Политика конфиденциальности и обработки персональных данных

1. Введение и сфера применения

Pro Auto Ltd (далее — «Компания», «Оператор», «мы») уважает конфиденциальность пользователей и понимает значение, которое имеет защита персональных данных в современном цифровом обороте. Настоящая Политика конфиденциальности (далее — «Политика») является публичным документом и определяет порядок сбора, обработки, хранения, использования, передачи, уничтожения и иных действий с персональными данными физических лиц, осуществляемых Компанией в связи с использованием официального сайта, посадочных страниц, корпоративных каналов в мессенджерах Telegram и Max, а также при ведении электронной переписки.

Политика распространяется на всех пользователей вне зависимости от страны их пребывания, способа доступа к ресурсам Компании и характера взаимодействия с ней (посещение сайта, обращение по поводу подбора автомобиля, заключение договора, иное взаимодействие). Документ не регулирует обработку данных, осуществляемую третьими лицами на их собственных ресурсах, даже если ссылки на такие ресурсы размещены на сайте Компании; в этом случае применяются политики конфиденциальности соответствующих третьих лиц.

Используя сайт, продолжая навигацию по его страницам, переходя по ссылкам в закрытый каталог, отправляя сообщения через указанные каналы связи или предоставляя свои данные иным способом, пользователь подтверждает, что ознакомился с настоящей Политикой, понимает её положения и принимает их. Если пользователь не согласен с какими-либо положениями Политики, ему следует прекратить использование сайта и не предоставлять Компании свои персональные данные.

Настоящая редакция Политики действует с указанной выше даты. Предыдущие редакции, при их наличии, доступны по запросу, направляемому по контактным данным Компании. Архив редакций ведётся в целях прозрачности изменений и подтверждения согласия пользователя на действовавшую редакцию.

2. Определения и сокращения

В целях единообразного толкования Политики используются следующие термины и сокращения. Если в тексте Политики используется термин, не определённый в настоящем разделе, его значение принимается в соответствии с применимым законодательством.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту данных), в том числе фамилия, имя, контактные данные, идентификаторы устройства, IP-адрес, геолокация, поведенческие профили и иные сведения, позволяющие установить личность.

Обработка персональных данных

Любое действие или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без таковых: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Оператор

Юридическое лицо Pro Auto Ltd, самостоятельно или совместно с иными лицами организующее обработку персональных данных, определяющее цели и способы такой обработки.

Субъект данных

Физическое лицо, к которому относятся персональные данные.

Согласие на обработку

Свободное, конкретное, информированное и сознательное волеизъявление субъекта, выраженное в форме, позволяющей подтвердить факт его получения; согласие может быть выражено активным действием — отправкой формы, сообщением в мессенджере, переходом по ссылке после ознакомления с уведомлением.

Обезличивание

Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Псевдонимизация

Обработка, при которой данные не могут быть отнесены к субъекту без использования дополнительной информации, хранимой отдельно и под мерами технической и организационной защиты.

Профилирование

Любая форма автоматизированной обработки данных, состоящая в использовании персональных данных для оценки определённых личных характеристик субъекта, в частности его поведения, предпочтений, экономического положения.

Cookie

Небольшой текстовый файл, сохраняемый веб-браузером на устройстве пользователя при посещении сайта, используемый для хранения настроек, идентификаторов сессии и аналитической информации.

GDPR

Общий регламент по защите данных Европейского союза — Regulation (EU) 2016/679 от 27 апреля 2016 года, регулирующий обработку персональных данных физических лиц на территории Европейской экономической зоны (EEA) и при предложении услуг таким лицам из-за её пределов.

152-ФЗ

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

EEA

Европейская экономическая зона: государства — члены Европейского союза, а также Исландия, Лихтенштейн и Норвегия.

Надзорный орган

Государственная инспекция данных Латвийской Республики (Datu valsts inspekcija) — для пользователей из EEA; Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — для пользователей из Российской Федерации.

3. Оператор и контактная информация

Оператором персональных данных, организующим обработку и определяющим её цели, является Pro Auto Ltd, юридическое лицо, зарегистрированное в Регистре предприятий Латвийской Республики и осуществляющее свою деятельность по адресу, указанному в реквизитах в конце настоящей Политики. Связаться с Оператором по любым вопросам обработки персональных данных, включая реализацию прав субъектов данных, отзыв согласия, направление жалоб и запросов, можно по электронной почте, указанной в разделе «Контакты и подача жалобы».

