ПОЛІТИКА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ (GDPR)

 

1. СЛОВНИК

1.1. Спільнота – онлайн спільнота українських митців ENKOllege (далі – “Спільнота”, “ми”, “нас”) через сайт доступного за посиланням https://enkollege.com (“Сайт”).

1.2. Адміністратор даних  – Найменування володільця персональних даних: ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ “ЕНКО ЛТД”, ідентифікаційний код (код ЄДРПОУ): 43853610, місцезнаходження:(юридична адреса та адреса для листування): Україна, 47201, Тернопільська обл., Тернопільський р-н, місто Зборів, вул.Чорновола В., будинок 24.

Електронна адреса Адміністратора даних: info@enkomusic.com

1.3. Персональні дані – інформація про фізичну особу, яку вже ідентифіковано або можна ідентифікувати за допомогою одного чи кількох конкретних факторів, що визначають фізичну, фізіологічну, генетичну, психологічну, економічну, культурну чи соціальну ідентичність, включаючи зображення, запис голосу, контактні дані, дані про локалізацію, інформацію, включену в листування, інформація, зібрана за допомогою технології запису чи іншої подібної технології.

1.4. Політика – ця Політика обробки персональних даних.

1.5. GDPR – Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і вільного переміщення таких даних, а також про скасування Директиви 95/46 /EC (GDPR).

1.6. Суб’єкт даних – фізична особа, яка є Користувачем, на яку поширюються персональні дані, що обробляються Адміністратором.

1.7. Користувач – будь-яка дієздатна фізична особа, яка прийняла Умови і користується Ресурсами Спільноти (Учасники Спільноти), а також фізична особа, яких стосуються дані, оброблені Адміністратором даних (Користувачі, які відвідали Сайт).

2. ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ КОНТРОЛЕРОМ ДАНИХ:

2.1. Адміністратор даних, у звʼязку із веденням господарської діяльності, збирає та обробляє Персональні дані згідно до відповідних норм законодавства, зокрема GDPR, та правил обробки даних, зазначених у цій Політиці.

2.2. Адміністратор даних:

2.2.1. забезпечує наочність обробки даних;

2.2.2. завжди інформує про обробку даних у момент їх збору, особливо про мету та правові підстави обробки персональних даних, якщо він не зобов’язаний це робити відповідно до окремих нормативних актів;

2.2.3. піклується про те, щоб дані збиралися лише в обсязі, необхідному для певної мети, і оброблялися лише в необхідний період.

2.3. Під час обробки даних Адміністратор даних забезпечує їх безпеку та конфіденційність, а також доступ суб’єктів даних до інформації про обробку. Якщо, незважаючи на застосування заходів безпеки, має місце порушення захисту персональних даних (наприклад, «витік даних» або їх втрата), і таке порушення може призвести до високого ризику порушення закону або свободи суб’єктів даних, Адміністратор даних повідомить про це суб’єктів даних про інцидент відповідно до правових норм.

3. КОНТАКТ З АДМІНІСТРАТОРОМ ДАНИХ ТА ОФІЦЕРОМ З ЗАХИСТУ ДАНИХ:

3.1. Зв’язатися з Адміністратором даних можна за адресою електронної пошти: info@enkomusic.com або адреса для листування: ТОВ “ЕНКО ЛТД”, Україна, 47201, Тернопільська обл., Тернопільський р-н, місто Зборів, вул.Чорновола В., будинок 24.

3.2. Адміністратор даних не зобов’язаний призначати спеціаліста із захисту даних. Адміністратор даних провів аналіз цього питання.

3.3. Подати скаргу щодо обробки персональних даних можливо також до Уповноваженого Верховної Ради України з прав людини за електронною поштою hotline@ombudsman.gov.ua.

 

4. БЕЗПЕКА ОСОБИСТИХ ДАНИХ:

4.1. З метою забезпечення цілісності та конфіденційності даних Адміністратор даних запровадив процедури, що дозволяють отримати доступ до персональних даних лише уповноваженим особам і лише в обсязі, який є суттєвим у зв’язку з завданнями, які вони виконують. Адміністратор даних застосовує організаційні та технічні рішення для того, щоб усі операції з персональними даними були зареєстровані та виконані уповноваженими особами.

