Політика захисту персональних даних

1. Ця Політика захисту персональних даних встановлює правила обробки персональних даних, отриманих через інтернет-магазин www.pharmaceris.com (надалі — «Інтернет-магазин»), в якому продається продукція торговельної марки Pharmaceris.
2. Розпорядником персональних даних є компанії КОСМЕТІКС ЛАБ Сп. з о.о. (COSMETICS LAB Sp. z o.o.) з місцезнаходженням: вул. Колейова 5/7, 01-217 Варшава (ul. Kolejowa 5/7, 01-217 Warszawa), внесена до Реєстру підприємців Національного судового реєстру, який ведеться Окружним судом столичного міста Варшави у Варшаві, XII Економічним відділом Національного судового реєстру під номером KRS 0000812993, Номер у Загальнопольському реєстрі суб’єктів народного господарства (REGON): 384975497, Податковий ідентифікаційний номер (NIP): 5272913585, яка надає послуги в електронному вигляді та зберігає й отримує доступ до інформації на пристроях Покупця через вебсайт www.pharmaceris.com, й Др Ірена Еріс С.А. (Dr Irena Eris S.A.) з місцезнаходженням: вул. Армії Крайовей 12, 05-500 Пясечно, Польща (ul. Armii Krajowej 12, 05-500 Piaseczno, Poland), зареєстрована в Окружному суді столичного міста Варшави, XIV Економічним відділом Національного судового реєстру KRS 0000370362, статутний капітал 200 200 000,00 злотих, (двісті мільйонів двісті тисяч злотих) повністю сплачений, REGON: 142584703, NIP 5272642206, як власник порталу www.pharmaceris.com.
3. Персональні дані, зібрані КОСМЕТІКС ЛАБ Сп. з о.о. та Др Ірена Еріс С.А. (надалі разом — Компанії) через Інтернет-магазин, обробляються відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних), який також називають GDPR.
4. Компанії з особливою увагою ставляться до захисту персональних даних Покупців, які відвідують Інтернет-магазин.

§ 1 Тип оброблюваних даних, цілі та правові підстави обробки

1. Компанії збирають інформацію про фізичних осіб, які здійснюють юридичні дії, безпосередньо не пов’язані зі своєю діяльністю, фізичних осіб, які здійснюють підприємницьку або професійну діяльність від свого імені, а також фізичних осіб, які представляють юридичні особи або організаційні одиниці, що не є юридичними особами, яким закон надає правоздатність, що здійснюють від свого імені підприємницьку або професійну діяльність (надалі разом — Покупці).
2. Персональні дані Покупців збираються в разі:
   
   1. реєстрації облікового запису в Інтернет-магазині з метою створення індивідуального облікового запису та управління цим обліковим записом. Правова підстава — необхідність виконання умов договору про надання послуги Облікового запису (ст. 6, параграф 1 b) GDPR);
   2. розміщення замовлення в Інтернет-магазині з метою виконання договору купівлі-продажу. Правова підстава — необхідність виконання умов договору купівлі-продажу (ст. 6, параграф 1 b) GDPR);
   3. підписка на розсилання новин з метою виконання умов договору, предметом якого є послуга, що надається в електронному вигляді. Правова підстава — згода суб’єкта даних на виконання умов договору про надання послуги розсилання новин (ст. 6, параграф 1 b) GDPR).
3. У разі реєстрації облікового запису в Інтернет-магазині, Покупець надає такі дані:
   
   1. ім’я та прізвище;
   2. адреса електронної пошти;
   3. поштовий індекс і населений пункт;
   4. країна;
   5. вулиця з номером будинку/квартири;
   6. номер телефону.
4. При реєстрації облікового запису в Інтернет-магазині Покупець встановлює індивідуальний пароль для доступу до свого облікового запису. Покупець може змінити пароль пізніше відповідно до умов, описаних в §6.
5. При оформленні замовлення в Інтернет-магазині Покупець надає такі дані:
   
   1. ім’я та прізвище;
   2. адреса електронної пошти;
   3. поштовий індекс і населений пункт;
   4. країна;
   5. вулиця з номером будинку/квартири;
   6. номер телефону.
6. Для юридичних осіб вищезазначений перелік додатково розширюється такими даними:
   