Внутри Компании за вопросы обработки персональных данных и взаимодействия с субъектами данных отвечает специально назначенное контактное лицо. Сообщения, направляемые на адрес Компании, рассматриваются этим лицом или иным сотрудником, действующим в его отсутствие, в порядке и в сроки, установленные настоящей Политикой и применимым законодательством.

Компания не назначает обязательное лицо, ответственное за защиту данных (Data Protection Officer, DPO), в смысле статьи 37 GDPR, поскольку основная деятельность Компании не связана с систематическим масштабным мониторингом субъектов данных и не предполагает обработки специальных категорий данных в крупном объёме. При изменении характера деятельности и возникновении соответствующих оснований DPO будет назначен в установленном законом порядке, а сведения о нём будут опубликованы в настоящей Политике.

4. Принципы обработки данных

Компания осуществляет обработку персональных данных, руководствуясь следующими принципами, единовременно применимыми ко всем категориям обрабатываемых данных и всем целям обработки:

1. Законность, добросовестность и прозрачность. Обработка осуществляется на установленных законом основаниях, добросовестными способами, с предварительным информированием субъекта о целях обработки и его правах.
2. Ограничение цели. Данные собираются для конкретных, заранее определённых и законных целей и не подлежат дальнейшей обработке способом, несовместимым с этими целями. Изменение цели обработки требует наличия самостоятельного правового основания.
3. Минимизация данных. Обрабатываются только те данные, которые необходимы и достаточны для достижения заявленных целей. Сбор избыточной информации не допускается.
4. Точность. Компания принимает разумные меры для поддержания обрабатываемых данных в точном и при необходимости актуальном состоянии; неточные данные подлежат уточнению или удалению без необоснованной задержки.
5. Ограничение хранения. Данные хранятся в форме, позволяющей идентифицировать субъекта, не дольше, чем это необходимо для достижения целей обработки или установлено законодательством.
6. Целостность и конфиденциальность. Применяются технические и организационные меры, обеспечивающие защиту данных от несанкционированного доступа, утраты, случайного уничтожения и иных неправомерных действий.
7. Подотчётность. Компания способна продемонстрировать соответствие изложенным принципам перед субъектами данных и компетентными органами, ведя необходимую внутреннюю документацию.

5. Категории субъектов данных

В рамках своей деятельности Компания обрабатывает данные следующих категорий физических лиц:

• посетители сайта — лица, посещающие официальные веб-ресурсы Компании без идентификации; обрабатываются преимущественно технические данные;
• потенциальные клиенты (лиды) — лица, обратившиеся в Компанию для получения информации о подборе автомобиля, оставившие запрос в мессенджере или направившие электронное письмо;
• клиенты — лица, заключившие или находящиеся в процессе заключения договора с Компанией на услуги по подбору, проверке, доставке и оформлению автомобиля;
• контрагенты и их представители — лица, выступающие от имени партнёров, поставщиков и подрядчиков Компании, в объёме, необходимом для исполнения соответствующих договорных отношений;
• получатели маркетинговых коммуникаций — лица, давшие отдельное согласие на получение информационных и рекламных сообщений Компании;
• авторы обращений — лица, направившие в Компанию претензии, запросы реализации прав субъектов данных, жалобы и иные обращения, требующие письменного ответа.

6. Категории обрабатываемых данных

Компания собирает только тот минимум данных, который необходим для достижения целей, указанных в разделе 8 настоящей Политики. Не запрашиваются и не обрабатываются специальные категории данных в смысле статьи 9 GDPR и статьи 10 152-ФЗ — данные о расовом или этническом происхождении, политических, религиозных или философских убеждениях, членстве в профессиональных союзах, состоянии здоровья, сексуальной жизни, биометрические и генетические данные, — за исключением случаев, прямо предусмотренных законом или с явного письменного согласия субъекта.

6.1. Идентификационные данные

Имя, фамилия (при добровольном предоставлении), никнейм или идентификатор учётной записи в мессенджере (Telegram username, ID пользователя в Max), адрес электронной почты в качестве идентификатора пользователя.

