PERSONAL DATA PROCESSING POLICY

1. GENERAL PROVISIONS

Being subject to GDPR the Company processes personal data of data subjects who are in the European Union / is established in the European Union, where the Company’s processing activities are related to the offering of services to data subjects in the European Union.

The policy defines the protection of personal data collected and used in the network of «Good Wine Ukraine» stores («Bureau Vin LLC») (hereinafter «Program Place»), the use of the mobile «Good Wine Ukraine» and/or «Festivals by Good Wine» applications, use of Internet resources of the company:

• https://goodwine.ua/ru,
• https://goodwine.com.ua,
• https://goodwinehome.com.ua,
• https://holle.com/ua,
• https://winebureau.ua/uk

The Company acts as controller, determines the purposes and means of the processing of personal data.

The Company acts as processor, processes personal data on behalf of the controller: «Bureau of Wine LLC».

The Company processes personal data: information relating to an identified or identifiable natural person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Processing means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

2. TERMS AND WARRANTIES

a. Personal data shall be:

• processed lawfully, fairly and in a transparent manner in relation to the data subject;
• collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes;
• adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
• accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);
• kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (‘storage limitation’);
• processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

The Company shall be responsible for, and be able to demonstrate compliance with above mentioned demands.

The Company shall implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of GDPR and protect the rights of data subjects.

b. Security of processing

The Company shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

• the pseudonymisation and encryption of personal data;
• the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
• the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
• a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.

c. Data protection impact assessment

Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the Сompany shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.

The Сompany shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment according to Art. 35 GDPR.

3. THE PURPOSE OF PERSONAL DATA PROCESSING

The purposes of data processing are:

• Contact details - are used for sending messages to an email address, user's mobile phone (no more than 2 (two) messages per week). In this case, the user may refuse to receive such messages in the section «My office -> Settings -> Notification and Mailing» of the mobile application or click on «Unsubscribe» in the bottom block of the received email.
• Contact details - are used for contact with user in his interests regarding the calls to the company's service, hotline 9-075, and for orders at the company's online stores.
• Contact details - are used for contact with user by phone to invite customer surveys, receive feedback to improve user’s experience.
• Socio-demographic data (gender, date of birth, children, region of residence) - are used to analyze the portrait of the user, segmentation of users to provide them with personal suggestions according to their profile
• Purchase data and preferences - are used for analyze the user's portrait, segmentation of users to provide them with personalized suggestions according to their profile.
• Web user activity data - are used for analyze user’s experience and conversions to improve the work of the site and the user's interaction with it.

During execution these purpose of data processing,where the Сompany acts as an Executor/Contractor and the data subject acts as a Customer.

Where the Company intends to further process the personal data for a purpose other than above mentioned, the Company shall provide the data subject prior to that further processing with information on that other purpose.

4. CONSENT TO PERSONAL DATA PROCESSING

The Сompany shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

5. INFORMATION PROVIDED TO THE DATA SUBJECT

a. The Сompany while obtaining personal data from the data subject provides the data subject with the information about following

• the identity and the contact details of the Сompany;
• the identity and the contact details of the Сompany’s representative;
• the contact details of the data protection officer, where designated;
• the recipients or categories of recipients of the personal data;
• that the Сompany intends to transfer personal data to a third country or international organization;
• the existence or absence of an adequacy decision by the Commission;
• the period for which the personal data will be stored;
• that the provision of personal data is a requirement of the agreement or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data by the agreement and is aware of the possible consequences of failure to provide such data;
• the existence of automated decision-making, including profiling, the significance and the envisaged consequences of such processing for the data subject.

b. Where personal data have not been obtained from the data subject, the Company shall provide the data subject with the following information:

• the identity and the contact details of the Company and, where applicable, of the Company’s representative;
• the contact details of the data protection officer, where applicable;
• the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;
• the categories of personal data concerned;
• the recipients or categories of recipients of the personal data, if any;
• where applicable, that the Company intends to transfer personal data to a recipient in a third country or international organization and the existence or absence of an adequacy decision by the Commission;
• the period for which the personal data will be stored;
• the existence of the right to request from the Company access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing;
• the right to data portability;
• the right to lodge a complaint with a supervisory authority
• from which source the personal data originate, and if applicable, whether it came from publicly accessible sources;
• the existence of automated decision-making, including profiling, as well as the significance and the envisaged consequences of such processing for the data subject.

