Политика конфиденциальности
Политика конфиденциальности
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее – Политика) разработана и утверждена Обществом с Ограниченной Ответственностью «DIVDIVAN», место нахождения (юридический адрес) и почтовый адрес: 100054, Республика Узбекистан, г. Ташкент, Чиланзарский район, ул. Лутфий, д. 6, ИНН 310214574, для упорядочения обращения с персональными данными субъектов персональных данных, включая порядок их сбора, систематизации, хранения, изменения, дополнения, использования, предоставления, распространения, передачи, обезличивания и уничтожения.
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы субъектов при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.
1.3. Политика разработана на основе и во исполнение:
a) Конституции Республики Узбекистан;
b) Закона Республики Узбекистан от 02.07.2019 г. ЗРУ-547 «О персональных данных»;
c) Закона Республики Узбекистан от 11.12.2003 г. № 560-II «Об информации»;
d) иных нормативных правовых актов Республики Узбекистан, а также международных актов, ратифицированных Республикой Узбекистан.
1.4. В случае несогласия с условиями Политики пользователь должен отказаться от использования Сайта, от приобретения товаров Компании.
1.5. Актуальная редакция Политики размещена на странице Сайта по адресу: www.divan.uz/static-page/privacy-policy.
2. Основные понятия
2.1. В настоящей Политике используются следующие основные понятия и термины:
2.1.1. Компания или Оператор - Общество с Ограниченной Ответственностью «DIVDIVAN», место нахождения (юридический адрес) и почтовый адрес: 100054, Республика Узбекистан, г. Ташкент, Чиланзарский район, ул. Лутфий, д. 6, ИНН 310214574;
2.1.2. Сайт – интернет ресурс, расположенный по адресу: https://divan.uz/.
2.1.3. Пользователь Сайта – любое физическое лицо и/или представитель юридического лица, выразившее интерес к любой информации и/или контенту, размещенным на Сайте, который в момент перехода на страницу Сайта и/ или в момент нажатия соответствующих функциональных кнопок предоставляет (передает) Оператору персональные данные (или их часть), в том числе являющийся Субъектом в значении понятия, используемого в настоящей Политике.
2.1.4. Субъект персональных данных (Субъект) – любое физическое лицо, персональные данные которого предоставлены Оператору, в том числе пользователи Сайта.
2.1.5. Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (Субъекту персональных данных).
2.1.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.7. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.1.8. Предоставление персональных данных – действия, направленные на раскрытие и/или передачу персональных данных Субъекта персональных данных третьим лицам, включая Партнеров Оператора с целью надлежащей обработки, хранения и защиты персональных данных, предоставленных Субъектами персональных данных, а также с целью взаимодействия Субъектов персональных данных с Партнерами Оператора в рамках предоставляемых Субъекту персональных данных услуг.
2.1.9. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных.
2.1.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить прямую или косвенную принадлежность персональных данных конкретному Субъекту персональных данных.
2.1.12. Общедоступные персональные данные – персональные данные Субъекта, ставшие общедоступными в результате самостоятельных действий Субъекта и/или действий иных лиц, но по его просьбе.
2.1.13. Партнеры Оператора – лица, привлекаемые Компанией к реализации прав и/или исполнению обязанностей Компании, предусмотренным договорами с пользователями Сайта / Субъектами.
2.1.14. Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
2.1.15. IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
3. Категории субъектов персональных данных
3.1. Компания обрабатывает персональные данные следующих категорий субъектов:
a) пользователи Сайта;
b) иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных.
4. Содержание и объем обрабатываемых персональных данных
4.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего Субъекта.
4.2. Персональные данные Субъекта могут включать:
a) фамилию, имя, отчество;
b) контактный телефон;
c) адрес электронной почты (e-mail);
d) адрес доставки;
e) адрес места жительства;
f) другие данные, сообщенные Оператору и/или получаемые Оператором в процессе использования пользователем Сайта, необходимые для исполнения взаимных обязательств Сторон.
4.3. Также Оператор осуществляет обработку данных, которые автоматически передаются в процессе использования Сайта посредством установленного на компьютере программного обеспечения:
a) сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к Сайту);
b) IP-адрес;
c) данные файлов cookie.
