1. Визначення Адміністратор – AUTO.DIA2.PL Poland Sp. z o.o., що знаходиться у Варшаві, вул. Модлінська 6A/222, 03-216 Варшава, зареєстрована Районним судом м.ст. Варшави у Варшаві, XIV Господарське відділення Національного судового реєстру під номером KRS 0001107109, NIP 5243007559 Персональні дані – інформація про фізичну особу, ідентифіковану, або яку можна ідентифікувати за допомогою одного, або декількох специфічних факторів, що визначають фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність, включаючи зображення, запис голосу, контактні дані, дані про місцезнаходження, інформацію, що міститься у кореспонденції, інформацію, зібрану за допомогою реєструючого обладнання або іншої подібної технології; Наглядовий орган – Голова Управління захисту персональних даних або відповідний наглядовий орган з питань персональних даних, призначений іншою державою-членом Європейського Союзу; Суб'єкт даних – фізична особа, до якої відносяться персональні дані, оброблювані Адміністратором; Політика – ця Політика захисту персональних даних; Працівник – фізична особа, яка працює на Адміністратора на підставі трудового договору; GDPR – Регламент Європейського Парламенту та Ради (ЄС) 2016/679 від 27.04.2016 р. про захист фізичних осіб у зв'язку з обробкою персональних даних та про вільний обіг таких даних, а також про скасування директиви 95/46/EC; Співробітник – фізична особа, яка надає послуги Адміністратору на підставі цивільно-правового договору (наприклад, договір підряду, договір про надання послуг). Загальні принципи 2.1. Ця Політика є основним документом, що регулює принципи обробки Персональних даних Адміністратором. 2.2. Впровадження Політики має на меті забезпечити відповідність процесів обробки Персональних даних Адміністратором вимогам GDPR, незалежно від форми (електронної або паперової), в якій ця обробка здійснюється. 2.3. У зв'язку з веденням діяльності Адміністратор збирає і обробляє Персональні дані відповідно до чинного законодавства, зокрема GDPR, та передбачених у ньому принципів обробки, а саме: 2.3.1. Адміністратор забезпечує, що обробка Персональних даних є законною та здійснюється на основі однієї з підстав обробки, визначених у GDPR, а саме у статті 6 (1), статті 9 (2) або статті 10 (принцип законності); 2.3.2. Адміністратор забезпечує чесність і прозорість обробки Персональних даних, зокрема завжди інформує про обробку Персональних даних у момент їх збору, включаючи мету і правову основу обробки (принцип чесності та прозорості); 2.3.3. Адміністратор забезпечує, що Персональні дані збираються для конкретних, явних і законних цілей і не обробляються далі у спосіб, несумісний із цими цілями (принцип обмеження мети); 2.3.4. Адміністратор забезпечує, що обробляє дані лише в обсязі, необхідному для досягнення мети, для якої Персональні дані були зібрані (принцип мінімізації); 2.3.5. Адміністратор забезпечує, що оброблювані ним Персональні дані є точними і, за необхідності, оновлюються, а також що вживає всіх розумних заходів для негайного видалення або виправлення Персональних даних, які є неточними з огляду на цілі їх обробки (принцип точності); 2.3.6. Адміністратор забезпечує, що Персональні дані обробляються лише протягом часу, необхідного для досягнення цілей обробки (принцип обмеження зберігання); 2.3.7. Адміністратор забезпечує безпеку Персональних даних, включаючи захист від несанкціонованої або незаконної обробки, а також випадкової втрати, знищення або пошкодження, шляхом впровадження відповідних технічних або організаційних заходів (принцип цілісності та конфіденційності). 2.4. Адміністратор забезпечує дотримання Політики всіма Працівниками та Співробітниками Адміністратора. 3. Організація системи захисту Персональних даних 3.1. Перед наданням доступу до обробки Персональних даних Адміністратор ознайомлює кожного Працівника, Співробітника або інших осіб, які обробляють Персональні дані за його дорученням, з Політикою, включаючи процедури та принципи захисту Персональних даних, що діють в організації Адміністратора. 3.2. Обробка Персональних даних Працівниками і Співробітниками може здійснюватися виключно на основі задокументованого дозволу Адміністратора. Крім того, Адміністратор зобов'язує уповноважених осіб зберігати конфіденційність Персональних даних та інформації щодо їх захисту, а також дотримуватися Політики, включаючи процедури та принципи захисту Персональних даних, що діють в організації Адміністратора. 3.3. Адміністратор призначає особу, відповідальну за сферу захисту Персональних даних, і забезпечує адекватні засоби та ресурси, необхідні для виконання покладених на неї завдань. 