ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.1. Положення про порядок обробки у персональних даних ТОВ «ГРАДУС РІСЕЧ ПЛЮС» (далі – Положення) розроблено відповідно до європейського законодавства Загальний регламент про захист даних (General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) та законодавства України в частині забезпечення захисту персональних даних із врахуванням вимог:

− Конституції України;

− Господарського кодексу України;

− Цивільного кодексу України;

− Закону України «Про захист персональних даних»;

− Закону України «Про інформацію»;

− Типового порядку обробки персональних даних, затвердженого Наказом Уповноваженого Верховної Ради України з прав людини 08.01.2014р. №1/02-14;

1.2. Положення визначає вимоги ТОВ «ГРАДУС РІСЕЧ ПЛЮС» (далі – Товариство) до обробки та порядку забезпечення захисту персональних даних суб’єктів персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних і технічних заходів.

1.3. Положення розповсюджується на невизначене коло осіб – суб’єктів персональних даних, які вступають або можуть вступати у будь – які відносини з Товариством.

1.4. Положення публікується на офіційному веб - сайті Товариства (http://gradus.app) в мережі Інтернет з метою ознайомлення суб’єктів персональних даних, дані яких обробляються Товариством під час здійснення ним своєї статутної діяльності.

1.5. Положення визначає перелік заходів, спрямованих на безпеку персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.

2.ВИЗНАЧЕННЯ ТЕРМІНІВ ТА СКОРОЧЕННЯ

2.1. База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

2.2. Біометричні дані - персональні дані, отримані в результаті спеціального технічного опрацювання, що стосується фізичних, фізіологічних чи поведінкових ознак фізичної особи, таких як, зображення обличчя чи дактилоскопічні дані, що дозволяють однозначно ідентифікувати або підтверджують однозначну ідентифікацію фізичної особи;

2.3. Володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

2.4. Дані стосовно стану здоров’я - персональні дані, що стосуються стану фізичного чи психічного здоров’я фізичної особи, в тому числі надання медичних послуг, що відображають інформацію про її стан здоров’я;

2.5. Контролер - фізична чи юридична особа, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена, контролер або спеціальні критерії його призначення може бути передбачено законодавством Союзу чи держави-члена (відповідно до європейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) );

2.6. Використання псевдонімів – опрацювання персональних даних у такий спосіб, що персональні дані більше не можна віднести до конкретного суб’єкта даних без використання додаткової інформації, за умови, що таку додаткову інформацію зберігають окремо, і на неї поширюється застосування технічних і організаційних інструментів для забезпечення того, що персональні дані не віднесено до фізичної особи, яку ідентифіковано чи можна ідентифікувати;

2.7. Генетичні дані - персональні дані, що стосуються вроджених або набутих генетичних ознак фізичної особи, надають унікальну інформацію про фізіологію чи здоров’я такої фізичної особи та такі, що отримані, зокрема, в результаті аналізу біологічної проби, взятої у відповідної фізичної особи;

2.8. Згода суб’єкта персональних даних – будь-яке вільно надане, конкретне, поінформоване та однозначне зазначення бажань суб’єкта даних, яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на опрацювання своїх персональних даних;

2.9. Знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

2.10. Інформаційна система (далі - ІС) – сукупність інформаційних ресурсів, середовища передачі даних, обслуговуючого персоналу і організаційних заходів, які використовуються Товариством для задоволення своїх інформаційних потреб;

2.11. Інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді;

2.12. Персональні дані (далі – ПД) – будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;

2.13. Категорії – узагальнені групи персональних даних відповідних суб’єктів;

2.14. Клієнт (Користувач) – суб’єкт персональних даних (фізична особа або представник такої особи), який виступає учасником соціологічних та маркетингових досліджень на основі знеособлених даних а також може бути одержувачем винагороди за участь у опитуваннях , що надаються Товариством та персональні дані якого обробляються Товариством при надані таких послуг;

2.15. Контрагент – суб’єкт персональних даних (фізична особа, фізична особа – підприємець, представник юридичної особи, який діє у цивільно-правових та господарсько-правових відносинах з Товариством;

2.16. Конфіденційна інформація (далі - КІ) – інформація, щодо якої встановлено режим конфіденційності. До КІ відноситься інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. КІ може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом;

2.17. Користувач - особа, що залучається Товариством для виконання відповідних функцій або працівник Товариства, що використовує інформаційні ресурси ІС Товариства для виконання посадових обов’язків;