The Company shall provide the information referred to in points (a) and (b)

• within a reasonable period after obtaining the personal data, but at the latest within one month;
• if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject;
• if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.

Sources of personal data collection are:

• registration form on the website goodwine.com.ua - upon registration the participant agrees to process his personal data by clicking the button «Register». Registration on the site is voluntary;
• the form of ordering in the online store goodwine.com.ua;
• registration form on the website https://goodwinehome.com.ua - upon registration the participant agrees to process his personal data by clicking the button «Register». Registration on the site is voluntary;
• registration form on the site http://holle.com.ua - upon registration the participant agrees to process his personal data by clicking the button «Register». Registration on the site is voluntary;
• registration form in the «Good Wine Festivals» mobile application - upon registration the participant agrees to process his personal data by clicking the button «Register». Registration on the site is voluntary;
• registration form in the «Good Wine» mobile application - upon registration the participant agrees to process his personal data by clicking the button «Register». Registration on the site is voluntary;
• including the following data when logging in through the user account on facebook (gender, name, email, if available);
• including the following data when logging in through the user account on google (gender, name, email, if available).

6. TRANSPARENT INFORMATION, COMMUNICATION

The Company shall take appropriate measures to provide any information referred to in paragraphs 5 and 7 and any communication under paragraphs 5 and 7 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language.

The information shall be provided in writing, or by other means, including, where appropriate, by electronic means.

Information about all user data collected by the controller may be provided to the subject of personal data upon his request to CustomerCare@goodwine.ua.

You must also send inquiries to this address regarding the following user rights:

• correction or deletion of information about yourself;
• cancellation of consent for the processing of personal data;
• prohibition of the controller / processor to use the data of the subject of personal data by systems of artificial intelligence.

Separately in each online store, with the personal consent of the client, the controller collects data about the user's web activity.

When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.

The Company shall provide information without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The Company shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay.

Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

If the Company does not take action on the request of the data subject, the Company shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

7. FACILITATING THE EXERCISE OF DATA SUBJECT RIGHTS

The Company shall facilitate the exercise of following data subject rights:

• to withdraw his or her consent fully or partly at any time in the way established by this Policy;
• to request access: the Company shall provide a copy of the personal data undergoing processing. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form;
• to request rectification: the Company shall provide the data subject without undue delay with rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement;
• to request restriction of processing: the Company shall provide the data subject with restriction of processing where one of the cases mentioned in Art. 18 GDPR applies;
• to request erasure: the Company shall the data subject with erasure of personal data concerning him or her without undue delay where one of cases mentioned in Art. 17 GDPR applies;
• to object to processing: the Company shall no longer process the personal data on data subject’s request;
• to data portability: the Company shall provide personal data in a structured, commonly used and machine-readable format;
• to transmit: the Company upon data subject’s request shall transmit his or her personal data to another controller without hindrance from the Company, where: the processing is based on consent; and the processing is carried out by automated means;
• not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her: the Company shall implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision;
• to obtain specified information: the Company shall inform the data subject about: the identity and the contact details of the Company and its representative, the contact details of the data protection officer, where designated, information about the recipients or categories of recipients of the personal data, a warning that the Company intends to transfer personal data to a third country or international organization, the existence or absence of an adequacy decision by the Commission, about the period for which the personal data will be stored, about the grounds for provision of personal data and consequences of failure to provide, about automated decision-making and consequences of such processing for the data subject, where the personal data are not collected from the data subject, any available information as to their source.

8. TRANSFER TO A THIRD PARTY

Where personal data are transferred to a third country or to an international organization, the data subject shall have the right to be informed of the appropriate safeguards relating to the transfer.

The Controller («Bureau of Wine LLC») has its own additional processors (administrators) of databases that have access to the databases and use personal data bases within the purposes specified in clause 3 of this Policy, among which:

- LIMITED LIABILITY COMPANY «SOFTLINE MOBILE SYSTEMS»:

Registration number: 33542827
Legal address: 02160, Kyiv, Vozyednannya prospect 15, office 404B.

