1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Приведенные ниже термины и определения для целей настоящей политики имеют следующее значение:
«Персональные данные» – любая информация, относящаяся к прямо или косвенно идентифицированному или идентифицируемому физическому лицу («субъект персональных данных»); идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, отчество (при наличии), идентификационный номер, индивидуальный номер налогоплательщика, ПИНФЛ, банковские реквизиты, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, метаданные, которые передаются Компании в процессе использования Приложения с помощью установленного на Устройстве Пользователя программного обеспечения (в том числе данные о местоположении, HTTP-заголовки, IP-адрес, данные файлов «cookie», информация о браузере Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Приложению, адреса запрашиваемых страниц Приложения и иная подобная информация), один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности. Кроме этого, к персональным данным для целей настоящей политики также относится информация о Пользователе, обработка которой предусмотрена Соглашением, регулирующим порядок использования Приложения. Персональные данные относятся к сведениям конфиденциального характера. Компания собирает только такие персональные данные, которые необходимы для исполнения Соглашения.
«GDPR» – Регламент Европейского Парламента и Совета (ЕС) от 27.04.2016 № 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных)».
«CCPA» – Закон Калифорнии о конфиденциальности потребителей (California Consumer Privacy Act).
«Закон N 152-ФЗ» - Федеральный закон Российской Федерации "О персональных данных" от 27.07.2006 N 152-ФЗ.
«Компания» – Общество с ограниченной ответственностью «EXPRESS RETAILMENT» и ООО «WIND LACE», зарегистрированные по законодательству Республики Узбекистан, являющиеся резидентами Республики Узбекистан, осуществляющие сбор и обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Компания является Контролером по смыслу GDPR.
«Пользователь» – любое полностью дееспособное физическое лицо (субъект персональных данных), в том числе действующее от имени и в интересах юридического лица, которое может в процессе использования Приложения предоставить Компании свои персональные данные, самостоятельно либо через представляемое им юридическое лицо выразившее согласие с изложенными в Соглашении условиями путем его подписания, в том числе электронного. Под Пользователем в контексте настоящей политики также понимаются лица, чьи персональные данные обрабатываются Компанией по поручению Пользователя, содержащемся в Соглашении.
«Приложение» – мобильное приложение под названием «OQOT», платформа для онлайн продаж продовольственных и непродовольственных товаров повседневного спроса, позволяющее Пользователям онлайн, через Приложение, получить информацию о товарах, сформировать заказ на покупку товаров, выбрать способ оплаты и доставки заказа, оплатить заказ, доступ к которому Компания предоставляет Пользователям через онлайн-магазины по распространению мобильных приложений Apple AppStore и Google Play, а также на сайте Компании. Приложение является сложным объектом авторских прав, создание которого организовано Компанией. Приложение включает в себя базы данных, программные коды, ноу-хау, алгоритмы, элементы дизайна, шрифты, логотипы, а также текстовые, графические и иные материалы, информацию, тексты, графические элементы, изображения, фото, аудио и видеоматериалы и иные результаты интеллектуальной деятельности. Исключительные права на Приложение и любые его компоненты принадлежат Компании как правообладателю или лицензиату на основании закона, договора или иной сделки.
«Соглашение» – пользовательское соглашение (Условия использования Приложения), условия которого действуют между Пользователем и Компанией, регулирующее порядок использования Приложения и содержащее поручение Пользователя Компании на обработку персональных данных.
«Обработка персональных данных» – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
«Обработчик» (processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению Компании.
«Получатель» (recipient) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, которым раскрываются персональные данные, независимо от того являются ли они третьими лицами или нет. Однако, органы государственной власти, которые могут получать персональные данные в рамках конкретного расследования в соответствии с правом Европейского союза или правом государства-члена, не рассматриваются в качестве получателей; обработка таких данных такими органами государственной власти должна соответствовать применимым нормам о защите данных в зависимости от целей обработки.
«Третье лицо» (third party) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, кроме субъекта данных, контролёра, обработчика, а также лиц, уполномоченных осуществлять обработку персональных данных под непосредственным руководством Компании или Обработчика.
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
«Неавтоматизированная обработка персональных данных», «Обработка персональных данных без использования средств автоматизации» – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы в случаях, когда такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
«Распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
«Предоставление персональных данных» – действия, направленные на передачу персональных данных определенному лицу или определенному кругу лиц.
«Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
«Уничтожение персональных данных» – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
«Обезличивание персональных данных» – действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Является «псевдонимацией» (pseudonymisation), по смыслу GDPR.
«Использование персональных данных» – действия (операции) с персональными данными, совершаемые в целях принятия решений, совершения сделок или иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
«Продажа персональных данных» – действия, в результате которых сведения и базы данных с персональными данными лиц переходят от Компании к третьим лицам путем совершения сделки
«Общедоступные персональные данные» – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с законами не распространяется требование соблюдения конфиденциальности.
«Конфиденциальность персональных данных» – обязательное для соблюдения лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
«Устройство» – мобильное устройство или виртуальная машина, работающее на базе совместимой с Приложением операционной системе Apple iOS или Google Android.
«Статистика» – информация об использовании Приложения, а также о просмотре Пользователями отдельных элементов Приложения (окон, диалогов, интерактивных элементов, страниц, фреймов, контента и т.д.), собираемая при помощи Счетчиков, файлов «cookie», маяков и иных подобных технологий.
«Файлы «cookie», «cookie» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на Устройстве Пользователя. Файлы «cookie» содержат небольшие фрагменты текста и используются для хранения информации о работе браузеров. Они позволяют хранить и получать идентификационные сведения и другую информацию на компьютерах, смартфонах, телефонах и других устройствах. Спецификации файлов «cookie» описаны в документах RFC 2109 и RFC 2965. Для этих же целей используются другие технологии, в том числе данные, сохраняемые браузерами или устройствами, идентификаторы, связанные с устройствами, и другое программное обеспечение. В настоящей политике все эти технологии называются файлами «cookie».
«Веб-маяки» – изображения в электронной форме (одно-пиксельные (1x1) или пустые GIF-изображения). Веб-маяки способны помочь Компании распознавать определенные типы информации на Устройстве Пользователя, например, файлы «cookie», время и дату просмотра страницы и описание страницы, где размещен веб-маяк.
«Счетчик», «Трекер» – часть Приложения, компьютерная программа, использующая фрагмент кода, отвечающий за анализ файлов «cookie», сбор статистических и персональных данных Пользователей. Сбор персональных данных осуществляется в обезличенном виде.
«IP-адрес» – номер из ресурса нумерации сети передачи данных, построенной на основе протокола IP (RFC 791), однозначно определяющий при оказании телематических услуг связи, в том числе доступа к сети Интернет, абонентский терминал (компьютер, смартфон, планшет, иное устройство) или средства связи, входящие в информационную систему и принадлежащие Пользователю.
«HTTP-заголовок» – строка в HTTP-сообщении, содержащая разделенную двоеточием пару имя-значение. Формат HTTP-заголовков соответствует общему формату заголовков текстовых сетевых сообщений ARPA, описанному в документе RFC 822.
«Применимое законодательство» – законодательство страны, в которой зарегистрирована Компания либо резидентом которой она является. В отдельных случаях под применимым законодательством может пониматься законодательство страны, в которой проживает Пользователь или резидентом которой он является, если такое законодательство устанавливает приоритет своих норм над правилами настоящей Политики.
1.2. Все остальные термины и определения, встречающиеся в тексте настоящей политики, толкуются Сторонами в соответствии с Применимым законодательством, действующими рекомендациями (RFC) международных органов по стандартизации в сети Интернет и сложившимися в сети Интернет обычными правилами толкования соответствующих терминов.
1.3. Термины и определения, используемые в настоящей политике, могут быть использованы как в единственном, так и во множественном числе в зависимости от контекста, написание терминов может быть использовано как с заглавной буквы, так и с прописной.
1.4. Названия заголовков (статей), а также конструкция политики предназначены исключительно для удобства пользования текстом политики и буквального юридического значения не имеют.
1.5. Настоящая политика разработана в соответствии с требованиями международного законодательства, а также применимого законодательства. Для Пользователей, находящихся на территории Европейского союза, она также учитывает обязательные требования Регламента Европейского Парламента и Совета (ЕС) от 27.04.2016 № 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных)» (GDPR), для Пользователей, находящихся на территории Соединенных Штатов Америки Закона Калифорнии о защите персональных данных потребителей (ССРА) и для Пользователей, находящихся на территории Российской Федерации Федерального закона Российской Федерации "О персональных данных" от 27.07.2006 N 152-ФЗ (Закон N 152-ФЗ).
