Положення про обробку та захист персональних даних в базі персональних даних, що належить MYDUTYFREE

1. Загальні поняття та сфера застосування

   1. Термины и определения
      база даних персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
      відповідальна особа — певна особа, яка організовує роботу, пов'язану із захистом персональних даних під час їх обробки, відповідно до закону;
      власник бази даних — фізична або юридична особа, якій за законом або згодою суб'єкта даних було надано право обробляти ці дані, хто затверджує мету обробки персональних даних у цій базі даних, встановлює сховище даних і процедури їх обробки, якщо інше передбачено законом;
      державний реєстр баз даних персональних даних — єдина державна інформаційна система збору, накопичення та обробки списків зареєстрованих персональних даних;
      публічні джерел персональних даних — довідники, адресні книги, реєстри, списки, каталоги та інші систематичні збори публічної інформації, які містять персональні дані, опубліковані та опубліковані за згодою суб'єкта персональних даних.
      Соціальні мережі та інтернет-ресурси, в яких суб'єкт даних залишає свої персональні дані (за винятком випадків, коли суб'єкт даних чітко заявляє, що особисті дані розміщені з метою їх вільного розповсюдження та використання), не вважаються публічними джерелами персональних даних.
      згода суб'єкта персональних даних — будь-яку документально оформлену добровільну згоду фізичної особи, яка надає дозвіл на обробку його особистих даних, відповідно до заявленої мети їх обробки;
      де-ідентифікація персональних даних — вилучення інформації, що дає можливість ідентифікувати особу;
      обробка персональних даних — будь-які дії, що виконуються повністю або частково в інформаційній (автоматизованій) системі та / або в файлах персональних даних, що пов'язані зі збором, реєстрацією, накопиченням, збереженням, адаптацією, зміною, оновленням, використанням і поширенням ( реалізація, передача), де-персоналізацією, знищенням даних про фізичну особу;
      персональні дані — дані про індивіда (фізичну особу), які ідентифікуються або можуть бути конкретно визначені;
      розпорядник бази даних — фізична або юридична особа, якій, власником або законом, надано право обробляти ці дані. Особа, якій власником та / або процесором бази даних доручена робота технічного характеру з базою персональних даних без доступу до змісту персональних даних, не може вважатися процесором бази даних.
      суб'єкта персональних даних — фізична особа, щодо якої обробляються особисті дані, відповідно до закону;
      третя особа — будь-яка особа, за винятком суб'єкта персональних даних, власника або процесора бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, яким розкриваються особисті дані власником або процесором, відповідно до закону;
      спеціальні категорії даних — личные данные о расовом или этническом происхождении, политических, религиозных или идеологических убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или сексуальной жизни.
   2. Це Положення є обов'язковим для використання відповідальною особою та працівниками продавця, які безпосередньо обробляють та / або мають доступ до персональних даних у зв'язку з виконанням своїх службових обов'язків.

2. Перелік баз персональних даних

   Продавець є власником наступних баз даних персональних даних:

   • База даних персональних даних клієнтів

3. Мета обробки персональних даних

   Метою обробки персональних даних у системі є зберігання та ведення даних клієнта відповідно до статей 6, 7 Закону України «Про захист персональних даних»

4. Порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з особистими даними суб'єкта персональних даних

   • Згода суб'єкта персональних даних повинна бути вільною волею фізичної особи надати дозвіл на обробку своїх персональних даних відповідно до заявленої мети обробки. Згода суб'єкта персональних даних може бути надана у такій формі:
     • відмітка на електронній сторінці документа або в електронному файлі, який обробляється в інформаційній системі на основі документованого програмного забезпечення та технічних рішень.
   • Повідомлення суб'єкта персональних даних про включення його персональних даних до баз персональних даних, прав, визначених Законом України "Про захист персональних даних", мети збору персональних даних та осіб, яким його або її особисті дані розкриваються під час оформлення замовлення на сайті mydutyfree.net.
   • Забороняється обробка особистих даних про расове чи етнічне походження, політичні, релігійні чи ідеологічні переконання, членство в політичних партіях і профспілках, а також дані, що стосуються здоров'я або сексуального життя (конкретні категорії даних)..

5. Розташування бази даних персональних даних

   Бази персональних даних, зазначені у розділі 2 цього Положення, знаходяться за адресою компанії «Mydutyfree».

