ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛОЖЕННЯ
ПРО ПОРЯДОК ОБРОБКИ ТА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ КЛІЄНТІВ
ТОВАРИСТВА З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ІНТЕРОКО»
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Положення про порядок обробки та захисту персональних даних клієнтів (надалі – «Положення») ТОВАРИСТВА З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ІНТЕРОКО» розроблене та затверджене з метою забезпечення захисту прав та інтересів клієнтів, персональні дані яких збираються Володільцем та обробляються у його базах персональних даних (далі – Суб’єкти персональних даних/Клієнти) з метою реалізації відносин між клієнтами та Володільцем, у зв’язку зі здійсненням господарської діяльності Володільця. Серед іншого, це Положення визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних суб'єктів від випадкових втрати або знищення, від незаконної обробки, у т. ч. незаконного знищення чи доступу до персональних даних.
Положення розроблене відповідно до законодавства України та на виконання вимог Закону України «Про захист персональних даних».
Володілець суворо дотримується принципу конфіденційності та загальних вимог до обробки персональних даних, отриманих від Суб’єктів персональних даних, що встановлені у цьому Положенні та чинному законодавстві України у сфері захисту персональних даних.
1.2. Визначення основних термінів
Терміни у цьому Положенні вживаються у наступному значенні:
База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
Відповідальні особи – особи, які є відповідальними за організацію діяльності Володільця або окремої сфери його діяльності, що пов’язані із необхідністю захисту та обробки персональних даних відповідно до цього Положення та чинного законодавства України.
Володілець персональних даних – ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ІНТЕРОКО», юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Уповноважений - Уповноважений Верховної Ради України з прав людини;
Закон – Закон України «Про захист персональних даних» від 1 червня 2010 року, № 2297-VI;
Згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб'єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб'єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки (надалі – «Згода»);
Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
Розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
Суб'єкт персональних даних - фізична особа, Клієнт, персональні дані якої обробляються;
Третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.
Знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
Ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
Клієнт - (покупець, споживач, користувач, пацієнт) – фізична особа, Суб'єкт персональних даних, що користується товарами та послугами Володільця та/або яка звернулася до володільця за медичною допомогою (якій надається така допомога);
Сайт https://castaeyewear.com - сукупність даних, електронної (цифрової) інформації, що має унікальну назву (доменне ім'я, функціонує як засіб для представлення або реалізації товару, роботи чи послуги шляхом вчинення електронного правочину (інтернет-магазину), доступ до якого здійснюється через мережу Інтернет, та є власністю ТОВ «ІНТЕРОКО»;
Автоматизована (інформаційна) система – (далі – Автоматизована система) організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів, за допомогою яких, зокрема, здійснюється обробка та захист персональних даних. Володільцем використовуються наступні автоматизовані системи: Front, BAS ERP, BI;
Файл cookie - це невеликий текстовий файл, який зберігається на пристрої для ведення записів. Файли cookie записують інформацію про діяльність користувачів під час користування інформаційними (адміністративними) системами, зокрема - веб-сайтів. Деякі файли cookie залишаються у пристрої користувача, доки їх не видалять.
Обліковий запис – формалізований запис на комп'ютерному обладнанні (комп'ютерах, серверах), що ідентифікує користувача на такому обладнанні, містить дані про доступ до частини каталогів і комп'ютерної програми, комп'ютерного обладнання, а також визначає права такого доступу, що надають можливість володільцю облікового запису додавати, видаляти, змінювати цифровий контент, надавати доступ до окремих даних іншим особам, припиняти доступ в межах облікового запису.
DLP (Data Leak Prevention) – система запобігання витоку інформації (кібербезпеки), яка передбачає впровадження безпечних методів обробки даних для зменшення випадкового доступу.
Центр обробки даних (ЦОД) - спеціалізована будівля (приміщення), розташована за адресою Україна, Київ, Васильківська, 37-В, призначена для розміщення (хостингу) серверного і мережевого обладнання Володільця, з метою виконання функції обробки, зберігання і розповсюдження інформації; орієнтований на вирішення бізнес-завдань шляхом надання інформаційних послуг, консолідації обчислювальних ресурсів і засобів зберігання даних.
2. ЗАГАЛЬНІ ПРИНЦИПИ ТА ВИМОГИ ДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
2.1. Персональні дані, що обробляються Володільцем, мають бути точними та достовірними, у разі необхідності - оновлюватися.
2.2. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Обсяг Персональних даних, які можуть бути включені до Бази персональних даних, визначається умовами Згоди суб'єкта персональних даних або відповідно до законодавства.
2.3. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
2.4. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за Згодою, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
2.5. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.
2.6. Володільцем не здійснюється Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються статевого життя, біометричних або генетичних даних.
2.7. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
3. КАТЕГОРІЇ (СКЛАД) ТА ЗАСОБИ ЗБОРУ ПЕРСОНАЛЬНИХ ДАНИХ
3.1. Володілець збирає та накопичує Персональні дані, які добровільно надаються Суб’єктами персональних даних письмово, усно, за допомогою засобів електронної комунікації (у т.ч. через Інтернет) або будь-яким іншим чином:
• в процесі здійснення господарської діяльності Володільця;
• в процесі реалізації договірних, переддоговірних та інших комерційних відносин з Суб’єктами персональних даних;
• при здійсненні маркетингової (включаючи рекламної) діяльності;
• в процесі реалізації інших правовідносин, що потребують обробки Персональних даних;
• з інших законних джерел.