- LIMITED LIABILITY COMPANY «GOSHVA PR»:

Registration number: 33887780
Legal address: 04150, Kyiv, Melnikova st., 12, Postal address: Kiev, Volodymyrska st. 97/37, 5th floor.

- LIMITED LIABILITY COMPANY «DIRECT TECHNOLOGY»:

Registration number: 38726913
Legal address: 04060, Kyiv, Olzhich st., 27/22, of. 2.

• PwC IT Services sp. z o.o. 182 Puławska str., 02-670 Warsaw.
• Private entrepreneur Lesov Oleh Volodymyrovych:

Location: Ukraine, Dnipro, Barvinskaya st., 20.

The Company shall communicate any rectification or erasure of personal data or restriction of processing to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The Company shall inform the data subject about those recipients if the data subject requests it.

A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection.

In the absence of a decision mentioned above, a Company may transfer personal data to a third country or an international organisation only if the Company has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

In the absence of an adequacy decision or of appropriate safeguards, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:

• the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;
• the transfer is necessary for the performance of a contract between the data subject and the Company or the implementation of pre-contractual measures taken at the data subject’s request;
• the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the Company and another natural or legal person;
• the transfer is necessary for important reasons of public interest;
• the transfer is necessary for the establishment, exercise or defence of legal claims;
• the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent;
• the transfer is made from a register which according to European Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case.

9. RECORDS OF PROCESSING ACTIVITIES

The Company and, where applicable, the Company’s representative, shall maintain a record of processing activities under its responsibility.

That record shall contain all of the following information:

• the name and contact details of the Company and, where applicable, the Company’s representative and the data protection officer;
• the purposes of the processing;
• a description of the categories of data subjects and of the categories of personal data;
• the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organizations;
• where applicable, transfers of personal data to a third country or an international organization, including the identification of that third country or international organization and the documentation of suitable safeguards;
• where possible, the envisaged time limits for erasure of the different categories of data;
• where possible, a general description of the technical and organizational security measures.

The records shall be in writing, including in electronic form.

The Company and, where applicable, the Company’s representative, shall make the record available to the supervisory authority on request.

10. NOTIFICATION OF A PERSONAL DATA BREACH

In the case of a personal data breach, the Company shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

The notification shall at least:

• describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
• communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;
• describe the likely consequences of the personal data breach;
• describe the measures taken or proposed to be taken by the Company to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

11. THE COMPANY’S REPRESENTATIVE

Vasilevich M.
vasilevich.m@goodwine.ua
(full name, contact information)

12. DATA PROTECTION OFFICER

Ovchynnykov O.
Ovchinnikov.O@goodwine.ua
(full name, contact information)

ПОЛІТИКА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

Компанія підпорядковується положенням GDPR обробляючи персональні дані суб’єктів персональних даних, які знаходяться в Європейському Союзі/створені в ЄС, де діяльність компанії при обробці пов’язана з наданням послуг суб’єктам персональних даних у ЄС.

Політика визначає захист персональних даних, що зібрані і використовуються в мережі магазинів «Good Wine Ukraine» (ТОВ «Бюро Вин») (далі - «Місце проведення Програми»), використання мобільного додатку «Good Wine Ukraine» та/або «Festivals by Good Wine», використання Інтернет-ресурсів компанії:

• https://goodwine.ua/ru,
• https://goodwine.com.ua,
• https://goodwinehome.com.ua,
• https://holle.com/ua,
• https://winebureau.ua/uk

Компанія, діючи у якості контролера, визначає цілі та засоби обробки персональних даних.

Компанія, діючи в якості процесора, обробляє персональні дані від імені контролера: ТОВ «Бюро Вин».

Компанія обробляє наступні персональні дані: інформацію, яка стосується ідентифікованої або ідентифікуючої фізичної особи, яку прямо чи опосередковано можна ідентифікувати, зокрема шляхом посилання на такий ідентифікатор як ім’я, ідентифікаційний номер, дані про місцезнаходження, на он-лайн ідентифікатор або на один чи декілька факторів, що характеризує фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність фізичної особи.