   1. назва юридичної особи;
   2. податковий ідентифікаційний номер.
7. При користуванні послугою Розсилання новин Покупець вказує тільки свою адресу електронної пошти.
8. При користуванні Сайтом Інтернет-магазину може завантажуватися додаткова інформація, зокрема: IP-адреса, присвоєна комп’ютеру Покупця, або зовнішня IP-адреса Інтернет-провайдера, доменне ім’я, тип браузера, час доступу, тип операційної системи.
9. Від Покупців також можуть збиратися навігаційні дані, зокрема інформація про посилання, на які вони вирішили перейти, або про інші дії, здійснені в нашому Інтернет-магазині. Правова підстава — законний інтерес (ст. 6, параграф 1 f) GDPR), що полягає в полегшенні використання електронних послуг і поліпшенні функціональності цих послуг.
10. Для визначення, пред’явлення та забезпечення виконання позовів можуть оброблятися певні персональні дані, надані Покупцем під час використання функціональних можливостей Інтернет-магазину, такі як: ім’я, прізвище, дані про використання послуг, якщо позови випливають зі способу використання послуг Покупцем, інші дані, необхідні для доведення наявності позову, зокрема розмір завданих збитків. Правова підстава — законний інтерес (ст. 6, параграф 1 f) GDPR), що полягає у встановленні, здійсненні та забезпеченні виконання вимог, а також у захисті від позовів під час розгляду в судах та інших державних органах.
11. Передача персональних даних Компаніям є добровільною у зв’язку з укладеними договорами купівлі-продажу або наданням послуг через Сайт Інтернет-магазину, із застереженням, що ненадання даних, зазначених у формах у процесі реєстрації, перешкоджає реєстрації та створенню Облікового запису покупця, й у разі розміщення замовлення без реєстрації Облікового запису покупця ви не зможете розмістити та обробити замовлення покупця.

§ 2 Кому передаються або довіряються дані та як довго вони зберігаються?

1. Персональні дані Покупця передаються постачальникам послуг, залученим Компаніями для забезпечення роботи Інтернет-магазину. Постачальники послуг, яким передаються персональні дані, залежать від договірних домовленостей та обставин або підпорядковуються інструкціям Компаній щодо цілей та способів обробки цих даних (суб’єкти обробки).
2. Персональні дані Покупців зберігаються протягом такого часу:
   
   1. Якщо підставою для обробки персональних даних є згода, то персональні дані Покупця обробляються Компаніями до моменту відкликання згоди, а після відкликання згоди — протягом періоду, що відповідає строку позовної давності за позовами, які можуть бути пред’явлені Компаніями та які можуть бути пред’явлені проти них. Якщо спеціальним положенням не передбачено інше, строк позовної давності становить шість років, а для позовів щодо періодичних виплат і позовів, пов’язаних з підприємницькою діяльністю, — три роки.
   2. Якщо підставою для обробки даних є виконання умов договору, то персональні дані Користувача обробляються Компаніями, допоки це необхідно для виконання умов договору, а після закінчення цього терміну — протягом терміну, що відповідає строку позовної давності. Якщо спеціальним положенням не передбачено інше, строк позовної давності становить шість років, а для позовів щодо періодичних виплат і позовів, пов’язаних з підприємницькою діяльністю, — три роки.
3. При здійсненні покупок в Інтернет-магазині персональні дані можуть бути передані, залежно від вибору покупця, таким суб’єктам з метою доставлення замовленого товару:
   
   1. кур’єрській компанії, поштовому оператору, Польській пошті;
   2. компанії, що здійснює платежі;
   3. банку.
4. Навігаційні дані можуть використовуватися для надання Покупцеві кращого обслуговування, аналізу статистичних даних та адаптації Інтернет-магазину до уподобань Покупця, а також для адміністрування Інтернет-магазину.
5. Якщо Покупець підписаний на розсилання новин на свою адресу електронної пошти, Компанія буде надсилати електронні повідомлення, що містять комерційну інформацію про акції та нові товари, доступні в Інтернет-магазині.
6. У разі надходження відповідного запиту, Компанія надасть персональні дані уповноваженим державним органам, зокрема структурним підрозділам прокуратури, поліції, Голові Управління Польщі з питань захисту персональних даних, Голові Управління Польщі з питань конкуренції та захисту прав споживачів або Голові Управління Польщі з питань електронних комунікацій.