3.2. Володілець збирає та обробляє будь-які Персональні дані, які добровільно надаються Суб’єктами персональних даних та відповідають визначеній меті, та вказані у Згоді Суб’єкта персональних даних включаючи, але не обмежуючись, наступні категорії Персональних даних (склад персональних даних): реєстраційний номер облікової картки платника податків (у разі наявності) або серія та номер паспорта (для фізичних осіб, які через релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідному контролюючому органу і мають відмітку у паспорті);
• прізвище, ім'я, по батькові;
• дата та місце народження;
• адреса фактичного місця проживання або перебування;
• серія та номер (у разі наявності) документа, що посвідчує особу (паспорт громадянина України, тимчасове посвідчення громадянина України, свідоцтво про народження (для осіб, які не досягли 14-річного віку), посвідка на постійне проживання в Україні, посвідчення біженця, посвідчення особи, яка потребує додаткового захисту, посвідка на тимчасове проживання), орган, що видав документ, дата видачі, строк дії;
• номер телефону, адреса електронної пошти (далі - контактні дані);
• інформація про законного представника особи (прізвище, ім'я, по батькові, документи, що посвідчують його особу та повноваження законного представника відповідно до законодавства) (у разі наявності);
• стать;
• стан здоров'я (обробляються тільки в обсязі та у випадках, необхідних при оформленні замовлень на діагностику для встановлення медичного діагнозу та/або отримання медичних послуг, що надаються Володільцем).
3.3. Персональні дані обробляються Володільцем на підставі Згод, отриманих від Суб’єктів персональних даних, та на інших законних підставах в суворій відповідності з чинним законодавством України в сфері захисту Персональних даних і зберігаються в електронній формі за допомогою Автоматизованої системи.
3.4. Отримання Згоди не є необхідним у випадках, коли Обробка персональних даних здійснюється на підставі, передбаченою законодавством.
3.5. Клієнт надає Згоду на обробку його персональних даних відповідно до визначеної цим Положенням мети, та підтверджує, що він ознайомлений зі складом і змістом персональних даних, що збираються Володільцем, його правами, визначеними Законом, метою збору персональних даних, переліком третіх осіб, яким передаються його персональні дані, переліком послуг, що надаються Володільцем, та своє бажання отримати саме такі, попередньо обрані послуги.
3.6. Збір персональних даних відбувається виключно за умови отримання Згоди від Клієнта, після реєстрації/оформлення замовлення на Сайтах Виконавця, при оформленні запису до лікаря, під час оформлення підписки на розсилку повідомлень, заповненні форм «залишити відгук»/ «передзвоніть мені» тощо, або під час візиту до магазинів/кабінетів офтальмології Володільця
3.7. Застереження про відео-спостереження
З метою забезпечення режиму особистої безпеки як працівників так і Клієнтів Володільця, визначення та обліку кількості відвідувачів, для об’єктивної фіксації подій та виявлення нетипових ситуацій у зоні основного потоку Клієнтів, враховуючи відкритий доступ до приміщень, Володільцем може проводитись відео-спостереження на території приміщень, де Володілець здійснює свою господарську діяльність.
Суб’єкти персональних даних інформуються про факт ведення відеоспостереження шляхом розміщення спеціальних інформаційних повідомлень при вході до приміщень Володільця.
3.8. Застереження про аудіо-фіксацію розмов
Володілець здійснює аудіо-фіксацію розмов з Клієнтами, при їх зверненні до Контакт центр (Колл-центру - що надає підтримку за допомогою голосового зв’язку за телефонним номером) з використанням відповідного телекомунікаційного обладнання. Інформування Суб’єктів персональних даних про факт здійснення аудіо-фіксації відбувається шляхом попереднього усного застереження.
3.9 Відеозаписи, фотографії та/або записи телефонних розмов з Клієнтами можуть бути використані Володільцем для реалізації та захисту своїх прав та законних інтересів. Строк зберігання інформації, отриманої за допомогою систем відеоспостереження - не менше двох тижнів та не більше одного року, виходячи з технічних можливостей обладнання.
4. БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ ВОЛОДІЛЬЦЯ
4.1. Документи та програми, що містять певні категорії Персональних даних в паперовій та/або електронній формах, які Володілець постійно використовує в процесі здійснення своєї діяльності, становлять відповідні Бази персональних даних або їх частини.
4.2. Суб'єкт персональних даних повідомляється про включення його Персональних даних до Бази персональних даних, про свої права, визначені Законом, мету збору даних та осіб, яким передаються його Персональні дані, одночасно з наданням Згоди.
4.3. Володілець повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки. Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, та категорії суб'єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим. Повідомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим. Володілець зобов'язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни.
4.4. Володілець обробляє Персональні дані Клієнтів, визначені цим Положенням, у Базі персональних даних «Клієнти», згідно з умовами відповідних Згод, які надаються Клієнтами Володільцю у зв‘язку із господарською діяльністю Володільця.