6. Privacy and personal data collection, processing and storage policy

   We collect, store and use your personal data in accordance with national legislation and standards of international law in the field of information security, including “Protection of personal data” Law dated 01.06.2010 № 2297-VI, as well as the Rules for the processing of personal data established by the General Data Protection Regulations (EU Regulation 2016/679 of April 27, 2016 or the GDPR - General Data Protection Regulation).

   We collect, store and use personal information with the permission of the user. We provide the user with access to the personal information that we store, and we provide the ability to change and delete information at any time through the personal account or upon request to our support team.

   We only collect and process the minimal amount of personal data required for providing the Service.

   We collect and store the following information:

   Personal data, cookies, and usage data::
   • referral source, utm-tags
   • operating system, browser type and version, IP address
   • country, city, language preferences
   • gender, age, name, surname
   • phone number, email address
   • tokens for push notifications
   • data available from social networks when it is linked to the account (avatar, etc.)
   Special::
   • actions (view history, additions to favorites and shopping cart, search queries, filters applied, order history, etc.)
   • answers from questionnaires, actions associated with additional functions (lotteries, referral systems, etc.)
   • airport, date and time of departure
   • history of email and phone notifications
   • history of chat bot correspondence and technical support operator correspondence

   The statistical information that we collect (for example, information about the session duration) is stored in an impersonal and encrypted form.

   The information is used by us for the purpose of providing the Services, confirming the identity of the user, timely notifying the user of the forced changes in the conditions for providing the Service, for conducting marketing research and activities.

   In order to provide the Services, we can transfer personal data to third parties.

   The data is transferred to third parties in an encrypted form - to the partners of the Service, as well as to the services that operate the working process of the Service.

   Only the minimum amount of information necessary to ensure the provision of the Services is transferred.

   We pass on the name and surname of the customers of TezTour Турагенція, who used the affiliate promo code to increase the discount on our website, to the company TezTour Турагенція. This happens only for those users who are already customers of TezTour Турагенція, and therefore have already given their name and surname to the company, as well as entered the promotional code they previously received from the company representative.

   List of partners and services::
   • Google Analytics, Yandex Analytics, MixPanel
   • authorized locations - cash desks in the stores where customer service is provided
   • Belavia, S7, Natalitours, Ural Airlines, TezTour Турагенція
   • the exchange of user personal data takes place in the process of interaction with external social networks and platforms like Google+, Facebook, Instagram, Twitter, VK

   We collect cookies that are required for Service functioning and providing the Services. Cookies are stored in an encrypted form and are deleted as soon as there is no need for them.

   Please note that EU citizens who are under the age of 16 can use the Service only after obtaining consent for personal data processing of personal data from their parents (or legal representatives), through the authorization of our Service.

   We take all reasonable steps to maintain the appropriate level of security during the use of our Service. An authorized employee of our company is responsible for ensuring the protection of the information.

   We do not transfer personal information to unauthorized third parties and do not store unauthorized copies of informational data.

   In case of revealing the leak of data, we inform the user and the authorized authorities about this leak within 72 hours.

   Using our service, you must agree to our use of your personal data. Granting your consent to the use of your personal data, you guarantee that the information provided is true.

   If you do not agree to provide information that is necessary for us to provide the Services, you may be barred from using the Service.

   Please note that if you voluntarily place your personal data online in an unprotected internet environment – for example, in blog comments, this information can be collected and used by third parties outside our control.

   You have the following rights regarding your personal data:
   • The right to request for access to your personal data and information about how we use your personal information
   • The right to correct your personal data if it is not fully specified or contains inaccuracies
   • The right to remove your personal data we store in full or partially at any time
   • The right to withdraw the consent to the processing your personal data by us in full or partially. Exercise of this right will not mean the illegality of any of our procedures with your personal data, which were carried out on the basis of your previously granted consent
   • The right to send a complaint related to the processing of your personal data by us directly to any local branch of the supervisory authority

   If you have any questions regarding the procedure for the implementation of the abovesaid rights, other questions, suggestions and / or claims regarding the operation of our Service, please contact our support team: support@mydutyfree.net.

