політика конфіденційності (далі – Політика) визначає порядок обробки персональних даних та заходи щодо забезпечення безпеки персональних даних Товариства з обмеженою відповідальністю «Консалтингова компанія «Успіх» (далі – Компанія). Офіційна веб-сторінка https://uspih.if.ua/ (далі – Сайт).
Дана Політика Компанії щодо обробки персональних даних застосовується до всієї інформації, яку Компанія може отримати про Замовників, при наданні їм Послуг. Ця Політика пояснює тип, обсяг і мету обробки персональних даних у межах надання інформаційно-консультаційних послуг, функцій і вмісту веб-сайтів, а також інших зовнішніх видів онлайн-присутності, таких як профіль у соціальних мережах або інші пропоновані служби та використовувані ІТ-системи.
До даної Політики та відносин, що виникають у зв’язку із нею, застосовуються положення на підставі Конституції України та Закону України «Про захист персональних даних» (далі – Закон), а також Генерального регламенту про захист даних (далі – ГРЗД) та іншого застосовного Європейського законодавства про захист даних (спільно далі — Законодавство).
Послуги, які Компанія надає є інформаційно-консультаційними послугами визначеними на Сайті та відповідних договорах.
Ключові Терміни:
Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути чітко ідентифікована;
ГРЗД – регламент Європейського Союзу щодо захисту персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони;
Згода суб’єкта персональних даних – це добровільне волевиявлення щодо надання дозволу на обробку персональних даних відповідно до визначеної мети їх обробки;
Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
1. Загальні положення
1.1. Політика застосовується до всіх персональних даних Замовника, які можуть бути отримані Компанією в процесі використання Сайту та наданні Послуг. Ця Політика поширюється на персональні дані, отримані як до, так і після введення в дію цієї Політики.
1.2. Мета Політики полягає в доведенні до Замовника необхідної інформації, для оцінки того, які персональні дані та з якими цілями обробляються Компанією, методи їх обробки та забезпечення безпеки.
1.3. При використанні Сайту та отриманні Послуг, Замовник визнає свою згоду на обробку своїх персональних даних відповідно до цієї Політики.
1.4. У разі незгоди з умовами цієї Політики, Замовник повинен припинити використання Сайту/отримання Послуг.
1.5. Згода на обробку персональних даних може бути відкликана суб’єктом персональних даних. У разі відкликання згоди на обробку персональних даних, Компанія має право продовжити обробку персональних даних без згоди, лише за наявності підстав, зазначених у Законодавстві.
1.6. Компанія не перевіряє достовірність персональних даних, які надає Замовник. Однак, Компанія виходить з того, що Замовник діє сумлінно, обачно, надає достовірні та достатні персональні дані та не порушує права третіх осіб.
1.7. Погоджуючись з умовами цієї Політики, Замовник підтверджує, що в момент збору персональних даних він повідомлений про осіб, яким передаються персональні дані, зміст та цілі збору персональних даних.
1.8. Компанія, отримавши персональні дані від Замовника, не приймає на себе зобов’язання щодо інформування третіх осіб, персональні дані, які були передані, про початок обробки персональних даних, оскільки обов’язок здійснити відповідне інформування, під час отримання згоди на таку передачу несе Замовник.
1.9. Обробка персональних даних Замовника здійснюється відповідно до вимог Закону та ГРЗД.
1.10. Компанія звільняється від відповідальності за наслідки, що настали у зв’язку з обробкою нею персональних даних, якщо вона не несе відповідальності за подію, що спричинила наступ таких наслідків.
1.11. Замовник також погоджується з тим, що Компанія має право надавати доступ та передавати персональні дані Замовника третім особам без будь-яких додаткових повідомлень, виключно, якщо при цьому не змінюється мета їх обробки та лише у випадках, передбачених цією Політикою та/або Законодавством України.
1.12. Ніхто до 18 років не повинен надавати нам персональну інформацію через Сайт. Компанія не збирає цілеспрямовано персональну інформацію осіб віком до 18 років.
2. Склад персональних даних
2.1. Компанія для здійснення своєї діяльності та для виконання своїх зобов’язань опрацьовує персональні дані Замовника, надані ним під час відвідування Сайту та отриманні Послуг, та зберігає їх на сервері Компанії (при необхідності).
