Политика конфиденциальности и защиты данных
Данная Политика конфиденциальности персональной информации (далее – Политика) осуществляется по отношению ко всей информации, которую провайдер платежных услуг Kvitum (далее – Провайдер) может получить о пользователе платежной системы (далее – Клиенте) в целях использования им сервиса Kvitum® и/или любого из сайтов, приложений, продуктов, услуг, программного обеспечения Провайдера (далее – Сервисы Провайдера).
ВСЕМ СУБЪЕКТАМ ДАННЫХ НЕОБХОДИМО ПРОЧИТАТЬ ЭТУ ПОЛИТИКУ, ЧТОБЫ ПОНИМАТЬ, КАК ПРОВАЙДЕР СОБИРАЕТ, ОБРАБАТЫВАЕТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, И КАКИЕ МЕРЫ БЕЗОПАСНОСТИ ПРИМЕНЯЮТСЯ.
Использование Сервисов Провайдера означает, что клиент ознакомился с настоящей Политикой и безоговорочно согласен с указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Клиент должен воздержаться от использования Сервисов Провайдера.
ОПРЕДЕЛЕНИЯ
Персональные данные – любая информация, касающаяся физического лица, которое идентифицировано или можно идентифицировать; физическое лицо, которое можно идентифицировать, является таким лицом, которое можно идентифицировать прямо или косвенно, в частности, по таким идентификаторами как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному или нескольким факторами, которые являются определяющими для физической, физиологической, генетической, умственной, экономической, культурной или социальной сущности такого физического лица;
Специальные категории персональных данных (чувствительные данные) – личные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также обработку генетических данных, биометрических данных с целью однозначной идентификации физического лица, данные о здоровье.
Контроллер данных (контролер) – физическое или юридическое лицо, государственный орган или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
Субъект Данных – любой человек, который является субъектом персональных данных, чьи персональные данные обрабатываются Провайдером, включая Пользователей (Разработчиков, Клиентов и Посетителей), независимых контрагентов/сотрудников и других заинтересованных сторон.
Клиент – Субъект Данных, который завершил процедуру регистрации на Платформе.
Посетитель – Субъект Данных, который зашел на веб-сайт Платформы с какой-либо целью.
Услуги – предоставляемые Провайдером через Платформу. Услуги оказываются в соответствии с Пользовательским соглашением.
Платформа – веб-сайт https://{BASE_DOMAIN}/ с сопутствующим программным обеспечением Компании на серверах, которое позволяет предоставлять Услуги.
Обработка – любая операция или чреда операций, которые выполняются с персональными данными или наборами персональных данных с использованием автоматических средств или без них, такие как сбор, регистрация, организация, структурирование, хранение, адаптация или изменение, поиск, использование, раскрытие путем передачи, распространение или иного предоставления, упорядочения или комбинирование, ограничение, стирание или уничтожение.
Автоматизированное принятие решений – способность принимать решения с помощью технологических средств без участия человека, что приводит к юридическим последствиям в отношении Субъекта Данных или существенно влияет на него.
Нарушение защиты персональных данных – нарушение безопасности, приводящее к случайным или незаконным уничтожениям, потере, переделке, несанкционированному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным.
Согласие – любое свободно предоставленное, конкретное, информированное и недвусмысленное указание пожеланий Субъекта Данных, посредством которого он или она, путем заявления или четким утвердительным действием, подтверждает согласие на обработку персональных данных.
Контролирующий орган (DPA) – независимый государственный орган, который утверждается государством-членом ЕС в соответствии с GDPR. В содержании этой Политики DPA означает Инспекцию по защите данных Польши.
-
Общие положения
- При сборе и использовании персональных данных Провайдер подпадает под действие целого ряда законодательных актов, регулирующих порядок осуществления такой деятельности, а также гарантий, которые должны быть установлены для защиты данных.
- Настоящая Политика применяется ко всем сотрудникам Провайдера, Клиентам, заинтересованным сторонам и всем другим субъектам, прямо или косвенно участвующим в пределах деятельности Провайдера в обработке персональных данных, включая Субъектов Данных, которые посещают веб-сайт https://{BASE_DOMAIN}/.
- Субъекты Данных имеют право обратиться к Провайдеру или к DPA касательно нарушений защиты своих личных данных, в случае, если он узнает об этом раньше Провайдера.
-
Персональная информация Клиентов
-
В рамках данной Политики под понятием «персональная информация
Клиента» определяется информация, которая:
- предоставляется Клиентом самостоятельно в момент регистрации в любом из Сервисов Провайдера;
- предоставляется Клиентом самостоятельно в момент проведения идентификации/полной идентификации Клиента;
- предоставляются Клиентом самостоятельно в момент использования любых Сервисов Провайдера;
- автоматически передается Провайдеру в момент использования Сервисов Провайдера, в том числе IP-адрес, информация о cookies, о браузере Клиента, через который осуществляются доступы к Сервисам Провайдера, время доступа, адрес запрашиваемой страницы.