1.6. Настоящая политика определяет порядок и условия обработки персональных данных Компанией, включая порядок передачи персональных данных третьим лицам, особенности неавтоматизированной обработки персональных данных, порядок доступа к персональным данным, систему защиты персональных данных, порядок организации внутреннего контроля и ответственность за нарушения при обработке персональных данных, а также иные вопросы.
1.7. Настоящая политика вступает в силу с момента ее утверждения Компанией и действует бессрочно до замены ее новой политикой.
1.8. Компания вправе вносить изменения в настоящую политику без согласия Пользователя. Все изменения в политику вносятся распорядительным актом Компании.
1.9. Настоящая политика применяется ко всем процессам по обработке персональных данных, осуществляемым с помощью Приложения без использования средств автоматизации. Компания не контролирует и не несет ответственности за сервисы, принадлежащие третьим лицам, на которые Пользователь может перейти по ссылкам, размещенным в Приложении.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Компания осуществляет обработку персональных данных Пользователя, руководствуясь международными актами в сфере защиты персональных данных, актами применимого законодательства, а также, в отношении Пользователей, находящихся на территории Европейского союза, Регламента Европейского Парламента и Совета (ЕС) от 27.04.2016 № 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных)» (GDPR) и, для Пользователей, находящихся на территории штата Калифорнии Соединенных Штатов Америки, Закона Калифорнии о защите персональных данных (CCPA) и, для Пользователей, находящихся на территории Российской Федерации, Федеральный закон Российской Федерации "О персональных данных" от 27.07.2006 N 152-ФЗ (Закон N 152-ФЗ).
2.2. Обработка персональных данных Пользователя производится на основании и во исполнение Соглашения, регулирующего порядок использования Приложения, и иных сделок, соглашений или договоров, заключаемых между Пользователем и Компанией, либо на основании отдельного согласия Пользователя на такую обработку.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Компания осуществляет обработку только тех персональных данных, которые необходимы для использования Приложения или исполнения сделок, соглашений и договоров с Пользователем, за исключением случаев, когда нормами применимого законодательства, в т.ч. законодательства Европейского союза или Соединенных Штатов Америки предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
3.2. При обработке персональных данных Компания не объединяет базы данных, содержащие персональные данные, обработка которых осуществляется в несовместимых между собой целях.
3.3. Компания осуществляет обработку персональных данных Пользователя в следующих целях:
3.3.1. использование персональных данных для целей заключения и исполнения Соглашения или любой другой сделки с Компанией;
3.3.2. использование персональных данных для целей надлежащего функционирования Приложения в соответствии с ожиданиями Пользователей, в частности для корректной идентификации Пользователей;
3.3.3. размещение персонализированной рекламной и/или иной информации в любом разделе Приложения и прерывание использования Приложения рекламной информацией;
3.3.4. проведение маркетинговых программ, различных предложений, акций и рекламных мероприятий, касающихся Приложения;
3.3.5. проведение статистических и иных исследований использования Приложения на основе обезличенных данных;
3.3.6. соблюдение обязательных требований применимого законодательства, в т.ч. Европейского союза или Соединенных Штатов Америки или Российской Федерации.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компания может получать персональные данные Пользователя из различных источников, в частности:
4.1.1. от Приложения или веб-сайта Компании в процессе их функционирования;
4.1.2. при использовании Пользователем Приложения;
4.1.3. при обращениях Пользователя в службу технической поддержки Приложения;
4.1.4. при участии Пользователя в маркетинговых программах, различных предложениях, акциях и рекламных мероприятиях Компании, касающихся Приложения.