4.3.1. Оператор информирует, что отключение cookies может повлечь невозможность доступа к частям Сайта, требующим авторизации.
4.3.2. Оператор осуществляет сбор статистики об IP-адресах пользователей Сайта с целью выявления и решения технических проблем, для контроля законности проводимых финансовых платежей.
5. Принципы обработки
5.1. Обработка персональных данных субъектов основывается на следующих принципах:
a) Обработка персональных данных должна осуществляться на законной и справедливой основе.
b) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
c) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
d) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
e) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
f) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
g) Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не предусмотрено законодательством или договором. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
6. Цели обработки
6.1. Обработка персональных данных Субъектов осуществляется в целях:
a) идентификации Субъекта для заключения и исполнения договора с Компанией;
b) предоставления информации о товарах Компании;
с) обработки претензий / требований;
d) предоставления пользователю доступа к персонализированным ресурсам Сайта;
e) установления с пользователем Сайта обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, обработки запросов и заявок от пользователя Сайта;
f) проведения cтатистических и маркетинговых исследований, в том числе с целью улучшения качества предоставления услуг;
f) обработки и получения платежей, определения права на получение скидок, бонусов;
h) предоставления пользователю Сайта эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта;
i) предоставления пользователю Сайта с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений;
j) осуществления рекламной деятельности с согласия пользователя Сайта;
k) предоставления доступа пользователю Сайта на сайты или сервисы иных лиц с целью получения их продуктов и услуг;
l) иные цели, направленные на обеспечение соблюдения интересов Компании и требований законов и иных нормативных правовых актов.
6.2. Персональные данные обрабатываются исключительно для достижения указанных целей. Для использования данных в других целях необходимо получить новое согласие на обработку.
6.3. Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.
7. Правила обработки
7.1. Общие правила
7.1.1. Обработка персональных данных осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе, с использованием внутренней сети и сети Интернет. Обработка персональных данных может осуществлять любыми законными способами, в том числе определенными п.п. 7.3.- 7.7.
7.1.2. В случаях, установленных законодательством Республики Узбекистан, основным условием обработки персональных данных является получение согласия соответствующего Субъекта персональных данных.
7.1.3. Срок обработки персональных данных не должен превышать срок, в течение которого действует согласие Субъекта на обработку его персональных данных, если иное не следует из закона.
7.2. Согласие субъекта на обработку персональных данных
7.2.1. Субъект дает согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения, в частности, предоставлением согласия считаются следующие явно выраженные, конкретные, сознательные и свободные действия, подтверждающие информирование Субъекта о положениях настоящей Политики:
· устное обращение Субъекта по телефону Компании или продолжение субъектом разговора с представителем Компании при обращении Компании к Субъекту по телефону, указанному Субъектом на Сайте, в результате которого происходит идентификация Субъекта, фиксируются метаданные разговора. В данном случае любая информация, предоставленная Субъектом, прямо или косвенно относящаяся к Субъекту, считается предоставленной свободно, добровольно и с его безусловного согласия;
· устное обращение к сотруднику Компании в шоуруме для оформления заказа на товар Компании (для заключения договора с Компанией). В данном случае любая информация, предоставленная Субъектом, прямо или косвенно относящаяся к Субъекту, считается предоставленной свободно, добровольно и с его безусловного согласия;
· нажатие Субъектом на Сайте функциональных кнопок «Отправить обращение», «Подтверждаю заказ», иные аналогичные кнопки, рядом с утверждением я даю свое согласие на обработку персональных данных / я согласен с Политикой конфиденциальности.
· направление электронного письма с электронной почты, используемой Субъектом персональных данных на электронный адрес почты Компании, указанный на Сайте;
· продолжение использования Сайта, предполагающее сбор данных, указанных в п. 4.3.
7.2.2. Согласие действует в течение неопределенного срока. Субъект отзывает согласие на обработку персональных данных в письменной форме, в том числе в виде электронного документа, путем его направления на адрес электронной почты Компании, либо по месту нахождения (юридическому адресу) и почтовому адресу Компании, указанному на Сайте.
