Политика конфиденциальности

Политика конфиденциальности интернет-сервиса Whola

1. Общие положения

1.1. В интернет-сервисе (маркетплейсе) Whola (далее по тексту - «Сервис»), расположенном по URL-адресу: https://whola.ru/ размещается настоящая Политика конфиденциальности (далее по тексту - «Политика»), адресованная лицам (далее по тексту - «Пользователь», «субъект персональных данных») в соответствии с требованиями Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ (далее по тексту – ФЗ «О персональных данных»).

1.2. Данная Политика действует и размещается для Сервиса, расположенного по URL-адресу: https://whola.ru/ (далее по тексту - «Сайт»)

1.3. Использование Сервиса означает безоговорочное согласие Пользователя Сервиса с настоящей Политикой и указанным в ней порядком обработки его персональных данных; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервиса.

1.4. Основные термины и определения, используемые в Политике:

1.4.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.4.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4.3. Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.4.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.4.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.4.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.4.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.4.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.4.9. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4.10. Файлы «Сookie» - это небольшие текстовые файлы, размещаемые браузером на компьютере для учета пользовательской активности. Они позволяют улучшать работу Сервиса и предоставлять Пользователю персонализированный опыт.

1.4.11. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4.12. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4.13. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации требование не передавать такую информацию третьим лицам без согласия ее обладателя.

1.4.14. Пользователь – посетитель, использующий Сервис Оператора.

1.5. Настоящая Политика публикуется в свободном доступе в информационно - телекоммуникационной сети Интернет с помощью Сервиса Оператора во исполнение требований ч. 2 ст. 18.1 ФЗ «О персональных данных».

1.6. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Права и обязанности Оператора

2.1. Оператор имеет право:

2.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ «О персональных данных» или другими федеральными законами;

2.1.2. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ФЗ «О персональных данных»;

2.1.3. поручать обработку персональных данных другим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;

2.1.4. осуществлять иные права, предоставленные ФЗ «О персональных данных».

2.2. Оператор обязан:

2.2.1. предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

2.2.2. организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

2.2.3. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями ФЗ «О персональных данных»;

2.2.4. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию;

2.2.5. публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике с помощью Сервиса Оператора.

2.2.6. выполнять иные обязанности, предусмотренные ФЗ «О персональных данных».

3. Права и обязанности субъекта персональных данных

3.1. Субъект персональных данных имеет право:

3.1.1. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3.1.2. получать информацию, касающуюся его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен ФЗ «О персональных данных».

3.1.3. осуществлять иные права, предусмотренные законодательством РФ.

3.2. Субъект персональных данных обязан:

3.2.1. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных;

3.2.2. соблюдать положения настоящей Политики;

3.2.3. нести иные обязанности, предусмотренные законодательством РФ.

4. Цели, правовые основания и принципы обработки персональных данных

4.1. Целями обработки персональных данных Пользователей является предоставление Пользователю доступа к Сервису, а также к информации и материалам, содержащихся на Сайте Сервиса; заключение, исполнение и прекращение гражданско-правовых договоров; информирование и коммуникация Пользователей и Сервиса.

4.1.1. Оператор имеет право направлять Пользователю рассылку рекламно-информационных материалов с целью продвижения товаров и услуг на рынке и информирования. Пользователь может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты, указанный в разделе 9 настоящей Политики.

4.1.2. Обезличенные данные Пользователей, служат для сбора информации о действиях Пользователей в Сервисе, позволяют улучшать пользовательский опыт, в том числе посредством файлов «Cookie», с помощью сайтов интернет-статистики.

4.2. Политика разработана с учетом требований Конституции Российской Федерации, федеральных законов, в частности Гражданского кодекса Российской Федерации, подзаконных актов, определяющих случаи и особенности обработки персональных данных, а также документов Оператора, принятых им в соответствии с действующим законодательством Российской Федерации.

4.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Пользователь предоставляет отдельное согласие на обработку его персональных данных посредством Сервиса.