4.2. Персональные данные, разрешенные к обработке в соответствии с настоящей политикой и предоставляемые Пользователями – физическими лицами, использующими Приложение, путем заполнения соответствующих полей ввода при использовании Приложения, могут включать в себя следующую информацию:
4.2.1. фамилия, имя, отчество; год, месяц, дата, место рождения; гражданство; пол;
4.2.2. данные документа, удостоверяющего личность (тип, серия, номер, кем и когда выдан), в том числе за пределами Республики Узбекистан, включая их копии;
4.2.3. адрес: места жительства, места постоянной и временной регистрации, места работы;
4.2.4. идентификационный номер налогоплательщика или ПИНФЛ;
4.2.5. сведения о занятости, трудовой деятельности (в том числе сведения о трудовом стаже, доходах и расходах), семейное положение, имущественное положение, образование, профессия;
4.2.6. данные водительского удостоверения;
4.2.7. сведения о номерах телефонов, абонентом и/или пользователем которых я являюсь; сведения об оказанных операторами услугах связи (в том числе сведений о местонахождении абонентского оборудования при получении услуг связи, сведения о трафике, оказанных услугах и их оплате), сведения о результатах их обработки, в том числе организация канала коммуникации Администрации со мной с использованием телефонных номеров, абонентом и/или пользователем которых я являюсь; данные обо мне как об абоненте оператора сотовой связи, в том числе следующей информации: о факте смены телефонного номера, международного идентификатора SIM-карты, ее замене, о факте переоформления на третье лицо или переносе к другому оператору с сохранением номера; о факте расторжения договора об оказании услуг связи, приостановления и возобновления оказания услуг связи; о факте подключения услуг переадресации вызовов и сообщений; о факте изменения системы расчетов между оператором и абонентом; о факте получения оператором сотовой связи отказа абонента от передачи Администрации информации по любому из перечисленных событий;
4.2.8. сведения об адресах моей электронной почты, имени пользователя в сети Интернет, данные о созданном на веб-сайте Сервиса аккаунте (учетной записи);
4.2.9. метаданные, данные cookie-файлов, cookie-идентификаторы, IP-адреса, сведения о браузере и операционной системе, HTTP-заголовки, IP-адрес Устройства, данные, собираемые счетчиками, технические характеристики Устройства и программного обеспечения, технические данные о работе Приложения, включая даты и время использования и доступа к нему, идентификаторы запрашиваемых окон интерфейса Приложения, геолокационные данные;
4.2.10. сведения о моих банковских счетах и картах, проводимых операциях по ним;
4.2.11. размер задолженности перед Администрацией, иными кредиторами;
4.2.12. иная, ранее предоставленная Администрации информация (в том числе, содержащая охраняемую законом тайну);
4.2.13. фотографическое изображение и видеоизображение;
4.2.14. аудиозапись голоса;
4.2.15. сведения, предоставленные Пользователем Администрации, в том числе посредством каналов связи, сведения, полученные из сети Интернет, и/или из иных общедоступных источников персональных данных, и/или от третьих лиц, в том числе государственных органов, государственных информационных систем, единой системы идентификации и аутентификации, Пенсионного фонда Республики Узбекистан, в том числе через систему межведомственного электронного взаимодействия.
4.3. В соответствии с настоящей политикой Компания осуществляет обработку персональных данных лиц, относящихся к следующим категориям субъектов персональных данных:
4.3.1. физические лица, использующие Приложение в соответствии с Соглашением об его использовании;
4.3.2. физические лица, пользующиеся услугами Компании на основании Соглашения, других договоров и сделок;
4.3.3. физические лица, не пользующиеся услугами Компании и не использующие Приложение, но посещающие общедоступные страницы Сайта Компании.
4.4. Обработка определенных категорий персональных данных Пользователей осуществляется со следующими особенностями:
4.4.1. Контактная информация Пользователя. Ряд данных используется для идентификации Пользователя и его авторизации в Приложении и на веб-сайте Компании. Адреса электронной почты и номера телефонов могут быть использованы для отправки сообщений Пользователям (например, о безопасности или сообщения с важными предупреждения).
4.4.2. Информация об использовании Приложения. Такая информация обрабатывается в целях изучения активности Приложения и его взаимодействии с Пользователем, в частности, сколько времени у Приложения заняло выполнение той или иной операции по запросу Пользователя, какая функциональность используется Пользователями чаще, чем другие, когда была произведена авторизация и завершение сессии и т.д. Такая информация помогает Компании решать проблемы в работе Приложения, предотвращать мошеннические действия, улучшать Приложение, увеличивать его производительность и делать его удобнее для использования.
4.4.3. Технические характеристики Устройства Пользователя, включая его IP-адрес, и его программное обеспечение. Такая информация как тип Устройства, операционная система, IP-адрес, способ подключения к сети и т.п., может понадобиться для того, чтобы Компания была способна учесть нюансы функционирования Приложения на различных Устройствах, в различных сетях и обеспечить его совместимость со сторонним программным обеспечением.
4.4.4. Информация о приблизительном местонахождении Пользователя. Приложение может как в активном, так и в фоновом режиме собирать данные о местонахождении Пользователя, предоставляемые ему аппаратным обеспечением Устройства Пользователя, только для целей предоставления Пользователю услуг и информации, соответствующих его местонахождению.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Компания имеет право на обработку персональных данных Пользователя без уведомления уполномоченного органа по защите прав субъектов персональных данных в соответствии с применимым зааконодательством.