4.2. Адміністратор даних вживає всіх необхідних заходів, щоб його субпідрядники та інші суб’єкти співпраці також гарантували виконання відповідних заходів безпеки за всіх обставин обробки персональних даних за дорученням Адміністратора даних.

4.3. Адміністратор даних проводить актуальний аналіз ризиків і контролює адекватність застосованого захисту даних для виявлення загроз. У разі необхідності Адміністратор даних застосовує додаткові заходи для підвищення безпеки даних.

 

5. ЦІЛІ ТА ПРАВОВІ ПІДСТАВИ ОБРОБКИ ДАНИХ:

5.1. Персональні дані клієнтів обробляються в таких випадках:

5.1.1. реєстрація Користувачів та реєстрація облікового запису на Спільноті. Призначення: створення індивідуального облікового запису та керування ним. Юридична підстава: обробка необхідна для надання послуг (стаття 6 абзац 1 буква b GDPR);

5.1.2. обрання тарифу підписки на Спільноту. Юридична підстава: обробка необхідна для укладання договору надання послуг (стаття 6 абзац 1 буква b GDPR);

5.1.3. за допомогою сервісу онлайн-платежів. Мета: укладання договору надання послуг. Юридична підстава: обробка необхідна для укладання договору надання послуг (стаття 6 абзац 1 буква b GDPR);

5.1.4. підписка на інформаційні матеріали (розсилку). Призначення: інформація про послуги та пропозиції. Юридична підстава: згода суб’єкта даних на виконання договору про надання послуги інформаційного бюлетеня (стаття 6 абзац 1 буква a GDPR);

5.2. Персональні дані суб’єктів даних обробляються також у таких випадках:

5.2.1. електронна та звичайна поштова кореспонденція. У разі надсилання запитів до Адміністратора даних електронною поштою або звичайною поштою, пов’язаних із іншим договором, укладеним з ним, персональні дані, включені в цю кореспонденцію, обробляються лише для зв’язку та вирішення питання, яке стосується листування.

Правовою підставою для обробки є юридично обґрунтований інтерес Адміністратора даних (стаття 6, параграф 1, буква f GDPR), заснований на листуванні, яке йому направлено щодо його економічної діяльності.

Адміністратор даних обробляє Персональні дані, важливі для питання, яке стосується листування. Вся кореспонденція зберігається у спосіб, що забезпечує безпеку містяться в ній персональних даних (та іншої інформації) і розкривається лише уповноваженим особам.

5.2.2. профілі порталів соціальних мереж. Адміністратор даних має загальнодоступні профілі на порталах соціальних мереж, наприклад, Instagram, Facebook.

Завдяки цьому Адміністратор даних обробляє дані, залишені користувачами, які відвідують ці профілі (включаючи коментарі, лайки, онлайн-ідентифікатори).

Персональні дані цих користувачів обробляються:

– щоб дозволити їм активність у цих профілях;

– для ефективної роботи профілів, через представлення користувачам інформаційних порталів про ініціативи та іншу діяльність Адміністратора даних та для просування різноманітних подій, послуг і продуктів;

– для статистичних і аналітичних цілей;

– для просування власного бренду та підвищення якості послуг, що надаються.

Правовою підставою для обробки Персональних даних є юридично обґрунтований інтерес Адміністратора даних (стаття 6, параграф 1, літера f GDPR).

УВАГА: вищезазначена інформація не стосується обробки персональних даних Адміністраторами порталів соціальних мереж (наприклад, Instagram, Facebook ).

5.2.3. обробка персональних даних співробітників Суб’єктів даних.  Укладаючи договори в рамках ведення господарської діяльності, Адміністратор даних може отримати від Суб’єктів даних дані користувачів, залучених до виконання договорів (наприклад, осіб, уповноважених на контакт, осіб, які виконують замовлення тощо). Обсяг переданих даних у будь-якому випадку обмежується тим, що необхідно для виконання договору, і зазвичай не включає іншу інформацію, окрім імені та прізвища та офіційних контактних даних.