Датой получения отзыва согласия по электронной почте будет считаться дата направления Оператором в адрес Субъекта - на электронную почту, с которой был получен отзыв, сообщения о его получении Оператором.
Правовым последствием отзыва согласия является утрата права Оператора на обработку персональных данных этого субъекта, за исключением случаев, когда Оператор имеет иные предусмотренные законодательством основания для обработки таких данных.
7.3. Сбор
7.3.1. Источником информации обо всех персональных данных является непосредственно Субъект персональных данных, либо иное лицо, непосредственно обратившееся к Оператору, в том числе пользователь Сайта, которому Субъект дал согласие на предоставление его персональных данных Оператору. Компания не проверяет достоверность предоставляемых ей персональных данных.
7.3.2. Иные лица, предоставляющие персональные данные Субъекта, при этом гарантируют, что получили согласие Субъекта на предоставление его персональных данных Компании, и несут ответственность перед Субъектом за такое предоставление при отсутствии согласия. Указанные иные лица, предоставляющие персональные данные, гарантируют, что уведомили Субъекта персональных данных о предоставлении Компании его персональных данных.
7.4. Хранение
7.4.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
7.4.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Компанией.
7.4.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Компанией информационных систем и специально обозначенных Компанией баз данных (внесистемное хранение персональных данных) не допускается.
7.4.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать Субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Узбекистан.
7.4.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
7.4.6. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.
7.4.7. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.5. Использование
7.5.1. Персональные данные обрабатываются и используются в целях, указанных в п. 6.1.
7.5.2. Доступ к персональным данным предоставляется только тем лицам, обязанности которых предполагают работу с соответствующими персональными данными, и только на период, необходимый для работы с данными.
7.5.3. Работники Компании, связанные с обработкой персональных данных, обязаны не допускать разглашения персональных данных, которые им были доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей.
7.6. Передача и предоставление
7.6.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
7.6.2. Предоставление персональных данных третьим лицам, в том числе, в коммерческих целях, допускается только при наличии согласия Субъекта, либо иного законного основания.
7.6.3. Субъект соглашается с тем, что Компания вправе предоставлять персональные данные третьим лицам – Партнерам Оператора, исключительно в целях, предусмотренных Политикой.
7.6.4. При предоставлении персональных данных третьим лицам субъект должен быть уведомлен о таком предоставлении, за исключением случаев, определенных законом, в частности, если:
a) субъект персональных данных согласен и уведомлен об осуществлении обработки его персональных данных оператором, который получил от Компании соответствующие данные;
b) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
c) персональные данные обрабатываются для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
7.6.5. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
7.6.6. Передача информации, содержащей персональные данные, может осуществляться на территории иностранных государств (трансграничная передача). Субъект согласен с тем, что Компания вправе осуществлять трансграничную передачу персональных данных. При этом такая передача осуществляется в соответствии с требованиями и правилами, предусмотренными законодательством Республики Узбекистан для трансграничной передачи персональных данных.
7.6.7. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Компания вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
7.6.8. В случаях, когда государственные органы имеют право запросить персональные данные, или персональные данные должны быть предоставлена в силу закона, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Узбекистан.
7.6.9. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Компании, для предварительного рассмотрения и согласования.
7.6.10. При утрате или разглашении персональных данных Компания информирует об этом Субъекта.
7.7. Поручение обработки
7.7.1. Компания вправе поручить обработку персональных данных другому лицу (в том числе Партнеру Оператора), если иное не предусмотрено законодательством Республики Узбекистан, на основании заключаемого с этим лицом договора. Субъект согласен с тем, что Компания вправе поручать обработку персональных данных другому лицу. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Республики Узбекистан.
7.7.2. Другие лица, связанные с обработкой персональных данных, обязаны не допускать разглашения персональных данных, которые им были доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей.
7.7.3. В договоре с лицом, осуществляющим обработку персональных данных по поручению Компании, данных должны быть определены:
a) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
b) цели обработки;
обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями законодательства Республики Узбекистан и ответственность за несоблюдение таких требований.