5.2. Компания осуществляет обработку персональных данных Пользователя с помощью Приложения без использования средств автоматизации в соответствии с нормативными правовыми актами применимого законодательства, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении Пользователя, осуществляются при непосредственном участии сотрудников Компании.
5.3. Компания осуществляет обработку и хранит персональные данные Пользователя в течение срока, определяемого в соответствии с Соглашением, либо о котором Компания сообщила Пользователю при получении согласия Пользователя на обработку его персональных данных иным путем (в чек-боксе, в смс-сообщении, в электронном письме и т.п.).
5.4. В отношении персональных данных Пользователя сохраняется их конфиденциальность, кроме случаев добровольного предоставления Пользователем информации о себе для общего доступа неограниченному кругу лиц.
5.5. Компания вправе передать персональные данные Пользователя обработчику, получателю, третьим лицам с использованием современных способов шифрования соединения через защищенный протокол HTTPS в следующих случаях:
5.5.1. Пользователь обратился к Компании с просьбой о такой передаче;
5.5.2. имеется согласие Пользователя на такие действия;
5.5.3. передача необходима для использования Пользователем определенного функционала Приложения (например, для авторизации через аккаунты в социальных сетях) либо для исполнения определенного соглашения, договора или сделки с Пользователем;
5.5.4. передача предусмотрена применимым законодательством или иными нормами права в рамках установленной нормативными правовыми актами процедуры;
5.5.5. в случае перехода прав на Приложение необходима передача персональных данных приобретателю одновременно с переходом всех обязательств по соблюдению условий настоящей политики применительно к полученным им персональным данным;
5.5.6. для обеспечения защиты прав и законных интересов Компании или третьих лиц, когда со стороны Пользователя происходит нарушение настоящей политики или Соглашения об использовании Приложения;
5.5.7. в иных случаях, предусмотренных нормативными правовыми актами.
5.6. Обработчиками могут быть:
– провайдер хостинга сайта;
– оператор электронной площадки для распространения мобильного приложения;
– иные лица, которым будет поручена обработка персональных данных от имени Компании.
5.7. В случае утечки персональных данных Пользователя, находящегося в ЕС, Компания, без неоправданной задержки и, при наличии соответствующей возможности, не позднее чем через 72 часа после того, как она узнает об этом, уведомляет об утечке персональных данных компетентный надзорный орган ЕС, кроме случаев, когда эта утечка персональных данных едва ли обернется рисками для прав и свобод физических лиц.
5.8. В случае, если нарушение защиты персональных данных может создать высокую степень риска для прав и свобод физических лиц, то Компания без необоснованной задержки уведомляет Пользователя об утечке персональных данных. Сообщение субъекту данных не требуется, если выполнено любое из следующих условий: (a) Компания приняла надлежащие технические и организационные защитные меры защиты, и такие меры были применены в отношении персональных данных, затронутых утечкой, в том числе и такие меры, которые отображают персональные данные в непонятном виде для любого лица, которое не имеет права доступа к ним, среди которых криптографическая защита; (b) Компания предприняла последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных больше не способен получить вероятную реализацию; (c) требуются несоразмерные усилия. В этом случае, вместо этого делается сообщение для всеобщего сведения либо предпринимается аналогичная мера, посредством которой субъекты данных информируются равнодействующим способом.
5.9. Компания принимает необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. В частности, все обрабатываемые данные передаются с использованием современных способов шифрования соединения через защищенный протокол HTTPS.
5.10. Компания совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или несанкционированным разглашением персональных данных Пользователя.
5.11. Компания вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным нормативными правовыми актами.
5.12. При сборе персональных данных Компания осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Пользователей, являющихся гражданами соответствующей страны, с использованием баз данных, находящихся на территории такой страны либо иной страны, если этой допустимо в соответствии с применимым законодательством.
5.13. Компания прекращает обработку персональных данных Пользователей, обработка которых осуществляется с их согласия, при истечении срока действия согласия Пользователя на их обработку или при отзыве согласия Пользователя на обработку его персональных данных, а также в случае выявления неправомерной обработки персональных данных или ликвидации Компании.
6. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ С ПОМОЩЬЮ ФАЙЛОВ «COOKIE», ВЕБ-МАЯКОВ И СЧЕТЧИКОВ
6.1. Файлы «cookie» и данные от Счетчиков, передаваемые от Компании на Устройство Пользователя и от Пользователя к Компании, могут использоваться Компанией для достижения целей обработки персональных данных в соответствии с политикой конфиденциальности и обработки персональных данных.
6.2. Компания использует различные виды «cookie» и Счетчиков в Приложении, которые служат для разных целей и в зависимости от них могут быть отнесены к одной из следующих категорий:
– «Обязательные», т.е. файлы «cookie», данные Счетчиков, которые строго необходимы для функционирования критичных компонентов Приложения, идентификации технических характеристик Устройства Пользователя и используемого программного обеспечения, а также авторизации и совершения оплаты Пользователем;
– «Аналитические», т.е. файлы «cookie», данные Счетчиков, которые позволяют Приложению распознавать Пользователей, подсчитывать их количество и собирать информацию о произведенных ими операциях в Приложении, включая информацию о совершенных в Приложении действиях;
– «Технические», т.е. файлы «cookie», данные Счетчиков, которые позволяют собирать информацию о взаимодействии Пользователей с Приложением в целях выявления ошибок и тестирования новых функций для повышения производительности Приложения;
– «Функциональные», т.е. файлы «cookie», данные Счетчиков, которые позволяют Пользователю получать определенные функции Приложения, взаимодействовать с интерфейсом Приложения и использовать его возможности, записывать информацию о совершенных действиях в Приложении и настраивать Приложение в соответствии с потребностями Пользователя в целях запоминания введенных Пользователем сведений, сохранения предпочтительного языка, местоположения и т.п.;
– «Сторонние», т.е. файлы «cookie», данные Счетчиков, которые собирают информацию о Пользователе, источниках трафика, действиях Пользователя и рекламе, отображенной для Пользователя, а также рекламе, по которой Пользователь совершил в Приложение, в целях отображения рекламы, которая может заинтересовать Пользователя, на основе анализа собранной информации. Указанные «cookie» и данные Счетчиков также используются в статистических и исследовательских целях.
6.3. Компания не запрашивает явным образом согласие при использовании обязательных файлов «cookie» и получении обязательных данных от Счетчиков. Если Пользователь не желает, чтобы его персональные данные собирались с помощью обязательных файлов «cookie», он может отключить их предоставление Компании в программное обеспечении (браузере) на своем Устройстве. При этом Пользователю перестанут быть доступны функциональные возможности Приложения, связанные с обязательными файлами «cookie», что может привести к полной неработоспособности или некорректной работе Приложения. Отключение обязательных Счетчиков технически невозможно, поскольку они являются частью программного кода Приложения.
6.4. Функциональные и аналитические файлы «cookie» Компания может использовать только с согласия Пользователя, которое выражается по общему правилу принятием Соглашения и началом использования Приложения. В ином случае Пользователь вправе отказаться от использования таких файлов «cookie» путем их отключения в настройках Приложения без вреда для его функциональности. Отключение Счетчиков, собирающих функциональные и аналитические данные, технически невозможно, поскольку они являются частью программного кода Приложения.
6.5. Пользователь соглашается с тем, что его Устройства и программное обеспечение, применяемые для работы с Приложением, в зависимости от их версии и конфигурации могут как обладать, так и не обладать функцией запрета на операции с файлами «cookie» как для любых, так и для определенных сайтов и приложений, а также функцией удаления ранее полученных файлов «cookie» (например, приватный режим браузера).
6.6. Компания вправе устанавливать требование для Устройства Пользователя об обязательном разрешении приема и получения файлов «cookie» в связи с требованиями безопасности.
6.7. Структура файла «cookie», его содержание и технические параметры определяются Компанией и могут изменяться без предварительного уведомления Пользователя. Пользователь вправе получить всю необходимую информацию о файлах «cookie» путем направления запроса в адрес Компании в порядке, установленном политикой конфиденциальности и обработки персональных данных.
6.8. Счетчики, размещенные Компанией в Приложении, могут использоваться Компанией для анализа файлов «cookie» и сбора персональных данных об использовании Приложения с целью улучшения качества работы Приложения, уровня удобства их использования, совершенствование Приложения. Технические параметры работы счетчиков определяются Компанией и могут изменяться без предварительного уведомления Пользователя.
