Правила обработки персональных данных
Правила обработки персональных данных
1. Основные термины
1.1. Компания - АО Open 24, компания, зарегистрированная в соответствии с законодательством Литовской Республики, имеющая зарегистрированный офис по адресу проспект Конституцийос 26 Вильнюс LT-08105 Литовская Республика, код компании 300569944, данные которой собираются и хранятся в Реестре юридических лиц.
1.2. Субъект данных - физическое лицо, чьими персональными данными управляет Компания.
1.3. Персональные данные - любая информация, относящаяся к физическому лицу - субъекту данных, известная или прямо или косвенно идентифицированная с использованием таких данных, как персональный код, одна или несколько физических, физиологических, экономических, культурных или социальных характеристик лица.
1.4. Обработка персональных данных – любое действие, выполняемое с персональными данными: сбор, запись, хранение, классификация, группировка, слияние, модификация (добавление или редактирование), предоставление, публикация, использование, логические и/или арифметические операции, поиск, распространение, удаление или другие действия или набор действий.
1.5. Автоматический режим - действия, выполняемые полностью или частично автоматическими средствами.
1.6. Сотрудник - лицо, заключившее с Компанией договор найма или аналогичный договор и назначенное решением Руководителя компании для обработки персональных данных или чьи персональные данные обрабатываются.
1.7. Менеджер - юридическое или физическое лицо, уполномоченное Компанией обрабатывать персональные данные. Менеджер (-ы) должен быть зарегистрирован в Инспекции.
1.8. Получатель данных - юридическое лицо или физическое лицо, которому предоставляются персональные данные. Получатель данных должен быть зарегистрирован в Инспекции
1.9. Инспекция - Государственная инспекция по защите данных Литовской Республики.
1.10. Файлы cookie - небольшие текстовые файлы, отправленные на устройство каждого лица, посещающего сайт, которые подключаются к сайту и временно хранятся на данном устройстве. Во время следующего посещения сайта Ваш браузер читает файл cookie и передает информацию или ее компонент на сайт. Информация, собранная на сайте файлами cookie, помогает идентифицировать посетителя на сайта, сохранять историю посещений и соответствующим образом адаптировать контент.
2. Общие положения
2.1. Настоящий документ регулирует действия Компании и ее сотрудников в управлении Персональными данными с использованием Автоматизированных средств обработки персональных данных, используемых в Компании, а также определяет права Субъекта данных, Факторы риска защиты персональных данных, Меры защиты персональных данных и другие вопросы, связанные с обработкой Персональных данных.
2.2. Персональные данные должны быть точными, соответствующими и только в том объеме, в котором это необходимо для их сбора и хранения. Если для обработки Персональных данных необходимы персональные данные, они постоянно обновляются.
2.3. Цели обработки персональных данных - прямой маркетинг и другие законные цели, определенные перед сбором данных.
2.4. Компания для целей, указанных в пункте 2.3 настоящих Правил, обрабатывает следующие Персональные данные Субъекта данных:
(а) имя;
(b) фамилия;
(c) электронная почта;
(d) номер телефона;
(e) пол;
(f) подписанная информация;
(g) номер карточки лояльности, срок действия;
(h) магазин, в котором заполняется анкета.
2.5. Обработка персональных данных регулируется Законом о правовой защите персональных данных (№ X-1444 от 1 февраля 2008 года), другими законами и правовыми актами, регулирующими обработку и защиту данных, а также настоящими Правилами.
3. Обработка персональных данных
3.1. Компания управляет персональными данными для следующих целей:
- услуги электронной торговли (э-коммерции);
- прямой маркетинг, включая информационные бюллетени;
- для других целей, связанных с внутренним администрированием, например, для управления данными сотрудников Компании.
3.2. Компания собирает и управляет следующими категориями персональных данных:
(a) основные данные, необходимые для вышеупомянутых целей: имя, фамилия и контактные данные;
(b) данные, необходимые для продажи товаров: детали заказа, инвойсы, данные, относящиеся к платежам и т.д.;
(c) другие данные, собранные с Вашего согласия, подробно определяемые, когда запрашивается Ваше согласие.
3.3. Персональные данные обрабатываются вручную и неавтоматически, используя персональные средства обработки данных, используемые в Компании.
3.4. Только Персонал и Менеджеры имеют право управлять Персональными данными. Каждый Сотрудник/Менеджер, назначенный для обработки Персональных данных, должен защищать их конфиденциальность и соблюдать требования законодательства о защите персональных данных.
3.5. Сотрудник/Менеджер должен:
(а) хранить в секрете Персональные данные;
(b) обрабатывать Персональные данные в соответствии с законами Литовской Республики, другими правовыми актами и настоящими Правилами;
(c) не раскрывать Персональные данные, не передавать и не предоставлять их любому лицу, не уполномоченному обрабатывать их любыми средствами доступа;
(d) незамедлительно уведомлять Руководителя компании или назначенное им лицо о любой подозрительной ситуации, которая может поставить под угрозу безопасность персональных данных.
