Політика конфіденційності
1. Визначення понять
Поняття, що використовуються в цій Політиці конфіденційності, означають наступне:
Сайт — сайт, що працює на основі принципів, викладених у цьому документі, і відповідно до чинного законодавства в інтернет-домені foodtrade.com.pl.
Оператор — суб’єкт, який управляє Сайтом, тобто компанія Food Trade Sp. z o.o., зареєстрована у Варшаві (ul. Smulikowskiego 6/8, 00-389 Warszawa), внесена до реєстру підприємців, який веде Окружний суд у Варшаві, 12-й господарський відділ Національного судового реєстру, під номером KRS 0000801228.
Користувач — будь-яка фізична особа, юридична особа або організаційна одиниця без статусу юридичної особи, яка використовує Сайт.
Персональні дані — будь-яка інформація, що стосується фізичної особи, яка ідентифікована або може бути конкретно ідентифікована принаймні за одним із факторів, що визначають фізичну, фізіологічну, генетичну, ментальну, економічну, культурну чи соціальну ідентичність цієї фізичної особи.
Адміністратор персональних даних (також: Адміністратор) — фізична або юридична особа, державний орган, підрозділ або інший суб’єкт, який самостійно або спільно з іншими встановлює цілі та способи опрацювання персональних даних.
Загальний регламент про захист даних (General Data Protection Regulation, GDPR) — Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС.
2. Вступна інформація
1. Food Trade надає особливого значення дотриманню конфіденційності Користувачів. Ми вживаємо належних заходів, щоб гарантувати належний захист усіх даних, у тому числі персональних, наданих Користувачами. Ця Політика конфіденційності містить основну інформацію щодо опрацювання та захисту персональних даних Користувачів, включаючи підстави, цілі та обсяг опрацювання персональних даних та права суб’єктів даних.
2. Адміністратором персональних даних Користувачів у зв’язку з використанням Сайту є Оператор. У разі виникнення питань або сумнівів щодо опрацювання персональних даних Користувачів та їх прав, будь ласка, зв’яжіться з Оператором через контактну форму.
3. Персональні дані опрацьовуються відповідно до чинного законодавства, зокрема Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних або GDPR).
4. Надання Користувачами персональних даних є добровільним, за винятком наступних випадків:
а) Укладення договору. Ненадання персональних даних, необхідних для укладення та виконання договору, унеможливлює укладення договору. Надання персональних даних у цьому випадку є договірною вимогою. Таким чином, для укладення договору суб’єкт даних повинен надати необхідні дані, зазначені на Сайті.
б) Законодавче зобов’язання. Надання персональних даних у цьому випадку є законодавчою вимогою, що випливає з відповідних правових положень, які покладають на Адміністратора обов’язок опрацювання персональних даних. Ненадання Користувачами необхідних даних не дозволяє Адміністратору виконати це зобов’язання.
5. Ми гарантуємо, що дані, які ми збираємо:
— опрацьовуються відповідно до законодавства;
— збираються для законних цілей і не підлягають опрацюванню, несумісному з цими цілями;
— є фактично правильними та відповідають цілям, для яких вони опрацьовуються;
— вони зберігаються у формі, яка дозволяє ідентифікувати осіб, яких вони стосуються, не довше, ніж це необхідно для досягнення цілі опрацювання;
— опрацьовуються таким чином, щоб забезпечити належну безпеку за допомогою відповідних технічних та організаційних заходів.
6. Будь ласка, зверніть увагу, що Сайт може розміщувати посилання, які дозволяють Користувачам переходити безпосередньо на інші сайти або використовувати функції, інтегровані з програмами та системами інших постачальників, таких як Facebook або Google. Оператор не має впливу на політику конфіденційності, яку застосовують інші організації. Тому, з міркувань безпеки, перш ніж використовувати ресурси інших сайтів, ви повинні ознайомитися з їхньою політикою конфіденційності та політикою кукі-файлів або зв’язатися з адміністратором даного сайту для отримання інформації з цього приводу.
7. Використання Сайту можливе без надання персональних даних. У цьому випадку Адміністратор отримує доступ до такої інформації, як дані про пристрій Користувача (включаючи IP-адресу) та дані про відвідування Сайту Користувачем (включаючи час і тривалість відвідування, відвідані сторінки, пошуки, завантажені матеріали, тощо). Ця інформація використовується лише для адміністративних і статистичних цілей, а також для оптимізації структури, змісту та функцій Сайту.
8. Інформація про кукі-файли та подібні технології міститься в Політиці кукі-файлів.