6.2. Контактные данные

Адрес электронной почты, идентификатор учётной записи в мессенджере, при необходимости — номер телефона, почтовый адрес и иные сведения, добровольно сообщённые пользователем для целей коммуникации и оказания услуг.

6.3. Технические данные

IP-адрес устройства; тип, версия и язык браузера; тип устройства, разрешение экрана, операционная система и её версия; идентификаторы рекламных кампаний и UTM-метки; источник перехода (referrer); дата, время и продолжительность сессии; последовательность открытых страниц; реакция на интерактивные элементы (нажатия, наведения, скроллинг); идентификаторы файлов cookie и значения локального хранилища (localStorage, sessionStorage).

6.4. Поведенческие данные

Сведения о действиях пользователя на сайте, включая агрегированные показатели вовлечённости, использование функциональности интерфейса, переходы между разделами, реакции на просмотренные предложения. Такие данные используются преимущественно в обезличенной форме для оценки эффективности материалов и улучшения сайта.

6.5. Транзакционные и финансовые данные

В случае заключения договора — сведения, необходимые для оформления и расчётов: банковские реквизиты, копии документов, удостоверяющих личность (только в объёме, требуемом законом), номер VIN и иные идентификаторы автомобиля, документы, подтверждающие оплату. Финансовые данные обрабатываются с применением расширенных мер защиты и хранятся отдельно от иных данных.

6.6. Коммуникационные данные

Содержание переписки между пользователем и Компанией в любом из официальных каналов связи, включая текст сообщений, прикреплённые файлы, метаданные сообщений (время отправки, статус прочтения), а также служебная переписка по поводу обращений и жалоб. Прикреплённые файлы и переданные документы обрабатываются исключительно в целях, в связи с которыми они были предоставлены.

7. Источники получения данных

Подавляющий объём обрабатываемых данных поступает непосредственно от субъекта данных при добровольном предоставлении в процессе использования сайта или коммуникации с Компанией. Помимо этого, отдельные категории данных могут быть получены из следующих источников:

• от платформ-операторов мессенджеров (Telegram, Max) — публичные сведения профиля, предоставленные пользователем самой платформе и отображаемые ей при инициации диалога;
• из систем веб-аналитики, обслуживающих сайт, — обезличенные сведения о поведении на сайте;
• от партнёров и контрагентов Компании, привлекаемых для исполнения сделки, — сведения, необходимые для логистики, таможенного оформления, юридического сопровождения;
• из открытых публичных реестров и официальных источников (например, реестры юридических лиц, реестры транспортных средств) — в объёме, необходимом для проверки контрагентов и автомобилей;
• от компетентных органов — в случаях, когда поступление таких сведений предусмотрено законом.

8. Цели и правовые основания обработки

Каждая операция по обработке персональных данных совершается для достижения конкретной цели и опирается на одно из правовых оснований, предусмотренных применимым законодательством. Сводное соответствие целей, оснований и категорий данных приведено ниже.

Обработка данных в иных целях, не указанных в настоящем разделе, не допускается без получения отдельного информированного согласия субъекта или возникновения иного законного основания. О таком новом использовании субъект данных будет проинформирован отдельно.

9. Получатели данных

Компания не передаёт и не предоставляет персональные данные третьим лицам в коммерческих целях, в том числе не продаёт их и не сдаёт в аренду. Передача данных третьим лицам осуществляется только в случаях, прямо описанных в настоящей Политике, при наличии соответствующего правового основания и в объёме, минимально необходимом для достижения цели передачи.

К числу категорий получателей данных относятся:

• партнёры и подрядчики, привлекаемые для исполнения договора с пользователем: логистические операторы, таможенные брокеры, перевозчики, транспортные компании, юридические и сертификационные организации, страховщики;
• поставщики IT-инфраструктуры: хостинг-провайдеры, операторы доменных и DNS-сервисов, поставщики облачных хранилищ и средств защиты, провайдеры систем обмена сообщениями, операторы CDN, поставщики средств мониторинга работоспособности и защиты от автоматизированных запросов;
• операторы мессенджеров Telegram и Max — в случаях, когда коммуникация с пользователем осуществляется через соответствующие платформы; Компания обрабатывает только те данные, которые получает от платформы в связи с диалогом, и не имеет доступа к иным сведениям учётной записи пользователя;
• провайдеры веб-аналитики, обеспечивающие сбор и обработку обезличенных статистических данных о посещаемости сайта, в том числе сервис Yandex.Metrica при его подключении;
• профессиональные консультанты: аудиторы, юридические советники, налоговые и иные внешние консультанты, привлекаемые Компанией для обеспечения соответствия её деятельности требованиям закона;
• государственные органы и должностные лица — на основании запроса, предусмотренного законом, в объёме, необходимом для удовлетворения такого запроса;
• правопреемники Компании в случаях реорганизации, продажи бизнеса или передачи отдельных активов, при условии, что правопреемник принимает на себя обязательства по соблюдению настоящей Политики.