Обробка означає будь-яку операцію або сукупність операцій, що виконуються з персональними даними або сукупністю персональних даних, незалежно від того, відбувається це автоматично чи ні, такі як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, обговорення, використання, розкриття інформації шляхом передачі, розповсюдження або іншої доступності, комбінування, обмеження, видалення або знищення.

2. УМОВИ ТА ГАРАНТІЇ

a. Персональні дані повинні бути:

• законно, справедливо та прозоро оброблені по відношенню до суб’єктів персональних даних;
• зібрані для конкретних, чітких та законних цілей і не повинні, в подальшому, оброблятися таким чином, що не є сумісним з визначеними цілями;
• адекватними, релевантними та обмеженими до того, що необхідно відповідно до цілей, для яких вони були зібрані («мінімізація даних»);
• точними та, у разі необхідності, актуальними; слід вживати всіх розумних кроків для забезпечення видалення або виправлення без зволікань персональних даних, які є неточними, з урахуванням цілей для яких вони обробляються («точність»);
• зберігатися у вигляді, який дозволяє ідентифікувати суб’єктів персональних даних не довше ніж це необхідно для цілей для яких вони обробляються («обмеження зберігання»);
• оброблені таким чином, що забезпечує належну безпеку персональних даних, включаючи захист від несанкціонованої або незаконної обробки, а також від випадкової втрати, знищення чи пошкодження, з використанням відповідних технічних або організаційних заходів («цілісність та конфіденційність»).

Компанія несе за це відповідальність і повинна демонструвати відповідність вищезазначеним вимогам.

Компанія повинна впровадити належні технічні та організаційні заходи, такі як псевдонімізація, що призначена для ефективного впровадження принципів захисту персональних даних, таких як мінімізація даних ефективним чином, та інтеграція необхідних гарантій обробки у відповідності до положень GDPR і захисту прав суб’єктів персональних даних.

b. Безпека обробки

Компанія повинна впровадити належні технічні та організаційні заходи для забезпечення рівня захисту відповідного ризику, включаючи, зокрема, у відповідних випадках:

• псевдонімізація та шифрування персональних даних;
• здатність забезпечувати постійну конфіденційність, цілісність, доступність та стійкість систем обробки та обслуговування;
• здатність своєчасного відновлення доступності та доступу до персональних даних у випадку фізичного або технічного інциденту;
• процес регулярного тестування, оцінки ефективності технічних та організаційних заходів для забезпечення безпеки обробки персональних даних.

c. Оцінка впливу на захист даних

Якщо тип обробки, зокрема використання наявних технологій та з урахуванням характеру, обсягу, контексту та цілей обробки, може призвести до високого ризику порушення прав та свобод фізичних осіб, перед тим, як зробити обробку компанія повинна здійснити оцінку впливу передбачених операцій обробки на захист персональних даних.

Компанія під час проведення оцінки впливу на захист даних повинна звернутися до Працівника із захисту персональних даних (уповноважений по захисту персональних даних), якщо такий призначений, відповідно до ст. 35 GDPR.

3. ЦІЛЬ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Ціль обробки персональних даних є:

• Контактні дані - для розсилки повідомлень на електронну адресу, мобільний телефон користувача (не більше 2 (двох) повідомлень на тиждень). При цьому користувач може відмовитися від отримання таких повідомлень у розділі: «Мій кабінет -> Налаштування -> Сповіщення і розсилка» мобільного додатку чи натиснути «Відписатись» у нижньому блоці отриманого електронного листа.
• Контактні дані - для контакту з користувачем у його інтересах з приводу звернень у службу сервісу компанії, на гарячу лінію 9-075, та для замовлень у Інтернет-магазинах компанії.
• Контактні дані - для контакту з користувачем телефоном для запрошення на опитування клієнтів, отримання відгуку задля покращення користувацького досвіду
• Соціально-демографічні дані (стать, дата народження, наявність дітей, регіон проживання) - для аналітики портрету користувача, сегментації користувачів для надання їм персональних пропозицій відповідно до їх профілю.
• Дані покупок і уподобань - для аналітики портрету користувача, сегментації користувачів для надання їм персональних пропозицій відповідно до їх профілю.
• Дані про веб-активність користувача - використовується з метою аналітики користувацького досвіду та конверсії для удосконалення роботи сайту та взаємодії користувача з ним.