2.18. Обробка персональних даних – будь-яка операція або низка операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення;

2.19. Обмеження опрацювання – позначення збережених персональних даних з метою обмеження їх опрацювання в майбутньому;

2.20. Правочин – будь – який договір, стороною якого є Товариство, не залежно від його форми та предмету, в тому числі додатки, доповнення до них, угоди про внесення змін до них, документи, що підтверджують дії, спрямовані на укладення, виконання, зміну та припинення будь – яких з цих правочинів;

2.21. Працівник – фізична особа, яка безпосередньо власною працею виконує трудову функцію згідно з укладеним з Товариством трудовим договором (контрактом) та/або фізична особа, яка виконує касові операції для Товариства на підставі укладеного з іншим суб’єктом господарювання договору про надання послуг з надання персоналу;

2.22. Порушення захисту персональних даних - порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано;

2.23. Профайлінг –будь-яка форма автоматизованого опрацювання персональних даних, що складається із використання персональних даних для оцінювання окремих персональних аспектів, що стосуються фізичної особи, зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб’єкта даних на роботі, економічної ситуації, здоров’я, особистих переваг, інтересів, надійності, поведінки, місцезнаходження або пересування;

2.24. Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

2.25. Процесор - фізична чи юридична особа, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера, (відповідно до європейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) ;

2.26. Суб’єкт персональних даних – фізична особа, персональні дані якої обробляються;

2.27. Строк обробки персональних даних – строк, протягом якого Товариство здійснює обробку персональних даних суб’єкта персональних даних, який обчислюється з моменту отримання Товариством персональних даних та згоди на обробку персональних даних та не перевищує строк, необхідний для реалізації мети обробки та строк, визначений законодавством України у сфері архівної справи та діловодства;

2.28. Третя особа – фізична чи юридична особа, орган публічної влади, агентство чи орган, який не є суб’єктом даних, контролером, процесором та особами, які, під безпосереднім керівництвом контролера або процесора, уповноважені опрацьовувати персональні дані;

3.ОСНОВНА ЧАСТИНА

3.1. Обробка персональних даних в Товаристві.

3.1.1.ПД, що обробляються Товариством, відносяться до конфіденційної інформації.

3.1.2.Товариство є володільцем ПД, а у випадках, передбачених чинним законодавством України, та/або на підставі укладених договорів з українськими та іноземними компаніями, Товариство є розпорядником ПД.

3.1.3.Відповідно до європейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) Товариство є контролером ПД, та/або на підставі укладених договорів з українськими та іноземними компаніями, Товариство є процесором ПД.

3.1.4.Товариство обробляє ПД, які акумульовані в бази ПД.

3.1.5.Порядок обробки ПД в Товаристві визначається цим Положенням на підставі чинного законодавства України та європейського законодавства Загальний регламент про захист даних (General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) .

3.1.6.Первинними джерелами відомостей про фізичну особу є видані на її ім’я документи, підписані нею документи, відомості, які особа надає про себе.

3.1.7.Процеси (підпроцеси, процедури) обробки ПД є частиною бізнес-процесів Товариства. Процеси обробки ПД можуть бути автоматизованими або неавтоматизованими.

3.1.8.Товариство обробляє ПД, які можуть бути об’єднані в бази ПД.

3.1.9.Товариство може доручити обробку ПД розпоряднику ПД відповідно до договору, укладеного в письмовій формі. Розпорядник ПД може обробляти ПД лише з метою і в обсязі, визначених у договорі.

3.1.10.В усіх випадках, не врегульованих цим Положенням, необхідно керуватися чинним законодавством України та європейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679).

3.2. Вимоги та підстави для обробки ПД

3.2.1 ПД обробляються у законний, правомірний і прозорий спосіб щодо суб’єкта даних (законність, правомірність і прозорість).

3.2.2.ПД збираються для визначених, чітких і законних цілей і в подальшому не опрацьовуються у спосіб, що є несумісним з такими цілями. Подальше опрацювання для досягнення цілей суспільних інтересів, цілей чи цілей наукового чи історичного дослідження або статистичних цілей не можна вважати несумісним з первинними цілями (цільове обмеження).

3.2.3.Товариство обробляє ПД, які вважаються достатніми і відповідними та обмеженими їх мірою необхідності в них з огляду на цілі опрацювання (мінімізація даних).

3.2.3.Персональні дані вважаються точними і, за необхідності, оновлюються, щоб забезпечити, що неточні персональні дані, зважаючи на цілі їхнього опрацювання, було стерто чи виправлено без затримки (точність).

