Положение об обработке и защите персональных данных в базе персональных данных, принадлежащей MYDUTYFREE

1. Общие понятия и сфера применения

   1. Терміни та визначення
      база персональных данных — именованный сбор данных в электронном виде и / или в виде файлов личных данных;
      ответственное лицо — определенное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом;
      владелец базы данных — физическое или юридическое лицо, которому по закону или согласию субъекта данных было предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает хранилище данных и процедуры их обработки, если только иное предусмотрено законом;
      государственный реестр баз данных персональных данных — единая государственная информационная система сбора, накопления и обработки списков зарегистрированных персональных данных;
      общедоступные источники персональных данных — справочники, адресные книги, регистры, списки, каталоги и другие систематические сборники публичной информации, которые содержат персональные данные, размещенные и опубликованные с согласия субъекта персональных данных.
      Социальные сети и интернет-ресурсы, в которых субъект данных оставляет свои персональные данные (кроме случаев, когда субъект данных прямо заявляет, что персональные данные размещаются с целью их свободного распространения и использования), не рассматриваются в качестве открытых источников персональных данных..
      согласие субъекта персональных данных — любая документально подтвержденная добровольное согласие физического лица, которое дает разрешение на обработку его или ее персональных данных в соответствии с заявленной целью их обработки;
      де-идентификация персональных данных — вывод информации, позволяющей идентифицировать человека;
      обработка персональных данных — будь-які дії, що виконуються повністю або частково в інформаційній (автоматизованій) системі та / або в файлах персональних даних, що пов'язано зі збором, реєстрацією, накопиченням, збереженням, адаптацією, зміною, оновленням, використанням і поширенням ( реалізація, передача), де-персоналізацією, знищенням даних про фізичну особу;
      персональные данные — сведение или набор сведений о человеке (физическом лице), который идентифицирован или может быть конкретно идентифицирован;
      распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем или законом было предоставлено право обрабатывать эти данные. Лицо, которому владелец и / или обработчик базы данных поручил работу технического характера с базой данных персональных данных без доступа к содержанию персональных данных, не может рассматриваться как обработчик базы данных..
      субъект персональных данных — физическое лицо, в отношении которого обрабатываются персональные данные в соответствии с законом;
      третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или обработчика базы данных персональных данных и уполномоченного государственного органа по защите персональных данных, которому владелец или обработчик раскрывает персональные данные в соответствии с законом;
      специальные категории данных — особисті дані про расове чи етнічне походження, політичні, релігійні чи ідеологічні переконання, членство в політичних партіях і профспілках, а також дані, пов'язані зі здоров'ям або сексуальним життям.
   2. Настоящий Регламент является обязательным для использования ответственным лицом и сотрудниками продавца, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением своих служебных обязанностей..

2. Список баз персональных данных

   Продавец владеет следующими базами персональных данных:

   • База данных персональных данных клиентов

3. Цель обработки персональных данных

   Целью обработки персональных данных в системе является хранение и ведение данных клиента в соответствии со статьями 6, 7 Закона Украины «О защите персональных данных».

4. Порядок обработки персональных данных: получение согласия, уведомление о правах и действиях с персональными данными субъекта персональных данных

   • Согласие субъекта персональных данных должно быть свободным желанием физического лица предоставить разрешение на обработку его или ее персональных данных в соответствии с заявленной целью обработки. Согласие субъекта персональных данных может быть предоставлено в следующей форме:
     • отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированного программного и технического решения.
   • Уведомление субъекта персональных данных о включении его или ее персональных данных в базы данных персональных данных, о правах, определенных Законом Украины «О защите персональных данных», целях сбора персональных данных и лицах, которым его или его ее личные данные раскрываются, происходит во время оформления заказа на сайте mydutyfree.net.
   • Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профсоюзах, а также данных, касающихся здоровья или сексуальной жизни (конкретные категории данных), запрещена..

5. Расположение базы данных персональных данных

   Указанные в разделе 2 настоящих правил базы данных персональных данных находятся по адресу компании «Mydutyfree»..

