Обробка та захист персональних даних

ПОЛОЖЕННЯ ПРО ОБРОБКУ ТА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «КІТАН ГРУП»

(ідентифікаційний код 44785767)

Платформа: Портал KITAN Group 

Дата набрання чинності: 20.03.2026

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ ТА СФЕРА ЗАСТОСУВАННЯ

1.1. Це Положення про обробку та захист персональних даних (надалі – «Положення») визначає порядок обробки персональних даних ТОВ «КІТАН ГРУП» (ідентифікаційний код 44785767), надалі – «Товариство», яке є володільцем та адміністратором онлайн-платформи «Портал KITAN Group» (надалі – «Платформа»).

1.2. Товариство є володільцем персональних даних Користувачів Платформи у розумінні Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (надалі – «Закон»).

1.3. Це Положення поширюється на обробку персональних даних представників юридичних осіб та фізичних осіб-підприємців, які є контрагентами Товариства та отримали доступ до Платформи на підставі укладеного договору (надалі – «Користувачі»).

1.4. Доступ до Платформи надається виключно на підставі укладеного між Товариством та контрагентом договору. Платформа не є загальнодоступною та не призначена для використання невизначеним колом осіб.

1.5. Персональні дані у цьому Положенні означають відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

1.6. Обробка персональних даних включає будь-яку дію або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

1.7. Інші терміни використовуються у значеннях, наведених у Законі України «Про захист персональних даних».

2. КАТЕГОРІЇ ТА СКЛАД ПЕРСОНАЛЬНИХ ДАНИХ

2.1. Товариство здійснює обробку наступних категорій персональних даних Користувачів:

2.1.1. Ідентифікаційні дані (прізвище, ім’я, по батькові; посада; найменування контрагента, представником якого є Користувач). 

2.1.2. Контактні дані (номер телефону (робочий та/або мобільний); адреса електронної пошти).

2.1.3. Дані для авторизації (логін (ідентифікатор користувача); хеш пароля (пароль у зашифрованому вигляді)). 

2.1.4. Технічні дані (IP-адреса; тип та версія браузера; тип операційної системи; дата, час та тривалість сесії; дані файлів cookie).

2.1.5. Дані про активність на Платформі (журнал дій Користувача (логи); історія замовлень; документи, завантажені або отримані через Платформу).

2.2. Перелік персональних даних не є вичерпним та може бути розширений у межах, необхідних для досягнення мети обробки, визначеної цим Положенням.

2.3 У своїй діяльності Товариство не здійснює збирання, зберігання та обробку персональних даних, що становлять особливий ризик, а саме: расове, етнічне та національне походження; політичні, релігійні або світоглядні переконання; членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості; стан здоров’я; статеве життя; біометричні дані; генетичні дані; притягнення до адміністративної чи кримінальної відповідальності; застосування щодо особи заходів в рамках досудового розслідування; вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»; вчинення щодо особи тих чи інших видів насильства; місцеперебування та/або шляхи пересування особи.

2.4. Товариство отримує персональні дані з наступних джерел:

2.4.1. безпосередньо від контрагента при укладенні договору (дані представників);

2.4.2. безпосередньо від Користувача при реєстрації та використанні Платформи;

2.4.3. автоматично при використанні Платформи (технічні дані, файли cookie).

2.5. Згідно з частиною другою статті 12 Закону України «Про захист  персональних даних» суб’єкт персональних даних повідомляється про  володільця персональних даних, склад та зміст зібраних персональних  даних, свої права, мету збору персональних даних та осіб, яким  передаються його персональні дані:

– в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

– в інших випадках протягом тридцяти робочих днів з дня збору персональних даних, крім випадків, встановлених законом.

3. МЕТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

3.1. Товариство обробляє персональні дані Користувачів з наступною метою:

3.1.1. виконання договірних зобов’язань перед контрагентами;

3.1.2. надання доступу до Платформи та забезпечення її належного функціонування;

3.1.3. ідентифікація та авторизація Користувачів;

3.1.4. обробка замовлень товарів та/або послуг;

3.1.5. забезпечення електронного документообігу між Товариством та контрагентами;

3.1.6. комунікація з Користувачами щодо функціонування Платформи та виконання договорів;

3.1.7. забезпечення інформаційної безпеки та запобігання несанкціонованому доступу;

3.1.8. ведення обліку операцій та формування звітності;

3.1.9. виконання вимог законодавства України;

3.1.10. захист законних інтересів Товариства;

3.1.11. покращення якості послуг та функціоналу Платформи.

3.2. Обробка персональних даних здійснюється виключно в межах мети, визначеної цим Положенням. Використання персональних даних в інших цілях можливе лише за умови отримання згоди суб’єкта персональних даних або у випадках, передбачених законодавством.