2.2. До персональних даних Замовника належать: прізвище, ім’я, по-батькові, адреса електронної пошти, номер мобільного/стаціонарного телефону, країна проживання, місце роботи, посада, дата народження, реєстраційний номер облікової картки платників податків, дані про реєстрацію суб’єкта господарювання, а також інші персональні дані, які Замовник надав Компанії.
Компанія зауважує Замовнику про необхідність повідомляти лише ті персональні дані, які необхідні для надання вибраної Замовником послуги, отримання інформаційної розсилки або відповіді на спеціальний запит чи претензію. У той же час, якщо Замовник вирішить повідомити додаткові персональні дані, Компанія також зможе обробити їх з необхідним рівнем захисту.
2.3. Компанія має право встановлювати вимоги до складу персональних даних, які обов’язково повинні надаватися під час використання Сайту. Якщо певна інформація не зазначена Компанією як обов’язкова, її надання чи розкриття здійснюється Замовником на власний розсуд.
2.4. Під час відвідування Сайту також можуть автоматично оброблятися технічні дані, зокрема IP-адреса, інформація про браузер, тип пристрою, операційну систему, а також дата і час доступу до Сайту.
3. Підстави та мета обробки персональних даних
3.1. Обробка персональних даних здійснюється Компанією з метою надання інформаційно-консультаційних послуг, встановлення та підтримання зворотного зв’язку з Замовником, розгляду звернень та запитів, а також покращення роботи Сайту і якості надання послуг.
3.2. Компанія також може обробляти персональні дані з метою виконання вимог законодавства України та належного виконання договірних зобов’язань перед Замовником.
3.3. Правовими підставами для обробки персональних даних є надання Замовником згоди на таку обробку, необхідність укладення та виконання договору, а також виконання обов’язків, передбачених законодавством.
4. Основні принципи опрацювання персональних даних
4.1. Обробка персональних даних Компанією здійснюється на основі принципів:
4.1.1. Законності цілей та способів обробки персональних даних;
4.1.2. Добросовісності Компанії, як власника персональних даних, досягається шляхом виконання вимог законодавства України щодо опрацювання персональних даних;
4.1.3. Досягнення конкретних, наперед визначених цілей обробки персональних даних;
4.1.4. Відповідності цілей обробки персональних даних цілям, заздалегідь визначеним та заявленим при зборі персональних даних;
4.1.5. Відповідності переліку та обсягу оброблюваних персональних даних, а також способів обробки персональних даних заявленим цілям обробки;
4.1.6. Достовірність персональних даних, їх достатності з метою обробки, неприпустимості обробки персональних даних, надлишкових стосовно цілей обробки персональних даних;
4.1.7. Забезпечення при обробці персональних даних точності персональних даних, їх достатності, а в необхідних випадках та актуальність щодо цілей обробки персональних даних.
4.1.8. Зберігання персональних даних у формі, що дозволяє визначити суб’єкта персональних даних не довше, ніж цього вимагає мета їх обробки.
4.1.9. Персональні дані, що обробляються, підлягають знищенню або знеособленню по досягненню цілей обробки або у разі втрати необхідності в досягненні цих цілей, якщо інше не передбачено Законодавством.
4.1.10. Компанія також повинна враховувати періоди, для яких, потрібно буде зберегти персональні дані Замовника для виконання своїх зобов’язань Замовника перед Компанією або контролюючими органами.
4.2. Обробка персональних даних здійснюється Компанією у статистичних чи інших дослідницьких цілях за умови обов’язкового знеособлення персональних даних.
4.3. Компанія не здійснює обробку персональних даних, що стосуються расового чи етнічного походження, політичних, релігійних чи світоглядних переконань, членства в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних щодо здоров’я, статевого життя, біометричних та генетичних даних.
4.4. Обробка персональних даних здійснюється за дотриманням умов, визначених Законодавством.
5. Терміни обробки персональних даних
5.1. Терміни обробки персональних даних визначаються виходячи з цілей обробки, але не довше, ніж це визначено Законодавством.
5.2. Персональні дані, термін обробки (зберігання) яких минув, мають бути знищені або знеособлені, якщо інше не передбачено Законом. Зберігання персональних даних здійснюється у формі, що дозволяє визначити суб’єкта персональних даних не довше, ніж цього вимагає мета обробки персональних даних, якщо термін зберігання персональних даних не встановлений Законом. Оброблювані персональні дані підлягають знищенню або знеособленню після досягнення цілей обробки або у разі втрати необхідності досягнення цих цілей, якщо інше не передбачено Законом.