4.5. Володілець може прийняти рішення про створення інших Баз персональних даних або припинення функціонування існуючих Баз персональних даних.
4.6. Бази персональних даних, створені Володільцем, знаходяться за адресою: Україна, Київ, Васильківська, 37-В.
4.7. Володілець персональних даних зобов'язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни.
5. МЕТА ТА СПОСОБИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ. СТРОКИ
5.1. Загальною метою обробки Персональних даних є здійснення Володільцем господарської діяльності, включаючи, але не обмежуючись, наступні цілі:
• забезпечення надання медичної допомоги, встановлення медичного діагнозу та зберігання результатів діагностики, встановлення відповідності умов, за яких надаються медичні послуги та здійснення пов’язаних із цим операцій;
• забезпечення належного функціонування електронної системи охорони здоров'я, підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації;
• здійснення господарської діяльності з медичної практики;
• виконання вимог законодавства в сфері охорони здоров’я;
• виконання вимог, які встановлюються нормативно-правовими актами Міністерства охорони здоров'я (МОЗ);
• підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітної інформації з питань діяльності Володільця;
• дотримання вимог законодавства у сфері оподаткування;
• забезпечення комунікацій з Клієнтами;
• надання консультацій та інформації щодо товарів, робіт та послуг Володільця;
• проведення маркетингових заходів, досліджень та рекламних кампаній, аналізу споживчих настроїв (програми лояльності, бонусні програми, акції, опитування NPS тощо), включаючи, але не обмежуючись, такими діями, як направлення інформаційних та/або рекламних повідомлень про акції чи спеціальні пропозиції шляхом електронної, кур’єрської або поштової розсилки, направлення смс або голосових повідомлень, будь-якої інформації, що стосується господарської діяльності Володільця у сфері надання послуг тощо;
• здійснення доставки товарів Клієнтам за їх замовленнями;
• забезпечення прав та законних інтересів Володільця та зацікавлених осіб;
• забезпечення реалізації відносин у сфері послуг, що надаються Володільцем;
• ведення бухгалтерського, фінансового та управлінського обліку;
• ділового листування, в тому числі, надання відповідей на запити державних органів;
• відносин, що вимагають обробки Персональних даних та мають на меті отримання доходів та реалізацію положень Цивільного кодексу України, іншого законодавства, яким регулюється діяльність Володільця, Статуту Володільця, внутрішніх положень та політик тощо;
• інші цілі, необхідні для здійснення Володільцем господарської діяльності, та передбачені умовами відповідних згод Суб’єктів персональних даних.
5.2. При обробці Персональних даних Володілець здійснює всі необхідні організаційні та технічні заходи для захисту Персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, відтворення, розповсюдження Персональних даних, а також інших неправомірних дій.
5.3. Обробка Персональних даних здійснюється за допомогою способів, що забезпечують конфіденційність таких даних і при дотриманні встановлених вимог до забезпечення безпеки Персональних даних і технологій зберігання таких даних, відповідно до чинного законодавства України.
5.4. Відповідальна особа за збереження та захист Персональних даних, що зберігаються в електронному вигляді, забезпечує наявність у програмах, в яких здійснюється обробка персональних даних в електронному вигляді, функції збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.
5.5. Строк обробки персональних даних Клієнтів встановлюється Володільцем залежно від мети обробки Персональних даних. Персональні дані зберігаються в Базі персональних даних «Клієнти» весь час протягом тривалості взаємовідносин між Клієнтом та Володільцем, включаючи термін зберігання електронної медичної карти, створеної відповідно до чинного законодавства, та ще протягом 2 (двох) років після припинення взаємовідносин. У випадку, коли Клієнт не звертається до Володільця довше визначеного строку, Персональні дані такого Клієнта підлягають видаленню із Бази персональних даних «Клієнти».
6. ЗМІНИ, ДОПОВНЕННЯ ТА ЗНИЩЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ
6.1. Володілець вносить зміни та доповнення до Персональних даних на підставі вмотивованої письмової вимоги Суб'єкта персональних даних.
6.2. Дозволяється внесення змін до Персональних даних за зверненням інших суб'єктів відносин, пов'язаних із Персональними даними, якщо на це є згода Суб'єкта персональних даних чи відповідна зміна здійснюється згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого чи за рішенням суду, що набрало законної сили.
6.3. Зміна Персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.
6.4. Персональні дані, що містяться у Базах персональних даних, підлягають знищенню у порядку, передбаченому законом, у разі:
• закінчення строку зберігання даних, визначеного цим Положенням, Згодою або законом;
• припинення правовідносин між Суб'єктом персональних даних та Володільцем, якщо інше не передбачено цим Положенням, у Згоді або законом;
• видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
• набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з Бази персональних даних.
6.5. Про передачу Персональних даних Третій особі Володілець протягом 10 (десяти) робочих днів повідомляє Суб'єкта персональних даних, якщо цього вимагають умови його Згоди або інше не передбачено законом.
6.6. Про зміну, видалення чи знищення Персональних даних або обмеження доступу до них Володілець протягом 10 (десяти) робочих днів повідомляє Суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із Персональними даними, яким ці дані було передано. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
7. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
7.1. При обробці Персональних даних Володілець забезпечує їх захист від несанкціонованого доступу відповідно до чинного законодавства України.