6. Privacy and personal data collection, processing and storage policy

   We collect, store and use your personal data in accordance with national legislation and standards of international law in the field of information security, including “Protection of personal data” Law dated 01.06.2010 № 2297-VI, as well as the Rules for the processing of personal data established by the General Data Protection Regulations (EU Regulation 2016/679 of April 27, 2016 or the GDPR - General Data Protection Regulation).

   We collect, store and use personal information with the permission of the user. We provide the user with access to the personal information that we store, and we provide the ability to change and delete information at any time through the personal account or upon request to our support team.

   We only collect and process the minimal amount of personal data required for providing the Service.

   We collect and store the following information:

   Personal data, cookies, and usage data::
   • referral source, utm-tags
   • operating system, browser type and version, IP address
   • country, city, language preferences
   • gender, age, name, surname
   • phone number, email address
   • tokens for push notifications
   • data available from social networks when it is linked to the account (avatar, etc.)
   Special::
   • actions (view history, additions to favorites and shopping cart, search queries, filters applied, order history, etc.)
   • answers from questionnaires, actions associated with additional functions (lotteries, referral systems, etc.)
   • airport, date and time of departure
   • history of email and phone notifications
   • history of chat bot correspondence and technical support operator correspondence

   The statistical information that we collect (for example, information about the session duration) is stored in an impersonal and encrypted form.

   The information is used by us for the purpose of providing the Services, confirming the identity of the user, timely notifying the user of the forced changes in the conditions for providing the Service, for conducting marketing research and activities.

   In order to provide the Services, we can transfer personal data to third parties.

   The data is transferred to third parties in an encrypted form - to the partners of the Service, as well as to the services that operate the working process of the Service.

   Only the minimum amount of information necessary to ensure the provision of the Services is transferred.

   We pass on the name and surname of the customers of TezTour Турагенція, who used the affiliate promo code to increase the discount on our website, to the company TezTour Турагенція. This happens only for those users who are already customers of TezTour Турагенція, and therefore have already given their name and surname to the company, as well as entered the promotional code they previously received from the company representative.

   List of partners and services::
   • Google Analytics, Yandex Analytics, MixPanel
   • authorized locations - cash desks in the stores where customer service is provided
   • Belavia, S7, Natalitours, Ural Airlines, TezTour Турагенція
   • the exchange of user personal data takes place in the process of interaction with external social networks and platforms like Google+, Facebook, Instagram, Twitter, VK

   We collect cookies that are required for Service functioning and providing the Services. Cookies are stored in an encrypted form and are deleted as soon as there is no need for them.

   Please note that EU citizens who are under the age of 16 can use the Service only after obtaining consent for personal data processing of personal data from their parents (or legal representatives), through the authorization of our Service.

   We take all reasonable steps to maintain the appropriate level of security during the use of our Service. An authorized employee of our company is responsible for ensuring the protection of the information.

   We do not transfer personal information to unauthorized third parties and do not store unauthorized copies of informational data.

   In case of revealing the leak of data, we inform the user and the authorized authorities about this leak within 72 hours.

   Using our service, you must agree to our use of your personal data. Granting your consent to the use of your personal data, you guarantee that the information provided is true.

   If you do not agree to provide information that is necessary for us to provide the Services, you may be barred from using the Service.

   Please note that if you voluntarily place your personal data online in an unprotected internet environment – for example, in blog comments, this information can be collected and used by third parties outside our control.

   You have the following rights regarding your personal data:
   • The right to request for access to your personal data and information about how we use your personal information
   • The right to correct your personal data if it is not fully specified or contains inaccuracies
   • The right to remove your personal data we store in full or partially at any time
   • The right to withdraw the consent to the processing your personal data by us in full or partially. Exercise of this right will not mean the illegality of any of our procedures with your personal data, which were carried out on the basis of your previously granted consent
   • The right to send a complaint related to the processing of your personal data by us directly to any local branch of the supervisory authority

   Если у вас возникнут вопросы относительно порядка реализации вышеуказанных прав, иные вопросы, предложения и/или претензии относительно работы нашего Сервиса, обращайтесь в нашу службу поддержки: support@mydutyfree.net.