3.2.4.Товариство зберігає ПД в формі, що дозволяє ідентифікацію суб’єктів даних не довше, ніж це є необхідним для цілей їхнього опрацювання (обмеження зберігання).

3.2.5.Склад та зміст ПД, що обробляються Товариством, мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

3.2.6.Cтрок обробки ПД встановлюється Товариством залежно від категорії суб’єктів ПД, мети обробки ПД та визначається чинним законодавством України та європейським законодавством Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679).

3.2.7.Підставами для обробки персональних даних є:

3.2.7.1.згода суб’єкта ПД на обробку його персональних даних;

3.2.7.2.дозвіл на обробку ПД, наданий володільцю (контролеру) ПД відповідно до законодавства виключно для здійснення його повноважень;

3.2.7.3.укладення та виконання правочину, стороною якого є суб’єкт ПД або який укладено на користь суб’єкта ПД чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта ПД;

3.2.7.3.захист життєво-важливих інтересів суб’єкта ПД;

3.2.7.4.необхідність виконання обов’язку володільця (контролера) ПД, який передбачений законодавством;

3.2.7.5.необхідність захисту законних інтересів володільця (контролера) ПД або третьої особи, якій передаються ПД, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта ПД у зв’язку з обробкою його даних переважають такі інтереси.

3.3.Категорії суб’єктів ПД

3.3.1.Товариство здійснює обробку ПД таких категорій суб’єктів ПД:

- клієнти (фізичні особи та представники таких осіб);

- контрагенти (суб’єкти, які перебувають у цивільно-правових та господарсько-правових відносинах з Товариством - представники юридичної особи, фізичні особи-підприємці або фізичні особи без статусу господарюючого суб’єкта);

- працівники.

3.4. Використання ПД

3.4.1.Використання ПД передбачає будь-які дії Товариства щодо обробки цих даних, їх захисту, а також надання часткового або повного права обробки ПД іншим суб’єктам відносин, пов’язаних із ПД, що здійснюються за згодою суб’єкта ПД чи відповідно до Закону України «Про захист персональних даних» та європейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679).

3.4.2.Для належного використання ПД в Товаристві створені умови для їх захисту.

3.5. Збирання ПД

3.5.1. Збирання ПД є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про суб’єкта персональних даних.

3.5.2.Суб’єкт персональних даних в спосіб, передбачений цим Положенням, повідомляється про володільця (контролера) ПД, склад та зміст зібраних ПД, свої права, визначені чинним законодавством України та та європейським законодавством Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679), мету збору ПД та осіб, яким передаються його персональні дані.

3.5.3.Отримання згоди суб’єкта ПД та повідомлення його про обробку ПД не виконуються, якщо ПД були зібрані із загальнодоступних джерел.

3.6. Порядок доступу до ПД суб’єкту відносин, пов’язаних з ПД

3.6.1.Порядок доступу до ПД третіх осіб визначається Законом України «Про захист персональних даних» та європейським законодавством Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679).

3.6.2.Товариство безоплатно надає суб’єкту ПД інформацію про обробку його ПД, крім випадків, установлених законодавством.

3.6.3.Суб’єкт ПД має право на отримання своїх ПД, які він надав Товариству, в структурованому, загальноприйнятому форматі, що легко зчитується машиною, та має право на передавання таких даних іншому володільцю (контролеру)/розпоряднику (процесору)

3.7.Видалення або знищення ПД

3.7.1.ПД видаляються або знищуються в порядку, встановленому відповідно до вимог чинного законодавства.

3.7.2.ПД підлягають видаленню або знищенню у разі:

- закінчення строку зберігання даних, визначеного згодою суб’єкта ПД на обробку цих даних, якщо інше не передбачено законом;

- припинення правовідносин між суб’єктом ПД та Товариством, якщо інше не передбачено законодавством;

- видання відповідного припису Наглядового органу або визначених ним посадових осіб;

- набрання законної сили рішенням суду щодо видалення або знищення ПД.

3.7.7.Персональні дані, які не відповідають дійсності, мають бути негайно змінені або знищені.

3.7.8.Видалення та знищення ПД здійснюється у спосіб, що виключає можливість їх поновлення.

3.8. Поширення ПД

3.8.1.Поширення ПД передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта ПД.

3.8.2.Поширення ПД без згоди суб’єкта ПД або уповноваженої ним особи дозволяється у випадках, визначених законодавством, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

3.8.3.Виконання вимог встановленого режиму захисту ПД забезпечує сторона, що поширює ці дані.