7.2. Захист Персональних даних, що зберігаються в електронній формі в Автоматизованій системі, забезпечується шляхом обмеження доступу до Облікових записів за допомогою унікальних паролів.
7.3. Автоматизовані системи в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи.
7.4. Володілець Персональних даних впровадив систему DLP, яка запобігає витоку таких даних за межі автоматизованої системи Володільця.
7.5. База персональних даних, в якій зберігаються Персональні дані в електронній формі, розташовані на серверах, які розміщені в ЦОДі. Контроль доступу до серверів здійснюється згідно стандартів безпеки, зокрема, ISO 27001.
8. РОЗПОРЯДНИК ПЕРСОНАЛЬНИХ ДАНИХ
8.1. Володілець має право доручити Обробку персональних даних Розпоряднику персональних даних чи бути Розпорядником персональних даних на умовах, визначених у відповідному письмовому договорі.
8.2. Розпорядниками персональних даних Клієнтів є:
• підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, та фінансові установи, які обробляють персональні дані відповідно до закону;
• інші приватні особи та організації для забезпечення виконання останніми своїх функцій або надання послуг Володільцю відповідно до укладених між такими особами (організаціями) та Володільцем правочинів;
• уповноважений орган державної влади, відповідальний за верифікацію інформації у відповідному реєстрі центральної бази даних МОЗ.
8.3. Розпорядник персональних даних може обробляти Персональні дані лише з метою і в обсязі, визначеними законом та/або у договорі, укладеному з Володільцем.
9. ПОРЯДОК ДОСТУПУ ТРЕТІХ ОСІБ ДО ПЕРСОНАЛЬНИХ ДАНИХ
9.1. Треті особи можуть отримувати право доступу до Персональних даних, що містяться у Базах персональних даних Володільця, на умовах, зазначених у Згоді, або відповідно до вимог закону.
9.2. Третя особа, яка бажає отримати доступ до Персональних даних, що містяться у Базах персональних даних Володільця, направляє відповідний запит на ім’я Відповідальної особи. Запит має містити такі данні:
• прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
• найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
• прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
• відомості про Базу персональних даних, стосовно якої подається запит, чи відомості про Володільця чи Розпорядника персональних даних;
• перелік Персональних даних, що запитуються;
• мета та/або правові підстави для запиту.
9.3. Строк вивчення запиту на предмет його задоволення не може перевищувати 10 (десяти) робочих днів з дня його надходження. Протягом цього строку Відповідальна особа доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні Персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
9.4. Запит задовольняється протягом 30 (тридцяти) календарних днів з дня його надходження, якщо інше не передбачено законом.
9.5. У випадках, коли необхідні дані не можуть бути надані протягом 30 (тридцяти) календарних днів з дня надходження запиту допускається відстрочення доступу до Персональних даних Третіх осіб. Повідомлення про відстрочення доводиться до відома третьої особи у відповідності із вимогами законодавства України. При цьому загальний термін вирішення питань, порушених у запиті щодо доступу до Персональних даних, не може перевищувати сорока п'яти календарних днів.
9.6. Доступ до Персональних даних Третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог закону або неспроможна їх забезпечити.
9.7. Відстрочення доступу Суб'єкта персональних даних до своїх Персональних даних не допускається. Доступ Суб'єкта персональних даних до даних про себе здійснюється безоплатно.
10. ПРАВА СУБ’ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ
10.1. Суб’єкти персональних даних мають право:
• знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
• отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
• на доступ до своїх персональних даних;
• отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
• пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
• пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
• звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
• застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
• вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
• відкликати згоду на обробку персональних даних;
• знати механізм автоматичної обробки персональних даних;
• на захист від автоматизованого рішення, яке має для нього правові наслідки.
10.2. Суб’єкти персональних даних можуть мати інші права, передбачені чинним законодавством.
11. ОРГАНІЗАЦІЯ РОБОТИ ІЗ ПЕРСОНАЛЬНИМИ ДАНИМИ
11.1. Для забезпечення дотримання вимог законодавства України щодо захисту та обробки Персональних даних, а також умов цього Положення, Володілець призначає Відповідальних осіб з кола своїх працівників.
11.2. Відповідальна особа виконує свої обов‘язки у відповідності до цього Положення та норм чинного законодавства України щодо збору та захисту персональних даних. Вимоги відповідальної особи до заходів щодо забезпечення безпеки обробки персональних даних є обов’язковими для всіх працівників, які здійснюють обробку персональних даних.
11.3. Відповідальна особа має право:
11.3.1. звертатись до Уповноваженого або підприємств, установ, організацій, що надають відповідні консультаційні послуги, за отриманням роз’яснень щодо питань дотримання законодавства у сфері захисту Персональних даних;
11.3.2. доступу до всіх Баз персональних даних Володільця, а також до приміщень або будь-яких інших місць зберігання Персональних даних з метою перевірки дотримання цього Положення та законодавства про захист Персональних даних;
11.3.3. отримувати пояснення від працівників Володільця, які мають доступ до Персональних даних, щодо дій, вчинених ними стосовно Персональних даних, що зберігаються у Базах персональних даних Володільця;
11.3.4. вимагати припинення порушення вимог цього Положення та чинного законодавства щодо обробки та захисту Персональних даних;
11.3.5. забезпечувати збереження ключів до приміщень/шаф/сейфів, де зберігаються документи, що містять Персональні дані, а також не передавати їх іншим особам; не повідомляти коди та паролі доступу до комп’ютерів, через які можна отримати доступ до персональних даних особам, які не мають і не повинні мати доступ до персональних даних;
11.3.6. інші права, необхідні для виконання обов’язків щодо організації обробки та захисту Персональних даних, які містяться в Базах персональних даних Володільця.