- Данная Политика применима только к данным, которые Клиент предоставляет Провайдеру в процессе использования Сервисов. Провайдер не несет ответственности за размещение Клиентом персональной информации на сайтах третьих лиц, в том числе, если ссылка на сайт размещена на сайте Провайдера.
- Провайдер не проверяет достоверность предоставленной Клиентом персональной информации, однако исходит из того, что Клиент предоставил полную и достоверную информацию, и обновляет ее в случае изменения.
-
В рамках данной Политики под понятием «персональная информация
Клиента» определяется информация, которая:
-
Условия обработки персональной информации Клиента:
-
При сборе и обработке персональных данных Компания придерживается
принципов, установленных GDPR. Политики и процедуры Компании
разработаны с учетом обеспечения соблюдения принципов:
-
Законность, справедливость и прозрачность
Законность - контролер определяет законность оснований до начала обработки персональных данных (например, согласие).
Справедливость - чтобы обрабатывать данные справедливо, контроллер должен сделать определенную информацию доступной для субъектов данных, насколько это практически возможно. Это касается того, были ли личные данные получены непосредственно от субъектов данных или из других источников.
Прозрачность - любая информация, касающаяся обработки персональных данных, должна быть легко доступна и понятна, а также изложена на простом и понятном языке.
-
Целевое ограничение
Персональные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем таким образом, который несовместим с этими целями; обработка в общественных интересах, научных, исторических исследовательских целях или статистических целях не считается несовместимой с первоначальными целями.
-
Минимизация данных
Персональные данные должны быть достаточными, соответствующими и ограничиваться тем, что необходимо в отношении целей, для которых они обрабатываются.
-
Точность
Персональные данные должны быть точными и, при необходимости, обновляться; необходимо принимать все соответствующие меры для того, чтобы личные данные, которые были неточными, с учетом целей, для которых они обработаны, были без задержки стерты или исправлены.
-
Ограничение на хранение
Персональные данные должны храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные. Персональные данные могут храниться в течение более длительных периодов времени, пока их обрабатывают исключительно для статистических целей, при условии реализации соответствующих технических и организационных мер, требуемых GDPR для защиты прав и свобод субъекта данных.
-
Целостность и конфиденциальность
Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность персональных данных, в том числе защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер.
-
Законность, справедливость и прозрачность
- Провайдер собирает и хранит только ту персональную информацию Клиента, которая используется в рамках Пользовательского соглашения между Клиентом и Провайдером о предоставлении Сервисов Провайдера, за исключением случаев, когда законодательством Польши определено иное.
- В отношении персональной информации Клиента обеспечивается ее конфиденциальность.
-
Провайдер может использовать персональную информацию в следующих
целях:
- В рамках Пользовательского соглашения между Клиентом и Провайдером о предоставлении Сервисов Провайдера;
- Осуществление связи с Клиентом;
- Улучшение качества сервисов Провайдера, предложения Клиенту персонализированных Сервисов Провайдера;
- Проведения маркетинговых акций и мероприятий для Клиентов.
-
Провайдер может передать персональную информацию Клиента в
случаях, когда:
- Клиент предоставил свое согласие на передачу данных третьим лицам;
- Передача необходима для осуществления обязательств Провайдера в рамках Пользовательского соглашения между Клиентом и Провайдером о предоставлении Сервисов Провайдера;
- Передача предусмотрена законодательством Польши или страны, где происходит оказание услуги;
- Провайдер имеет веские основания полагать, что Клиент своими действиями нарушает условия Пользовательского соглашения между Клиентом и Провайдером о предоставлении Сервисов Провайдера и/или законодательства Польши.
- При обработке персональных данных Клиентов Провайдер руководствуется Законом Польши «О защите персональных данных» (https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001000/U/D20181000Lj.pdf).
-
При осуществлении своей деятельности Провайдер собирает следующие
персональные данные Клиентов для таких целей:
- Ф.И.О; номер платежной карты; номер телефона; номер цифрового кошелька в платежных системах; номер криптовалютного кошелька; адрес электронной почты; паспортные данные; данные ID карт; дата рождения; фото личности владельца кошелька, и документов предоставленных для подтверждения личности владельца кошелька, фото платежной карты, где обязательно должны быть видны первые 6 и последние 4 цифры карты: IP-адрес; тип браузера - используются Провайдером для предоставления услуг, оказываемых Провайдером Клиентам по переводу денежных средств без открытия счета и предоставлению электронных средств платежа. Платежная система или банк нуждаются в этих персональных данных, чтобы убедиться, что платеж является подлинным и законным.
