Положення про обробку і захист персональних даних
Зміст
- Основні принципи та область застосування політики.
- Категорії та деталі персональних даних, що обробляються.
- Цілі, обмеження, правові основи та періоди обробки персональних даних.
- Локація зберігання персональних даних.
- Процедури передачі персональних даних третім сторонам.
- Заходи щодо захисту персональних даних.
- Права осіб, чиї персональні дані обробляються (суб’єктів персональних даних).
- Механізми реагування на запити від осіб, щодо їхніх персональних даних.
- Процедура оновлення цих правил та положень.
1. Основні визначення та область застосування політики.
1.1. Ця політика обробки і захисту персональних даних (далі - "Політика") створена компанією "4FOOTBALL" згідно з діючим законодавством України, включаючи, але не обмежуючись, Законом України "Про захист персональних даних" від 1 червня 2010 року № 2297-VI. Політика визначає процедуру отримання, збору, накопичення, зберігання, обробки, використання, забезпечення захисту і передачі персональних даних через веб-сайт 4football.ua ("Сайт") та мобільний додаток “4FOOTBALL” ("Мобільний додаток").
1.2. Зареєструвавшись на Сайті 4football.ua або увійшовши через мобільний додаток “4FOOTBALL”, а також почавши користуватися Інтернет-магазином або оформлюючи замовлення без реєстрації, Користувач (Покупець) дає свою згоду на обробку своїх персональних даних відповідно до цієї Політики та підтверджує, що ознайомлений з її змістом і приймає її умови.
1.3. У рамках цієї Політики під "Он-лайн платформою 4FOOTBALL" розуміються як Сайт, так і Мобільний додаток, які також використовуються для позначення "Інтернет-магазину" та "Он-лайн платформи 4FOOTBALL".
1.4. Власником персональних даних Користувачів є "4FOOTBALL".
1.5. У цій Політиці всі терміни вживаються у значенні, яке їм надає Закон України "Про захист персональних даних" від 1 червня 2010 року № 2297-VI.
1.6. На Сайті можуть бути розміщені посилання на інші веб-сайти виключно для інформаційних цілей. Компанія не несе відповідальності за зміст цих сайтів, і ця Політика не поширюється на них. Користувачам рекомендується ознайомитися з політикою конфіденційності кожного відвідуваного сайту.
1.7. Ця Політика обов'язкова для відповідальних осіб та співробітників Інтернет-магазину, які займаються обробкою або мають доступ до персональних даних користувачів он-лайн платформи 4FOOTBALL у рамках своїх службових обов'язків.
2. Склад та деталізація персональних даних.
2.1. У рамках цієї Політики, "Дані" визначаються як будь-яка інформація, що має пряме чи опосередковане відношення до ідентифікації конкретного Користувача. До такої інформації можуть належати: ім'я, прізвище, по-батькові (якщо воно існує), контактний номер телефону, адреса електронної пошти, дата народження, інформація про дітей, стать, хобі, наявність домашніх тварин, володіння автомобілем та його VIN номер, мова спілкування, адреса проживання/перебування/доставки, дані про дії Користувача на веб-сайті, IP-адреса, інформація про пристрої Користувача (тип пристрою, браузер, операційна система), історія листування з адміністрацією магазину або продавцями, відгуки та коментарі, та інша інформація, яка може бути надана Користувачем під час реєстрації, заповнення профілю, участі в опитуваннях або під час усної комунікації з адміністрацією сайту, а також дані, що надаються при здійсненні оплати на сайті, включаючи паспортні дані Користувача та ідентифікаційний код.
Перелік персональних даних не є незмінним та обов'язковим для всіх Користувачів, він залежить від індивідуальних потреб і бажань Користувача, а також від типу операцій, що виконуються ними на сайті.
До "Даних" також відноситься інша інформація, отримана Інтернет-магазином з законних джерел від третіх сторін або доступна з профілів Користувача у соціальних мережах, у разі якщо реєстрація на сайті відбувається через служби автентифікації соціальних мереж. У такому випадку, Користувач дає свою згоду на обробку інформації з його облікових записів соціальних мереж.
2.2. Відповідальність Користувачів за надану інформацію.