7. Умови розкриття інформації про персональні дані третім особам

   1. Процедура доступу до персональних даних третіми особами визначається умовами згоди суб'єкта персональних даних, що надається власнику бази персональних даних для обробки цих даних, або відповідно до вимог закону.
   2. Доступ до персональних даних не надається третій особі, якщо зазначена особа відмовляється від виконання зобов'язань щодо виконання умов Закону України «Про захист персональних даних» .
   3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит на доступ (далі - запит) до персональних даних, власнику бази персональних даних.
   4. Запит повинен містити:
      • прізвище, ім'я, по батькові, місце проживання (місце перебування) та реквізити документа, що засвідчує особу, яка робить запит (для фізичної особи - заявника);
      • ім'я, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);;
      • прізвище, ім'я та по батькові, а також іншу інформацію, яка дає можливість визначити фізичну особу, щодо якої робиться запит;
      • інформацію про базу даних персональних даних, щодо якої зроблений запит, або інформацію про власника або розпорядника цієї бази даних;
      • список запитуваних персональних даних;
      • мета запиту.
   5. Термін вивчення запиту для його задоволення не може перевищувати десяти робочих днів з дня його надходження.
      Протягом цього періоду власник бази персональних даних повідомляє особі, яка подала запит, що його буде задоволено, або відповідні особисті дані не будуть надані, із зазначенням підстав, зазначених у відповідному правовому акті.
      Запит задовольняється протягом тридцяти календарних днів з дати його прийняття, якщо інше не передбачено законом.
   6. Усі працівники власника бази персональних даних зобов'язані дотримуватися вимог конфіденційності щодо персональних даних.
   7. Відсрочка доступу до персональних даних третім особам допускається, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня отримання запиту. У той же час загальний час вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.
   8. Повідомлення про відстрочку подається до відома третьої сторони, яка подала запит, у письмовій формі, пояснюючи процедуру оскарження такого рішення.
   9. Звіт про відстрочку повинен включати:
      • прізвище, ім'я та по батькові посадової особи;
      • дата відправки повідомлення;
      • причина відстрочки;
      • період, протягом якого запит буде задоволено.
   10. Відмова у доступі до персональних даних дозволяється, якщо доступ до них заборонений законом.
   11. Повідомлення про відхилення повинно включати:
       • прізвище, ім'я та по батькові посадової особи, яка відмовила у доступі;
       • дата відправки повідомлення;
       • причини відмови;
   12. Рішення про вилучення або відмову у доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, повноваження яких включають захист персональних даних, або в суді..

8. Захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо обробляють та / або мають доступ до персональних даних в зв'язку з виконанням своїх службових обов'язків, умови зберігання персональних даних

   1. Власник бази персональних даних обладнаний системними, програмними та апаратними засобами та засобами зв'язку, які запобігають втраті, крадіжці, несанкціонованому знищенню, викривленню, копіюванню інформації та відповідають вимогам міжнародних та національних стандартів.
   2. Відповідальна особа організовує роботу, пов'язану із захистом персональних даних під час їх обробки, відповідно до закону. Відповідальна особа визначається постановою власника бази персональних даних.
      Обов'язки відповідальної особи в організації роботи, пов'язаної з захистом персональних даних під час їх обробки, зазначені в посадовій інструкції.
   3. Відповідальна особа повинна:
      • знати законодавство України у сфері захисту персональних даних;
      • розробити процедуру доступу до персональних даних працівників відповідно до їх професійних, службових або трудових обов'язків;
      • забезпечити, щоб працівники власника бази персональних даних відповідали вимогам українського законодавства у сфері захисту персональних даних та внутрішніми документами, що регулюють діяльність власника бази даних персональних даних щодо обробки та захисту персональних даних в базах персональних даних;
      • розробити порядок внутрішнього контролю за дотриманням вимог законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність власника бази персональних даних для обробки та захисту персональних даних в базах персональних даних, які, зокрема, повинні містити стандарти щодо частоти такого контролю;
      • інформувати власника бази персональних даних про факти порушень співробітниками умов законодавства України у сфері захисту персональних даних та внутрішніх документів, що регулюють діяльність власника бази персональних даних щодо обробки та захисту персональних даних в базах персональних даних не пізніше, ніж за один робочий день з моменту виявлення таких порушень;
      • забезпечити зберігання документів, що підтверджують надання суб'єком персональних даних згоди на обробку його персональних даних та повідомлення суб'єкта даних про його права.
   4. Для виконання своїх обов'язків відповідальна особа має право :
      • отримувати необхідні документи, включаючи накази та інші адміністративні документи, видані власником бази персональних даних, пов'язаних з обробкою персональних даних;
      • робити копії отриманих документів, включаючи копії файлів, будь-яких записів, що зберігаються в локальних комп'ютерних мережах і автономних комп'ютерних системах;
      • брати участь в обговоренні своїх обов'язків в організації роботи, пов'язаної з захистом персональних даних під час їх обробки;
      • подавати пропозиції щодо вдосконалення діяльності та вдосконалення методів роботи, подавати зауваження та варіанти усунення виявлених недоліків у процесі обробки персональних даних;
      • отримувати пояснення з питань обробки персональних даних;
      • підписувати та затверджувати документи в межах компетенції.
   5. Працівники, які безпосередньо обробляють та / або мають доступ до персональних даних у зв'язку з виконанням своїх службових (робочих) обов'язків, повинні відповідати вимогам українського законодавства у сфері захисту персональних даних та внутрішніми документами щодо обробки та захисту персональних даних в базах даних персональних даних.
   6. Співробітники, які мають доступ до персональних даних, зокрема їх обробку, зобов'язані запобігти розкриттю особистих даних, довірених їм, або які стали відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків будь-яким чином. Таке зобов'язання діє після закінчення діяльності, пов'язаної з персональними даними, за винятком випадків, встановлених законом.
   7. Особи, які мають доступ до персональних даних, включаючи тих, хто обробляє дані, у разі порушення умов Закону України «Про захист персональних даних» несуть відповідальність згідно із законодавством України.
   8. Персональні дані не повинні зберігатися довше, ніж це необхідно для цілей, для яких такі дані зберігаються, але, у будь-якому випадку, не довше, ніж період, визначений згодою суб'єкта персональних даних на обробку цих даних.