6. Коло осіб, допущених до обробки персональних даних з боку Компанії
6.1. Для досягнення цілей цієї Політики до обробки персональних даних допущені лише ті співробітники Компанії, на яких покладено такий обов’язок відповідно до їхніх службових (трудових) обов’язків. Доступ інших працівників може бути наданий виключно у передбачених Законом випадках. Компанія гарантує від своїх співробітників дотримання конфіденційності та забезпечення безпеки персональних даних під час їх обробки.
6.2. Компанія має право передати персональні дані третім особам у таких випадках:
- суб’єкт персональних даних висловив свою згоду на такі дії;
- передача передбачена українським чи іншим відповідним законодавством у межах встановленої законодавством процедури. При цьому доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або не може їх забезпечити.
6.3. Компанія має право доручити обробку персональних даних третій особі за згодою суб’єкта персональних даних, якщо інше не передбачено Законодавством, на підставі укладеного з третьою особою договору, умовою якого є дотримання конфіденційності та нерозголошення персональних даних.
6.4. Представники органів державної влади (у тому числі контролюючих, наглядових, правоохоронних та інших органів) отримують доступ до персональних даних, які опрацьовує Компанія, в обсязі та порядку, визначеному Законодавством.
6.5. Якщо Компанія обробляє дані в третій країні (тобто в країні за межами Європейського Союзу або Європейської економічної зони), або якщо це відбувається в контексті використання сторонніх послуг або розкриття чи передачі даних третім особам, це має місце лише за умови виконання (перед)договірних зобов’язань на основі згоди Замовника, на основі юридичного зобов’язання або на основі законних інтересів. Відповідно до дозволів, передбачених законом або договором, Компанія обробляє або доручає обробку даних у третій країні лише за умови дотримання спеціальних вимог ст. 44 та наступних статей ГРЗД.
6.6. Компанія залучає постачальників послуг для розробки, адміністрування та/або обслуговування Сайту.
6.7. Постачальники послуг Компанії обробляють дані Замовника лише в тому обсязі, який є необхідним для виконання їхніх завдань, і дотримуються інструкцій Компанії щодо цих даних.
7. Реалізація захисту персональних даних
7.1. Діяльність Компанії з обробки персональних даних в інформаційних системах нерозривно пов’язана із захистом Компанією конфіденційності отриманої інформації, якщо це не суперечить чинному законодавству.
7.2. Система захисту персональних даних включає організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеці персональних даних та інформаційних технологій, що використовуються в інформаційних системах. Компанія здійснює оновлення цих заходів з появою нових технологій у разі потреби.
7.3. Обмін персональними даними при їх обробці в інформаційних системах здійснюється каналами зв’язку, захищеними технічними засобами захисту інформації.
7.4. Під час обробки персональних даних в інформаційних системах Компанією забезпечуються:
⦁ проведення заходів, спрямованих на запобігання несанкціонованому доступу до персональних даних та (або) передачу їх особам, які не мають права доступу до такої інформації;
⦁ своєчасне виявлення фактів несанкціонованого доступу до персональних даних;
⦁ недопущення впливу на технічні засоби автоматизованої обробки персональних даних, внаслідок якої може бути порушено їхнє функціонування;
⦁ можливість негайного відновлення персональних даних, модифікованих та знищених внаслідок несанкціонованого доступу до них;
⦁ постійний контроль за захищеністю персональних даних.
7.5. Відповідно до Закону, Компанія самостійно визначає склад та перелік заходів, необхідних та достатніх для забезпечення виконання обов’язків, передбачених законодавством у сфері персональних даних. Компанія дотримується принципу мінімізації персональних даних. Компанія обробляє тільки ту інформацію про Замовника, яка їй потрібна для надання професійних послуг. Крім цього, Компанія налаштовує всі інтерфейси Сайту так, щоб дотримувалася максимально можлива конфіденційність.
7.6. Cookies та інші технології відстеження.
7.6.1. Cookies — це невеликі текстові файли, які зберігають сайти на комп’ютері або мобільних пристроях, коли Замовник починає їх використовувати. Сайт на якийсь час пам’ятатиме переваги та дії, які виконувались Замовникем. Файли cookies самі по собі не ідентифікують окремого Замовника, а ідентифікують лише комп’ютер або мобільний пристрій, яким користується Замовник.