11.3.7. Відповідальна особа зобов’язана:
• перевіряти правильність оформлення документів, а також вчинення інших дій, необхідних для дотримання чинного законодавства у сфері захисту Персональних даних;
• забезпечувати дотримання прав Суб’єктів персональних даних, отримувати та відповідати на запити, зазначені у розділі 9 цього Положення;
• отримувати повідомлення працівників Володільця про факти порушення відповідно до умов цього Положення та вживати заходів, необхідних для подолання або попередження можливих негативних наслідків, а також поновлення стану дотримання вимог цього Положення та чинного законодавства щодо захисту та порядку поводження з Персональними даними;
• організовувати в цілому роботу Володільця у відповідності до вимог законодавства у сфері захисту Персональних даних;
• у випадку внесення змін до Персональних даних або знищення Персональних даних Відповідальні особи зобов’язані одночасно повідомити Суб’єкта персональних даних про відповідні дії з його Персональними даними у порядку, передбаченому цим Положенням;
• у разі необхідності, залучати працівників юридичного відділу з метою забезпечення виконання своїх обов’язків, передбачених цим Положенням; вести облік працівників, які мають доступ до персональних даних; вести облік операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них. З цією метою зберігається інформація про: дату, час та джерело збирання персональних даних суб'єкта; зміну персональних даних; перегляд персональних даних; будь-яку передачу (копіювання) персональних даних суб'єкта; дату та час видалення або знищення персональних даних; працівника, який здійснив одну із указаних операцій; мету та підстави зміни, перегляду, передачі та видалення або знищення персональних даних. У випадку обробки персональних даних суб'єктів за допомогою Автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається Володільцем упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України;
• забезпечувати фіксацію порушень процесу обробки та захисту персональних даних; вживати всіх інших заходів, необхідних для виконання покладених на них обов‘язків;
• Контролювати перелік осіб, які мають доступ до обладнання в ЦОДі де зберігається База персональних даних. Журнал відвідування ЦОД ведеться в електронному або паперовому вигляді, в журналі має зазначатися час відвідування, прізвище та ім’я особи, що відвідує, мету відвідування;
• забезпечувати періодичну зміну унікальних паролів та кодів доступу до Облікових записів, через які можна отримати доступ до Персональних даних;
• забезпечувати антивірусний захист в Автоматизованій системі, де зберігаються персональні дані; забезпечувати використання технічних засобів безперебійного живлення комп’ютерів, через які можна отримати доступ до персональних даних.
11.5. Обов’язки працівників Володільця, які обробляють персональні дані
Всі працівники Володільця, що мають доступ до Персональних даних, зобов’язані:
• ознайомитися з цим Положенням з метою дотримання встановлених Положенням норм та правил при обробці Персональних даних;
• використовувати Персональні дані лише відповідно до професійних чи службових або трудових обов’язків;
• запобігати втраті Персональних даних або їх неправомірному використанню;
• не допускати розголошення у будь-який спосіб Персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків (крім випадків, передбачених законом), при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом;
• не передавати не уповноваженим на це працівникам та/або третім особам ключі до приміщень, де зберігаються сервери з Базами персональних даних, до сейфів або шаф, де зберігаються документи, що містять Персональні дані, або кодів та паролів доступу до комп’ютерів, через які можна отримати доступ до персональних даних.
• терміново повідомляти Відповідальну особу в разі: втрати або неумисного знищення носіїв інформації з Персональними даними; втрати ними ключів від приміщень, сейфів, шаф, де зберігаються Персональні дані; якщо ідентифікаційні дані для входу в Автоматизовану систему, де зберігаються Персональні дані, стали відомі іншим особам; виявлення спроби несанкціонованого доступу до персональних даних; факт порушення режиму захисту Персональних даних та інших вимог цього Положення (недотримання вимог поводження із Персональними даними, зазначеним в цьому Положенні; обробка Персональних даних у Базах персональних даних без отримання Згоди тощо);
При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівником підприємства Володільця, носії інформації, що містять Персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
11.6. Порядок доступу до Персональних даних працівників Володільця
11.6.1. Доступ до Персональних даних надається працівникам Володільця виключно у випадках, якщо такий доступ є необхідним для виконання їх професійних чи службових або трудових обов'язків.
11.6.2. Працівники, які отримують доступ до персональних даних, дають письмове Зобов'язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, відповідно до затвердженої у Додатку 2 до цього Положення форми. Зберігання заповнених форм Зобов'язання забезпечується відповідальним(и) працівником(ами) Відділу кадрів.
11.6.3. Датою надання права доступу до персональних даних вважається дата надання зобов'язання відповідним працівником.