7. Условия раскрытия информации о персональных данных третьим лицам

   1. Порядок доступа третьих лиц к персональным данным определяется условиями согласия субъекта персональных данных, предоставленного владельцу базы персональных данных для обработки этих данных, или в соответствии с требованиями законодательства..
   2. Доступ к персональным данным третьим лицам не предоставляется, если указанное лицо отказывается принимать обязательства по выполнению условий Закона Украины «О защите персональных данных» .
   3. Субъект отношений, связанных с персональными данными, подает запрос на доступ (далее - запрос) к персональным данным, владельцу базы персональных данных..
   4. Запрос должен включать:
      • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность, которая делает запрос (для физического лица - заявителя);
      • имя, местонахождение юридического лица, подающего запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица - заявителя);;
      • фамилия, имя и отчество, а также другая информация, позволяющая идентифицировать физическое лицо, в отношении которого делается запрос;
      • информация о базе данных персональных данных, в отношении которой сделан запрос, или информация о владельце или распорядителе этой базы данных;
      • список запрашиваемых персональных данных;
      • цель запроса.
   5. Срок изучения запроса на его удовлетворение не может превышать десяти рабочих дней со дня его поступления..
      В течение этого периода владелец базы персональных данных информирует лицо, отправившее запрос, о том, что запрос будет удовлетворен или соответствующие персональные данные не будут предоставлены, с указанием оснований, указанных в соответствующем правовом акте..
      Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
   6. Все сотрудники владельца базы персональных данных обязаны соблюдать требования конфиденциальности в отношении персональных данных..
   7. Отсрочка доступа к персональным данным третьим лицам допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня получения запроса. В то же время общее время решения вопросов, поднятых в запросе, не может превышать сорок пять календарных дней..
   8. Сообщение об отсрочке доводится до сведения третьего лица, представившего запрос, в письменном виде с разъяснением порядка обжалования такого решения..
   9. Отчет об отсрочке должен включать:
      • фамилия, имя, отчество должностного лица;
      • дата отправки сообщения;
      • причина отсрочки;
      • период, в течение которого запрос будет удовлетворен.
   10. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен в соответствии с законодательством.
   11. Сообщение об отказе должно содержать:
       • фамилия, имя и отчество должностного лица, которому отказано в доступе;
       • дата отправки сообщения;
       • причины отказа;
   12. Решение об удалении или отказе в доступе к персональным данным может быть обжаловано в уполномоченном государственном органе по защите персональных данных, других государственных органах и органах местного самоуправления, в полномочия которых входит защита персональных данных, или в суде..

8. Защита персональных данных: способы защиты, ответственное лицо, сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением ими своих служебных обязанностей, условия хранения персональных данных

   1. Владелец базы персональных данных оснащен системными, программно-аппаратными и коммуникационными инструментами, которые предотвращают потерю, кражу, несанкционированное уничтожение, искажение, копирование информации и соответствуют требованиям международных и национальных стандартов..
   2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законодательством. Ответственное лицо определяется постановлением владельца базы персональных данных..
      Обязанности ответственного лица при организации работ, связанных с защитой персональных данных при их обработке, указаны в должностной инструкции..
   3. Ответственное лицо должно:
      • знать законодательство Украины в сфере защиты персональных данных;
      • разработать процедуру доступа к персональным данным сотрудников в соответствии с их профессиональными, служебными или рабочими обязанностями;
      • обеспечить соответствие сотрудников владельца базы персональных данных требованиям законодательства Украины в области защиты персональных данных и внутренним документам, регламентирующим деятельность вадельца базы персональных данных при обработке и защите персональных данных в базах персональных данных;
      • разработать порядок внутреннего контроля за соблюдением требований законодательства Украины в области защиты персональных данных и внутренних документов, регламентирующих деятельность контролера базы данных персональных данных для обработки и защиты персональных данных в базах персональных данных, который, в частности, должны содержать стандарты относительно частоты такого контроля;
      • информировать владельца базы персональных данных о фактах нарушения работниками условий законодательства Украины в области защиты персональных данных и внутренних документов, регламентирующих деятельность владельца базы персональных данных по обработке и защите персональных данных в базе персональных данных не позднее одного рабочего дня с момента выявления таких нарушений;
      • обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных и уведомление субъекта данных о своих правах.
   4. Для выполнения обязанностей ответственное лицо имеет право:
      • получать необходимые документы, в том числе приказы и другие административные документы, выданные владельцем базы персональных данных, связанные с обработкой персональных данных;
      • делать копии полученных документов, включая копии файлов, любых записей, хранящихся в локальных компьютерных сетях и автономных компьютерных системах;
      • принимать участие в обсуждении своих обязанностей в организации труда, связанного с защитой персональных данных при их обработке;
      • вносить предложения по улучшению деятельности и совершенствованию методов работы, предоставлять комментарии и варианты устранения выявленных недостатков в процессе обработки персональных данных;
      • получать разъяснения по вопросам обработки персональных данных;
      • подписывать и утверждать документы в пределах своей компетенции.
   5. Сотрудники, которые непосредственно обрабатывают и / или имеют доступ к персональным данным в связи с выполнением ими своих служебных (рабочих) обязанностей, должны соблюдать требования законодательства Украины в области защиты персональных данных и внутренних документов по обработке и защите персональных данных в базах персональных данных.
   6. Сотрудники, имеющие доступ к персональным данным, включая их обработку, обязаны не допускать разглашения доверенных им персональных данных, которые стали известны в связи с выполнением профессиональных, служебных или рабочих обязанностей каким-либо образом. Такое обязательство действует после прекращения их деятельности, связанной с персональными данными, за исключением случаев, установленных законом.
   7. Лица, которые имеют доступ к персональным данным, в том числе те, которые обрабатывают данные, в случае нарушения условий Закона Украины «О защите персональных данных» несут ответственность в соответствии с законодательством Украины..
   8. Персональные данные не должны храниться дольше, чем это необходимо для целей, для которых такие данные хранятся, но, в любом случае, не дольше, чем срок хранения данных, определяемый согласием субъекта персональных данных.

