Ця Політика конфіденційності (далі — «Політика») визначає порядок збору, обробки, зберігання, передачі та захисту персональних даних, які обробляються в межах роботи програмної платформи KatrIva (далі — «Платформа»), доступної за адресою https://katriva.com.ua та на пов’язаних доменах Магазинів. Політика є невід’ємною частиною Публічної оферти на надання доступу до Платформи (далі — «Оферта») і застосовується до всіх осіб, що використовують Платформу: Замовників (власників Магазинів) та Покупців (кінцевих споживачів, які оформлюють замовлення у Магазинах).
Платформа обслуговує Замовників та Покупців незалежно від країни їх перебування, у тому числі резидентів України, Європейського Союзу та інших держав. Обробка персональних даних здійснюється з урахуванням вимог Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — «Закон»), а щодо суб’єктів даних, які перебувають у Європейському Союзі, — також з урахуванням Регламенту (ЄС) 2016/679 (GDPR) у частині, що застосовується до Виконавця як розпорядника / обробника даних. Щодо суб’єктів даних з інших юрисдикцій Виконавець керується загальними принципами законності, добросовісності та мінімізації обробки даних, викладеними у цій Політиці.
1. Терміни
- Виконавець / Оператор Платформи — власник і оператор Платформи KatrIva (реквізити — у розділі 10 цієї Політики та в Оферті).
- Замовник — фізична особа-підприємець або юридична особа, яка використовує Платформу для створення та ведення Магазину; є володільцем персональних даних своїх Покупців у розумінні Закону.
- Покупець — фізична особа, яка оформлює замовлення товарів/послуг Замовника через вітрину Магазину.
- Персональні дані — будь-яка інформація, що прямо чи опосередковано дозволяє ідентифікувати фізичну особу (ім’я, номер телефону, e-mail, адреса доставки, платіжні реквізити в обсязі, що передається Платформі, IP-адреса, дані cookie-файлів тощо).
- Обробка персональних даних — будь-яка дія або сукупність дій із персональними даними (збір, реєстрація, накопичення, зберігання, зміна, використання, поширення, знеособлення, знищення).
2. Які дані обробляються
- Дані Замовника: реєстраційні дані облікового запису (ім’я, назва Магазину, e-mail, номер телефону, логін); платіжні та реквізитні дані для виставлення рахунків за Послугу (код ЄДРПОУ/РНОКПП, банківські реквізити); технічні дані (IP-адреса, дані про пристрій та браузер, журнали дій в адмінці, cookie-файли).
- Дані Покупців, отримані через вітрину Магазину: ім’я, номер телефону, e-mail, адреса доставки; зміст замовлення (перелік товарів, сума, коментарі); технічні дані відвідування вітрини (IP-адреса, тип пристрою/браузера, cookie та подібні технології, дані про взаємодію користувача з вітриною — переглянуті сторінки, послідовність переходів, події взаємодії); дані, що передаються платіжним системам для оплати замовлення (Платформа не зберігає повні реквізити платіжних карток).
3. Мета та правові підстави обробки
Обробка здійснюється з такими цілями та на таких підставах:
- виконання Оферти та надання доступу до Платформи Замовнику — на підставі укладеного договору (ст. 11 Закону; ст. 6(1)(b) GDPR);
- забезпечення оформлення та обробки замовлень Покупців у Магазині — на підставі договору купівлі-продажу між Замовником і Покупцем, стороною якого Виконавець не є, але технічно забезпечує обробку в інтересах Замовника;
- виконання законних вимог (бухгалтерський облік, запити державних органів) — на підставі закону (ст. 6(1)(c) GDPR);
- забезпечення технічної безпеки, запобігання шахрайству та зловживанням — на підставі законного інтересу Виконавця (ст. 6(1)(f) GDPR);
- надсилання маркетингових повідомлень (за наявності) — на підставі окремої згоди суб’єкта даних, яку можна відкликати в будь-який момент.
4. Розподіл ролей: Замовник і Виконавець
- Замовник є володільцем персональних даних своїх Покупців: саме він визначає мету збору цих даних (продаж товарів/послуг), відповідає за законність їх отримання та за виконання обов’язку інформування Покупців (зокрема шляхом розміщення власної політики конфіденційності Магазину, якщо це вимагається законодавством країни Покупця).
- Виконавець виступає розпорядником / обробником персональних даних Покупців у частині, необхідній для технічного функціонування Платформи (зберігання даних замовлень, надсилання технічних сповіщень, забезпечення роботи checkout). Виконавець обробляє такі дані виключно за дорученням та в інтересах Замовника і не використовує їх у власних маркетингових цілях без окремої законної підстави.
- Щодо даних самого Замовника (обліковий запис, реквізити оплати Послуги) Виконавець є володільцем персональних даних і самостійно визначає мету їх обробки в межах, необхідних для надання Послуги.
- Для Замовників, на яких поширюється GDPR, умови обробки персональних даних можуть додатково регулюватися окремим Data Processing Agreement (DPA), який має пріоритет у частині обробки персональних даних.