Со всеми поставщиками услуг, обрабатывающими данные по поручению Компании, заключаются договоры, содержащие положения о соблюдении конфиденциальности, целевом использовании данных, мерах защиты и условиях возврата или уничтожения данных по окончании сотрудничества.

10. Трансграничная передача данных

Поскольку Компания зарегистрирована и ведёт деятельность на территории Латвийской Республики и предоставляет услуги клиентам из различных юрисдикций, обработка данных может включать их передачу за пределы страны их сбора. Такая передача осуществляется при условии обеспечения адекватного уровня защиты данных, не ниже уровня, предусмотренного законодательством страны нахождения субъекта данных.

При передаче данных за пределы Европейской экономической зоны применяются один или несколько из следующих механизмов: решения Европейской комиссии о признании страны-получателя обеспечивающей адекватный уровень защиты; стандартные договорные условия, утверждённые Европейской комиссией; обязательные корпоративные правила; иные надлежащие гарантии, предусмотренные статьями 45–49 GDPR. По запросу субъекта данных Компания предоставляет копию применённого механизма передачи или указывает место, где с ним можно ознакомиться.

В отношении пользователей — граждан Российской Федерации трансграничная передача данных осуществляется с учётом требований 152-ФЗ, в том числе требований к предварительному уведомлению уполномоченного органа и к получению согласия субъекта на трансграничную передачу в страны, не обеспечивающие адекватной защиты, при необходимости такого согласия.

11. Сроки хранения

Сроки хранения данных определяются с учётом цели обработки, требований применимого законодательства и разумных ожиданий субъекта данных. По достижении цели обработки или истечении соответствующего срока данные подлежат удалению, обезличиванию или передаче в архив с ограничением доступа в зависимости от категории данных.

По истечении сроков хранения данные удаляются способами, исключающими их восстановление, либо обезличиваются. В случае невозможности немедленного удаления (например, при наличии резервных копий) данные блокируются до даты их планового уничтожения.

12. Cookies и схожие технологии

Сайт использует файлы cookie и аналогичные технологии локального хранения, такие как localStorage и sessionStorage, для обеспечения базовой работы интерфейса, сохранения пользовательских настроек, сбора обезличенных аналитических сведений и измерения эффективности материалов сайта. Подробности применения и состав групп cookie приведены ниже.

12.1. Категории cookie

• Строго необходимые — обеспечивают корректную работу сайта, поддержку сессии, защиту от автоматизированных запросов; устанавливаются всегда, без отдельного согласия пользователя; срок жизни — от длительности сессии до 12 месяцев.
• Функциональные — запоминают пользовательские предпочтения (язык интерфейса, ранее выбранный канал связи); могут быть отключены без существенной потери функциональности; срок жизни — до 12 месяцев.
• Аналитические — собирают обезличенные сведения о посещении страниц, нажатиях, источниках перехода; устанавливаются только при получении согласия пользователя; срок жизни — до 24 месяцев.
• Маркетинговые — Компания не использует на текущий момент; в случае их подключения соответствующее уведомление будет добавлено в Политику и пользователю будет предложено отдельное согласие.

12.2. Управление cookie

Пользователь может управлять обработкой cookie средствами своего браузера: запретить их установку полностью или для отдельных сайтов, удалить ранее сохранённые файлы, активировать режим повышенной приватности, использовать расширения, ограничивающие отслеживание. Подробные инструкции для популярных браузеров доступны в их разделах справки. Отключение строго необходимых cookie может привести к частичной или полной потере работоспособности сайта; ответственность за такие последствия Компания не несёт.