7.6.2. Cookies на Сайті Компанії можуть використовуватися з метою експлуатації Сайту, аналізу відвідуваності або професійних маркетингових цілей.
7.7. Замовник може в налаштуваннях браузера налаштувати заборону cookies. При цьому функціональність Сайту може бути обмежена.
7.8. Із міркувань безпеки та для захисту передачі конфіденційного вмісту, наприклад запитів на консультацію, які Замовник надсилає Компанії, Сайт використовує актуальне SSL- або TLS-шифрування.
7.9. Передача даних в Інтернеті може мати прогалини в безпеці. Повний захист даних від доступу третіх осіб неможливий.
7.10. Якщо виникає зобов’язання надіслати Компанії платіжні дані Замовника для оплати послуг, ці дані потрібні виключно для обробки платежу. Платіжні операції здійснюються виключно з використанням зашифрованого SSL- або TLS-з’єднання.
7.11. Сайт Компанії користується послугами хостингу від зовнішніх постачальників (хостерів). Персональні дані, зібрані на Сайті, зберігаються на серверах хостера.
7.12. Залучення хостера відбувається з метою виконання договору з нашими потенційними та наявними клієнтами (ст. 6, п. 1, літ. b ГРЗД) та в інтересах безпечного й ефективного надання наших послуг (ст. 6, п. 1, літ. f ГРЗД).
7.13. Хостер Компанії оброблятиме персональні дані Замовника лише в тому обсязі, який є необхідним для надання послуг, і з дотриманням інструкцій Компанії.
7.14. Компанія користується послугами вказаних нижче хостерів:
8. Запити та комунікація
8.1 Якщо Замовник зв’яжеться з Компанією електронною поштою або телефоном, запит, включно з усіма пов’язаними з ним персональними даними, буде збережено й оброблено з метою надання відповіді.
8.2 Ці персональні дані обробляються на підставі ст. 6, п. 1, літ. b ГРЗД, якщо запит Замовника пов’язаний із виконанням контракту або необхідний для вжиття переддоговірних заходів. У всіх інших випадках підставою є законний інтерес Компанії в ефективній обробці запитів (ст. 6, п. 1, літ. f ГРЗД) або згода Замовника.
8.3. Персональні дані, які Замовник надсилає Компанії в рамках контактних запитів, залишатимуться у Компанії, доки Замовник не попросить їх видалити або доки мета зберігання не втратить актуальність.
8.4. У певних випадках Компанія використовує адресу Замовника для розсилки професійних новин та інформації про послуги (поштова розсилка). Правовою підставою для цього є законний інтерес Компанії до прямого маркетингу або згода Замовника.
8.5. Поштова адреса Замовника залишатиметься у Компанії, доки мета обробки персональних даних не втратить актуальність або до моменту відкликання згоди Замовником.
8.6. Якщо Замовник зв’яжеться з Компанією в соціальних мережах, запит Замовника зберігається й обробляється з метою обробки запиту. Компанія не передає ці персональні дані без згоди Замовника.
9. Права суб’єкта персональних даних
9.1 Права суб’єктів персональних даних відповідно до законодавства України:
9.1.1. Знати про джерела збору, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим особам, крім випадків, встановлених Законом.
9.1.2. Отримувати інформацію про умови надання доступу до персональних даних, включаючи інформацію про третіх осіб, яким передаються його персональні дані.
9.1.3. Отримувати не пізніше ніж за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених Законом, відповідь про те, чи обробляються його персональні дані та які саме.
9.1.4. Пред’являти вмотивовану вимогу до Компанії про заперечення щодо обробки своїх персональних даних.
9.1.5. Подавати мотивовану вимогу про зміну або знищення своїх персональних даних, якщо дані обробляються незаконно або є недостовірними.
9.1.6. На захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням або несвоєчасним їх наданням, а також на захист від надання відомостей, які є недостовірними або ганьблять гідність та ділову репутацію фізичної особи.
9.1.7. Застосовувати засоби правового захисту у разі порушення законодавства щодо захисту персональних даних.
9.1.8. Вносити застереження щодо обмеження права на обробку своїх персональних даних при наданні згоди.
9.1.9. Компанія має право доручити обробку персональних даних третій особі за згодою суб’єкта персональних даних, якщо інше не передбачено законодавством України, на підставі укладеного з третьою особою договору, умовою якого є дотримання конфіденційності та нерозголошення персональних даних.