3.6. Сотрудники, которые автоматически обрабатывают персональные данные или могут получить доступ к локальной сети, где хранятся персональные данные, должны использовать пароли. Пароли должны периодически меняться, а также при определенных обстоятельствах (например, когда пароль меняется в случае вторжения, подозрения, что пароль стал известен третьим лицам и т.д.). Сотрудник может знать только его собственный пароль.
3,7. Сотрудник по обслуживанию компьютеров должен обеспечить, чтобы файлы с персональными данными не стали доступны с других компьютеров, а антивирусные программы периодически обновлялись.
3.8. Сотрудник по обслуживанию компьютеров делает копии файлов данных на компьютерах. Потеря или повреждение этих файлов требует, чтобы ответственный сотрудник восстановил их в течение нескольких дней.
3.9. Защита персональных данных организуется, гарантируется и осуществляется Руководителем компании или назначенным им сотрудником.
3.10. Сотрудник не имеет права обрабатывать персональные данные, когда договор найма или аналогичный договор с Компанией истекает, или Руководитель компании отменяет назначение Сотрудника, ответственного для обработки персональных данных.
3.11. Менеджер теряет право обрабатывать персональные данные, когда контракт Менеджера с Компанией прекращается.
4. Данные на сайте Компании (open24.ee):
(а) путем администрирования сайта и диагностирования проблем на сервере Open 24 мы можем использовать IP-адреса компьютеров-посетителей. IP-адрес - уникальный сетевой код, идентифицирующий компьютер. Его можно использовать для настройки посетителя и сбора различной демографической информации;
(b) используя файлы cookie, мы собираем данные об использовании сервисов. Информация о файлах cookie, типах файлов cookie и их использовании содержится в пункте 5 настоящих Правил;
(c) путем регистрации в онлайн-магазине Open 24 мы собираем основную информацию, необходимую для идентификации пользователя, которую Вы отправляете, заполнив регистрационную форму, то есть имя, фамилию, адрес электронной почты.
(d) при покупке товаров или услуг в магазине электронной торговли Open 24 мы собираем данные, необходимые для правильного выполнения заказа, например, продукт и данные о его заказе, контактные данные и относящиеся к нему записи.
5. Использование файлов:
(a) Технические файлы сookie: обеспечивают функциональность сайта, создают учетную запись пользователя, выполнившего вход, и управление заказом Субъекта данных. Эти технические файлы сookie необходимы для правильного функционирования сайта.
(b) Функциональные файлы cookie: помогают запомнить пожелания Субъекта данных и эффективно использовать наш сайт. Например, эти файлы cookie будут помнить Ваш предпочтительный язык, информацию для входа в систему, поисковые запросы и ранее просмотренные элементы и т.д. Эти функциональные файлы cookie не являются существенными для функционирования сайта, но добавляют функциональности и улучшают опыт использования сайта Субъектом данных.
(c) Аналитические файлы cookie: помогают получить представление о том, как посетители используют сайт, помогают оптимизировать и совершенствовать наш сайт, понимать эффективность рекламы и общения.
(d) Коммерческие файлы cookie: корпоративные и сторонние файлы cookie, предназначенный для отображения персонализированной рекламы на нашем собственном сайте и на других сайтах на основе действий просмотра, таких как элементы, которые искал Субъект данных, просматриваемые товары.
(e) Инструмент Google Analytics»предоставляется американской компанией Google Inc., поэтому он также имеет доступ к статистике, собранной с помощью этого инструмента. Google Inc. привержена применению Политики конфиденциальности ЕС и США, которая гарантирует, что поставщик услуг соответствует стандартам конфиденциальности ЕС. Этот поставщик также подлежит договорным обязательствам по обеспечению конфиденциальности. Вы можете прочитать об этом на странице https://www.google.com/analytics/terms/dpa/dataprocessingamugges_20160909.html.
6. Осуществление прав Субъекта данных
6.1. При отправке в Компанию документа, удостоверяющего личность, Субъект данных имеет право на получение информации об источниках и собранных персональных данных, их обработке и предоставлении. Доступ к Персональным данным осуществляется при подаче в Компанию письменного запроса на доступ к Персональным данным по почте или электронной почте.
6.2. Компания после получения запроса от Субъекта данных в отношении обработки его Персональных данных несет ответственность за обращение со связанными с ним Персональными данными и передает запрашиваемые данные Субъекту данных не позднее, чем в течение 30 календарных дней с даты отправки запроса. По запросу Субъекта данных такие данные предоставляются по письменному или электронному адресу.
6.3. Возможность корректировать, удалять Персональные данные или приостанавливать деятельность по обработке Персональных данных Субъекта данных производится при отправке письменного запроса в компанию по почте, электронной почте. почте или устно, если Субъект данных может быть идентифицирован. После получения такого запроса Компания немедленно проверяет Персональные данные и оперативно исправляет неправильные, неполные, неточные Персональные данные по запросу Субъекта данных.
6.4. Компания незамедлительно информирует Субъект данных об исправлении, удалении или перемещении Персональных данных, сделанном по его просьбе или без таковой.
6.5. Компания также обеспечивает все другие права, гарантии и интересы Субъектов персональных данных, гарантированные законами и иными правовыми актами Литовской Республики.