5. Передача даних третім особам
Для забезпечення роботи Платформи Виконавець може залучати та передавати персональні дані таким категоріям третіх осіб:
- хостинг-провайдери та дата-центри — для зберігання даних;
- платіжні системи та еквайри — для обробки оплат (Виконавець не зберігає повні реквізити платіжних карток; ці дані обробляються платіжною системою відповідно до PCI DSS);
- служби доставки — в обсязі, необхідному для доставки (ім’я, телефон, адреса Покупця);
- сервіси аналітики та сповіщень (зокрема месенджери, e-mail) — в обсязі, необхідному для функціонування сервісу;
- державні органи — у випадках та в порядку, передбачених законодавством.
Виконавець вимагає від залучених третіх осіб забезпечення належного рівня захисту персональних даних, відповідного вимогам Закону та, за потреби, GDPR.
6. Транскордонна передача даних
Оскільки Платформа обслуговує користувачів у різних країнах, а частина інфраструктури може розташовуватися за межами України, персональні дані можуть передаватися за кордон, у тому числі до держав, що не забезпечують рівень захисту, еквівалентний Закону чи GDPR. У таких випадках Виконавець вживає розумних заходів для забезпечення належного захисту (зокрема Standard Contractual Clauses, сертифікації провайдера тощо), наскільки це технічно та комерційно доступно.
7. Файли cookie та подібні технології
- Платформа та вітрини Магазинів використовують cookie та подібні технології для: забезпечення технічної роботи checkout та авторизації; аналітики відвідуваності; за наявності — таргетованої реклами та ремаркетингу.
- Використання нетехнічних cookie (аналітика, маркетинг) здійснюється за окремою згодою відвідувача, якщо це вимагається застосовним законодавством. Технічні cookie, необхідні для роботи сервісу, можуть застосовуватися без окремої згоди.
- Відвідувач може керувати cookie через налаштування браузера. Відключення окремих cookie може обмежити функціональність вітрини (наприклад, роботу кошика).
- За наявності вимог застосовного законодавства Платформа та/або Магазини можуть відображати повідомлення про використання cookie та запитувати згоду користувача.
8. Строк зберігання персональних даних
Персональні дані зберігаються протягом строку дії Оферти із Замовником та протягом додаткового строку, необхідного для виконання вимог законодавства (зокрема податкового та бухгалтерського обліку — не менше строків, встановлених застосовним законодавством, а за їх відсутності — до 3 років), а також для захисту законних інтересів сторін у разі спору. Після припинення дії Оферти дані Магазину зберігаються та видаляються відповідно до розділу 9 Оферти, якщо довший строк не вимагається законодавством.
9. Права суб’єктів персональних даних
Відповідно до Закону та (де застосовно) GDPR, суб’єкт персональних даних має право: знати про джерела збору та мету обробки; отримувати доступ до своїх даних; вимагати виправлення неточних або застарілих даних; вимагати видалення даних або відкликати згоду (право «бути забутим»); заперечувати проти обробки на підставі законного інтересу; вимагати обмеження обробки та отримувати дані у структурованому машинозчитуваному форматі (портативність) — для суб’єктів GDPR; подати скаргу до уповноваженого органу (в Україні — Уповноважений Верховної Ради України з прав людини; для резидентів ЄС — національний наглядовий орган відповідної країни).
Запити можуть подаватися Замовнику (щодо даних Магазину) або Виконавцю за контактами розділу 10. Відповідь — у строк, передбачений законодавством (як правило, протягом 30 календарних днів).
10. Захист персональних даних та контакти
Виконавець вживає технічних та організаційних заходів для захисту персональних даних від несанкціонованого доступу, втрати, знищення чи розголошення, зокрема: розмежування прав доступу, шифрування каналів передачі, резервне копіювання (в обсязі, визначеному Офертою).
У разі виявлення інциденту безпеки, що може призвести до несанкціонованого доступу до персональних даних, Виконавець вживає розумних заходів для мінімізації наслідків та, якщо це вимагається законодавством, повідомляє відповідних суб’єктів даних або компетентні органи у встановлені строки.
Найменування / ПІБ Виконавця: Фізична особа-підприємець Лучкін
Антон Вікторович, що здійснює діяльність під комерційним позначенням
«KatrIva»
Статус: ФОП, платник єдиного податку 2 групи
Код ЄДРПОУ / РНОКПП: 3230400379
Адреса: Україна, 02093, м. Київ, вул. Бориспільська,
будинок 17, 52
E-mail для звернень щодо персональних даних:
hello@katriva.com.ua
Сайт:
https://katriva.com.ua
11. Зміни до Політики
Виконавець має право вносити зміни до цієї Політики шляхом публікації нової редакції на Сайті. Нова редакція набирає чинності через 7 календарних днів після опублікування, якщо інший строк не зазначено на Сайті. Продовження використання Платформи після набрання чинності означає згоду з її умовами.
Замовникам рекомендується доводити зміст цієї Політики до відома своїх Покупців (наприклад, посиланням на вітрині Магазину) для виконання обов’язку інформування Покупців.