Такі персональні дані обробляються для реалізації законно обґрунтованого інтересу Адміністратора даних та його Підрядника (стаття 6, параграф 1, літера f GDPR), що ґрунтується на можливості належного та ефективного виконання контракту. Такі дані можуть бути розкриті третім особам, які беруть участь у виконанні договору.

Дані обробляються протягом періоду, необхідного для реалізації вищезазначених інтересів і виконання юридичних зобов’язань.

5.2.4. збір даних у рамках ділових контактів. У зв’язку з веденням економічної діяльності Адміністратор даних також збирає персональні дані в інших випадках – наприклад, під час ділових зустрічей або шляхом обміну візитними картками – для ініціювання та підтримки ділових контактів. Правовою підставою для обробки даних у цьому питанні є обґрунтований інтерес Адміністратора даних (стаття 6, параграф 1, буква f GDPR), заснований на створенні мережі контактів щодо ведення господарської діяльності.

Персональні дані, зібрані за цих обставин, обробляються лише з метою, для якої вони були зібрані – Адміністратор даних гарантує їх належний захист.

5.2.5. виставлення рахунків для надання послуг З цією метою персональні дані обробляються лише в обсязі, необхідному для виставлення рахунків або накладних. Правовою підставою для обробки є їх обов’язковість для виконання договору (стаття 6 абзац 1 буква b GDRP).

5.2.6. Задоволення претензій щодо надання послуг. З цією метою персональні дані обробляються лише в обсязі, необхідному для захисту претензій. Правовою підставою для обробки є її необхідність для реалізації законно обґрунтованого інтересу Адміністратора даних (стаття 6, параграф 1, літера f GDPR ).

 

6. ОТРИМУВАЧІ ДАНИХ:

ПОСТАЧАЛЬНИКИ ПОСЛУГ

6.1. У зв’язку з веденням економічної діяльності, яка потребує обробки персональних даних, персональні дані можуть бути розкриті зовнішнім особам, включаючи, зокрема, платіжні платформи (системи), постачальники послуг ІТ та технічної підтримки, суб’єкти, що надають бухгалтерські послуги, маркетингові агентства, юридичні компанії.

ОРГАНИ ДЕРЖАВНОЇ ВЛАДИ

6.2. Адміністратор даних залишає за собою право розкривати або надавати надану інформацію про Суб’єкт персональних даних компетентним державним органам або третім особам, які запитують такі дані, лише на підставі належних правових підстав і відповідно до чинних положень законодавства.

6.3. Персональні дані також будуть надаватися компетентним державним органам, зокрема судам, прокуратурі, поліції, органам з питань захисту прав споживачів та іншим особам, які запитують такі дані у Адміністратора даних.

 

7. ПЕРЕДАЧА ДАНИХ ЗА МЕЖАМИ ЄЕС:

7.1. Рівень захисту персональних даних за межами Європейської економічної зони («ЄЕЗ») відрізняється від гарантованого європейським законодавством. З цієї причини Адміністратор даних передає Особисті дані стороннім особам до ЄЕЗ, лише якщо це необхідно та з належним рівнем захисту.

 

8. ФАЙЛИ COOKIE, IP-АДРЕСИ.

8.1. Коли ви користуєтеся Сайтом, він автоматично збирає дані про Клієнта за допомогою невеликих файлів, які називаються файлами cookie. Ці файли зберігаються Адміністратором даних на термінальному пристрої користувача, який відвідує Сайт, якщо у веб-браузері є така функція. Файл cookie зазвичай містить доменне ім’я, з якого він надходить, його «термін дії» та окреме випадково вибране число, що ідентифікує цей файл. Інформація, зібрана за допомогою файлів такого типу, допомагає Адміністратору даних адаптувати пропоновані ним послуги до індивідуальних уподобань і фактичних потреб відвідувачів Сайту. Вони також надають можливість розробляти загальну статистику відвідувань Сайту. Ці дані також можуть бути зібрані системою Google Analytics – системою інтернет-аналітики, яка дає уявлення про трафік даних Сайту та демографічні дані користувачів, які відвідують Сайт, які використовуються для проведення маркетингової діяльності. Особа, яка відвідує Сайт і не погоджується з функціонуванням системи Google Analytics, повинна заблокувати файли cookie, детальніше про файли cookie та їх блокування можливо дізнатись на сайті www.allaboutcookies.org та за посиланням.