12.3. Подробный перечень используемых cookie

Подробный перечень устанавливаемых cookie с указанием цели, срока жизни и поставщика поддерживается Компанией в актуальном состоянии и может быть предоставлен по запросу субъекта данных.

13. Веб-аналитика и онлайн-инструменты

Для оценки качества интерфейса, выявления узких мест пользовательского пути и расчёта общих показателей посещаемости Компания может использовать сторонние сервисы веб-аналитики. На момент публикации настоящей Политики возможно использование следующих инструментов:

• Yandex.Metrica — система веб-аналитики, оператором которой является ООО «ЯНДЕКС». Используются режимы «карта кликов», «отслеживание ссылок», «точный показатель отказов», а также при необходимости «вебвизор» для записи обезличенных сессий. Используемые данные включают IP-адрес (в усечённой форме), сведения о устройстве и браузере, последовательность просмотренных страниц, нажатия, прокрутку. Условия обработки данных описаны на стороне поставщика и доступны на его сайте.

Компания принимает разумные меры по настройке инструментов аналитики таким образом, чтобы обработка данных была минимально необходимой: применяется усечение IP-адресов, отключаются возможности межсайтового объединения профилей, доступ к аналитическим панелям ограничен кругом сотрудников, ответственных за анализ посещаемости.

Пользователь может в любой момент отказаться от участия в веб-аналитике средствами, предоставляемыми соответствующим сервисом (например, через расширения браузера или встроенные средства отказа), а также путём блокировки соответствующих cookie в браузере или путём отзыва согласия в порядке, описанном в разделе 20.

14. Профилирование и автоматизированные решения

Компания не принимает в отношении пользователей решений, основанных исключительно на автоматизированной обработке данных и порождающих в отношении субъекта юридические последствия или оказывающих на него существенное аналогичное влияние, в смысле статьи 22 GDPR. Все значимые для пользователя решения (одобрение участия в подборе автомобиля, согласование стоимости, заключение договора) принимаются с участием человека.

Возможна ограниченная автоматическая категоризация запросов пользователя (например, отнесение обращения к тематическому потоку, оценка приоритетности по тексту сообщения) в целях ускорения ответа. Такая категоризация не влияет на содержание решения и может быть пересмотрена сотрудником в любой момент.

15. Безопасность данных

Компания применяет совокупность технических и организационных мер защиты, соответствующих характеру обрабатываемых данных, рискам, связанным с обработкой, и современному уровню развития техники. К числу таких мер, в частности, относятся:

• передача данных по защищённым соединениям (TLS) с актуальными версиями протоколов и наборами шифров;
• хранение данных на инфраструктуре, обеспечивающей резервное копирование, контроль доступа и физическую защиту вычислительных мощностей;
• разграничение доступа сотрудников и подрядчиков по принципу минимально необходимых полномочий, ведение журналов доступа и операций;
• ведение реестра обработки персональных данных, отражающего цели, основания, категории субъектов и данных, сроки хранения и получателей;
• применение средств защиты от автоматизированных и вредоносных запросов, мониторинг подозрительной активности;
• регулярное обновление прикладного и инфраструктурного программного обеспечения, своевременное устранение известных уязвимостей;
• обучение сотрудников основам обработки персональных данных, заключение соглашений о конфиденциальности с лицами, имеющими доступ к данным;
• периодический внутренний контроль соответствия процессов обработки требованиям законодательства и настоящей Политики.

Несмотря на принимаемые меры, ни одна система передачи и хранения данных не может гарантировать абсолютную защищённость. Если у пользователя возникли основания полагать, что безопасность его данных могла быть нарушена, ему следует незамедлительно обратиться в Компанию по контактам, указанным в настоящей Политике.

16. Реагирование на инциденты безопасности

Под инцидентом безопасности понимается любое событие, повлёкшее или способное повлечь несанкционированный доступ к персональным данным, их изменение, раскрытие, утрату или уничтожение. При выявлении инцидента Компания немедленно предпринимает действия по локализации события, оценке его последствий и восстановлению нормального функционирования системы.