11.6.4. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов'язків на якій не пов'язане з обробкою персональних даних.
11.6.5.У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб'єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб'єктів, передаються іншому працівнику
11.6.6. Володілець може затверджувати окремі процедури у разі виявлення порушення режиму захисту Персональних даних.
11.7. За необхідності за фактами порушень режиму захисту персональних даних керівник підприємства або належним чином уповноважена особа призначає службове розслідування.
11.8. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.
11.9. Затвердження переліку посад, які мають доступ до Бази персональних даних «Клієнти» та визначення рівнів доступу за посадами до персональних даних здійснюється наказом керівника підприємства, за поданням керівників підрозділів підприємства, працівники яких мають необхідність доступу до персональних даних, відповідно до їх трудових обов’язків.
12. ЗАКЛЮЧНІ ПОЛОЖЕННЯ
12.1. Володілець вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки.
12.2. Володілець самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
12.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрат або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
12.4. Це Положення (його наступні редакції) публікується на сайтах Володільця у розділі «Політика конфіденційності».
13. COOKIES
13.1. Сайти Володільця використовують файли cookie.
Файл cookie є файлом, що містить ідентифікатор (рядок літер та цифр), який передається веб-сервером до веб-браузера і зберігається браузером. Для роботи з файлами cookie використовуються сторонні системи аналітики. Системи аналітики дозволяють виконати розпізнавання комп'ютера з дозволу користувача. Потім ідентифікатор відправляється назад на сервер щоразу, коли браузер запитує сторінку із сервера.
13.2. Файли cookie можуть бути «постійними» або «сеансовими»:
⦁ Постійний файл cookie зберігається веб-браузером і залишається дійсним до встановленої дати закінчення терміну дії, якщо користувач не видалить його до закінчення терміну дії;
⦁ Сеансові файли cookie закінчуються в кінці сеансу користувача, коли веб-браузер закритий.
13.3. Файли cookie, як правило, не містять жодної інформації, яка ідентифікує персональні дані користувача.
13.4. На Сайтах Володільця використовуються як сеансові, так і постійні файли cookie.
13.5. Користувач може видалити файли cookie, які вже зберігаються на його комп'ютері.
Додаток 1
до Положення про порядок
обробки та захисту персональних
даних Клієнтів
ЗГОДА НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ
1. Клієнт шляхом вільного та жодним чином необмеженого волевиявлення, надає згоду Володільцю (ТОВ «ІНТЕРОКО»), на обробку своїх персональних даних у Базі персональних даних «Клієнти», добровільно наданих Володільцю:
• під час візиту до магазинів/кабінетів офтальмології Володільця, шляхом сповіщення працівнику Володільця чотиризначного номерного коду, який автоматично генерується Автоматизованою системою при занесенні даних суб’єкта персональних даних до Бази персональних даних та надсилається за допомогою засобів електронної комунікації на номер телефону, наданий Клієнтом при замовленні послуг тощо;
• під час самостійної реєстрації або при оформленні замовлення на Сайтах Володільця, оформленні запису до лікаря, оформленні підписки на розсилку повідомлень, заповненні форм «залишити відгук»/ «передзвоніть мені» тощо, Клієнт надає згоду на обробку його персональних даних, шляхом проставлення відмітки про надання дозволу на обробку персональних даних відповідно до сформульованої мети їх обробки.
2. Клієнт надає згоду на обробку його наступних персональних даних:
• реєстраційний номер облікової картки платника податків (у разі наявності) або серія та номер паспорта (для фізичних осіб, які через релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідному контролюючому органу і мають відмітку у паспорті);
• прізвище, ім'я, по батькові;
• дата та місце народження;
• адреса фактичного місця проживання або перебування;
• серія та номер (у разі наявності) документа, що посвідчує особу (паспорт громадянина України, тимчасове посвідчення громадянина України, свідоцтво про народження (для осіб, які не досягли 14-річного віку), посвідка на постійне проживання в Україні, посвідчення біженця, посвідчення особи, яка потребує додаткового захисту, посвідка на тимчасове проживання), орган, що видав документ, дата видачі, строк дії;
• номер телефону, адреса електронної пошти (далі - контактні дані);
• інформація про законного представника особи (прізвище, ім'я, по батькові, документи, що посвідчують його особу та повноваження законного представника відповідно до законодавства) (у разі наявності);
• стать;
• стан здоров'я (обробляються тільки в обсязі та у випадках, необхідних при оформленні замовлень на діагностику для встановлення медичного діагнозу та/або отримання медичних послуг, що надаються Володільцем).
Клієнт зобов’язується надавати точні та правдиві відомості про себе, а також своєчасно повідомляти Виконавця про зміни, що стосуються наданих відомостей.