§ 3 Механізм використання файлів cookie, IP-адреса

1. Інтернет-магазин використовує невеликі файли, які називаються файлами cookie. Вони зберігаються Компанією на кінцевому пристрої особи, яка відвідує Інтернет-магазин, якщо це дозволяє веббраузер. Файл cookie зазвичай містить доменне ім’я, з якого він походить, його «термін дії» та індивідуальний випадково обраний номер, що ідентифікує цей файл. Інформація, зібрана за допомогою цього типу файлів, допомагає адаптувати товари, пропоновані Компаніями, до індивідуальних уподобань і реальних потреб відвідувачів Інтернет-магазину. Вони також дозволяють складати загальну статистику відвідувань представлених в Інтернет-магазині товарів.
2. Компанії використовують два типи файлів cookie:
   
   1. Сеансові файли cookie: після завершення сеансу браузера або вимкнення комп’ютера збережена інформація видаляється з пам’яті пристрою. Механізм не дозволяє сеансовим файлам cookie отримувати будь-які персональні дані або будь-яку конфіденційну інформацію з комп’ютера Покупця.
   2. Постійні файли cookie: зберігаються в пам’яті кінцевого пристрою Покупця й залишаються там доти, доки не будуть видалені або не закінчиться їхній термін дії. Механізм постійних файлів cookie не дозволяє завантажити будь-які персональні дані або будь-яку конфіденційну інформацію з комп’ютера Покупця.
3. Компанії використовують власні файли cookie для:
   
   1. аутентифікації Покупця в Інтернет-магазині та забезпечення сеансу Покупця в Інтернет-магазині (після входу в систему), завдяки чому Покупцеві не потрібно повторно вводити логін і пароль на кожній підсторінці Інтернет-магазину;
   2. аналізу та досліджень і аудиту аудиторії, зокрема для створення анонімної статистики, яка допомагає зрозуміти, як Покупці використовують Сайт Інтернет-магазину, що дозволяє поліпшити його структуру та наповнення.
4. Компанії використовують зовнішні файли cookie для:
   
   1. збору загальних та анонімних статичних даних за допомогою аналітичних інструментів Google Analytics (зовнішній адміністратор файлів cookie — Гугл Інк. (Google Inc.) з місцезнаходженням у США).
5. Механізм використання файлів cookie є безпечним для комп’ютерів Покупців Інтернет-магазину. Зокрема, унеможливлюється проникнення вірусів або іншого небажаного програмного забезпечення чи зловмисного програмного забезпечення на комп’ютери Покупців. Проте у своїх браузерах Покупці мають можливість обмежити або вимкнути доступ файлів cookie до комп’ютерів. Скориставшись цією опцією, ви зможете користуватися Інтернет-магазином, крім функцій, які за своєю природою вимагають використання файлів cookie.
6. Інформацію про вимкнення файлів cookie в окремих браузерах можна знайти в налаштуваннях браузера. У разі виникнення проблем зверніться до довідки вашої пошукової системи.
7. Компанії можуть збирати IP-адреси Покупців. IP-адреса — це номер, присвоєний комп’ютеру особи, яка відвідує Інтернет-магазин, інтернет-провайдером. IP-адреса забезпечує доступ до інтернету. У більшості випадків вона присвоюється комп’ютеру динамічно, тобто змінюється при кожному під’єднанні до інтернету. IP-адреса використовується Компаніями для діагностики технічних проблем з сервером, створення статистичних аналізів (наприклад, визначення, з яких регіонів ми фіксуємо найбільше відвідувань), як інформація, корисна для адміністрування та вдосконалення Інтернет-магазину, а також для забезпечення безпеки та запобігання можливим ідентифікаційним навантаженням на сервер і перегляду наповнення Інтернет-магазину небажаними автоматичними програмами.

§ 4 Права суб’єктів даних

1. Право на відкликання згоди: Правова підстава — ст. 7, параграф 3 GDPR.
   
   1. Покупець має право відкликати будь-яку згоду, надану Компаніям.
   2. Відкликання згоди набуває чинності з моменту відкликання згоди.
   3. Відкликання згоди не впливає на обробку персональних даних, яку Компанії здійснювали відповідно до законодавства до її відкликання.
   4. Відкликання згоди не тягне за собою жодних негативних наслідків для Покупця, однак може перешкоджати подальшому використанню послуг або функціональних можливостей Інтернет-магазину, які відповідно до закону Компанії можуть надаватися тільки за згодою.
2. Право на заперечення проти обробки даних: Правова підстава — ст. 21 GDPR.
   
   1. Покупець має право в будь-який час — з причин, пов’язаних з його конкретною ситуацією, — заперечити проти обробки його персональних даних, зокрема профілювання, якщо Компанії обробляють його дані на підставі законного інтересу, наприклад для маркетингу товарів і послуг Компанії, ведення статистики використання окремих функціональних можливостей Інтернет-магазину та полегшення використання Інтернет-магазину, а також проведення опитувань задоволеності.
   2. Відмова у формі електронного листа від отримання маркетингових повідомлень щодо товарів або послуг буде означати заперечення Покупця проти обробки його персональних даних, зокрема профілювання для цих цілей.
   3. Якщо заперечення Покупця виявиться обґрунтованим і Компанії не мають інших правових підстав для обробки персональних даних, будуть видалені персональні дані Покупця, проти обробки яких він заперечив.
3. Право на видалення даних («право на забуття»): Правова підстава — ст. 17 GDPR.
   