9. Права суб'єкта персональних даних

   Суб'єкт персональних даних має право:

   • знати про місцезнаходження бази персональних даних, яка містить його особисті дані, її призначення та назву, місцезнаходження та / або місце проживання (перебування) власника або процесора цієї бази даних або давати відповідні інструкції для отримання цієї інформації уповноваженими ним особами, крім випадків, передбачених законом;
   • доступ до своїх особистих даних, що містяться у відповідній базі персональних даних;
   • отримати відповідь про те, чи зберігаються його або її особисті дані у відповідній базі персональних даних, а також отримати вміст своїх персональних даних, що зберігаються, не пізніше ніж через тридцять календарних днів з дати запиту, за винятком випадків, передбачених законом;
   • подати обґрунтований запит із запереченням щодо обробки персональних даних органами державної влади, місцевими органами влади при виконанні своїх обов'язків, передбачених законом;
   • подати обґрунтований запит на заміну або знищення персональних даних будь-яким контролером і власником цієї бази даних, якщо ці дані обробляються незаконно або ненадійні;
   • захищати особисті дані від незаконної обробки та випадкової втрати, знищення, пошкодження внаслідок умисного приховування, ненадання або несвоєчасного надання, а також для захисту від відомостей, які є ненадійними або дискредитують честь, гідність і ділову репутацію особи;
   • звертатися за захистом своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, які мають право захищати особисті дані;
   • застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

10. Порядок роботи з запитами суб'єкта персональних даних

    1. Суб'єкт персональних даних має право отримувати будь-яку інформацію про себе від будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, за винятком випадків, передбачених законом.
    2. Доступ до персональних даних суб'єктом персональних даних є безкоштовним.
    3. Суб'єкт персональних даних подає запит на доступ (далі - запит) lдо персональних даних до контролера бази персональних даних.
       Запит повинен містити:
       • прізвище, ім'я та по батькові, місце проживання (місце перебування) та реквізити документа, що засвідчує особу суб'єкта персональних даних;
       • іншa інформацію, яка дозволяє ідентифікувати особу суб'єкта персональних даних;
       • інформацію про базу даних персональних даних, щодо якої зроблений запит, або інформацію про власника або розпорядника цієї бази даних;
       • Перелік запитуваних персональних даних.
    4. Термін вивчення запиту на його задоволення не може перевищувати десяти робочих днів з дати отримання.
    5. Протягом цього періоду контролер бази персональних даних повідомляє суб'єкта персональних даних про те, що запит буде задоволений або відповідні особисті дані не будуть надані, із зазначенням підстав, зазначених у відповідному правовому акті.
    6. Запит задовольняється протягом тридцяти календарних днів з дати отримання, за винятком випадків, передбачених законом.

11. Державна реєстрація бази персональних даних

    Державна реєстрація баз даних персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».