7. Передача Персональных данных
7.1. Персональные данные могут предоставляться только Поставщикам данных, Компания подписала соответствующие соглашения на передачу/предоставление Персональных данных; Защита данных обеспечивает надлежащую защиту переданных Персональных данных. Персональные данные также могут передаваться третьим лицам в других случаях, предусмотренных законами и иными правовыми актами Литовской Республики.
7.2. Компания не использует и не раскрывает Персональную информацию с ограниченным доступом, такую как медицинская информация, раса, религиозные убеждения или политические убеждения без явного согласия Субъекта данных, если это не требуется или не разрешено законом.
7.3. Персональные данные также могут передаваться третьим лицам в других случаях, предусмотренных законами и иными правовыми актами Литовской Республики.
8. Факторы риска защиты Персональных данных
8.1. Нарушение защиты Персональных данных - это действие или упущение, которое может привести к нежелательным последствиям, а также к нарушению обязательных правил законов, регулирующих защиту Персональных данных. Защита Персональных данных, степень ущерба и последствия ущерба в каждом случае устанавливаются комиссией, сформированной руководителем Компании или уполномоченным им лицом.
8.2. Факторы риска защиты Персональных данных:
(a) непреднамеренные, когда защита Персональных данных нарушается по случайным причинам (ошибка обработки данных, носителя данных, удаление записей данных, ошибочные маршруты (адреса) для передачи данных и т. д., или сбои системы из-за сбоя питания, компьютерного вируса и т.д., нарушение внутренних правил, недостаток обслуживания системы, тестов программного обеспечения, неадекватное обслуживание носителей данных, недостаточная пропускная способность и защита линий, сетевая интеграция компьютеров, защита компьютерных программ, отсутствие факсимильных сообщений и т. д.);
(b) преднамеренное нарушение защиты Персональных данных (несанкционированное вторжение в помещения Компании/гостиниц, хранилища для хранения Персональных данных, информационные системы, компьютерную сеть, вредоносное нарушение Персональных данных, преднамеренное распространение компьютерных вирусов, кража Персональных данных, незаконное использование права другого Сотрудника и т.д.);
(c) непредвиденные случайные события (молния, пожар, наводнение, наводнение, шторм, электропроводка, последствия изменения температуры и/или влажности, воздействие грязи, пыли и магнитных полей, случайные технические аварии, другие неизбежные и/или неконтролируемые факторы, и т.д.).
9. Реализация Мер по защите персональных данных
9.1. Для обеспечения защиты Персональных данных Компания реализует или намеревается реализовать следующие Меры по защите персональных данных:
(а) административные (организация безопасных документов и компьютерных данных и их архивов, а также организация работы в различных областях деятельности, внедрение персонала для защиты персональных данных, находящегося в трудовых отношениях и после прекращения трудовых отношений или аналогичных отношениях и т. д.);
(b) техническая и программная безопасность (администрирование серверов, информационных систем и баз данных, обслуживание рабочих мест, обслуживание помещений Компании, защита операционных систем, защита от компьютерных вирусов и т.д.);
(c) коммуникации и компьютерные сети (брандмауэр, обмен данными, программы, нежелательные пакеты данных и т. д.).
9.2. Технические и программные средства защиты Персональных данных должны обеспечивать следующее:
(a) установка копий операционной системы и базы данных, методы копирования и контроль соответствия;
(b) непрерывная технология обработки;
(c) стратегия обновления систем в непредвиденных случаях (управление «сюрпризами»);
(d) физическое (логическое) разделение программ тестирования среды от процессов режима работы;
(e) разрешенное использование данных, их целостность.
9.3. Все Сотрудники, которые имеют право управлять Персональными данными или организовывать и обеспечивать их защиту, должны строго соблюдать требования Мер защиты персональных данных и соответствующих правил, инструкций или процедур, установленных Компанией.
10. Условия обработки Персональных данных
10.1. Компания управляет Персональными данными во время участия клиента в программе лояльности и не более того срока, который требуется для целей обработки данных или установлен законодательством, если законодательство предусматривает более длительное хранение данных.
10,2. Когда Персональные данные больше не нуждаются в обработке, они удаляются, за исключением тех, которые в случаях, предусмотренных законом, должны быть переданы в государственные архивы.
10.3. Данные для прямых и косвенных маркетинговых кампаний сохраняются Компанией не более того срока, который требуется для обработки данных, установлен законодательством или Субъектом данных. По запросу Субъекта данных Компания удаляет все данные, не требуемые для хранения, в соответствии со всеми юридическими требованиями в отношении Субъекта данных.
11. Ответственность
11.1. К Сотрудникам, нарушающим Закон о правовой защите персональных данных Литовской Республики, другие правовые акты, регулирующие обработку и защиту Персональных данных или настоящих Правил, применяются меры ответственности, предусмотренные законодательством Литовской Республики ,
12. Заключительные положения
12.1. Соблюдение правил и, при необходимости, их пересмотр поручены Руководителю компании или уполномоченному им лицу.
12.2. Ответственные сотрудники должны быть ознакомлены с настоящими Правила под роспись.