7.8. Защита
7.8.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
a) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
b) соблюдение конфиденциальности информации ограниченного доступа;
c) реализацию права на доступ к информации;
d) реализацию права Субъекта на защиту от вмешательства в его частную жизнь;
e) обеспечение целостности и сохранности персональных данных.
7.8.2. Для защиты персональных данных Компания принимает необходимые предусмотренные законодательством меры, включая, но не ограничиваясь:
a) ограничивает и регламентирует круг лиц, обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе, путем использования паролей доступа к электронным информационным ресурсам);
b) обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
c) организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
d) контролирует соблюдение требований по обеспечению безопасности персональных данных (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
e) проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
f) внедряет программные и технические средства защиты информации в электронном виде;
g) обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним; и др.
7.8.3. Для защиты персональных данных при их обработке в информационных системах Компания проводит необходимые предусмотренные законодательством мероприятия, включая, но не ограничиваясь:
a) определение угроз безопасности персональных данных при их обработке;
b) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством уровни защищенности персональных данных;
c) учет машинных носителей персональных данных;
d) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
e) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
f) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
7.8.4. В Компании назначены лица, ответственные за организацию обработки персональных данных.
7.8.5. В Компании принимаются иные меры, направленные на обеспечение выполнения Компанией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Узбекистан.
8. Права и обязанности субъектов персональных данных
8.1. Субъекты персональных данных вправе:
a) иметь доступ к своим персональным данным;
b) отозвать согласие на обработку их персональных данных;
c) изменять, уточнять, уничтожать и блокировать свои персональные данные;
d) получать информацию, касающуюся обработки своих персональных данных;
e) обжаловать неправомерные действия или бездействия при обработке персональных данных и требовать соответствующей компенсации в суде в порядке, предусмотренном законодательством;
f) определять представителей для защиты своих персональных данных и представительства своих интересов в порядке, предусмотренном законодательством;
g) защищать свои права и законные интересы в области персональных данных;
h) осуществлять иные права, предусмотренные законами, иными нормативными правовыми актами и локальными нормативными актами.
8.2. Право Субъекта на доступ к его персональным данным может быть ограничено в случаях, когда предоставление такой информации нарушает права и законные интересы других лиц.
8.3. Все обращения Субъектов или их представителей в связи с обработкой их персональных данных подлежат регистрации.
8.4. Субъект персональных данных обязан:
a) предоставлять Компании достоверные персональные данные;
b) своевременно сообщать Компании об изменениях и дополнениях своих персональных данных;
c) осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных;
d) исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты персональных данных.
9. Права и обязанности Компании
9.1. Компания вправе:
a) устанавливать правила обработки персональных данных в Компании, вносить изменения и дополнения в Политику в одностороннем порядке, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;
b) осуществлять иные права, предусмотренные законами, иными нормативными правовыми актами и локальными нормативными актами.
9.2. Компания обязана:
a) обеспечивать обработку персональных данных исключительно в целях, для которых они были собраны;
b) получать от Субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством Республики Узбекистан;
c) обрабатывать специальные категории персональных данных только с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством;
d) защищать персональные данные от их неправомерного использования или утраты;
e) исполнять иные обязанности, предусмотренные законодательством Республики Узбекистан и локальными нормативными актами Компании в области обработки и защиты персональных данных.
10. Ответственность
10.1. Компания несет установленную законодательством ответственность за нарушение законодательства Республики Узбекистан в области обработки и защиты персональных данных.
10.2. В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией на основании заключенного с ней договора.
11. Разрешение споров
11.1. До обращения в суд с иском по спорам, возникающим из отношений между Субъектом и Компанией, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора). Все претензии в адрес Компании должны быть направлены почтовой корреспонденцией (заказным или ценным письмом, либо курьерской доставкой) по месту нахождения (юридическому адресу) и почтовому адресу Компании, дополнительно претензия может быть направлена на электронный адрес ok@divan.uz.
11.2. Компания отвечает на претензию в течение 30 календарных дней со дня получения претензии.
11.3. При недостижении согласия по претензии спор между Сторонами передается на рассмотрение компетентного суда в соответствии с законодательством Республики Узбекистан.