Під час виконання вищезазначених цілей даної Політики захисту персональних даних, компанія виконує функції Виконавця, а суб’єкт персональних даних виступає Замовником.

У випадку якщо Компанія має намір продовжувати процес обробки персональних даних для цілей, відмінних від вищезазначених, Компанія повинна надавати суб’єкту персональних даних інформацію щодо обробки даних з іншою метою.

4. КОНЦЕПЦІЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Компанія повинна продемонструвати, що суб'єкт даних погодився на обробку своїх персональних даних.

5. ІНФОРМАЦІЯ НАДАНА СУБ’ЄКТУ ПЕРСОНАЛЬНИХ ДАНИХ

a. Компанія, отримуючи персональні дані суб'єкта даних, надає суб'єкту даних інформацію про наступне:

• найменування та контактні дані Компанії;
• особисті та контактні дані представника Компанії;
• контактні дані Працівника із захисту персональних даних (уповноваженого по захисту персональних даних), якщо такий призначений;
• одержувачів чи категорій одержувачів персональних даних;
• те, що Компанія має намір передавати персональні дані третій країні чи міжнародній організації;
• існування або відсутність рішення Комісії про належний рівень захисту персональних даних;
• період зберігання персональних даних;
• те, що надання персональних даних є вимогою договору або вимогою, яке необхідна для укладення договору, а також те, що суб'єкт даних зобов'язаний надавати персональні дані за угодою, та усвідомлює можливі наслідки невиконання надання таких даних;
• існування автоматизованої системи прийняття рішень, включаючи профілювання, важливість та передбачувані наслідки обробки персональних даних для суб’єкта даних з її допомогою.

b. Якщо особисті дані були отримані не від суб'єкта даних, Компанія надає суб'єкту даних наступну інформацію про:

• найменування та контактні дані Компанії та, якщо це можливо, представника Компанії;
• контактні дані Працівника із захисту персональних даних (уповноваженого по захисту персональних даних), якщо такий призначений;
• цілі обробки, для якої призначені персональні дані, а також правові підстави для обробки;
• категорії відповідних персональних даних;
• одержувачів або категорій одержувачів персональних даних, якщо такі є;
• якщо необхідно, про те, що Компанія має намір передати особисті дані одержувачу в третій країні або міжнародній організації та існування чи відсутність рішення Комісії про належний рівень захисту персональних даних;
• період зберігання персональних даних;
• наявність права вимагати від Компанії доступу до персональних даних, їх виправлення чи стирання або обмеження обробки щодо суб'єкта даних, та заперечення щодо обробки;
• право на перенесення даних;
• право подати скаргу до контролюючого органу;
• те, з якого джерела походять особисті дані, і, якщо це доречно, чи були вони отримані з доступних джерел;
• існування автоматизованої системи прийняття рішень, включаючи профілювання, важливість та передбачувані наслідки обробки персональних даних для суб’єкта даних з її допомогою.

c. Компанія надає інформацію, зазначену в підпунктах а) та b):

• протягом розумного періоду після отримання персональних даних, але не пізніше ніж протягом 1 (одного) календарного місяця;
• якщо особисті дані повинні використовуватися для зв'язку з суб'єктом даних - не пізніше, ніж на момент першого повідомлення, надісланого суб'єкту даних;
• якщо передбачено інформування іншого одержувача,
• не пізніше, ніж до першого розкриття персональних даних.

Джерелами збору персональних даних є:

• форма реєстрації на сайті goodwine.com.ua - при реєстрації учасник погоджується на обробку його персональних даних, натискаючи кнопку «Зареєструватись». Реєстрація на сайті добровільна;
• форма оформлення замовлення в інтернет-магазині goodwine.com.ua;
• форма реєстрації на сайті https://goodwinehome.com.ua - при реєстрації учасник погоджується на обробку його персональних даних, натискаючи кнопку «Зареєструватись». Реєстрація на сайті добровільна;
• форма реєстрації на сайті http://holle.com.ua - при реєстрації учасник погоджується на обробку його персональних даних, натискаючи кнопку «Зареєструватись». Реєстрація на сайті добровільна;
• форма реєстрації у мобільному додатку «Good Wine Festivals» - при реєстрації учасник погоджується на обробку його персональних даних, натискаючи кнопку «Зареєструватись». Реєстрація в додатку добровільна
• форма реєстрації у мобільному додатку «Good Wine» - при реєстрації учасник погоджується на обробку його персональних даних, натискаючи кнопку «Зареєструватись». Реєстрація в додатку добровільна;
• в тому числі наступні дані при вході через акаунт користувача в facebook (стать, прізвище, ім’я, електронна адреса, якщо доступні);
• в тому числі наступні дані при вході через акаунт користувача в google (стать, прізвище, ім’я, електронна адреса, якщо доступні).

6. ПРОЗОРА ІНФОРМАЦІЯ, КОМУНІКАЦІЇ

Компанія приймає відповідні заходи для надання будь-якої інформації, зазначеної в параграфах 5 та 7, та будь-якого повідомлення згідно з параграфами 5 та 7 стосовно обробки персональних даних суб'єкта даних у стислій, прозорій, зрозумілій та легкодоступній формі, використовуючи чітку та зрозумілу мову.

Інформація повинна бути надана в письмовій формі або іншими засобами, включаючи, якщо це доречно, електронними засобами.

Інформація про всі дані користувача, які збирає контролер, можуть бути надані суб’єкту персональних даних за його запитом на електронну адресу CustomerCare@goodwine.ua.

На цю адресу також треба направляти запити з приводу наступних прав користувача:

• виправлення чи видалення інформації про себе;
• відміна згоди на обробку персональних даних;
• заборона контролеру/процесору використовувати дані суб’єкта персональних даних системами штучного інтелекту.

Окремо у кожному інтернет-магазині за особистою згодою клієнта контролер збирає дані про веб-активність користувача.

За запитом суб'єкта даних інформація може бути надана усно, за умови, що ідентичність суб'єкта даних доведена іншими способами.

Компанія повинна надавати інформацію без зайвої затримки і в будь-якому випадку протягом 1 (одного) місяця з моменту отримання запиту. Якщо необхідно, цей період може бути подовжений ще на 2 (два) місяці з урахуванням складності та кількості запитів. Компанія повинна повідомити суб'єкта даних про будь-яке таке продовження протягом 1 (одного) місяця з моменту отримання запиту разом з причинами затримки.

Якщо суб'єкт даних робить запит електронним способом, інформація, якщо це можливо, надається електронними засобами, якщо інше не вимагається суб'єктом даних.

Якщо Компанія не приймає заходів на вимогу суб'єкта даних, Компанія повинна повідомити суб'єкта даних без зволікання та не пізніше, ніж протягом 1 (одного) місяця з моменту отримання запиту про причини не прийняття заходів та про можливість подання скарги до контролюючого органу та звернення щодо судового захисту.