8.2. Адміністратор даних використовує два типи файлів cookie:

– Cookie сеансу – записана інформація видаляється з пам’яті пристрою після завершення сеансу певного веб-браузера або після вимкнення комп’ютера.

– Постійні файли cookie – залишаються в пам’яті кінцевого пристрою, доки вони не будуть видалені вручну користувачем браузера або поки не закінчиться термін дії

8.3. Файли cookie використовуються для: аутентифікації Користувача на Сайті та надання йому сеансу Користувача на Сайті (після входу в обліковий запис Користувача), а також для аналізу та створення анонімної статистики.

8.4. Особа, яка відвідує Сайт, може вимкнути механізм файлів cookie у своєму браузері відповідно до інструкції, наданої розробником браузера. Однак Адміністратор даних попереджає, що блокування або видалення файлів cookie може спричинити труднощі у використанні Сайту та в деяких випадках запобігти використанню деяких його опцій.

8.5. Адміністратор даних може збирати IP-адреси користувачів, які відвідують Сайт. IP-адреса – це номер, присвоєний Інтернет-провайдером комп’ютеру відвідувача Сайту. IP-адреса використовується Адміністратором даних для діагностики технічних проблем із сервером, створення статистичних аналізів, а також з міркувань безпеки та ймовірної ідентифікації небажаних автоматичних програм, які інтенсивно працюють із сервером, для перегляду Сайту.

9. КЕРУВАННЯ ПАРОЛЯМИ:

9.1. Адміністратор забезпечує безпечне та зашифроване з’єднання під час надсилання особистих даних і під час входу в обліковий запис Користувача на Сайті.

9.2. У випадку, якщо Користувач, який має обліковий запис на Сайті, втратив пароль свого облікового запису, Сайт пропонує можливість створити новий пароль. Пароль зберігається в зашифрованому вигляді таким чином, щоб його не могли прочитати неавторизовані особи.

9.3. Адміністратор даних не надсилає електронне листування з проханням надати дані для входу, зокрема пароль доступу до облікового запису Користувача.

10. ПЕРІОД ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ:

10.1. Термін обробки даних Адміністратором даних залежить від типу наданої послуги та мети обробки. Період обробки даних також може бути обумовлений правовими нормами, коли вони є підставою для обробки. Якщо основою обробки є обґрунтований інтерес Адміністратора даних – наприклад, з міркувань безпеки – дані обробляються протягом періоду, який дозволяє реалізувати цей інтерес, або доки не буде подано ефективне заперечення щодо обробки даних. Якщо дані обробляються на підставі погодження, дані обробляються до моменту скасування погодження. Якщо основою обробки є його обов’язковість для укладення договору та його виконання, дані обробляються до припинення договору.

10.2. Період обробки даних може бути продовжений, якщо обробка необхідна для встановлення або висунення претензій або захисту від претензій; після закінчення цього строку – у випадках, передбачених законом. Після цього періоду обробки дані безповоротно видаляються або знеособлюються.

 

11. ПРАВА, ПОВ’ЯЗАНІ З ОБРОБКОЮ ПЕРСОНАЛЬНИХ ДАНИХ:

Суб’єкти персональних даних мають право:

11.1. право на отримання інформації про обробку персональних даних – на цій підставі Адміністратор даних надає фізичній особі, яка запитує, інформацію про обробку даних, в основному включаючи інформацію про цілі та правові підстави обробки, обсяг збережених даних, суб’єктів, дані яких обробляються розкрита та запланована дата видалення даних.

11.2. право на отримання копії даних – на цій підставі Адміністратор надає копію оброблених даних щодо особи, яка подає таку вимогу. Адміністратор даних не виконує цей запит, якщо це може порушити зобов’язання, пов’язані з професійною таємницею.

11.3. право на виправлення – Адміністратор даних зобов’язаний усунути будь-які невідповідності або помилки в персональних даних, що обробляються, і доповнити їх, якщо вони є неповними.