3. Ціль, підстава, строк та обсяг опрацювання персональних даних
1. У випадку персональних даних, наданих Користувачами, Адміністратор має право опрацьовувати їх, якщо виконується хоча б одна з наступних умов:
— суб’єкт даних дав згоду на опрацювання його персональних даних для конкретних цілей;
— опрацювання необхідне для виконання договору, коли суб’єкт даних є його стороною, або для виконання дій на запит суб’єкта даних до укладення договору;
— опрацювання необхідне для виконання юридичного зобов’язання, покладеного на Адміністратора;
— опрацювання необхідне для цілей, що випливають із законних інтересів, які переслідує Адміністратор або третя сторона, за винятком випадків, коли ці інтереси переважають інтересами або основними правами та свободами суб’єкта даних, що вимагає захисту персональних даних, зокрема, коли суб’єктом даних є дитина (Адміністратор повідомляє, що представлений на Сайті контент не призначений для дітей).
2. Адміністратор може опрацьовувати персональні дані Користувачів для укладення та виконання договору або вчиняти дії за запитом суб’єкта даних до укладення договору. Юридичною підставою в цьому випадку є стаття 6(1)(b) GDPR. Дані, що опрацьовуються, включають ім’я та прізвище, адресу електронної пошти, номер контактного телефону, адресу проживання, підприємства або зареєстрованого офісу; у випадку Користувачів, які не є споживачами, Адміністратор може додатково опрацьовувати назву компанії, податковий номер та код в реєстрі підприємців та організацій. Дані зберігаються протягом періоду, необхідного для виконання, розірвання або іншого закінчення терміну дії договору, а також після його припинення до закінчення строків позовів, що випливають із нього.
3. Адміністратор може опрацьовувати персональні дані Користувачів для цілей прямого маркетингу. Юридичною підставою в цьому випадку є стаття 6(1)(f) GDPR. Дані, що опрацьовуються, включають адресу електронної пошти. Дані зберігаються протягом періоду існування законного інтересу, який переслідує Адміністратор, але не більше, ніж протягом строку позовної давності позовів до суб’єкта даних у зв’язку з господарською діяльністю, яку здійснює Адміністратор (строк позовної давності визначається законодавством, зокрема Цивільним кодексом). Адміністратор не має права опрацьовувати дані для цілей прямого маркетингу в разі ефективного заперечення суб’єкта даних.
4. Адміністратор може опрацьовувати персональні дані Користувачів для здійснення маркетингової діяльності. Юридичною підставою в цьому випадку є стаття 6(1)(a) GDPR. Дані, що опрацьовуються, включають ім’я та прізвище та адресу електронної пошти. Дані зберігаються до тих пір, поки суб’єкт даних не відкличе свою згоду на подальше опрацювання його даних для цієї цілі.
5. Адміністратор може опрацьовувати персональні дані Користувачів для виконання своїх юридичних зобов’язань, у тому числі тих, що випливають із податкового законодавства. Юридичною підставою в цьому випадку є стаття 6(1)(c) GDPR. Дані, що опрацьовуються, включають ім’я та прізвище, адресу електронної пошти, номер контактного телефону, адресу проживання, підприємства або зареєстрованого офісу; у випадку Користувачів, які не є споживачами, Адміністратор може додатково опрацьовувати назву компанії, податковий номер та код в реєстрі підприємців та організацій. Дані зберігаються протягом періоду, передбаченого законодавством, наприклад, до закінчення терміну дії податкових зобов’язань.
6. Адміністратор може опрацьовувати персональні дані Користувачів для аналітичних цілей і з міркувань безпеки. Юридичною підставою в цьому випадку є стаття 6(1)(f) GDPR. Дані, що опрацьовуються, включають дані про дії Користувачів на Сайті, такі як відвідані сторінки та час, проведений на них, а також дані про історію пошуку, IP-адресу, ідентифікаційний номер пристрою та дані про браузер і операційну систему. Дані зберігаються протягом періоду існування законного інтересу Адміністратора, який полягає в покращенні функціонування Сайту шляхом вдосконалення його структури та змісту та запобігання можливим зловживанням, але не більше, ніж протягом строку позовної давності позовів до суб’єкта даних у зв’язку з господарською діяльністю, яку здійснює Адміністратор (строк позовної давності визначається законодавством, зокрема Цивільним кодексом).
7. Адміністратор може опрацьовувати персональні дані Користувачів для цілей визначення або виконання позовних вимог або захисту від позовів. Юридичною підставою в цьому випадку є стаття 6(1)(f) GDPR. Дані, що опрацьовуються, включають ім’я та прізвище, адресу електронної пошти, номер контактного телефону, адресу проживання, підприємства або зареєстрованого офісу; у випадку Користувачів, які не є споживачами, Адміністратор може додатково опрацьовувати назву компанії, податковий номер та код в реєстрі підприємців та організацій. Дані зберігаються протягом періоду існування законного інтересу, який переслідує Адміністратор, але не більше, ніж протягом строку позовної давності позовів до суб’єкта даних у зв’язку з господарською діяльністю, яку здійснює Адміністратор (строк позовної давності визначається законодавством, зокрема Цивільним кодексом).