3.4. Завданнями особи, зазначеної в пункті 3.3., є, зокрема: 3.4.1. інформування Адміністратора, Працівників і Співробітників, які обробляють Персональні дані, про обов'язки, покладені на них GDPR та іншими нормативними актами ЄС або національними законами про захист Персональних даних, а також надання їм консультацій у цій сфері; 3.4.2. моніторинг дотримання уповноваженими особами положень GDPR та інших нормативних актів ЄС і національних законів у сфері захисту Персональних даних, а також внутрішніх політик і процедур, впроваджених у Адміністратора в цій сфері; 3.4.3. здійснення заходів для підвищення обізнаності у сфері захисту Персональних даних, включаючи навчання персоналу, який бере участь в операціях обробки, та проведення пов'язаних з цим аудитів; 3.4.4. надання, на вимогу, рекомендацій щодо оцінки впливу на захист Персональних даних і моніторинг її виконання відповідно до статті 35 GDPR; 3.4.5. співпраця з Наглядовим органом; 3.4.6. виконання функцій контактної особи для Наглядового органу з питань, пов'язаних з обробкою, включаючи попередні консультації, про які йдеться у статті 36 GDPR, а також у відповідних випадках проведення консультацій з будь-яких інших питань. 3.5. Працівники і Співробітники, які обробляють Персональні дані, зобов'язані, зокрема: 3.5.1. обробляти Персональні дані відповідно до наданого дозволу та з належною старанністю; 3.5.2. у разі виявлення події, яка може становити порушення захисту Персональних даних, негайно інформувати про це; 3.5.3. брати участь в організованих навчаннях з питань захисту Персональних даних; 3.5.4. зберігати конфіденційність Персональних даних та інформації про спосіб їх захисту відповідно до підписаного зобов'язання про конфіденційність. 4. Безпека Персональних даних 4.1. Адміністратор впроваджує відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає ризику порушення прав або свобод фізичних осіб з різною ймовірністю виникнення та вагою загрози. При цьому Адміністратор враховує стан технічних знань, вартість впровадження, характер, обсяг, контекст і цілі обробки. 4.2. При оцінці, чи є рівень безпеки достатнім, Адміністратор враховує, зокрема, ризик, пов'язаний з обробкою, особливо той, що виникає внаслідок випадкового або незаконного знищення, втрати, модифікації, несанкціонованого розголошення або несанкціонованого доступу до Персональних даних, що передаються, зберігаються або іншим чином обробляються. 4.3. З метою забезпечення цілісності та конфіденційності Персональних даних Адміністратор надає доступ до Персональних даних лише уповноваженим особам і лише в обсязі, необхідному для виконання ними своїх завдань. Адміністратор використовує організаційні та технічні рішення для забезпечення того, щоб усі операції з Персональними даними реєструвалися і виконувалися лише уповноваженими особами. 4.4. Адміністратор постійно аналізує ризики, пов'язані з обробкою Персональних даних, і моніторить адекватність заходів безпеки Персональних даних до ідентифікованих загроз. У разі необхідності Адміністратор впроваджує додаткові заходи для підвищення безпеки Персональних даних. 4.5. Якщо тип обробки, зокрема з використанням нових технологій, через свій характер, обсяг, контекст і цілі з великою ймовірністю може спричинити високий ризик порушення прав або свобод фізичних осіб, Адміністратор перед початком обробки оцінює вплив запланованих операцій обробки на захист Персональних даних. Якщо оцінка впливу вказує на те, що обробка може спричинити високий ризик, якщо Адміністратор не застосує заходи для мінімізації цього ризику, то перед початком обробки Адміністратор консультується з Наглядовим органом. 4.6. Якщо цілі, для яких Адміністратор обробляє Персональні дані, не вимагають ідентифікації суб’єкта даних, Адміністратор не зобов'язаний зберігати, отримувати або обробляти додаткову інформацію для ідентифікації суб’єкта даних виключно для виконання вимог GDPR. 5. Порушення захисту Персональних даних 5.1. Адміністратор забезпечує повідомлення про порушення захисту Персональних даних Наглядовому органу, якщо малоймовірно, що порушення призведе до ризику порушення прав або свобод фізичних осіб. 5.2. Адміністратор забезпечує, що без зайвих затримок повідомляє суб’єктів даних про порушення захисту Персональних даних, якщо це може спричинити високий ризик порушення прав або свобод. 5.3. У кожному випадку Адміністратор розслідує порушення та впроваджує відповідні організаційні та технічні заходи для його усунення. 5.4. Адміністратор документує всі порушення захисту Персональних даних, включаючи обставини порушення, його наслідки та вжиті заходи реагування. 