Користувачі несуть особисту відповідальність за будь-яку інформацію, яку вони розміщують у загальнодоступних профілях чи облікових записах. Користувачам важливо бути обізнаними з усіма ризиками, пов'язаними з публічним розголошенням своєї адреси чи вказівкою точного місцезнаходження. У випадку використання служби автентифікації стороннього провайдера, такого як Facebook, для входу на Он-лайн платформу, Компанія може отримати доступ до додаткового профілю Користувача або іншої інформації, яка була надана цією третьою стороною. Відповідно, Користувачі повинні бути уважними щодо обсягу інформації, яка може бути доступна Компанії через такі служби.
3. Мета, межі, підстави та строки обробки персональних даних.
3.1. Цілі обробки персональних даних:
- Підтримання цивільних, господарських, податкових правовідносин, виконання функцій, повноважень та обов’язків Компанії згідно з українським законодавством;
- Ідентифікація клієнта як Користувача Інтернет-магазину, зв'язок з Користувачем, включаючи надання послуг, обробку платежів, доставку, розрахункові операції, звітність, бухгалтерський та управлінський облік, реалізація бонусних та лояльнісних програм, відправлення пошти, електронної кореспонденції, повідомлень за телефоном, в тому числі комерційних пропозицій, інформації про акції та новини магазину, надання фінансових послуг (через третіх осіб або партнерів Компанії), поліпшення якості товарів/послуг, створення рейтингів товарів, аналіз активності Користувачів, пошук за ключовими словами, управління трафіком магазину, аналіз та прогнозування переваг Користувачів для формування вигідних персональних або акційних пропозицій;
- Відправлення розсилок, комерційних пропозицій, інформації про акції, програми лояльності, бонусні програми через пошту, електронну пошту, телефон, інформаційні повідомлення та оповіщення у Мобільному додатку. Користувачі мають право відмовитися від отримання інформаційних та маркетингових розсилок через налаштування на Сайті;
- Виконання інших законних обов'язків Володільця персональних даних, захист законних інтересів Володільця або третіх осіб, яким передаються персональні дані.
3.2. Юридична основа обробки персональних даних:
Обробка персональних даних Користувачів Он-лайн платформи заснована на згоді Користувача. Ця згода надається Користувачем шляхом використання Он-лайн платформи.
3.3. Обмеження у сфері обробки даних:
Компанія дотримується принципу невтручання у приватне життя Користувачів та не проводить обробку даних, що стосуються расової або національної приналежності, політичних поглядів, релігійних або інших переконань, членства в громадських організаціях. Також Компанія уникає обробки інформації, що може характеризувати фізіологічні особливості Користувачів, здатної встановити їх особистість.
3.4. Методи та терміни обробки персональних даних, а також права Користувача:
Обробка персональних даних Користувача проводиться без часових обмежень, використовуючи різні законні методи, як з автоматизацією, так і без неї, у рамках інформаційних систем персональних даних. Терміни обробки та зберігання даних встановлюються виходячи з мети обробки даних та згідно з умовами договорів з Користувачами, відповідно до вимог законодавства України. Персональні дані обробляються та зберігаються стільки часу, скільки це потрібно для досягнення мети обробки, зазначеної у пункті 3.1 цього Положення.
Користувач має право подати запит на припинення обробки його персональних даних та/або їх видалення з особистого кабінету. Видалення облікового запису Користувача або заява про припинення обробки та зберігання персональних даних є підставою для негайного припинення їх обробки та зберігання Володільцем даних, з подальшим видаленням цих даних.
3.5. Права Користувача щодо зміни, видалення та відмови від обробки даних:
Користувачі мають право у будь-який час змінити або видалити свою особисту інформацію, відмовитися від розсилок повідомлень, або відкликати свою згоду на обробку персональних даних. Для цього вони можуть скористатися налаштуваннями в Особистому кабінеті або надіслати повідомлення на електронну адресу cab@4football.ua з поміткою «Персональні дані» у темі листа. Видалення облікового запису (акаунту) Користувачем здійснюється відповідно до порядку, визначеного в Угоді користувача та Умовах використання Сайту, доступних за посиланням: https://4football.ua/terms-conditions.