3.3. Товариство здійснює обробку персональних даних на наступних правових підставах, передбачених статтею 11 Закону:

3.3.1. Виконання договору, стороною якого є контрагент (пункт 3 частини першої статті 11 Закону);

3.3.2. Виконання Товариством обов’язку, передбаченого законом (пункт 5 частини першої статті 11 Закону);

3.3.3. Захист законних інтересів Товариства (пункт 6 частини першої статті 11 Закону);

3.3.4. Згода суб’єкта персональних даних – у випадках, коли інші підстави відсутні.

3.4. Обробка персональних даних здійснюється за наявності хоча б однієї з підстав, зазначених у пункті 3.3 цього Положення.

4. СТРОКИ ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ ДАНИХ

4.1. Персональні дані Користувачів зберігаються протягом строків, необхідних для досягнення мети їх обробки, але не довше строків, встановлених законодавством України.

4.2. Строки зберігання персональних даних:

4.2.1. Ідентифікаційні та контактні дані представників контрагентів – протягом строку дії договору та 3 (три) роки після його припинення;

4.2.2. Дані для авторизації (логін, хеш пароля) – до припинення доступу до Платформи;

4.2.3. Технічні дані (IP-адреса, логи, cookie) – 2 (два) роки з дати збору;

4.2.4. Дані про замовлення та документообіг – 3 (три) роки після завершення операції;

4.2.5. Первинні документи, що містять ПД – не менше 5 (п’яти) років. 

4.3. Після закінчення строку зберігання персональні дані підлягають знищенню або знеособленню, крім випадків, коли законодавством встановлено обов’язок їх подальшого зберігання.

4.4. Строки зберігання можуть бути продовжені у разі наявності судового спору або перевірки контролюючими органами до завершення відповідних процедур.

5. ПОРЯДОК ОБМІНУ ТА ПОШИРЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ

5.1. Товариство може здійснювати передачу персональних даних третім особам виключно у випадках та в порядку, передбачених законодавством України та цим Положенням.

5.2. Персональні дані можуть передаватися наступним категоріям одержувачів:

5.2.1. працівникам Товариства – в межах, необхідних для виконання їх посадових обов’язків;

5.2.2. постачальникам ІТ-послуг та технічної підтримки – для забезпечення функціонування Платформи;

5.2.3. державним органам та органам місцевого самоврядування – на підставі законних запитів або в силу прямої вимоги закону;

5.2.4. контрагентам Товариства – щодо персональних даних їх власних представників для забезпечення виконання договору;

5.2.5. іншим особам – за наявності письмової згоди суб’єкта персональних даних.

5.3. При передачі персональних даних третім особам Товариство забезпечує:

5.3.1. передачу даних виключно в обсязі, необхідному для досягнення визначеної мети;

5.3.2. встановлення зобов’язань щодо забезпечення конфіденційності та захисту персональних даних;

5.3.3. контроль за дотриманням вимог законодавства про захист персональних даних.

5.4. Передача персональних даних здійснюється із застосуванням засобів захисту інформації, що унеможливлюють несанкціонований доступ до них.

5.5. Поширення персональних даних без згоди суб’єкта персональних даних дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

5.6. Передача персональних даних за межі України може здійснюватися виключно відповідно до вимог статті 29 Закону України «Про захист персональних даних».

5.7. Персональні дані Користувачів зберігаються на серверах, розташованих на території України. Окремі технічні дані (зокрема, знеособлені аналітичні дані) можуть оброблятися із залученням міжнародних постачальників технічних послуг відповідно до їхніх політик конфіденційності.

6. ЗАХОДИ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

6.1. Товариство вживає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних від незаконної обробки, випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням.

6.2. Організаційні заходи:

6.2.1. визначення та документування процедур обробки персональних даних;

6.2.2. розмежування рівнів доступу працівників до персональних даних за принципом мінімально необхідного доступу;

6.2.3. укладення з працівниками зобов’язань про нерозголошення персональних даних;

6.2.4. проведення навчання персоналу з питань захисту персональних даних;

6.2.5. ведення обліку операцій, пов’язаних з обробкою персональних даних;

6.2.6. розробка та впровадження плану реагування на інциденти інформаційної безпеки.

6.3. Технічні заходи:

6.3.1. використання захищених каналів зв’язку (SSL/TLS) для передачі даних;

6.3.2. шифрування персональних даних при зберіганні (за необхідності);

6.3.3. впровадження систем ідентифікації та автентифікації користувачів;

6.3.4. застосування багатофакторної автентифікації (за можливості);

6.3.5. регулярне резервне копіювання даних;

6.3.6. використання засобів антивірусного захисту та міжмережевих екранів;

6.3.7. проведення регулярного аудиту систем безпеки.