6.9. Компания может использовать веб-маяки как отдельно, так и совместно с файлами «cookie», чтобы собирать информацию об использовании Приложения. Пользователь имеет право заблокировать веб-маяки при использовании Приложения путем запрета на загрузку изображений в настройках своего программного обеспечения (браузера).
7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Право доступа к персональным данным Пользователя имеют только сотрудники Компании и/или Обработчика, допущенные в силу выполняемых служебных обязанностей к работе с персональными данными Пользователя на основании перечня лиц, допущенных к работе с персональными данными, который утверждается Компанией и/или Обработчиком.
7.2. Компания и/или Обработчик поддерживает в актуальном состоянии перечень сотрудников, получивших доступ к персональным данным.
7.3. Без согласия Пользователя запрещен доступ к персональным данным Пользователя со стороны лиц, не являющихся сотрудниками Компании и/или Обработчика, за исключением случаев, установленных нормативными правовыми актами.
7.4. Доступ сотрудника Компании и/или Обработчика к персональным данным Пользователя прекращается с даты прекращения трудовых отношений либо с даты утраты сотрудником права доступа к персональным данным Пользователя в связи с изменением должностных обязанностей, должности или иными обстоятельствами в соответствии с установленным у Компании/Обработчика порядком. В случае прекращения трудовых отношений все носители с персональными данными Пользователя, которые находились в распоряжении увольняемого сотрудника Компании/Обработчика, передаются вышестоящему по должности сотруднику в порядке, установленном Компанией/Обработчиком.
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Пользователь может в любой момент изменить, обновить, дополнить или удалить предоставленные им персональные данные или их часть с помощью интерфейса Приложения.
8.2. В случае самостоятельного выявления Компанией факта неполноты или неточности персональных данных Пользователя Компания принимает все возможные меры по актуализации персональных данных и внесению соответствующих исправлений.
8.3. При невозможности актуализировать неполные или неточные персональные данные Пользователя Компания принимает меры по их удалению.
8.4. При выявлении неправомерности обработки персональных данных Пользователя их обработка Компанией прекращается, а персональные данные подлежат удалению.
8.5. В ситуации неработоспособности интерфейса Приложения или отсутствия функциональной возможности Приложения для изменения, обновления, дополнения или удаления Пользователем персональных данных, а также в любых иных случаях Пользователь вправе в письменной форме требовать от Компании уточнения его персональных данных, их блокирования или уничтожения по причине того, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.6. Компания вносит в персональные данные, являющиеся неполными, неточными или неактуальными, необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления Пользователем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
8.7. Компания уничтожает незаконно полученные или не являющиеся необходимыми для заявленной цели обработки персональные данные Пользователя в срок, не превышающий семи рабочих дней со дня представления Пользователем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.8. Компания уведомляет Пользователя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления лиц, которым персональные данные этого Пользователя были переданы.
8.9. Права Пользователя на изменение, обновление, дополнение или удаление персональных данных могут быть ограничены в соответствии с требованиями нормативных правовых актов. Такие ограничения, в частности, могут предусматривать обязанность Компании сохранить измененные, обновленные, дополненные или удаленные Пользователем персональные данные на определенный нормативными правовыми актами срок и передать такие персональные данные в соответствии с установленной процедурой государственным органам.
9. ОТВЕТЫ НА ЗАПРОСЫ ПОЛЬЗОВАТЕЛЯ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ И ИХ УДАЛЕНИЕ
9.1. Пользователь имеет право на получение от Компании информации, касающейся обработки его персональных данных, в том числе содержащей:
9.1.1. подтверждение факта обработки персональных данных Компанией;
9.1.2. правовые основания и цели обработки персональных данных;
9.1.3. применяемые Компанией способы обработки персональных данных;
9.1.4. наименование и место нахождения Компании, сведения о лицах (за исключением сотрудников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании нормативных правовых актов;
9.1.5. обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен нормативным правовым актом;
9.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
9.1.7. порядок осуществления Пользователем прав, предусмотренных нормативными правовыми актами в области персональных данных;
9.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
9.1.10. иные предусмотренные нормативными правовым актами сведения.
9.2. Компания безвозмездно предоставляет возможность ознакомления с обрабатываемыми и хранимыми в информационной системе Компании персональными данными при обращении Пользователя в течение тридцати календарных дней с даты получения письменного запроса Пользователя.