3.6. Процедура видалення облікових записів за відсутності активності:
У разі відсутності активності в обліковому записі Користувача протягом п'яти років, Компанія має право видалити цей обліковий запис, включно з усіма збереженими в ньому персональними даними. Це призведе до того, що Користувач більше не зможе отримати доступ до свого облікового запису та використовувати його. Процес видалення персональних даних Користувача з внутрішніх баз даних Компанії здійснюється згідно з внутрішніми політиками Компанії.
У разі виникнення запитань щодо підстав, умов, процедур зміни чи видалення персональних даних, Користувачів просять звертатися на офіційну електронну адресу Он-лайн платформи cab@4football.ua, вказуючи в темі листа «Персональні дані».
4. Місцезнаходження та зберігання персональних даних:
4.1. Персональні дані Користувачів Он-лайн платформи зберігаються та обробляються на захищених серверах Компанії, забезпечуючи їх належний захист та конфіденційність.
5. Політика розкриття персональних даних третім особам:
5.1. Компанія має право передавати персональні дані Користувачів своїм афілійованим особам (таким, що пов'язані з Компанією через спільну власність). Ці афілійовані особи можуть обробляти та використовувати ці дані відповідно до цілей, визначених у цьому Положенні.
5.2. Умови розкриття персональних даних при замовленні товарів або послуг:
Коли Користувач замовляє товари або послуги через Інтернет-магазин, Компанія може передати необхідну частину персональних даних продавцям цих товарів або послуг. Це робиться з метою ідентифікації Користувача, виконання та обробки його замовлення, включаючи забезпечення належних розрахунків за товари/послуги та надання Користувачеві фінансових послуг, пов'язаних з покупкою.
5.3. Взаємодія зі сторонніми постачальниками товарів/послуг:
Коли Компанія залучає сторонніх постачальників для виконання замовлень Користувачів, ці постачальники не мають права використовувати персональні дані, отримані через Он-лайн платформу, для інших цілей, крім виконання замовлення. Їхні повноваження обмежуються лише необхідними діями для належного виконання замовлення Користувача.
5.4. Передача деперсоналізованої інформації третім сторонам:
Компанія має право передавати знеособлені дані (інформацію, яка не дозволяє ідентифікувати окремих Користувачів) стороннім постачальникам послуг, довіреним партнерам або авторизованим дослідникам. Це робиться для проведення маркетингових досліджень, поліпшення рекламних кампаній та пропозицій, проведення аналітичної діяльності, а також для зрозуміння переваг Користувачів щодо реклами, товарів і послуг. Також ця інформація використовується для покращення якості та ефективності товарів/послуг, які пропонуються на Он-лайн платформі.
5.5. Обмін даними при проведенні конкурсів, промоакцій на Он-лайн платформі:
Компанія має право обмінюватися персональними даними Користувачів з постачальниками товарів/послуг під час організації та проведення конкурсів, промоакцій на Он-лайн платформі. Це робиться для забезпечення належного проведення цих заходів, включаючи визначення переможців. У разі перемоги в конкурсі чи промоакції, постачальники товарів/послуг, які організовують ці заходи, можуть безпосередньо зв'язуватися з Користувачами для обговорення деталей проведення конкурсу або акції, визначення переможців, оформлення виграшу та інших питань, пов'язаних з цими заходами.
5.6. Засади обробки даних та їх розкриття третім особам:
Компанія здійснює обробку персональних даних на законній та справедливій основі, дотримуючись конфіденційності та захисту цих даних. Розкриття даних третім особам або їх розповсюдження відбувається лише за згодою Користувача або в передбачених законом випадках, які відповідають інтересам національної безпеки, економічного добробуту і прав людини. Це може включати, але не обмежується такими випадками:
- Відповідно до обґрунтованих запитів органів державної влади, які мають правомочність вимагати та отримувати такі дані;
- Для мет цілей боротьби з шахрайством та зловживаннями на Он-лайн платформі.
5.7. Повідомлення Користувача про передачу даних:
Компанія залишає за собою право вирішувати, чи інформувати Користувача про передачу його персональних даних у випадках, що передбачені розділом 5 цього Положення. Рішення про інформування Користувача про передачу його даних залежить від конкретних обставин та умов передачі цих даних.