9. Права субъекта персональных данных

   Субъект персональных данных имеет право:

   • знать о местонахождении базы персональных данных, которая содержит его или ее персональные данные, их назначение и название, местонахождение и / или место жительства (пребывания) владельца или обработчика этой базы данных, или дать соответствующую инструкцию для получения этой информации уполномоченными им лицами, за исключением случаев, предусмотренных законом;
   • получить доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
   • получить ответ о том, хранятся ли его личные данные в соответствующей базе данных, а также получить содержимое своих личных данных, не позднее, чем через тридцать календарных дней с даты запроса, кроме случаев, предусмотренных законом;
   • представить мотивированный запрос с возражением против обработки персональных данных органами государственной власти, органами местного самоуправления при исполнении ими своих обязанностей, предусмотренных законодательством;
   • сделать обоснованный запрос на замену или уничтожение персональных данных любым контроллером и процессором этой базы данных, если эти данные обрабатываются незаконно или ненадежно;
   • защитить личные данные от незаконной обработки и случайной потери, уничтожения, повреждения в результате преднамеренного сокрытия, непредоставления или несвоевременного предоставления, а также от предоставления ненадежных сведений или дискредитации чести, достоинства и деловой репутации физического лица ;
   • ходатайствовать о защите своих прав на персональные данные в государственные органы, органы местного самоуправления, уполномоченные защищать персональные данные;
   • применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

10. Порядок работы с запросами субъекта персональных данных

    1. Субъект персональных данных имеет право получать любую информацию о себе от любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, предусмотренных законом.
    2. Доступ к персональным данным субъекта персональных данных бесплатный.
    3. Субъект персональных данных подает запрос на доступ (далее - запрос) к персональным данным контроллеру базы персональных данных..
       Запрос должен включать:
       • фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
       • другая информация, позволяющая идентифицировать личность субъекта персональных данных;
       • информация о базе данных персональных данных, в отношении которой сделан запрос, или информация о владельце или распорядителе этой базы данных;
       • список запрашиваемых персональных данных.
    4. Срок изучения запроса на его удовлетворение не может превышать десяти рабочих дней с даты поступления. .
    5. В течение этого периода контролер базы персональных данных сообщает субъекту персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не будут предоставлены, с указанием основания, указанного в соответствующем правовом акте..
    6. Запрос удовлетворяется в течение тридцати календарных дней с даты получения, за исключением случаев, предусмотренных законом.

11. Государственная регистрация базы данных персональных данных

    Государственная регистрация баз данных персональных данных осуществляется в соответствии со статьей 9 Закона Украины «О защите персональных данных»..