7. СПРИЯННЯ ЗДІЙСНЕННЮ ПРАВ СУБ’ЄКТАМИ ПЕРСОНАЛЬНИХ ДАНИХ

• Компанія сприятиме реалізації наступних прав суб'єкта даних:
• права на відкликання своєї згоди повністю або частково в будь-який час у порядку визначеному цією Політикою;
• права на запит доступу: Компанія надає копію персональних даних, що підлягають обробці. Якщо суб'єкт даних робить запит електронними засобами, і якщо інше не вимагається суб'єктом даних, інформація повинна бути надана в загальноприйнятій електронній формі;
• права вимагати виправлення: Компанія повинна надавати суб'єкту даних, без зайвої затримки, довідку з виправленням неточних особистих даних щодо нього. З огляду на цілі обробки, суб'єкт даних має право неповністю заповнювати персональні дані, у тому числі шляхом надання додаткової виписки;
• права вимагати обмеження обробки персональних даних: Компанія повинна надавати суб’єкту персональних даних право на обмеження обробки із застосуванням одного з випадків зазначених в ст. 18 GDPR;
• права вимагати видалення персональних даних: Компанія зобов'язується видалити персональні дані суб'єкта даних без зайвої затримки із застосуванням одного із випадків зазначених в ст. 17 GDPR;
• права заперечувати проти обробки: Компанія більше не обробляє персональні дані на запит суб'єкта даних;
• права на перенос даних: Компанія повинна надавати персональні дані в структурованому, широко використовуваному та машино-зчитувальному форматі;
• права передавати дані: Компанія за запитом суб'єкта даних передає персональні дані іншому контролеру без перешкод від Компанії: обробка здійснюється на підставі згоди; і обробка здійснюється автоматизованими засобами;
• не бути суб’єктом стосовно якого прийняте рішення, що базується виключно на автоматизованій обробці, включаючи профілювання, що створює юридичні наслідки, пов'язані з таким суб’єктом, або аналогічно значно впливає на нього: Компанія вживає відповідних заходів для захисту прав та свобод суб'єкта даних та законних інтересів, принаймні право на втручання з боку контролера, право висловлювання своєї точку зору та оскарження рішення;
• права на отримання зазначеної інформації: Компанія повідомляє суб'єкта даних про: найменування та контактні дані Компанії та її представника, контактні дані Працівника із захисту персональних даних (уповноваженого по захисту персональних даних), якщо такий призначений, інформацію про одержувачів або категорії одержувачів персональних даних, попередження про те, що Компанія має намір передавати персональні дані третій країні чи міжнародній організації, наявність чи відсутність рішення Комісії про належний рівень захисту персональних даних, про період зберігання персональних даних, про підстави надання персональних даних та наслідки ненадання, про автоматичне прийняття рішень та наслідки такої обробки для суб'єкта даних, під час якої персональні дані не збираються у суб'єкта даних, будь-яка наявна інформація щодо їх джерела.

8. ПЕРЕДАЧА ТРЕТІМ СТОРОНАМ

Якщо персональні дані передаються до третьої країни або міжнародної організації, суб'єкт даних має право бути поінформованим про відповідні гарантії стосовно передачі.

Контролер (ТОВ «Бюро Вин») має власних додаткових процесорів (розпорядників) баз даних, які мають доступ до останніх і використовують бази персональних даних у рамках цілей зазначених в п. 3 цієї Політики, серед яких:

- ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «СОФТЛАЙН МОБІЛЬНІ СИСТЕМИ»:

Код ЄДРПОУ 33542827
Місцезнаходження: 02160, м. Київ, проспект Возз’єднання, буд. 15, офіс 404 Б;

- ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ГОШВА ПР»:

Код ЄДРПОУ: 33887780
Місцезнаходження: 04150, Київ, вул. Мельникова, 12, Адреса для листування: Київ, вул. Володимирська 97/37, 5 поверх.

- ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ДІРЕКТ ТЕХНОЛОДЖІ»:

Код ЄДРПОУ: 38726913
Місцезнаходження: 04060, м. Київ, вул. Ольжича, буд. 27/22, оф. 2.

• PwC IT Services sp. z o.o. 182 вул. Пулавська, 02-670 Варшава.
• Фізична особа-підприємець Лєсов Олег Володимирович:

Місце проживання: Україна, м. Дніпро, вул. Барвінківська 20.

Компанія повідомляє кожного одержувача, якому було розкрито персональні дані, про будь-яке виправлення чи видалення персональних даних або обмеження обробки, крім випадків коли це виявляється неможливим або пов'язане з непропорційними зусиллями. Компанія повинна повідомити суб'єкта даних про цих одержувачів, якщо суб'єкт даних запитує про це.

Передача персональних даних третій країні чи міжнародній організації може відбутися там, де Комісія вирішила, що третя країна, територія або один або декілька визначених секторів у цій третій країні або відповідна міжнародна організація забезпечують належний рівень захисту.

У випадку відсутності вищезазначеного рішення, компанія може передавати персональні дані третій країні або міжнародній організації лише у тому випадку, якщо Компанія надає відповідні гарантії, і за умови, дотримання прав та ефективних засобів правового захисту суб’єктів даних.