11.4. право на видалення – на цій підставі ви можете вимагати видалення (стертя) ваших даних, обробка яких більше не потрібна для досягнення будь-якої з цілей, для яких вони були зібрані.

11.5. право обмежити обробку – у разі такого запиту Адміністратор даних припиняє проводити операції з персональними даними, за винятком операцій, погоджених Суб’єктом даних, та їх зберігання відповідно до прийнятих правил зберігання або до тих пір, поки причини обмеження обробки даних не зникнуть, припиняється (наприклад, видається рішення контролюючого органу, яке дозволяє подальшу обробку даних).

11.6. право на передачу вашої персональної інформації – на цій основі – в тому обсязі, в якому дані автоматично обробляються у зв’язку з укладеним договором або наданою згодою – Адміністратор даних видає дані, надані суб’єктом даних, у форматі, який дозволяє їх читати комп’ютером. Вимагати передачу таких даних іншому суб’єкту також можливо, однак за умови наявності в цьому обсязі технічних можливостей як з боку Адміністратора, так і з боку зазначеної особи.

11.7. право заперечити проти обробки даних для маркетингових цілей – Суб’єкт даних має право в будь-який час заперечити проти обробки своїх персональних даних для маркетингових цілей. Заперечення в межах цього обсягу не потребує зазначення обґрунтування.

11.8. право на заперечення проти інших цілей обробки даних – суб’єкт даних може в будь-який час – на підставах, що стосуються його конкретної ситуації – заперечити проти обробки персональних даних на основі законного інтересу Адміністратора (наприклад, для аналітичних чи статистичних цілей або з огляду на захист активів); Заперечення в цьому обсязі має містити обґрунтування.

11.9. право відкликати згоду – якщо дані обробляються згідно з наданою згодою, суб’єкт даних має право відкликати її в будь-який час, що, однак, не вплине на законність обробки до відкликання такої згоди

11.10. право подавати скарги – якщо ви вважаєте, що наша поведінка при обробці персональних даних порушує GDPR або будь-які інші чинні закони, ви можете поскаржитися в орган нагляду за обробкою даних.

 

12. ПРЕД’ЯВЛЕННЯ ВИМОГ, ПОВ’ЯЗАНИХ З ВИКОНАННЯМ ПРАВ:

12.1. Запит про реалізацію прав суб’єктів даних може бути поданий:

– письмово на вказану вище адресу або на вказану вище електронну пошту (пункт 3.1.).

12.2. Якщо Адміністратор даних не зможе ідентифікувати особу, яка подає вимогу на основі подання, він запитає додаткову інформацію від заявника. Зазначення таких даних не є обов’язковим, однак їх відсутність тягне за собою відмову у виконанні наданої вимоги.

12.3. Такий запит може бути поданий особисто або через довірену особу (наприклад, член сім’ї). З міркувань безпеки даних Адміністратор даних заохочує використовувати нотаріально посвідчену довіреність або уповноваженого юрисконсульта чи адвоката, що значно прискорить перевірку достовірності запиту.

12.4. Відповідь на запит надсилається протягом місяця з дня отримання. У разі необхідності продовження періоду Адміністратор даних повинен повідомити заявника про причини цієї дії.

12.5. Якщо запит надсилається Адміністратору даних в електронному вигляді, відповідь на нього надається в тій же формі, якщо запитувач не попросив відповісти в іншій формі. В інших випадках відповідь надається письмово. Якщо термін виконання запиту унеможливлює надання відповіді в письмовій формі, а обсяг даних заявника, що обробляються Адміністратором, дозволяє зв’язатися в електронному вигляді, відповідь надається в електронному вигляді.

12.6 Адміністратор даних зберігає інформацію як про запит, так і про особу, яка його зробила, щоб гарантувати можливість підтвердження відповідності та для встановлення, захисту або розгляду можливих претензій суб’єктів даних. База даних запитів зберігається таким чином, щоб забезпечити цілісність і конфіденційність даних, що містяться.

13. ЗМІНИ В ПОЛІТИЦІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ:

13.1. Ця Політика регулярно переглядається та змінюється відповідно до потреб.

13.2. Поточна редакція Політики діє з 10.04.2024 року.