6. Заходи щодо захисту персональних даних:
6.1. Для забезпечення захисту персональних даних Компанією використовуються системні та програмно-технічні засоби, а також засоби зв'язку, які відповідають вимогам міжнародних та національних стандартів. Ці заходи призначені для запобігання втратам, несанкціонованому доступу, знищенню, підробленню, копіюванню та іншим небажаним діям стосовно персональних даних.
6.2. Відповідальність персоналу щодо обробки персональних даних:
Працівники та уповноважені особи Компанії, які безпосередньо займаються обробкою персональних даних або мають до них доступ у рамках своїх службових чи трудових обов’язків, зобов’язані дотримуватись чинного законодавства України про захист персональних даних, а також внутрішніх документів Компанії, які регламентують процедури обробки та захисту цих даних. Це зобов’язання передбачає забезпечення конфіденційності даних та запобігання їх незаконному розголошенню чи використанню.
6.3. Конфіденційність персональних даних:
Працівники та уповноважені особи Компанії, які мають доступ до персональних даних або обробляють їх, зобов'язані утримуватися від їх розголошення або незаконного використання. Ця вимога залишається чинною навіть після закінчення їх діяльності, пов'язаної з персональними даними, окрім випадків, прямо передбачених законодавством.
6.4. Термін зберігання персональних даних:
Персональні дані зберігаються лише протягом терміну, необхідного для досягнення мети їх зберігання, але не довше, ніж це дозволяється цим Положенням та відповідно до згоди Користувача.
6.5. Двофакторна аутентифікація для захисту облікових записів:
Для підвищення рівня безпеки облікових записів Користувачів та їх персональних даних, Компанія використовує двофакторну аутентифікацію. Ця технологія забезпечує додатковий захист від неправомірного доступу до облікових записів Користувачів.
6.6. Умови активації двофакторної аутентифікації:
Двофакторна аутентифікація у обліковому записі Користувача активується, якщо виконується принаймні одна з наступних умов:
1. В обліковому записі Користувача є підтверджений номер телефону.
2. До облікового запису прив'язана банківська карта.
3. На балансі облікового запису Користувача є доступні бонуси.
4. В обліковому записі Користувача заповнена кредитна анкета, яка використовується у випадках, коли Користувач бажає придбати товар у кредит.
Ці заходи забезпечують додатковий рівень безпеки, особливо у випадках, коли обліковий запис використовується для фінансових операцій або містить конфіденційні відомості.
6.7. Процедура двофакторної аутентифікації при авторизації з невідомого пристрою:
Коли Користувач намагається увійти в свій аккаунт з невідомого пристрою, активується двофакторна аутентифікація. Це вимагає не тільки введення паролю, а й одноразового 6-значного коду, який Користувач отримує через SMS або Viber. Також може бути проведена перевірка довірених пристроїв. У повідомленні з кодом також міститься інформація про параметри спроби входу, включаючи дату, IP пристрою та тип клієнтського браузера.
6.8. Додаткові заходи безпеки при невдалих спробах авторизації:
У випадках, коли Користувач вчиняє декілька невдалих спроб авторизації, для забезпечення безпеки активується додатковий захисний механізм - reCaptcha. Цей інструмент використовується для підтвердження, що Користувач не є автоматизованою програмою (роботом), забезпечуючи таким чином додатковий рівень захисту облікового запису.
6.9. Внутрішні правила та процедури обробки персональних даних:
Володільцем даних розроблено та впроваджено внутрішні правила та процедури щодо обробки персональних даних. Ці правила включають:
- Процедуру видалення певних даних після видалення особистого кабінету Користувача.
- Визначення рівнів доступу співробітників Компанії до персональних даних Користувачів.
- Безпечний порядок обміну персональними даними всередині Компанії.
Компанія регулярно проводить аудит своїх систем безпеки для виявлення та впровадження покращень у зберіганні та використанні даних Користувачів. Вона також дотримується вимог Типового порядку обробки персональних даних, затвердженого наказом Верховної Ради України від 08.01.2014 № 1/02-14, наскільки це стосується обробки персональних даних (доступно за посиланням: https://zakon.rada.gov.ua/laws/show/v1_02715-14).