За відсутності рішення про належний рівень захисту персональних даних або відповідних гарантій, включаючи обов'язкові корпоративні правили, передачі персональних даних третій країні або міжнародній організації, вона здійснюється лише за однієї з таких умов:

• суб'єкт даних явно погодився на запропоновану передачу після того, як був поінформований про можливі ризики таких передач даних суб'єкта через відсутність рішення про належний рівень захисту персональних даних та відповідних гарантій;
• передача необхідна для виконання договору між суб'єктом даних та Компанією або виконання переддоговірних заходів, прийнятих на запит суб'єкта даних;
• передача необхідна для укладання чи виконання договору, укладеного в інтересах суб'єкта даних між Компанією та іншою фізичною або юридичною особою;
• передача необхідна з важливих причин суспільного інтересу;
• передача необхідна для встановлення, здійснення або захисту правових позовів;
• передача необхідна для захисту життєвих інтересів суб'єкта даних або інших осіб, якщо суб'єкт даних фізично чи юридично не в змозі дати згоду;
• передача здійснюється з реєстру, який відповідно до законодавства Європейського Союзу або держави-члена покликаний надати інформацію для громадськості та відкритий для обговорення суспільством, або будь-якою особою, яка може продемонструвати законний інтерес, але лише в тій мірі, в якій умови, встановлені законодавством Союзу або державами-членами для консультацій виконуються в конкретній справі.

9. ВІДПОВІДАЛЬНІСТЬ ЗА ДІЯЛЬНІСТЬ З ОБРОБКИ ДАНИХ

Компанія та, у відповідних випадках, представник Компанії повинні вести облік діяльності по обробці даних, під свою відповідальність.

Ці записи повинні містити всю наступну інформацію:

• ім'я та контактні дані Компанії та, якщо це можливо, представника Компанії та Працівника із захисту персональних даних (уповноваженого по захисту персональних даних);
• цілі обробки;
• опис категорій суб'єктів даних та категорій персональних даних;
• категорії одержувачів, яким були або будуть розкриті персональні дані, включаючи одержувачів у третіх країнах або міжнародних організаціях;
• якщо це необхідно, про передачу персональних даних третій країні або міжнародній організації, включаючи назву цієї третьої країни чи міжнародної організації, та документи щодо відповідних гарантій;
• якщо це можливо, передбачені строки видалення різних категорій даних;
• якщо це можливо, загальний опис технічних та організаційних заходів безпеки.

Записи повинні бути в письмовій формі, в тому числі в електронній формі.

Компанія та, у разі необхідності, представник Компанії, за запитом, робить запис доступним для контролюючого органу.

10. ПОВІДОМЛЕННЯ ПРО ПОРУШЕННЯ ЗАКОНУ ПРО ЗАХИСТ ПЕРСОНАЛЬННИХ ДАНИХ

У випадку порушення закону про захист персональних даних Компанія без необґрунтованої затримки та, якщо це можливо, не пізніше, ніж через 72 (сімдесят дві) години після того, як вона дізналася про це, повинна повідомити про таке порушення контролюючому органу, крім випадків коли порушення виникло внаслідок попередньо визначених ризиків для прав і свобод фізичних осіб.

Якщо порушення закону про захист персональних даних, ймовірно, у результаті буде нести в собі високий ризик для прав та свобод фізичних осіб, контролер повинен невідкладно повідомити суб'єкта даних про таке порушення.

Повідомлення, принаймні, має містити:

• опис характеру порушення закону про захист персональних даних, включаючи, якщо це можливо, категорії та приблизну кількість суб'єктів даних, а також категорії та приблизну кількість записів щодо персональних даних;
• ім'я та контактні дані Працівника із захисту персональних даних або іншої контактної особи, у якої можна отримати більше інформації;
• опис можливих наслідків порушення персональних даних;
• опис заходів, прийнятих або запропонованих для прийняття Компанією до розгляду порушення закону про захист персональних даних, включаючи, якщо це необхідно, опис заходів щодо пом'якшення його можливих негативних наслідків.

11. ПРЕДСТАВНИК КОМПАНІЇ

Василевич М.
vasilevich.m@goodwine.ua
(ПІБ, контактна інформація)

12. ПРАЦІВНИК ІЗ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ (УПОВНОВАЖЕНИЙ ПО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ)

Овчинніков О.
Ovchinnikov.O@goodwine.ua
(ПІБ, контактна інформація)