6. Реалізація прав суб’єктів даних 6.1. Адміністратор забезпечує реалізацію прав суб’єктів даних відповідно до положень GDPR, зокрема: 6.1.1. право на інформацію про обробку даних – Адміністратор надає особі, яка звернулася з запитом, інформацію про обробку Персональних даних, включаючи цілі та правові основи обробки, обсяг оброблюваних Персональних даних, суб’єктів, яким ці дані розкриваються, та запланований термін видалення Персональних даних; 6.1.2. право на отримання копії даних – Адміністратор надає особі, яка звернулася з запитом, копію Персональних даних, що стосуються її; 6.1.3. право на виправлення даних – Адміністратор на запит усуває можливі неточності або помилки в оброблюваних Персональних даних та доповнює їх, якщо вони є неповними; 6.1.4. право на видалення даних – Адміністратор на запит видаляє або анонімізує Персональні дані, обробка яких більше не є необхідною для реалізації будь-якої з цілей, для яких вони були зібрані; 6.1.5. право на обмеження обробки даних – Адміністратор на запит припиняє виконання операцій з Персональними даними, за винятком операцій, на які суб’єкт даних дав згоду, а також їх зберігання відповідно до прийнятих правил ретенції або до припинення причин обмеження обробки Персональних даних (наприклад, до ухвалення рішення Наглядового органу, що дозволяє подальшу обробку); 6.1.6. право на перенесення даних – у межах, у яких Персональні дані обробляються автоматизованим способом у зв’язку з укладеним договором або на підставі згоди, Адміністратор на запит надає Персональні дані, надані особою, якій вони належать, у форматі, що дозволяє їх зчитування комп’ютером; 6.1.7. право на заперечення проти обробки даних у маркетингових цілях – суб’єкт даних може в будь-який момент заперечити проти обробки Персональних даних у маркетингових цілях без необхідності обґрунтування такого заперечення; 6.1.8. право на заперечення проти інших цілей обробки даних – суб’єкт даних може в будь-який момент заперечити проти обробки Персональних даних, що здійснюється на підставі законного інтересу Адміністратора, з причин, пов’язаних з його конкретною ситуацією; 6.1.9. право відкликати згоду – якщо Персональні дані обробляються на підставі згоди, суб’єкт даних має право відкликати її в будь-який момент, що, однак, не впливає на законність обробки, здійсненої до її відкликання. 7. Контакти з Суб'єктом даних 7.1. Адміністратор впроваджує відповідні заходи, щоб комунікація із Суб'єктом даних здійснювалася у стислому, прозорому та легко доступному форматі, зрозумілою і простою мовою. 7.2. Адміністратор надає Суб'єктам даних інформацію в письмовій формі або іншим чином, у тому числі, за необхідності, в електронному вигляді. Якщо Суб'єкт даних цього вимагає, Адміністратор надає інформацію усно, за умови, що можливо підтвердити особу Суб'єкта даних іншими способами. 7.3. Адміністратор сприяє Суб'єктам даних у здійсненні прав, що належать їм відповідно до GDPR, зокрема прав, передбачених у статтях 15–22 GDPR. 7.4. Адміністратор без зайвої затримки надає Суб'єктам даних інформацію про дії, вжиті у зв'язку з запитом, поданим на підставі статей 15–22 GDPR. 8. Надання та доручення обробки Персональних даних 8.1. Адміністратор надає Персональні дані іншому адміністратору тільки тоді, коли виконано одну з умов, про яку йдеться в статті 6 (1) або в статті 9 (2) GDPR. 8.2. Доручення обробки Персональних даних Адміністратором здійснюється на основі договору про доручення обробки даних або іншого правового інструменту, про який йдеться в статті 28 GDPR. 8.3. Доручення обробки Персональних даних Адміністратором здійснюється після попередньої перевірки того, чи забезпечує обробник достатні гарантії впровадження відповідних технічних та організаційних заходів, щоб обробка відповідала вимогам GDPR і захищала права Суб'єктів даних. Адміністратор також вживає всіх необхідних заходів, щоб його підрядники та інші співпрацюючі суб'єкти надавали гарантії використання відповідних заходів безпеки у кожному випадку, коли вони обробляють Персональні дані за дорученням Адміністратора. 9. Передача Персональних даних до третьої країни 9.1. Рівень захисту Персональних даних за межами Європейської Економічної Зони (ЄЕЗ) відрізняється від забезпечуваного європейським законодавством. З цієї причини Адміністратор передає Персональні дані до третьої країни лише тоді, коли це необхідно, і за умови забезпечення відповідного рівня захисту, перш за все шляхом: 9.1.1. співпраці з суб'єктами, які обробляють Персональні дані у країнах, щодо яких Європейська Комісія прийняла відповідне рішення про забезпечення належного рівня захисту Персональних даних; 9.1.2. використання стандартних договірних положень, виданих Європейською Комісією. 10. Забезпечення постійної відповідності 10.1. Адміністратор забезпечує постійне підтримання відповідності діяльності організації вимогам захисту Персональних даних, передбаченим у GDPR, зокрема перевіряє і оптимізує впроваджені в організації реєстри та процедури. 10.2. З цією метою Адміністратор, зокрема, моніторить зміни у законодавстві, рекомендації національних та міжнародних органів із захисту Персональних даних, а також судову практику і враховує найкращі ринкові практики. Прикінцеві положення 11.1. Політика набуває чинності з дня 05.06.2024 р.