9.2. Інші права суб’єктів персональних даних відповідно до ГРЗД: Окрім українського законодавства щодо захисту персональних даних, Компанія уважно ставиться до забезпечення прав Замовника, встановлених ГРЗД.
9.2.1. Право на інформацію.
9.2.1.1. Компанія готова надавати суб’єктам даних інформацію про те, які їх персональні дані він обробляє.
9.2.1.2. Якщо Замовник має бажання дізнатися, які його персональні дані обробляє Компанія, він може зробити запит на цю інформацію у будь-який час. Перелік даних, які Компанія повинна надати Замовнику, знаходяться у статтях 13 та 14 ГРЗД. При цьому при зверненні Замовник повинен повідомити свої конкретні вимоги, щоб Компанія змогла на законних підставах розглянути запит і дати відповідь.
9.2.1.3. Якщо Компанія не зможе засвідчити особу Замовника шляхом обміну електронними повідомленнями або у разі обґрунтованих сумнівів щодо особи Замовника, то Компанія може попросити Замовника надати документ, що засвідчує особу, у тому числі шляхом особистої явки на адресу місцезнаходження Компанії.
9.2.1.4. Компанія опрацьовує запити в найкоротший термін, але повідомляє, що надання повної відповіді щодо персональних даних — це процес, який може тривати до одного місяця.
9.2.2. Право на виправлення даних про Замовника.
9.2.2.1. Якщо Замовник виявив, що деякі персональні дані, які обробляються Компанією, є неправильними або застарілими, він повинен повідомити про це Компанію.
9.2.2.2. У деяких випадках Компанія не зможе змінити персональні дані Замовника. Зокрема, такий випадок можливий, коли персональні дані вже були використані у процесі виконання договору та/або вони містяться у податковому документі, який був оформлений відповідно до податкового законодавства.
9.2.3. Відкликання згоди на обробку персональних даних та право на забуття.
9.2.3.1. Якщо Компанія обробляє персональні дані Замовника на підставі згоди на обробку персональних даних (зокрема, з метою здійснення розсилок), подальшу обробку можна у будь-який час припинити.
9.2.3.2. Замовник також може використовувати своє право на забуття. У випадках, передбачених у ст.17 ГРЗД, Компанія знищить персональні дані Замовника, які обробляє, за винятком персональних даних, які Компанія зобов’язана зберігати відповідно до вимог законодавства.
9.3. Якщо в цій Політиці конфіденційності не вказано конкретний період зберігання, персональні дані Замовника залишатимуться в Компанії, доки мета обробки даних не втратить актуальність.
9.4. Якщо Замовник подасть законний запит на видалення або відкликає свою згоду на обробку даних, то дані Замовника буде видалено, якщо у Компанії немає інших законодавчо дозволених причин для їх зберігання (наприклад, щодо періодів зберігання, передбачених податковим або комерційним правом).
10. Місце зберігання персональних даних
10.1. Компанія для зберігання персональних даних та забезпечення їх безпеки використовує власні сервери та хмарні послуги компаній {вказати назву}.
11. Зміна політики конфіденційності
11.1. Ця Політика може бути змінена або припинена Компанією в односторонньому порядку без попереднього повідомлення Замовникам, у тому числі якщо цього вимагає законодавство. Нова редакція Політики набирає чинності з її розміщення на Сайті https://uspih.if.ua/, якщо інше не передбачено новою редакцією Політики. Тому Замовнику необхідно відвідувати сторінку https://uspih.if.ua/ щоб переконатися в тому, що він має актуальну інформацію.
11.2. Відповідно до статті 32 ГРЗД Компанія вживає відповідних технічних та організаційних заходів для забезпечення рівня захисту, що відповідає ризику, беручи до уваги сучасний рівень техніки, витрати на впровадження та мету обробки. До цих заходів належать, зокрема, забезпечення конфіденційності, цілісності та доступності персональних даних шляхом контролю фізичного доступу до них.
11.3. Компанія встановила процедури, які забезпечують реалізацію прав суб’єктів персональних даних, видалення персональних даних і реагування на загрози. Також Компанія враховує правила захисту персональних даних під час розробки програмного забезпечення та процесів відповідно до принципу захисту персональних даних за допомогою технологічного дизайну (стаття 25 ГРЗД).