4. Передача даних та одержувачі даних
1. Для належного функціонування Сайту необхідна підтримка зовнішніх організацій. Адміністратор користується лише послугами суб’єктів, які забезпечують належні технічні та організаційні заходи для забезпечення відповідності GDPR та захисту прав суб’єктів даних.
2. Адміністратор надає персональні дані Користувачів постачальникам, які діють від його імені, лише в обсязі, необхідному для досягнення конкретної цілі опрацювання даних.
3. Персональні дані Користувачів можуть бути передані наступним одержувачам або категоріям одержувачів:
— суб’єкти, які здійснюють поштову або кур’єрську діяльність;
— банки та організації, які дають змогу здійснювати дистанційні платежі;
— постачальники бухгалтерських, юридичних та консультаційних послуг;
— постачальники, що надають технічні, ІТ- та організаційні рішення, які дозволяють Адміністратору вести господарську діяльність (зокрема, постачальники програмного забезпечення, електронної пошти та хостингу).
4. Персональні дані Користувачів також можуть бути передані державним органам або іншим особам, уповноваженим на це відповідно до законодавства.
5. У зв’язку з тим, що рівень захисту персональних даних за межами Європейської економічної зони (ЄЕЗ) відрізняється від того, що передбачено європейським законодавством, Адміністратор передає персональні дані за межі ЄЕЗ (до так званих третіх країн) лише тоді, коли це необхідно, та з належним ступенем захисту.
6. Адміністратор повідомляє про намір передати персональні дані за межі ЄЕЗ на етапі їх збору.
5. Автоматизоване прийняття рішень, у тому числі профілювання
1. В рамках зобов’язання щодо інформування про автоматизоване прийняття рішень, у тому числі профілювання, зазначене в статті 22(1) і (4) GDPR, про правила їх прийняття та про значення та очікувані наслідки такого опрацьовання для суб’єкта даних, Адміністратор повідомляє, що він може використовувати профілювання на Сайті.
2. Це профілювання базується на автоматичному аналізі або прогнозі поведінки Користувачів на Сайті на основі історії їхніх дій. Умовою такого профілювання є наявність у Адміністратора персональних даних Користувачів.
3. Персональні дані опрацьовуються автоматизованим способом, у тому числі на підставі профілювання, лише для того, щоб зміст Сайту відповідав уподобанням та інтересам Користувачів. Автоматизоване опрацювання, включаючи профілювання, не матиме жодних юридичних наслідків і суттєво не вплине на становище Користувачів.
6. Права суб’єктів даних
Суб’єкти даних мають наступні права:
1. Суб’єкт даних має право отримати від Адміністратора підтвердження щодо того, чи опрацьовуються його персональні дані. Якщо опрацювання здійснюється, суб’єкт даних має право на доступ до цих даних і наступної інформації:
— цілі опрацювання;
— категорії відповідних персональних даних;
— інформації про одержувачів або категорії одержувачів, яким персональні дані були або будуть розкриті, зокрема про одержувачів у третіх країнах або міжнародних організаціях;
— наскільки це можливо, запланованого періоду зберігання персональних даних, а якщо це неможливо, критеріїв визначення цього періоду;
— інформаціії про право вимагати від Адміністратора виправлення, видалення або обмеження опрацювання персональних даних, що стосуються суб’єкта даних, а також заперечувати проти такого опрацювання;
— інформаціії про право подати скаргу до наглядового органу;
— інформації про автоматизоване прийняття рішень, у тому числі профілювання, відповідної інформації про принципи їх прийняття, а також про значення та очікувані наслідки такого опрацювання для суб’єкта даних.
Це право не може зачіпати прав і свобод інших осіб.
2. Суб’єкт даних має право вимагати від Адміністратора негайного виправлення неправильних даних або доповнення неповних даних.
3. Суб’єкт даних має право вимагати від Адміністратора негайного видалення його персональних даних («право бути забутим» або «право на забуття»). Адміністратор зобов’язаний видалити ці персональні дані без невиправданої затримки, якщо виникне одна з наступних обставин:
— персональні дані більше не потрібні для цілей, для яких вони були зібрані або іншим чином опрацьовані;
— суб’єкт даних відкликав згоду, на якій ґрунтується опрацювання відповідно до статті 6(1)(a), і немає іншої правової підстави для опрацювання;
— суб’єкт даних заперечив проти опрацювання відповідно до статті 21(1) (і немає переважних законних підстав для опрацювання) або статті 21(2) GDPR;
— персональні дані опрацьовувалися незаконно;
— персональні дані повинні бути видалені для дотримання юридичних зобов’язань, передбачених законодавством ЄС або законодавством держави-члена, якому підпорядковується Адміністратор;
— персональні дані були зібрані у зв’язку з пропозицією послуг інформаційного суспільства, зазначених у статті 8(1) GDPR.