3. Володілець персональних даних: ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ІНТЕРОКО» код ЄДРПОУ 31905094; місцезнаходження: 04053, м. Київ, вул. Воровського, 9 Б; поштова адреса 04073, м. Київ, пр-т Степана Бандери, 21 Б
4. Мета та цілі обробки персональних даних у Базі персональних даних «Клієнти»:
Цим Клієнт повідомляється та надає згоду на те, що його персональні дані обробляються Володільцем з метою здійснення Володільцем господарської діяльності, включаючи, але не обмежуючись, наступні цілі:
• забезпечення надання медичної допомоги, встановлення медичного діагнозу та зберігання результатів діагностики, встановлення відповідності умов, за яких надаються медичні послуги та здійснення пов’язаних із цим операцій;
• забезпечення належного функціонування електронної системи охорони здоров'я, підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації;
• здійснення господарської діяльності з медичної практики;
• виконання вимог законодавства в сфері охорони здоров’я;
• виконання вимог, які встановлюються нормативно-правовими актами Міністерства охорони здоров'я (МОЗ);
• підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітної інформації з питань діяльності Володільця;
• дотримання вимог законодавства у сфері оподаткування;
• забезпечення комунікацій з Клієнтами (у т.ч. отримання зворотного зв’язку від учасників Програми лояльності, забезпечення відносин у сфері захисту прав споживачів, тощо);
• надання консультацій та інформації щодо товарів, робіт та послуг Володільця;
• проведення маркетингових заходів, досліджень та рекламних кампаній, аналізу споживчих настроїв (програми лояльності, бонусні програми, акції, опитування NPS тощо), включаючи, але не обмежуючись, такими діями, як направлення інформаційних та/або рекламних повідомлень про акції чи спеціальні пропозиції шляхом електронної, кур’єрської або поштової розсилки, направлення смс або голосових повідомлень, будь-якої інформації, що стосується господарської діяльності Володільця у сфері надання послуг тощо;
• здійснення доставки товарів Клієнтам за їх замовленням;
• забезпечення прав та законних інтересів Володільця та зацікавлених осіб;
• забезпечення реалізації відносин у сфері послуг, що надаються Володільцем;
• ведення бухгалтерського, фінансового та управлінського обліку;
• ділового листування, в тому числі, надання відповідей на запити державних органів;
• відносин, що вимагають обробки Персональних даних та мають на меті отримання доходів та реалізацію положень Цивільного кодексу України, іншого законодавства, яким регулюється діяльність Володільця, Статуту Володільця, внутрішніх положень та політик тощо;
• інші цілі, необхідні для здійснення Володільцем господарської діяльності, та передбачені умовами відповідних згод Суб’єктів персональних даних.
Цим Клієнт повідомляється та надає Володільцю згоду на вчинення з персональними даними Клієнта нижченаведених дій (у тому числі працівниками Володільця в межах виконання ними своїх трудових обов’язків):
• Збір персональних даних в обсязі, необхідному для досягнення мети та цілей обробки персональних даних, що зазначені у пункті 2 цієї Згоди та Положенням про порядок обробки та захисту персональних даних Клієнтів, затверджене Володільцем;
• Обробку персональних даних, включаючи, але не обмежуючись, збирання, одержання, реєстрацію, накопичення, систематизацію, зберігання, адаптування, уточнення (оновлення, зміну, поновлення), використання, поширення (розповсюдження, реалізація, передача, у тому числі, передача розпорядникам персональних даних та третім особам, яких визначає Виконавець самостійно, включаючи передачу іноземним суб'єктам відносин, пов’язаних із персональними даними, у т.ч. транскордонну передачу будь-яким розпорядникам чи третім особам на розсуд Володільця, за умов забезпечення належного захисту персональних даних. Клієнт погоджується з тим, що Володілець не зобов’язаний окремо персонально повідомляти Клієнта про таку передачу), знеособлення, блокування, знищення персональних даних а також будь-які інші дії або сукупність дій, пов’язані з обробкою персональних даних відповідно до мети та цілей їх обробки, включаючи обробку у внутрішніх та / або корпоративних системах, ресурсах, програмах, базах Володільця, у тому числі з використанням інформаційних (автоматизованих) систем;
• Внесення змін до персональних даних Клієнта за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, у порядку, передбаченому чинним законодавством України.
Інформація про розпорядників персональних даних, у т.ч. іноземних суб’єктів відносин, перелічена у Положенні про порядок обробки та захисту персональних даних Клієнтів та актуалізуються шляхом розміщення оновленої редакції Положення на сайті Володільця у розділі «Політика конфіденційності».
5. Цим Клієнт повідомляється про його (її) права, як суб’єкта персональних даних
Згідно з Законом України «Про захист персональних даних», Клієнт має право:
• знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
• отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
• на доступ до своїх персональних даних;
• отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
• пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
• пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
• звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
• застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
• вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
• відкликати згоду на обробку персональних даних;
• знати механізм автоматичної обробки персональних даних;
• на захист від автоматизованого рішення, яке має для нього правові наслідки.
Доступ до персональних даних Клієнта надається третім особам у порядку, передбаченому внутрішніми документами Володільця, за умови, якщо надання такого доступу є необхідним для реалізації визначеної мети обробки персональних даних, зазначеної в пункті 4цієї Згоди та Згоди та Положенням про порядок обробки та захисту персональних даних Клієнтів, затверджене Володільцем.