В случае инцидента, способного повлечь риск для прав и свобод субъектов данных, Компания уведомляет компетентный надзорный орган (Datu valsts inspekcija) в срок, не превышающий 72 часов с момента обнаружения инцидента, а также в случаях, предусмотренных применимым законодательством, уведомляет затронутых субъектов о факте инцидента, его характере и принятых мерах. В отношении пользователей — граждан Российской Федерации уведомление осуществляется с учётом требований 152-ФЗ и подзаконных актов Роскомнадзора, в том числе с использованием установленных сроков и форм уведомления.

По итогам каждого зарегистрированного инцидента проводится внутреннее расследование, по результатам которого определяются дополнительные меры по предотвращению повторения подобных событий. Сведения об инцидентах фиксируются во внутреннем реестре и могут быть предоставлены надзорному органу по его запросу.

17. Особенности обработки данных граждан Российской Федерации

В отношении пользователей, являющихся гражданами Российской Федерации или находящихся на её территории, Компания соблюдает требования Федерального закона «О персональных данных» (152-ФЗ) и иных нормативно-правовых актов Российской Федерации, относящихся к обработке персональных данных, в части, применимой к деятельности Оператора.

17.1. Локализация баз данных

В соответствии с частью 5 статьи 18 152-ФЗ запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации, в случаях, когда такая обработка относится к категориям, прямо подпадающим под действие указанной нормы. Последующая передача данных за пределы Российской Федерации осуществляется в целях исполнения договора и иных законных целях с учётом требований к трансграничной передаче.

17.2. Согласие на обработку

Согласие на обработку персональных данных, получаемое от гражданина Российской Федерации, является конкретным, информированным и сознательным. Согласие может быть отозвано субъектом в любой момент путём направления соответствующего обращения по контактным данным Компании.

17.3. Трансграничная передача

До начала трансграничной передачи персональных данных граждан Российской Федерации Компания принимает меры по уведомлению уполномоченного органа в соответствии со статьёй 12 152-ФЗ и обеспечивает соответствие условий обработки требованиям российского законодательства. Передача в страны, не обеспечивающие адекватной защиты, осуществляется при наличии согласия субъекта или иных оснований, предусмотренных законом.

17.4. Права субъекта

Гражданин Российской Федерации обладает правами, предусмотренными статьями 14, 20 и 21 152-ФЗ, в том числе правом на получение информации о составе и источниках обрабатываемых данных, требованием уточнения, блокирования или уничтожения данных, а также правом на обжалование действий Компании в Роскомнадзоре или в судебном порядке.

17.5. Уведомление об обработке

В предусмотренных законом случаях Компания подаёт уведомление об обработке персональных данных в Роскомнадзор. Если деятельность Компании подпадает под одно из исключений, предусмотренных частью 2 статьи 22 152-ФЗ, такое уведомление не подаётся, что не затрагивает обязанности Компании соблюдать иные требования закона.

17.6. Реклама и информационные сообщения

Направление пользователю — гражданину Российской Федерации рекламных и информационных сообщений осуществляется только при наличии его предварительного согласия в порядке, предусмотренном Федеральным законом «О рекламе» от 13 марта 2006 года № 38-ФЗ. Согласие может быть отозвано пользователем в любой момент путём направления соответствующего обращения, после чего рассылка прекращается в разумный срок.

18. Особенности для субъектов из EEA / GDPR

Для пользователей, находящихся на территории Европейской экономической зоны или относящихся к ней по иным основаниям применения GDPR, действуют дополнительные правила:

• обработка осуществляется на одном из правовых оснований, предусмотренных статьёй 6 GDPR (а в отношении специальных категорий — статьёй 9), как указано в разделе 8 настоящей Политики;
• пользователь обладает совокупностью прав, предусмотренных статьями 12–22 GDPR; их перечень и порядок реализации приведены в разделе 19;
• надзорным органом для целей подачи жалобы выступает Государственная инспекция данных Латвийской Республики (Datu valsts inspekcija), а также любой иной компетентный надзорный орган страны постоянного проживания пользователя или места работы; контактные данные надзорных органов государств — членов EEA опубликованы на сайте Европейского совета по защите данных (European Data Protection Board);
• трансграничная передача данных осуществляется с применением механизмов, предусмотренных статьями 45–49 GDPR; с типовыми договорными условиями, на основании которых передаются данные, можно ознакомиться по запросу;
• в случаях, требующих принятия решения с участием человека, такое решение принимается уполномоченным сотрудником и может быть пересмотрено по обращению субъекта.