4. Суб’єкт даних має право вимагати від Адміністратора обмеження опрацювання в наступних випадках:
— точність персональних даних оскаржується суб’єктом даних (протягом періоду, який дозволяє Адміністратору перевірити правильність цих даних);
— опрацювання є незаконним, і суб’єкт даних виступає проти видалення персональних даних, вимагаючи натомість обмежити їх використання;
— Адміністратору більше не потрібні персональні дані для опрацювання, але вони потрібні суб’єкту даних для визначення або виконання позовних вимог або захисту від позовів;
— суб’єкт даних заперечив проти опрацювання відповідно до статті 21(1) GDPR (поки не буде визначено, чи законні підстави Адміністратора переважають над підставами для заперечення суб’єкта даних).
5. Суб’єкт даних має право отримати персональні дані, що стосуються його, які він надав Адміністратору, в структурованому, широко використовуваному машинозчитуваному форматі та надіслати ці персональні дані іншому адміністратору без будь-яких перешкод з боку Адміністратора, якщо опрацювання здійснюється на підставі згоди відповідно до статті 6(1)(a) GDPR або на основі договору відповідно до статті 6(1)(b) GDPR і якщо опрацювання здійснюється автоматизованим способом. Суб’єкт даних має право вимагати, щоб персональні дані були надіслані Адміністратором безпосередньо іншому адміністратору, якщо це технічно можливо.
6. Суб’єкт даних має право в будь-який час заперечити проти опрацювання його персональних даних (включаючи профілювання) для цілей, що випливають із законних інтересів Адміністратора або третьої сторони. Подальше опрацювання даних можливе лише за наявності дійсних, юридично чинних, переважаючих підстав для опрацювання персональних даних або зазначені дані необхідні для визначення або виконання позовних вимог або захисту від позовів.
7. Суб’єкт даних має право в будь-який час заперечити проти опрацювання його персональних даних (включаючи профілювання) для цілей прямого маркетингу, який здійснює Адміністратор, у тій мірі, в якій опрацювання пов’язане з таким прямим маркетингом.
8. Суб’єкт даних має право не підпадати під рішення, яке ґрунтується винятково на автоматизованому опрацюванні, в тому числі профілюванні, і створює юридичні наслідки або суттєво впливає на суб’єкта даних. Однак це право не може бути реалізоване, коли автоматизоване прийняття рішень необхідне для укладення або виконання договору, коли отримано чітку згоду суб’єкта даних на прийняття такого рішення або коли автоматизоване прийняття рішень є дозволено місцевим законодавством країни-члена ЄС, і в перших двох випадках суб’єкт даних все ще може мати право на перевірку рішення людиною, висловлення власної позиції та оскарження рішення.
9. Якщо підставою для опрацювання персональних даних є згода суб’єкта даних, він має право в будь-який час відкликати цю згоду. Відкликання згоди не впливає на законність опрацювання, яке здійснювалося на підставі згоди до її відкликання.
10. Суб’єкт даних має право подати скаргу до наглядового органу: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
11. Зв’язок з Адміністратором у зв’язку з реалізацією вищезазначених прав здійснюється в порядку, зазначеному в пункті 2 статті 2 цієї Політики конфіденційності. У разі виникнення обґрунтованих сумнівів щодо ідентифікації особи, яка подає заяву в цьому питанні, Адміністратор може запросити додаткову інформацію для полегшення ідентифікації цієї особи.
12. У відповідь на заяву з відповідним проханням суб’єкта даних Адміністратор невідкладно, протягом одного місяця з моменту йоі отримання, надає інформацію про вжиті дії щодо прохання та виконує заяву відповідно до прохання або повідомляє про необхідність продовження строку виконання заяви ще на два місяці у зв’язку зі складністю заяви чи кількістю прохань або відмовляється виконати заяву та повідомляє про причини невжиття заходів. Отримання інформації про невиконання заяви дає право суб’єкту даних подати скаргу до наглядового органу.
13. Перший примірник переліку персональних даних надається безкоштовно, а за наступні стягується адміністративний збір. В особливих випадках, на прохання суб’єкта даних, Адміністратор може зменшити або звільнити адміністративний збір.
7. Оновлення Політики конфіденційності
Ця Політика конфіденційності може час від часу змінюватися. Тому ми рекомендуємо вам регулярно перевіряти зміст цього документа на наявність оновлень.