   1. Покупець має право вимагати видалення всіх або окремих персональних даних.
   2. Покупець має право вимагати видалення персональних даних у таких випадках:
      
      1. персональні дані більше не є необхідними для цілей, для яких вони були зібрані або для яких вони оброблялися;
      2. Покупець відкликав конкретну згоду в тому обсязі, в якому персональні дані оброблялися на підставі його згоди;
      3. Покупець заперечує проти використання його даних у маркетингових цілях;
      4. персональні дані обробляються незаконно;
      5. персональні дані повинні бути видалені для дотримання юридичного зобов’язання відповідно до законодавства ЄС або законодавства держави-члена, законодавству якої підпорядковуються Компанії.
      6. персональні дані були зібрані у зв’язку з наданням послуг інформаційного суспільства.
   3. Попри запит на видалення персональних даних у зв’язку з поданням заперечення або відкликанням згоди, Компанії можуть зберігати певні персональні дані тією мірою, якою їх обробка необхідна для встановлення, висунення позовів або захисту від них, а також для виконання юридичних зобов’язань, що вимагають обробки відповідно до законодавства ЄС або держави-члена, законодавству якої підпорядковуються Компанії. Це стосується, зокрема, таких персональних даних: ім’я, прізвище, адреса електронної пошти, які зберігаються з метою розгляду скарг і позовів, пов’язаних з використанням послуг Компаній, або додатково адреса проживання/адреса для листування, номер замовлення, які зберігаються з метою розгляду скарг і позовів, пов’язаних з укладеними договорами купівлі-продажу або наданням послуг.
4. Право на обмеження обробки даних: Правова підстава — ст. 18 GDPR.
   
   1. Покупець має право вимагати обмеження обробки своїх персональних даних. У разі подання такого запиту до моменту його розгляду унеможливлюється використання певних функціональних можливостей або послуг, використання яких передбачає обробку даних, про які йдеться в запиті. Компанії також не надсилатимуть жодних електронних листів, включно з маркетинговими повідомленнями.
   2. Покупець має право вимагати обмеження використання персональних даних у таких випадках:
      
      1. якщо він оскаржує правильність своїх персональних даних — тоді Компанії обмежать їх використання на час, необхідний для перевірки правильності даних, але не довше ніж на 7 днів;
      2. якщо обробка даних є незаконною, й замість того, щоб видалити дані, Покупець вимагає обмежити їх використання;
      3. якщо персональні дані перестали бути необхідними для цілей, для яких вони збиралися або використовувалися, але вони потрібні Покупцеві для визначення, пред’явлення або захисту позовів;
      4. якщо він заперечує проти використання його даних — тоді обмеження діє протягом часу, необхідного для розгляду питання про те, чи переважає — через особливу ситуацію — захист інтересів, прав і свобод Покупця інтереси, які реалізує Розпорядник персональних даних, обробляючи персональні дані Покупця.
5. Право доступу до даних: Правова підстава — ст. 15 GDPR.
   
   1. Покупець має право отримати від Розпорядника персональних даних підтвердження того, чи обробляє він персональні дані, і якщо це так, то Покупець має право на таке:
      
      1. отримати доступ до персональних даних;
      2. отримувати інформацію про цілі обробки, категорії оброблюваних персональних даних, одержувачів або категорії одержувачів цих даних, запланований термін зберігання даних Покупця або критерії визначення цього терміну (якщо неможливо визначити запланований термін обробки даних), права Покупця відповідно до GDPR і право подати скаргу до наглядового органу, джерело цих даних, автоматизоване ухвалення рішень, зокрема про профілювання, і запобіжні заходи, що застосовуються у зв’язку з передачею таких даних за межі Європейського Союзу;
      3. отримати копію своїх персональних даних.
6. Право на виправлення даних: Правова підстава — ст. 16 GDPR.
   
   1. Покупець має право вимагати від Розпорядника персональних даних негайного виправлення його персональних даних, які є неправильними. Беручи до уваги цілі обробки, суб’єкт даних має право вимагати доповнення неповних персональних даних, зокрема шляхом подання додаткової заяви, надсилання запиту на адресу електронної пошти відповідно до §7 Політики захисту персональних даних.
7. Право на перенесення даних: Правова підстава — ст. 20 GDPR.
   