19. Права субъектов данных

В соответствии с применимым законодательством субъект данных обладает совокупностью прав в отношении своих персональных данных. Реализация прав осуществляется на безвозмездной основе, за исключением случаев очевидно необоснованных или повторяющихся запросов, в отношении которых может быть установлена разумная плата либо отказ в удовлетворении.

1. Право на информацию — получить от Компании сведения о факте обработки данных, целях, правовых основаниях, категориях данных, получателях, сроках хранения и иных существенных условиях обработки.
2. Право на доступ — получить копию обрабатываемых персональных данных в общедоступной форме.
3. Право на исправление — потребовать уточнения неточных или неполных данных.
4. Право на удаление («право быть забытым») — потребовать удаления данных в случаях, когда отсутствует правовое основание для их дальнейшей обработки.
5. Право на ограничение обработки — приостановить отдельные операции с данными, в том числе на период проверки точности данных или законности их обработки.
6. Право на переносимость данных — получить предоставленные данные в структурированном, общеупотребительном и машиночитаемом формате и при технической возможности передать их другому оператору.
7. Право на возражение — возразить против обработки, основанной на законном интересе Компании, а также против использования данных в маркетинговых целях.
8. Право не быть объектом исключительно автоматизированных решений — потребовать участия человека при принятии решений, имеющих юридические последствия.
9. Право отозвать согласие — в любой момент и без указания причин; отзыв согласия не затрагивает законность обработки, осуществлённой до момента отзыва.
10. Право обратиться в надзорный орган — направить жалобу в компетентный надзорный орган страны постоянного проживания, места работы или места предполагаемого нарушения.

Запрос на реализацию прав направляется по адресу электронной почты, указанному в разделе «Контакты и подача жалобы», или иным способом, обеспечивающим возможность подтверждения личности заявителя. К запросу необходимо приложить сведения, позволяющие идентифицировать обратившегося в качестве субъекта соответствующих данных, а также — при необходимости — подтверждающие полномочия представителя.

Срок рассмотрения запроса составляет не более 30 (тридцати) календарных дней с момента его получения. В сложных случаях указанный срок может быть продлён ещё на 60 (шестьдесят) календарных дней с обязательным предварительным уведомлением заявителя о продлении и его причинах. Компания вправе запросить у субъекта дополнительные сведения, необходимые для удостоверения личности и обработки запроса; в этом случае течение срока приостанавливается до получения запрошенной информации.

20. Управление согласием

Если обработка данных основана на согласии субъекта, такое согласие может быть отозвано в любой момент. Отзыв согласия не имеет обратной силы и не влияет на законность обработки, осуществлённой до момента его получения. Для отзыва согласия достаточно направить соответствующее обращение в свободной форме на адрес электронной почты Компании с указанием идентифицирующих сведений и описания согласия, которое отзывается.

После получения отзыва Компания прекращает обработку данных, для которой требовалось отзываемое согласие, в разумный срок, как правило не превышающий 10 (десяти) рабочих дней, с учётом особенностей резервного копирования и обязательных сроков хранения, установленных законом. Сведения о факте получения отзыва согласия фиксируются во внутреннем реестре в целях обеспечения прозрачности.

Отзыв согласия может повлечь невозможность дальнейшего предоставления отдельных услуг Компании, если их предоставление невозможно без обработки соответствующих данных. О таких последствиях Компания информирует пользователя при поступлении отзыва.

21. Маркетинговые коммуникации

Маркетинговые рассылки и информационные сообщения о предложениях Компании направляются пользователю исключительно при наличии его предварительного согласия. Согласие может быть выражено путём активного действия (нажатие соответствующей отметки в форме обращения, явно сформулированное сообщение в мессенджере, отдельный электронный запрос на подключение к рассылке).

Каждое маркетинговое сообщение содержит сведения о Компании как отправителе и удобный способ отказа от дальнейших рассылок. Отказ может быть выражен ответным сообщением, использованием встроенных средств отписки или направлением обращения по контактным данным Компании. После получения отказа отправка маркетинговых сообщений соответствующему пользователю прекращается в разумный срок.

Для целей маркетинговых коммуникаций не используются специальные категории данных. Профилирование в маркетинговых целях, способное повлечь существенные последствия для пользователя, не применяется.