9.3. В случае отказа Компании в предоставлении информации о наличии персональных данных о Пользователе или персональных данных Пользователю при получении запроса Пользователя Компания предоставляет в письменной форме мотивированный ответ, являющийся основанием для такого отказа, в срок, не превышающий тридцати календарных дней с даты получения запроса Пользователя.
9.4. Компания предоставляет возможность направить запрос на удаление персональных данных, сведения о которых были получены Пользователем путем направления запроса на электронный адрес Компании, указанный в настоящей Политике.
9.5. В случае направления Пользователем запроса Компания удаляет персональные данные в течение тридцати календарных дней с момента получения письменного запроса Пользователя.
10. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с Применимым законодательством.
10.2. Компания применяет систему защиты персональных данных, включающую правовые, организационные, технические и другие меры для обеспечения безопасности персональных данных, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.3. Применительно к персональным данным, в отношении которых предоставлено согласие Пользователя на их обработку Обработчиком, Компания вправе привлекать на основании договора Обработчика, обеспечивающего безопасность таких персональных данных при их обработке в информационной системе.
10.4. Компания при обработке персональных данных в своей информационной системе обеспечивает:
10.4.1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным Пользователя и/или передачи их лицам, не имеющим права доступа к такой информации;
10.4.2. своевременное обнаружение фактов несанкционированного доступа к персональным данным;
10.4.3. недопущение воздействия на технические средства, задействованные в обработке персональных данных, в результате которого может быть нарушено их функционирование;
10.4.4. возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.4.5. постоянный контроль над обеспечением уровня защищенности персональных данных.
10.5. Для соблюдения требований по обеспечению безопасности и внедрения системы обеспечения безопасности персональных данных Компания внедрила частную модель угроз безопасности информационной системы персональных данных.
10.6. Компания определила уровень защищенности персональных данных при их обработке в информационной системе персональных данных, принадлежащей Компании.
10.7. Компания на основании результатов определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных без использования средств автоматизации разработала и внедрила комплекс мер по защите и обеспечению безопасности персональных данных.
10.8. Компания использует технические средства и программное обеспечение для обработки и защиты персональных данных, а также ведет журнал учета средств защиты персональных данных.
10.9. Компания ведет журнал учета и хранения съемных носителей информации, содержащих персональные данные (при их наличии).
10.10. Технические средства, обеспечивающие функционирование информационной системы персональных данных, размещаются в помещениях, принадлежащих Компании на праве собственности или ином вещном праве (аренда, безвозмездное пользование и т.д.).
10.11. Все сотрудники Компании, допущенные к работе с персональными данными, а также связанные с эксплуатацией и техническим обслуживанием информационной системы персональных данных, ознакомлены с требованиями настоящей политики и с внутренними документами Компании, регулирующими порядок работы с персональными данными.
10.12. Компания организовала обучение сотрудников порядку использования средств защиты персональных данных, эксплуатируемых Компанией. Обучение проходят сотрудники, имеющие постоянный доступ к персональным данным, и сотрудники, связанные с эксплуатацией и техническим обслуживанием информационной системы персональных данных и средств защиты персональных данных.
10.13. Внутренними документами Компании установлено, что сотрудники обязаны незамедлительно сообщать соответствующему должностному лицу Компании об утрате, порче или недостаче носителей информации, содержащих персональные данные, а также о попытках несанкционированного доступа к персональным данным, его причинах и условиях.
11. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Пользователь принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, по своей воле и в своем интересе.
11.2. Согласие на обработку персональных данных, предоставленное Пользователем, является свободно данным, конкретным, информированным и сознательным.
11.3. В случае обработки персональных данных Пользователя на основании и во исполнение Соглашения, регулирующего порядок использования Приложения, и иных сделок, соглашений или договоров, заключаемых между Пользователем и Компанией с использованием Приложения, такая обработка персональных данных Пользователя не требует отдельного согласия.
11.4. В случае обработки персональных данных Пользователя на основании его отдельного согласия на такую обработку, выражаемого непосредственно при использовании Приложения путем нажатия на соответствующую кнопку, путем проставления отметки индикатора соответствующего чек-бокса, отправки смс-сообщения или электронного сообщения, такое согласие на обработку персональных данных предоставляется Пользователем в форме электронного документа, подписанного простой электронной подписью в соответствии с Соглашением, регулирующим порядок использования Приложения.
11.5. Согласие на обработку персональных данных может быть отозвано Пользователем в соответствии с порядком, установленным нормативными правовым актами.