- ник; фото; пол; адрес электронной почты: номер телефона: клиентские данные мессенджеров - используются для организации диалога между Провайдером и Клиентом касательно услуг.
- домен сайта Провайдера; адрес электронной почты: дата рождения; IP-адрес; тип браузера - используется для создания учетной записи Клиента и для авторизации на Платформе.
- ник; адрес электронной почты; номер телефона: клиентские данные мессенджеров: IP-адрес; тип браузера - используются для связи с Клиентом и предоставления поддержки касательно авторизации, управления учетными записями, безопасности учетной записи, ошибок системного программного обеспечения, Услуг, банов и т. д.
- Провайдер не собирает и/или не обрабатывает чувствительные данные.
- Во время обработки персональных данных Провайдер не применяет профайлинг или автоматизированное принятие решений.
- Провайдер не собирает у Субъектов Данных никаких иных персональных данных, нежели тех, которые определены настоящей Политикой. Провайдер также не собирает персональные данные не иначе как для целей обработки, указанных здесь.
- Собирая и обрабатывая персональные данные Клиентов и Посетителей, Компания действует как контролер, в связи с чем возникает соответствующий диапазон прав и обязанностей.
-
При сборе и обработке персональных данных Компания придерживается
принципов, установленных GDPR. Политики и процедуры Компании
разработаны с учетом обеспечения соблюдения принципов:
-
Изменение и удаление Клиентом персональной информации
- Изменение и удаление персональной информации Клиента осуществляется в порядке, установленном Пользовательским соглашением соответствующих Сервисов Провайдера. В рамках Сервисов Провайдера Клиенту может предоставляться функциональная возможность изменить (обновить, дополнить) или удалить предоставленную Клиентом информацию или её часть (согласно ст. RODO - 16, 17, 18, 20, 21), также Клиент имеет право подать жалобу в контролирующие органы (согласно ст. RODO 77) https://uodo.gov.pl/pl/404/224 . Использование соответствующего функционала регулируется применимым к данному Сервису Провайдера соглашениями.
- В соответствии с требованиями законодательства на Провайдера может быть возложена обязанность осуществляет обработку / хранение полученной при использовании Сервисов Провайдера персональной информации Клиента. Такая обработка / хранение осуществляется Провайдером в случаях, по основаниям и в течение сроков, установленных законодательством.
-
Период хранения
- Провайдер обрабатывает и хранит персональные данные в течение периода, необходимого для реализации целей обработки, указанных в этой Политике.
-
Принимая во внимание цели обработки, период хранения персональных
данных (период хранения) такой:
адрес; номер платежной карты; номер телефона; номер цифрового кошелька в платежных системах; номер криптовалютного кошелька; адрес электронной почты; паспортные данные; идентификационный номера налогоплательщика; ник; фото; дата рождения; домен сайта Продавца; полное имя; IP-адрес; тип браузера не более 60 месяцев с момента последней активности Клиента на Платформе, согласно с регламентом установленным GDPR.
- По истечении срока хранения Провайдер обязан удалить персональные данные или попросить Субъекта Данных предоставить Провайдеру новое согласие на их обработку, если в этом возникнет необходимость или иная цель обработки.
- Провайдер имеет право прекратить хранить в дальнейшем и удалять ранее собранные персональные данные Субъектов Данных в любой момент, если такие персональные данные будут больше не нужны.
- Провайдер может продолжать хранить персональные данные, если последующая обработка предусмотрена законом для достижения целей общественных интересов, целей научного или исторического исследования или статистических целей.
-
Права Субъекта Данных
-
Настоящая Политика предоставляет всем Субъектам Данных возможность
реализовать любое из следующих прав:
право на доступ. Субъекты Данных имеют право знать, обрабатываются ли их персональные данные, и если да, то также иметь доступ к таким данным.
право на исправление. Если персональные данные неточны, соответствующий Субъект Данных имеет право попросить Провайдера исправить их, предоставив фото документов подтверждающих правдивость новых Данных.
право на удаление или право быть забытым. Субъекты Данных имеют право истребовать от Провайдера удалить своих персональных данных без неоправданной задержки, и Провайдер обязан удалить такие персональные данные без неоправданной задержки.
право на ограничение обработки. Субъекты Данных имеют право ограничить обработку своих персональных данных за несколькими исключениями в рамках GDPR.
право быть информированным. Провайдер обязан информировать Субъекта Данных, какие данные собираются, как они используются, как долго они будут храниться и будут ли они передаваться третьим лицам. Эта информация должна быть сжата и понятна.