7. Права Користувача як суб’єкта персональних даних:
7.1. Кожен Користувач, як суб’єкт персональних даних, має наступні права:
- Знати про місцезнаходження своїх персональних даних, їх призначення, найменування, місцезнаходження або місце проживання (перебування) володільця чи розпорядника цих даних. Може доручити отримання цієї інформації уповноваженим особам, крім випадків, встановлених законом.
- Отримувати інформацію про умови надання доступу до своїх персональних даних, включаючи інформацію про третіх осіб, яким передаються його дані.
- Мати доступ до своїх персональних даних.
- Керувати процедурою направлення повідомлень через відповідні налаштування на Он-лайн платформі.
- Отримувати відповідь про зберігання своїх персональних даних та їх зміст не пізніше ніж за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом.
- Пред’являти вмотивовану вимогу з запереченням проти обробки своїх персональних даних органами державної влади та іншими установами.
- Захищати свої персональні дані від незаконної обробки, втрати, знищення або пошкодження, а також від надання недостовірних даних або таких, що шкодять його честі та гідності.
- Звертатися з питаннями захисту своїх прав щодо персональних даних до відповідних органів.
- Застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.
- Подавати запити на припинення обробки своїх персональних даних Компанією і вимагати їх знищення.
8. Порядок розгляду запитів від суб’єктів персональних даних (Користувачів):
8.1. Кожен Користувач, як суб’єкт персональних даних, має право отримувати будь-які відомості про себе від будь-якого суб'єкта, який обробляє його персональні дані, без зазначення причини запиту, окрім випадків, прямо встановлених законом.
8.2. Доступ до персональних даних надається Користувачу безкоштовно.
8.3. Для доступу до своїх персональних даних, Користувач подає запит володільцю цих даних. У запиті мають бути зазначені: прізвище, ім'я, по батькові, місце проживання, реквізити документа, що посвідчує особу, та інша ідентифікаційна інформація, перелік запитуваних персональних даних, інформація про володільця чи розпорядника даних.
8.4. Володілець даних розглядає запит протягом не більше десяти робочих днів з моменту його отримання.
8.5. У цей строк Володілець даних повідомляє Користувача, чи буде задоволено його запит, або чому відповідні дані не можуть бути надані, посилаючись на відповідний нормативно-правовий акт.
8.6. Запит Користувача задовольняється протягом тридцяти календарних днів з дня його отримання, якщо інше не встановлено законом.
9. Видалення персональних даних Користувача:
9.1. Користувач має право ініціювати видалення своїх персональних даних, здійснивши наступні дії:
- Подання письмового запиту на припинення обробки персональних даних на електронну адресу cab@4football.ua із зазначенням у темі листа «Персональні дані».
- Самостійне видалення персональних даних із Особистого кабінету на Он-лайн платформі.
9.2. Персональні дані Користувача видаляються або знищуються відповідно до законодавчих вимог. Дані можуть бути видалені також у випадку:
- Видання припису від Уповноваженого з прав людини Верховної Ради України або відповідних посадових осіб.
- Набуття законної сили рішенням суду про видалення або знищення персональних даних.
9.3. Користувачі можуть будь-коли відкликати свою згоду на обробку персональних даних, направивши відповідний запит на електронну адресу cab@4football.ua. Компанія зобов’язана розглянути цей запит та видалити персональні дані Користувача зі своїх інформаційних систем.
9.4. У разі самостійного видалення персональних даних Користувачем з його Особистого кабінету, знищення цих даних із інформаційних систем Компанії відбувається автоматично.
9.5. Знищення персональних даних виконується таким чином, що виключає можливість їх відновлення та ідентифікації особи Користувача.
10. Процедура внесення змін до Положення:
10.1. Компанія має право вносити зміни до цього Положення в односторонньому порядку, і ці зміни можуть здійснюватися без попереднього повідомлення Користувачів. Оновлена версія Положення набирає чинності з моменту її публікації на Он-лайн платформі, крім випадків, коли в новій редакції Положення передбачені інші умови її вступу в дію.
10.2. Якщо після оновлення Положення Користувач не згоден з його новою редакцією, він має право припинити використання Інтернет-магазину. Продовження використання Інтернет-магазину після внесення змін до Положення розглядається як згода Користувача з цими змінами та прийняття нової редакції Положення.