   1. Покупець має право отримати свої персональні дані, надані Розпорядником персональних даних, а потім відправити їх іншому Розпоряднику персональних даних на свій вибір. Покупець також має право вимагати, щоб його персональні дані були відправлені Розпорядником персональних даних безпосередньо такому адміністратору, якщо це технічно можливо. У цьому випадку Розпорядник персональних даних відправить персональні дані Покупця у вигляді csv-файлу, який є загальновживаним машинозчитуваним форматом, що дозволяє відправити отримані дані іншому розпоряднику персональних даних.
8. У разі реалізації Покупцем права, що випливає з вищезазначених прав, Компанії зобов’язані задовольнити такий запит або відмовити в його задоволенні негайно, але не пізніше ніж протягом одного місяця з дня її отримання. Однак, якщо через складність запиту або кількість запитів Компанії не зможуть виконати запит протягом одного місяця, вони повинні виконати його протягом наступних двох місяців, заздалегідь повідомивши Покупцю протягом одного місяця з моменту отримання запиту про передбачуване продовження терміну та його причини.
9. Покупець може подавати Розпоряднику персональних даних скарги, запити та звернення, що стосуються обробки його персональних даних та реалізації його прав.
10. Покупець має право вимагати від Компаній надання копій стандартних договірних положень, надіславши запит у спосіб, зазначений у §7 Політики захисту персональних даних.
11. Покупець має право подати скаргу Голові Управління Польщі з питань захисту персональних даних щодо порушення його прав на захист персональних даних або інших прав, наданих відповідно до GDPR.

§ 5 Послуги, пристосовані до ваших уподобань та інтересів (профілювання)

1. Профілювання означає будь-яку форму автоматизованої обробки персональних даних, яка передбачає використання персональних даних для оцінки певних особистих факторів фізичної особи, зокрема для аналізу або прогнозування аспектів впливу роботи фізичної особи, її економічного становища, здоров’я, особистих уподобань, інтересів, довіри, поведінки, місцезнаходження або переміщення.
2. Персональні дані Покупців можуть оброблятися автоматизованим способом (профілювання), однак це не матиме жодних правових наслідків для них або подібним чином суттєво не вплине на становище Покупців.
3. Профілювання персональних даних Компаніями полягає в обробці даних Покупця автоматизованим і ручним способом, використовуючи їх для оцінки певної інформації про Покупця, зокрема для аналізу або прогнозування його особистих уподобань та інтересів.
4. Щоб надсилати Покупцеві маркетингові повідомлення через Сайт Інтернет-магазину, Компанії використовують власні механізми використання файлів cookie, для завантаження інформації про активність Покупця на Сайті Інтернет-магазину. Докладну інформацію про використовувані файли cookie можна знайти в §3. Правова підстава — законний інтерес (ст. 6, параграф 1 f) GDPR), що полягає у відповідності маркетингових повідомлень уподобанням та інтересам.

§ 6 Управління безпекою — пароль

1. Компанії забезпечують покупцям безпечне та зашифроване з’єднання під час надсилання персональних даних та під час входу в обліковий запис покупця на Вебсайті. Компанія використовує SSL-сертифікат, виданий однією з провідних світових компаній у галузі безпеки та шифрування даних, що передаються через інтернет.
2. Якщо Покупець, що має обліковий запис в Магазині, якимось чином втратив пароль доступу, Інтернет-магазин дозволяє згенерувати новий пароль. Компанії не надсилають нагадування про пароль. Пароль зберігається в зашифрованій базі даних таким чином, щоб його неможливо було зчитати. Щоб згенерувати новий пароль, введіть адресу електронної пошти у форму, доступну за посиланням «Відновити пароль», що міститься у формі входу до облікового запису в Інтернет-магазині. Новий пароль буде автоматично надіслано на адресу електронної пошти, вказану при реєстрації або збережену при останній зміні профілю облікового запису.
3. Компанії ніколи не надсилають жодних листів, включно з електронними, з проханням надати дані для входу, зокрема пароль до облікового запису Покупця.

§ 7 Зміни до Політики захисту персональних даних

1. Політика захисту персональних даних може змінюватися, про що Компанії інформують Покупців за 7 днів до внесення змін.
2. Запитання щодо Політики захисту персональних даних потрібно надсилати на таку адресу: iod@drireaneris.com.
3. Дата набуття чинності: 01.06.2020.