право на мобильность данных. Субъектам Данных разрешается получать и повторно использовать свои персональные данные для своих целей в разных сервисах. Это право распространяется только на персональные данные, предоставленные Субъектом Данных Провайдеру на основании согласия.
право на возражение. Субъекты Данных могут возражать против обработки Провайдером персональных данных. Провайдер должен прекратить обработку персональных данных, если Провайдер не сможет продемонстрировать убедительные законные основания для обработки, которые преобладают над интересами, правами и свободами человека или если обработка предназначена для создания или осуществления защиты законных требований.
право не подпадать под действие решения, основанного исключительно на автоматизированной обработке. Субъекты Данных имеют право возражать против любого автоматизированного профилирования, которое происходит без согласия. При этом Субъекты Данных имеют право на то, чтобы их личные данные обрабатывались с участием человека.
- Чтобы реализовать любое из упомянутых выше прав Субъект Данных должен обратиться в техподдержку по адресу электронной почты support@kvitum.com).
- Субъекты Данных могут реализовать любое из описанных выше прав, отправив запрос на адрес электронной почты: support@kvitum.com. Запрос подразумевает указание Субъектом Данных: своего имени, своей контактной информации, номер цифрового или криптовалютного кошелька зарегистрированного в системе, адреса электронной почты, на которую была произвденеа авторизация пользователя в платежной системе, какое право он хочет реализовать, данные субъекта, что обрабатываются Компанией, детали и основания запроса.
-
Настоящая Политика предоставляет всем Субъектам Данных возможность
реализовать любое из следующих прав:
-
Безопасность
- Провайдер несет ответственность за обеспечение того, чтобы любые персональные данные, которыми владеет Провайдер и за которые он несет ответственность, хранились в безопасности и ни при каких условиях не раскрывались, если только это лицо не было специально уполномочено Провайдером получать такую информацию и подписало соглашение о конфиденциальности.
- Все персональные данные должны быть доступны только тем, кому их необходимо использовать. Персональные данные должны обрабатываться с наивысшей степенью безопасности и храниться в зашифрованном виде.
-
Уведомление о нарушении защиты данных
- Провайдер предпринимает все разумные шаги для минимизации риска нарушения защиты личных данных при их обработке.
- В случае нарушения защиты персональных данных Провайдер должен без неоправданной задержки и, когда это возможно, не позднее чем через 72 часа после того, как он узнает об этом, сообщить о нарушении защиты персональных данных в DPA, если только нарушение личных данных несет малую опасность для прав и свобод Субъектов Данных.
- Оценка риска, которую должен выполнить Провайдер, будет определять, насколько высокий риск для прав и свобод Субъектов Данных при нарушении защиты данных является достаточным основанием для уведомления затрагиваемых Субъектов Данных о таком нарушении.
- Кроме того, в случае нарушения защиты персональных данных, которое может привести к высокому риску для прав и свобод Субъектов Данных, Провайдер без неоправданной задержки уведомляет затрагиваемых Субъектов Данных о таком нарушении.
- Если впоследствии были приняты меры во избежание высокого риска для прав Субъектов данных, то извещение затрагиваемых Субъектов Данных не требуется в соответствии с GDPR.
- Провайдер документирует все нарушения защиты персональных данных, в том числе факты, связанные с нарушением защиты персональных данных, последствиями и принятыми мерами по исправлению положения. Эта документация должна позволить DPA проверять соответствие GDPR.
-
Передача данных
- Провайдер не продает личные данные ни юридическим лицам, ни физическим лицам
- Провайдер может передавать персональные данные своим сотрудникам, указанным в настоящей Политике. Следует понимать, что Провайдер передает личные данные на основе GDPR.
- Провайдер может передавать персональные данные платежной системе или банку Клиента, который хочет совершить платежи.
- Персональные данные передаются для целей и на условиях, предусмотренных настоящей Политикой
-
Провайдер может передавать персональные данные, согласно
регламенту GDPR, только при одном из следующих условий:
- субъект данных предоставил четкое согласие на передачу данных после того, как ему было сообщено о возможных рисках такой передачи;
- передача необходима для выполнения контракта между субъектом данных и контролером, или реализации преддоговорных мер, принятых на запрос субъекта данных;
- передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контроллером и другим физическим или юридическим лицом;
- передача необходима на важных основаниях общественного интереса;
- передача необходима для формирования, осуществления или защиты правовых претензий;
- передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать согласие.
-
Изменение Политики конфиденциальности
- Провайдер вправе предложить Клиенту изменить и/или дополнить настоящую Политику путем опубликования Политики в новой редакции на Интернет-сайте по адресу (https://{BASE_DOMAIN}). Принятием Пользователем такого предложения являются конклюдентные действия по использованию какого-либо из Сервисов Провайдера на новых условиях.