3.8.4.Сторона, якій передаються ПД, повинна попередньо вжити заходів щодо забезпечення вимог чинного законодавства.

3.8.5.Передача ПД іноземним суб’єктам відносин, пов’язаних із ПД, здійснюється лише за умови забезпечення відповідною державою належного захисту ПД у випадках, встановлених законом або міжнародним договором України.

3.8.6.ПД не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.

3.8.7.ПД можуть передаватися іноземним суб’єктам відносин, пов’язаних з ПД, також у разі:

- надання суб’єктом ПД однозначної згоди на таку передачу;

- необхідності укладення чи виконання правочину між володільцем (контролером) ПД та третьою особою – суб’єктом ПД на користь суб’єкта ПД;

- необхідності захисту життєво важливих інтересів суб’єктів ПД;

- необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;

- надання володільцем (контролером) ПД відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта ПД.

3.9. Передача ПД

3.9.1.Товариство має право передавати ПД суб’єктів ПД, що входять до Категорій «Клієнти», «Контрагенти» та «Працівники» таким третім особам (в тому числі, але не виключно):

- підприємствам, установам і організаціям усіх форм власності, органам державної влади чи органам місцевого самоврядування, фізичним особам - підприємцям, яким Товариством або чинним законодавством надано або буде надано право обробляти персональні дані;

- третім особам, що залучені Товариством та/або приймають участь під час надання Товариством послуги соціологічних та маркетингових досліджень;

- архівним установам та іншим особам, що надають Товариству послуги зберігання інформації та документів і пов'язані з цим послуги;

- учасникам, афілійованим особам Товариства, особам, що мають істотну участь у Товаристві і/або здійснюють контроль над Товариством;

- іншим приватним особам та організаціям для забезпечення виконання останніми своїх функцій або надання послуг Товариству/Товариством відповідно до укладених між такими особами (організаціями) та Товариством правочинів.

3.10. Повідомлення про передачу ПД

3.10.1.Про передачу ПД третій особі Товариство протягом десяти робочих днів повідомляє суб’єкта ПД, окрім наступних випадків:

- передачі ПД за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

- виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

- здійснення обробки ПД в історичних, статистичних чи наукових цілях;

- суб’єкт ПД був повідомлений про можливість такої передачі в момент збору ПД

3.11. Забезпечення захисту ПД

3.11.1.Забезпечення безпеки ПД в Товаристві ґрунтується на наступних фундаментальних принципах:

- принцип мінімальних повноважень: доступ до ПД повинен бути організований таким чином, щоб надавати тільки ті повноваження, яких достатньо для виконання службових завдань та обов’язків;

- принцип явного санкціонування дій: дії співробітників Товариства, пов’язані з ПД, які прямо не передбачені внутрішніми організаційно-розпорядчими або нормативними документами Товариства, є забороненими;

- принцип законності: Товариство враховує вимоги чинного законодавства України пов’язаного з безпекою персональних даних;

- принцип відповідальності: керівництво Товариства, а також співробітники, бізнес-партнери і будь-які треті сторони, які мають або мали доступ до персональних даних, повинні дотримуватися вимог регламентуючих документів та законодавства України та європейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) .

- принцип комплексності та системності: захист персональних даних в Товаристві забезпечується на правовому, адміністративному, організаційному і програмно-технічному рівнях, а також шляхом комплексного застосування засобів захисту інформації та взаємодії всіх підрозділів Товариства між собою.

3.11.2.Товариство вживає заходів щодо забезпечення захисту ПД на всіх етапах їх обробки за допомогою організаційних та технічних заходів.

3.11.3.Захист ПД передбачає заходи, спрямовані на запобігання їх випадковим втратам або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до ПД.

4.ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ СУБ'ЄКТІВ КАТЕГОРІЇ «КЛІЄНТИ (КОРИСТУВАЧІ)»

4.1. У Категорії «Клієнти» (Користувачі) Товариство здійснює обробку ПД суб’єктів ПД (фізичних осіб та їх уповноважених представників), які є учасником соціологічних та маркетингових досліджень, що надаються Товариством.

4.2. ПД суб’єктів Категорії «Клієнти» (Користувачі) обробляються для цілей проведення соціологічних та маркетингових досліджень на основі знеособлених даних а також надання учаснику винагороди за участь у опитуваннях

4.3. Товариством та виконання вимог законодавства України та европейського законодавства Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679).