7. ПРАВА СУБ’ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ

7.1. Відповідно до статті 8 Закону України «Про захист персональних даних» суб’єкт персональних даних має право:

7.1.1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим особам, крім випадків, встановлених законом;

7.1.2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

7.1.3. знати механізм автоматичної обробки персональних даних;

7.1.4. на доступ до своїх персональних даних;

7.1.5. отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

7.1.6. пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

7.1.7. пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7.1.8. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

7.1.9. звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;

7.1.10. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

7.1.11. вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

7.1.12. відкликати згоду на обробку персональних даних;

7.1.13. на захист від автоматизованого рішення, яке має для нього правові наслідки.

8. ВІДКЛИКАННЯ ЗГОДИ НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ

8.1. У випадках, коли обробка персональних даних здійснюється на підставі згоди суб’єкта персональних даних, така згода може бути відкликана в будь-який момент.

8.2. Для відкликання згоди суб’єкт персональних даних має право звернутися до Товариства з відповідною заявою:

електронною поштою: info@kitan-group.com  з поміткою «Персональні дані»;

поштою за адресою: 01033, Київ обл., Київ р-н., Київ, вул. Володимирська 79, кв. Офіс 31, абонементна скринька № 8.

8.3. Заява про відкликання згоди повинна містити: прізвище, ім’я, по батькові суб’єкта персональних даних; найменування контрагента (за наявності); контактні дані для зворотного зв’язку; чітке волевиявлення про відкликання згоди.

8.4. Відкликання згоди не впливає на законність обробки персональних даних, яка здійснювалася до такого відкликання.

8.5. Відкликання згоди не перешкоджає обробці персональних даних на інших правових підставах, передбачених законодавством (зокрема, для виконання договору або виконання обов’язку, встановленого законом).

8.6. Товариство розглядає заяву про відкликання згоди протягом 10 (десяти) робочих днів та інформує суб’єкта персональних даних про вжиті заходи.

9. ПОРЯДОК ЗВЕРНЕННЯ СУБ’ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ

9.1. Для реалізації своїх прав суб’єкт персональних даних може звернутися до Товариства:

електронною поштою: info@kitan-group.com  з поміткою «Персональні дані»;

поштою за адресою: 01033, Київ обл., Київ р-н., Київ, вул. Володимирська 79, кв. Офіс 31, абонементна скринька № 8.

9.2. Запит повинен містити:  прізвище, ім’я, по батькові, місце проживання (перебування) та реквізити документа, що посвідчує особу суб’єкта персональних даних; найменування контрагента (за наявності); відомості про персональні дані, стосовно яких подається запит; мету та зміст запиту.

9.3. Строк розгляду запиту на предмет його задоволення не може перевищувати 10 (десяти) робочих днів з дня його надходження.

9.4. Запит задовольняється протягом 30 (тридцяти) календарних днів з дня його надходження, якщо інше не передбачено законом.

10. ВИДАЛЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ

10.1. Персональні дані підлягають видаленню або знищенню у разі:

10.1.1. закінчення строку зберігання, визначеного цим Положенням та законодавством;

10.1.2. припинення договірних відносин з контрагентом (після закінчення строків зберігання);

10.1.3. обґрунтованого запиту суб’єкта персональних даних (за відсутності інших правових підстав для обробки);

10.1.4. видання відповідного припису Уповноваженого Верховної Ради України з прав людини;

10.1.5. набрання законної сили рішенням суду щодо видалення або знищення персональних даних.

10.2. Видалення здійснюється у спосіб, що виключає можливість подальшого поновлення персональних даних.

11. ВНЕСЕННЯ ЗМІН ДО ПОЛОЖЕННЯ

11.1. Товариство має право вносити зміни до цього Положення в односторонньому порядку.

11.2. Про суттєві зміни Товариство повідомляє контрагентів шляхом розміщення оновленої редакції на Платформі.

11.3. Продовження використання Платформи після внесення змін означає згоду з оновленою редакцією Положення.

11.4. Чинна редакція Положення завжди доступна на Платформі.

11.5. Користуванням Платформою Користувач підтверджує, що він ознайомлений зі змістом цього Положення та згоден з його умовами. 

12. КОНТАКТНА ІНФОРМАЦІЯ ВОЛОДІЛЬЦЯ ПЕРСОНАЛЬНИХ ДАНИХ

Володілець персональних даних:

ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «КІТАН ГРУП»

Ідентифікаційний код 44785767

04116, Україна, місто Київ, вулиця Гаврилишина Богдана, будинок 13/1

Тел.: +380 63 843 88 55.

Електронна пошта: info@kitan-group.com

Веб-сайт: https://kitan-group.com/