6. Строк дії Згоди
Строк обробки персональних даних Клієнтів встановлюється Володільцем залежно від мети обробки Персональних даних. Персональні дані зберігаються в Базі персональних даних «Клієнти» весь час протягом тривалості взаємовідносин між Клієнтом та Володільцем, включаючи термін зберігання електронної медичної карти, створеної відповідно до чинного законодавства, та ще протягом 2 (двох) років після припинення взаємовідносин. У випадку, коли Клієнт не звертається до Володільця довше визначеного строку, Персональні дані такого Клієнта підлягають видаленню із Бази персональних даних «Клієнти».
7. Інші умови
Володілець рекомендує Клієнтам, у випадку зміни їх персональних даних, своєчасно повідомляти про це Володільця.
З метою реалізації своїх прав, визначених статтею 8 ЗУ «Про захист персональних даних» Клієнт може звернутися до Володільця із відповідним письмовим запитом
• через засоби електронної комунікації, відправивши лист на електронну адресу Володільця info@casta.com.ua;
•через засоби поштового зв’язку або кур’єрської службою, відправивши лист на поштову адресу Володільця: 04073, м. Київ, пр-т Степана Бандери, 21 Б.
Момент включення персональних даних Клієнта до Бази персональних даних та початок їх обробки виникає відразу після надання згоди Клієнтом на обробку його персональних даних, у спосіб, визначений п. 1 цієї Згоди та Положенням про порядок обробки та захисту персональних даних Клієнтів, затверджене Володільцем.
Надаючи Згоду на обробку своїх персональні даних, Клієнт підтверджує, що він належним чином повідомлений Володільцем про включення його персональних даних до Бази персональних даних «Клієнти» на умовах викладених у цією Згодою, відповідно до Положення про порядок обробки та захисту персональних даних Клієнтів, затверджене Володільцем, а також про склад та зміст зібраних персональних даних, права Клієнта, визначені Законом України «Про захист персональних даних», мету та цілі збору персональних даних та осіб, яким передаються його персональні дані*.
У випадку відмови Клієнта надавати згоду на обробку персональних даних відповідно до визначеної мети, Володілець зберігає за собою право не надавати замовлені Клієнтом послуги, якщо відсутність необхідних даних Клієнта не дозволяє Володільцю надавати послуги з дотримання норм чинного законодавства.
Володілець використовує файли cookies для безперебійної роботи Сайту (обов'язкові файли кукіс) і створення послуг і пропозицій з урахуванням потреб Клієнтів (Необов'язкові файли cookies – Клієнту необхідно з ними погодитися додатково). Клієнт може змінити налаштування свого пристрою самостійно. Більш детальна інформація доступна на сайті Виконавця у розділі «Політика конфіденційності».
8. Розпорядниками Бази персональних даних «Клієнти» є:
• підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, та фінансові установи, які обробляють персональні дані відповідно до закону;
• інші приватні особи та організації для забезпечення виконання останніми своїх функцій або надання послуг Володільцю відповідно до укладених між такими особами (організаціями) та Володільцем правочинів;
• уповноважений орган державної влади, відповідальний за верифікацію інформації у відповідному реєстрі центральної бази даних МОЗ.
Розпорядник персональних даних може обробляти Персональні дані лише з метою і в обсязі, визначеними законом та/або у договорі, укладеному з Володільцем.
* Під особами, яким передаються персональні дані Клієнта, розуміються Розпорядники Бази персональних даних «Клієнти» в розумінні Закону України «Про захист персональних даних».
Додаток 3
до Положення про порядок
обробки та захисту персональних
даних Клієнтів
ПОРЯДОК ПОДАННЯ ЗАПИТУ
ПРО ВІДКЛИКАННЯ ЗГОДИ НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ
- Відкликання згоди на обробку персональних даних здійснюється Клієнтом шліхом подання Володільцю письмового запиту про відкликання згоди на обробку персональних даних (далі – запит), який містить наступну інформацію:
- прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит, номер телефону та адресу електронної пошти (e-mail) зазначені при реєстрації.
- Для реалізації своїх прав Клієнт можете звернутися до Володільця:
- через засоби електронної комунікації, відправивши лист на відповідну електронну адресу Володільця info@casta.com.ua;
- через засоби поштового зв’язку або кур’єрської службою, відправивши лист на поштову адресу Володільця: 04073, м. Київ, пр-т Степана Бандери, 21 Б.
- Володілець вивчає запит на предмет його задоволення протягом десяти робочих днів з дня його надходження. Протягом цього ж строку Володілець повідомляє Клієнта про результат розгляду запиту, зокрема:
- Володілець припиняє обробку персональних даних та знищує їх не пізніше тридцяти днів від дати отримання запиту, у разі відсутності підстав для подальшої обробки персональних даних;
- Володілець продовжує обробку персональних даних до закінчення строку їх зберігання, якщо законодавство встановлює більш тривалий строк їх зберігання, при наявності права продовжити обробку персональних даних без згоди суб’єкта персональних даних, передбачених законом.
- У випадку неможливості задоволення запиту, Володілець доводить це до відома Клієнта, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
- Володілець залишає за собою право відмовити Клієнту у задоволенні запиту, якщо формат його надання не відповідає вимогам, визначеним цим додатком, а інформація, наведена у запити, не дозволяє ідентифікувати особу-заявника.
ПІСЛЯПЛАТА
Розраховуйся за замовлення у відділенні Нової Пошти. Ти не сплачуєш % за платіж, тільки вартість свого замовлення!