4.4. Обработка персональных данных осуществляется Оператором с соблюдением следующих принципов, установленных законодательством Российской Федерации:

4.4.1. Обработка персональных данных осуществляется на законной и справедливой основе.

4.4.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.4.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

4.4.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено ФЗ «О персональных данных».

4.4.7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

5. Категории обрабатываемых персональных данных, субъекты обработки персональных данных

5.1. Оператор может обрабатывать следующие персональные данные Пользователя:

5.1.1. Фамилия, имя, отчество;

5.1.2. Номер телефона;

5.1.3. Адрес электронной почты;

5.1.4. Адрес для доставки.

5.1.5. Также на Сайте может осуществляться сбор и обработка обезличенных данных о Пользователях, в том числе посредством файлов «Cookie», с помощью сайтов интернет-статистики.

5.2. Вышеперечисленные данные по тексту Политики объединены общим понятием Персональные данные.

5.3. Категории субъектов, персональные данные которых обрабатываются: Пользователи.

5.4. Биометрические/визуальные данные (KYC-верификация). При прохождении дополнительной верификации продавца (KYC) Оператор может обрабатывать изображение лица субъекта персональных данных, полученное через камеру устройства Пользователя (фронтальная камера смартфона/ноутбука). Указанные изображения используются исключительно для подтверждения личности продавца и проверки соответствия данным регистрации; не передаются третьим лицам в маркетинговых целях; хранятся не дольше срока, необходимого для верификации, и удаляются по запросу субъекта персональных данных. Использование камеры устройства происходит только после явного согласия Пользователя (системный запрос разрешения браузера/операционной системы); отказ от согласия не препятствует использованию Сервиса в качестве покупателя.

5.5. Третьи лица — обработчики (sub-processors). Оператор может привлекать третьих лиц для технической обработки персональных данных в рамках предоставления Сервиса. Все третьи лица обязаны соблюдать конфиденциальность и обработку данных в соответствии с целями, указанными в настоящей Политике. На дату публикации настоящей Политики Оператор использует следующих обработчиков:

а) Хостинг-провайдер (ООО «Селектел», Россия) — хранение всей инфраструктуры Сервиса (серверы, базы данных, файлы пользователей);

б) Let's Encrypt (Internet Security Research Group, США) — выпуск TLS-сертификатов для шифрования HTTPS-соединений; персональные данные Пользователей не передаются;

в) Платёжные системы — при оплате заказа реквизиты карт/счетов обрабатываются непосредственно платёжным шлюзом и не сохраняются на серверах Сервиса (Сервис получает только идентификатор транзакции и статус оплаты).

В настоящее время сторонние системы веб-аналитики и мониторинга не используются. Если в будущем будут привлечены дополнительные обработчики (например, S3-совместимое хранилище для медиафайлов или система мониторинга ошибок), их перечень будет опубликован в обновлённой Политике до начала обработки, с получением необходимого согласия. Сервис использует только технически необходимые (функциональные) файлы cookie — для авторизации, сохранения сессии, работы корзины и защиты от CSRF. Сервис НЕ использует сторонние системы веб-аналитики или рекламного отслеживания (в частности, Google Analytics и Facebook Pixel НЕ подключены), не применяет рекламные идентификаторы (IDFA) и не передаёт данные Пользователей рекламным сетям или брокерам данных.

5.6. Трансграничная передача персональных данных. На дату публикации настоящей Политики обработка персональных данных осуществляется на серверах, расположенных на территории Российской Федерации. Трансграничная передача персональных данных в иностранные государства Оператором не осуществляется. В случае если в будущем для предоставления отдельных функций Сервиса потребуется передача персональных данных в иностранные государства (например, использование облачного хранилища S3 для медиафайлов), Оператор:

а) уведомит Пользователей путём обновления настоящей Политики не позднее чем за 10 рабочих дней до начала такой передачи;

б) получит отдельное согласие Пользователя на трансграничную передачу в соответствии со ст. 12 Федерального закона «О персональных данных»;

в) направит уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных в порядке, установленном статьёй 12 ФЗ «О персональных данных».