4.4. Метою обробки ПД суб’єктів вказаної Категорії є:

● забезпечення реєстрації Клієнта (Користувача) у Мобільному Додатку Товариства та на офіційному сайті Товариства (https://gradus.app/uk/ );

● удосконалення функціонування Мобільного Додатку Товариства;

● формування, підбір та надсилання Мобільним Додатком Клієнту (Користувачеві) опитувань/тестувань та пропозицій висловити власну думку;

● аналіз результатів опитування/тестування та виявлення власної думки з метою зведення показників різних Клієнтів (Користувачів) для ілюстрації тієї чи іншої точки зору у суспільстві та передача таких результатів особам, на замовлення яких був проведений аналіз;

● попередження шахрайства та інших незаконних дій Клієнтів (Користувачів);

● проведення опитувань/тестувань та надсилання пропозицій виявлення власної думки, зокрема із залученням третіх осіб;

● надсилання повідомлень про новини у Мобільному Додатку Товариства

● можливість використовувати телефон для зв’язку та надання заохочення;

● забезпечення комунікацій з Клієнтами (Користувачами);

● зв'язок з Клієнтом (Користувачем), в тому числі надсилання повідомлень, запитів та інформації, що стосуються використання офіційного сайту Товариства (https://gradus.app/uk/ ) та/або Мобільного Додатку, розсилки новин та рекламної інформації про товари, послуги, спеціальні пропозиції;

● розсилка службових повідомлень (наприклад, для відновлення пароля доступу до Облікового запису Клієнта (Користувача)) в мобільному додатку Товариства чи на офіційном сайті Товариства (https://gradus.app/uk/ );

● підготовки відповідно до вимог законодавства статистичної, адміністративної та іншої звітної інформації з питань діяльності Товариства;

● дотримання вимог законодавства у сфері оподаткування;

4.5. Склад ПД, обробку яких здійснює Товариство в Категорії «Клієнти» (включаючи, але не обмежуючись):

● адреса електронної пошти для реєстрації у Мобільному Додатку Товариства та на офіційному сайті Товариства (https://gradus.app/uk/ );

● ім’я та/або псевдонім;

● фото (у разі авторизації через соціальну мережу);

● стать;

● дата народження;

● вік;

● область та/або населений пункт проживання;

● пристрій та/або операційна система Клієнта (Користувача);

● номер телефону;

● геолокація Клієнта (Користувача);

● дані зі списку контактів, якщо користувач дав дозвіл на доступ;

● IP-адресу, з якої здійснювався доступ до Мобільного Додатку Товариства та/або офіційного сайту Товариства (https://gradus.app/uk/ );

5.ПОВІДОМЛЕННЯ ПРО ПРАВА СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

5.1. Товариство повідомляє суб'єктів персональних даних про їх права як суб’єктів персональних даних, що обумовлені ст.8 Закону України «Про захист персональних даних» та європейським законодавством Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) , в тому числі:

- знати про джерела збирання, місцезнаходження свої ПД, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця (контролера) чи розпорядника (процесора) ПД або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

- отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про третіх осіб, яким передаються їх ПД;

- на доступ до своїх ПД;

- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються їх ПД, а також зміст таких ПД;

- пред'являти вмотивовану вимогу щодо зміни або знищення своїх ПД будь-яким володільцем (контролером) та розпорядником (процесором) ПД, якщо ці дані обробляються незаконно чи є недостовірними;

- на захист своїх ПД від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

- право подавати скаргу до наглядового органу;

- застосовувати засоби правового захисту в разі порушення законодавства про захист ПД;

- вносити застереження стосовно обмеження права на обробку своїх ПД під час надання згоди;

- право на стирання своїх ПД, яке повинен здійснити розпорядник (контролер) без будь-якої безпідставної затримки;

- відкликати згоду на обробку ПД, крім випадку обробки ПД у зв’язку з виконанням володільцем (контролером) ПД обов’язку, який передбачений законом;

- знати механізм автоматичної обробки їх ПД;

- на захист від автоматизованого рішення, яке має для них правові наслідки.

6.ЗАКЛЮЧНІ ПОЛОЖЕННЯ

Товариство вживає заходів щодо забезпечення захисту ПД на всіх етапах їх обробки.

Товариство самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки ПД, з урахуванням вимог законодавства у сферах захисту ПД, інформаційної безпеки.

Захист ПД передбачає заходи, спрямовані на запобігання їх випадкових втрат або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до ПД.

ПД залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.

Це Положення (його наступні редакції) публікується на офіційному сайті Товариства за адресою: https://gradus.app/uk/