22. Обязательства пользователя

Пользователь обязуется предоставлять Компании достоверные сведения о себе и оперативно сообщать об их изменении. Предоставление заведомо ложных или чужих данных не допускается и может повлечь невозможность оказания услуг, отказ в их предоставлении, а в случае нарушения прав третьих лиц — ответственность пользователя в соответствии с законом.

Если пользователь передаёт Компании данные третьих лиц (например, в качестве получателя автомобиля или контактного лица), он подтверждает, что обладает правом на передачу таких данных и принял необходимые меры по информированию соответствующих лиц об условиях обработки. Компания вправе отказать в обработке таких данных, если у неё возникнут обоснованные сомнения в наличии такого права.

Пользователь обязан обеспечивать сохранность учётных данных, используемых для коммуникации с Компанией (в частности, данных учётной записи в мессенджере, доступа к электронной почте), и незамедлительно сообщать Компании о любых случаях, когда эти данные могли быть скомпрометированы.

23. Несовершеннолетние

Сайт и услуги Компании предназначены для лиц, достигших возраста, с которого по применимому законодательству допускается самостоятельное предоставление согласия на обработку персональных данных и заключение договоров. Для государств — членов Европейского союза такой возраст по общему правилу составляет 16 лет, если соответствующим государством не установлен иной возраст в пределах от 13 до 16 лет; в Латвийской Республике применяются нормы национального законодательства.

Если Компании станет известно, что персональные данные были предоставлены несовершеннолетним без надлежащего согласия его родителя или иного законного представителя, такие данные подлежат удалению, а соответствующая обработка — прекращению, за исключением случаев, когда обработка осуществляется в иных законных целях, не зависящих от согласия. Родители и иные законные представители вправе обратиться в Компанию для подтверждения обработки или удаления данных несовершеннолетнего.

24. Внешние ресурсы

На сайте могут размещаться ссылки на ресурсы и сервисы третьих лиц — Telegram, Max, корпоративные ресурсы партнёров, тематические информационные ресурсы. Действие настоящей Политики не распространяется на политику конфиденциальности и условия использования таких внешних ресурсов. Компания не контролирует и не несёт ответственности за обработку персональных данных, осуществляемую этими лицами; перед предоставлением сведений на внешних ресурсах пользователю рекомендуется самостоятельно ознакомиться с их условиями.

25. Изменения политики

Компания вправе в одностороннем порядке вносить изменения в настоящую Политику в связи с изменением применимого законодательства, появлением новых сервисов и каналов коммуникации, рекомендациями надзорных органов или внутренними практиками защиты данных. Актуальная редакция Политики всегда размещается на сайте по постоянной ссылке; дата вступления в силу указывается в её заголовочной части.

Существенные изменения, затрагивающие объём обрабатываемых данных, цели обработки, круг получателей или иные значимые параметры обработки, доводятся до пользователя дополнительно: посредством уведомления через активный канал коммуникации, заметным баннером на сайте либо иным способом, обеспечивающим должную информированность пользователя. Продолжение использования сайта и предоставление данных после публикации обновлённой редакции означают принятие пользователем изменённых условий.

В случае несогласия с новой редакцией пользователь вправе прекратить использование сайта и при необходимости направить запрос на удаление своих данных в соответствии с разделом 19.

26. Применимое право и разрешение споров

К настоящей Политике и отношениям, возникающим в связи с обработкой персональных данных, применяется право Латвийской Республики, без ущерба для императивных норм законодательства страны постоянного проживания пользователя — потребителя, обеспечивающих более высокий уровень защиты прав. В отношении пользователей — граждан Российской Федерации применяется в соответствующей части законодательство Российской Федерации, включая 152-ФЗ.

Любые споры, возникающие в связи с обработкой персональных данных, подлежат досудебному урегулированию. Сторона, считающая свои права нарушенными, направляет другой стороне письменное обращение с описанием существа разногласий и предлагаемого способа их разрешения. Срок ответа на такое обращение составляет не более 30 (тридцати) календарных дней с момента его получения.

При невозможности досудебного урегулирования спор подлежит рассмотрению в компетентном суде по месту нахождения Компании, если иное не следует из императивных норм применимого законодательства, защищающих права потребителя или иного физического лица.

27. История версий