6. Порядок и условия обработки персональных данных

6.1. Оператор может осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных при автоматизированной и без использования средств автоматизации обработке персональных данных.

6.2. Обработка персональных данных осуществляется с согласия Пользователя на обработку его персональных данных. Оператор обрабатывает персональные данные Пользователя в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы посредством Сервиса, а также путем обращения к Оператору с помощью контактной информации, указанной на Сайте Сервиса. Пользователь самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

6.3. Порядок трансграничной передачи персональных данных определяется в соответствии со ст. 12 ФЗ «О персональных данных».

6.4. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения требований действующего законодательства в области защиты персональных данных.

6.5. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц. Обеспечение безопасности персональных данных достигается: оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных; учетом носителей персональных данных; обеспечением учета действий, совершаемых с персональными данными; контролем уровня защищенности персональных данных.

6.6. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договоров с субъектами персональных данных, требованиями действующего законодательства.

6.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных, прекращение деятельности оператора.

6.8. Документы, содержащие персональные данные, на бумажных носителях уничтожаются в результате прекращения обработки персональных данных путем физического уничтожения (например, измельчение в специальном устройстве) бумажных носителей. Уничтожение персональных данных на электронных носителях производится механическим путем, не позволяющим произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации. Документами, подтверждающими уничтожение персональных данных субъекта персональных данных, являются: - акт об уничтожении персональных данных – в случае, если обработка персональных данных осуществляется без использования средств автоматизации; - акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных – в случае, если обработка персональных данных осуществляется с использованием средств автоматизации либо осуществляется смешанная обработка персональных данных (одновременно с использованием средств автоматизации и без использования средств автоматизации).

6.9. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почты Оператора, указанном в разделе 9 Политики, с пометкой «Актуализация персональных данных».

6.10. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора, указанный в разделе 9 Политики, с пометкой «Отзыв согласия на обработку персональных данных».

6.10.1. Пользователь вправе отозвать свое Согласие на получение рассылки рекламно-информационных материалов путем предоставления Оператору заявления в письменной форме на адрес электронной почты Оператора, указанный в разделе 9 Политики. При направлении заявления следует указывать формулировку: «Отказ от получения рекламно-информационной рассылки».

6.11. В соответствии с ч. 5 ст. 18 ФЗ «О персональных данных»: при сборе персональных данных посредством сети Интернет оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6.12. Сookie используются для работы отдельных разделов/страниц Сервиса, а также для улучшения взаимодействия Оператора и Пользователей и обеспечения удобства Пользователей при использовании Сервиса.

6.13. Большинство интернет-браузеров изначально настроены автоматически принимать Cookie. Пользователь может изменить настройки таким образом, чтобы блокировать Cookie или предупреждать Пользователя, когда файлы данного типа будут отправлены на устройство.

6.14. Пользователю нужно обратитесь к инструкции браузера для того, чтобы узнать больше о том, как скорректировать или изменить настройки браузера. Если отключить Cookie, которые использует Сервис, то это может повлиять на работу Пользователя в Интернете, в то время как Пользователь не сможет посетить некоторые части Сервиса или не сможет получать персональную информацию при посещении Сервиса.

6.15. Если Пользователь использует различные устройства для просмотра и доступа к Сервису (например, компьютер, мобильный телефон, планшет и т.д.), Пользователь должен убедиться, что каждый браузер на каждом устройстве настроен в соответствии с точкой зрения Пользователя на работу с файлами Cookie.

7. Конфиденциальность персональных данных

7.1. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.2. Права субъектов данных в Европейской экономической зоне (EU/EEA) — Общий регламент по защите данных (GDPR). Для Пользователей, находящихся на территории EU/EEA, дополнительно применяется Регламент (ЕС) 2016/679 (General Data Protection Regulation). Пользователь имеет следующие права:

а) право доступа (Article 15 GDPR) — получить подтверждение и копию обрабатываемых данных;

б) право на исправление (Article 16) — потребовать исправления неточных или неполных данных;

в) право на удаление ("право быть забытым", Article 17) — потребовать удаления персональных данных; реализовано в Сервисе через функцию «Удалить аккаунт» в настройках профиля;

г) право на ограничение обработки (Article 18);

е) право возражения (Article 21) — против обработки в маркетинговых или аналитических целях;

ж) право подать жалобу в надзорный орган страны проживания (в РФ — Роскомнадзор; в ЕС — национальный data protection authority).

7.3. Правовые основания обработки (GDPR Article 6). Обработка персональных данных Оператором осуществляется на следующих основаниях:

а) исполнение договора (Article 6(1)(b)) — для регистрации аккаунта, оформления заказа, доставки товара;

б) согласие субъекта (Article 6(1)(a)) — для маркетинговой рассылки и биометрической верификации (KYC);

в) законный интерес (Article 6(1)(f)) — для предотвращения мошенничества, обеспечения безопасности Сервиса, технического логирования ошибок;

г) исполнение требований закона (Article 6(1)(c)) — для бухгалтерского/налогового учёта в соответствии с законодательством РФ.

7.4. Сроки хранения данных.

а) Данные аккаунта (имя, email, телефон) хранятся в течение всего срока использования Сервиса и удаляются по запросу Пользователя через функцию «Удалить аккаунт» либо автоматически через 3 года неактивности.

б) Данные о заказах хранятся в течение 5 лет с даты заказа в соответствии с требованиями бухгалтерского/налогового учёта.

в) Функциональные cookie (сессия, авторизация, корзина) хранятся в течение срока сессии и до 30 дней для функции «запомнить меня»; данные сторонней веб-аналитики не собираются.

г) Логи безопасности (IP-адреса, метаданные запросов) — не более 12 месяцев.

д) Биометрические данные KYC — удаляются непосредственно после прохождения верификации либо по запросу субъекта данных.

7.5. Права жителей штата Калифорния, США (CCPA / CPRA). Для Пользователей-резидентов штата Калифорния применяется California Consumer Privacy Act 2018 года с поправками California Privacy Rights Act 2020 года. Дополнительно к правам, перечисленным выше, такие Пользователи имеют право:

а) запросить раскрытие категорий собранных персональных данных за последние 12 месяцев;

б) «Do Not Sell or Share My Personal Information» — отказаться от продажи или распространения персональных данных третьим лицам. Оператор подтверждает, что НЕ продаёт персональные данные Пользователей третьим лицам и НЕ передаёт их в маркетинговых целях без явного согласия Пользователя;

в) запретить использование чувствительных персональных данных для целей кроме строго необходимых для предоставления Сервиса.

7.6. Контакт для запросов прав субъектов данных. Для реализации прав, описанных в разделах 7.2–7.5, Пользователь может направить запрос на электронную почту info@whola.ru или по адресу, указанному в разделе 9 настоящей Политики. Оператор обязуется ответить на запрос в течение 30 календарных дней (Article 12(3) GDPR).

7.7. Представитель Оператора в Европейском Союзе (Article 27 GDPR). Оператор в настоящее время не имеет представителя в ЕС, поскольку обработка данных резидентов EU/EEA носит эпизодический характер (Article 27(2)(a)) и не включает обработку специальных категорий данных в крупном масштабе. При изменении этих обстоятельств Оператор назначит EU-представителя и обновит настоящую Политику с указанием его контактных данных.

8. Заключительные положения

8.1. Настоящая Политика вступает в силу с момента ее опубликования.

8.2. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты: info@whola.ru

8.3. Оператор может периодически вносить изменения в настоящую Политику. Новая редакция указанных выше положений вступает в силу с момента ее опубликования, если в ней не указан иной срок ее вступления в силу.

9. Реквизиты Оператора

Индивидуальный предприниматель Деняпкин Сергей Павлович

ОГРНИП:321132600003250

ИНН:130805284766

Контактная информация для направления обращений и заявлений:

Электронная почта: info@whola.ru