РАСШИРЕННОЕ ИЗВЕЩЕНИЕ В СООТВЕТСТВИИ СО СТ. 12, 13 и 14 РЕГЛАМЕНТА ЕС 2016/679 ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (GDPR), РЕГУЛИРУЮЩЕГО ОБРАБОТКУ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ (ДАЛЕЕ «РЕГЛАМЕНТ GDPR»)

Ниже оператором обработки персональных данных приводится текст извещения в соответствии со ст. 12, 13 и 14 регламента GDPR относительно обработки персональных данных, предоставляемых Заказчиком и иными заинтересованными лицами посредством заполнения и подписания договора покупки продуктов и услуг, предоставляемых оператором обработки, добровольной загрузки своих личных данных на настоящий веб-сайт (в частности, при заполнении онлайн-форм) либо просмотра страниц этого сайта.

1. Наименование и контактная информация оператора обработки данных
   Оператором обработки данных является OLIVER AGRO S.R.L., юридический адрес: ENGAZZA’ DI SALIZZOLE (VR), Via TORRE, 350 (Италия), ИНН SGNMRO79S69F918B, № счета НДС 04479770234; тел.: +39 0456954392, e-mail: oliveragrosrl@certificata.name, веб-сайт www.oliveragro.com(далее — «Веб-сайт»).
2. Принципы, на которых базируется обработка данных
   В соответствии с предписаниями регламента GDPR оператор обработки данных обязуется неотступно соблюдать следующие принципы:

а. обработка данных должна быть законной, корректной и прозрачной;

б. сбор данных должен вестись с определенными, явными и законными целями, а их последующая обработка должна осуществляться исключительно сообразно с такими целями;

в. характер собираемых данных должен быть адекватным и напрямую связанным с теми целями, с которыми они обрабатываются, объем данных должен быть ограничен в соответствии с этими целями;

г. собираемые данные должны быть точными и обновляться по мере необходимости;

д. данные должны храниться исключительно в течение времени, необходимого для достижения целей, с которыми они собираются;

е. обработка данных, осуществляемая с применением соответствующих технических средств и организационных мер, должна обеспечивать их безопасность;

ж. при наличии согласия Заказчика или иного заинтересованного лица на обработку данных она должна осуществляться на основании добровольно принятого им решения и по его просьбе, которая должна быть представлена им таки образом, который позволяет четко отделить ее от остальной информации, и должна быть составлена в понятной и свободно воспроизводимой форме с использованием простого и понятного языка.

Оператор обработки данных применяет соответствующие технические средства и организационные меры для обеспечения защиты персональных данных, начиная с этапа проектных работ, и для того, чтобы обработке по умолчанию подвергались только те данные, которые требуются для достижения каждой конкретной цели такой обработки.
Оператор обработки данных фиксирует и самым внимательным образом учитывает указания, соображения и мнения Заказчика или иного заинтересованного лица, направляемого ему с использованием вышеуказанной контактной информации, для применения системы динамического управления конфиденциальностью, обеспечивающей защиту лиц в связи с обработкой их персональных данных.
А текст настоящего Извещения могут вноситься те ли иные изменения в связи с изменением соответствующих нормативных актов и развитием технических средств и организационных мер, применяемых оператором обработки данных; поэтому Заказчику или иному заинтересованному лицу рекомендуется периодически проверять данный раздел Веб-сайта для ознакомления с текущим состоянием таких обновлений и с вариантом Извещения, действующим в конкретный момент.

3. Способы обработки персональных данных
   Обработка персональных данных осуществляется как вручную, так и с применением электронных средств, в порядке, непосредственно связанном с нижеперечисленными целями, и в любом случае таким образом, чтобы гарантировать безопасность и конфиденциальность этих данных.
4. Цели обработки персональных данных

(4а) Цели, требующие обязательной обработки персональных данных
Персональные данные, предоставляемые Заказчиком или иным заинтересованным лицом, подвергаются обработке в первую очередь для обеспечения выполнения Договора и кредитного менеджмента, а также, в более общем смысле, для организации отношений, возникающих вследствие заключения Договора.
Предоставление данных, требующихся для этих целей, на этапе составления Договора, а также в ходе последующих договорных отношений является обязательным; таким образом, полный или частичный отказ от предоставления этих данных или предоставление неточных данных делает невозможным заключение и/или исполнение Договора и получение Заказчиком или иным заинтересованным лицом продуктов и услуг, предлагаемых оператором обработки данных, и может привести к возложению на Заказчика или иное заинтересованное лицо ответственности за неисполнение договорных обязательств.
Кроме того, данные, предоставляемые Заказчиком или иным заинтересованным лицом, могут становиться объектом обработки, если это требуется для исполнения законных обязательств, лежащих на операторе обработки данных, для защиты интересов Заказчика, иного заинтересованного лица или стороннего физического лица, для совершения действий, имеющих общественную важность или связанных с исполнением властных полномочий, возложенных на оператора обработки данных, либо для соблюдения законных интересов оператора обработки или третьих лиц, если над ними не превалируют интересы или основополагающие права и свободы Заказчика или иного заинтересованного лица; в подобных случаях предоставление данных также является обязательным, поэтому полный или частичный отказ от предоставления этих данных или предоставление неточных данных может привести к возложению на Заказчика или иное заинтересованное лицо ответственности и применению к нему санкций, предусмотренных законом.

(4б) Дополнительные цели обработки данных на основании прямого и явного согласия Заказчика или иного заинтересованного лица
Помимо вышеперечисленных целей, предоставляемые (получаемые) персональные данные могут подвергаться обработке (при наличии согласия, предварительно данного Заказчиком или иным заинтересованным лицом, каковое согласие дается путем проставления соответствующей отметки в пункте «Дать согласие» в тексте Договора, на Веб-сайте или в приложениях оператора обработки для социальных сетей и интернет-ресурсов) в ходе исследований рынка и для распространения по телефону (в том числе с использованием предоставленного номера сотового телефона) и посредством автоматизированных систем связи (электронной почты, SMS, MMS, факса и т. д.) коммерческой и рекламной информации о продуктах и услугах оператора обработки данных, а также других компаний, входящих в группу, к которой принадлежит оператор обработки данных.
Согласие на обработку данных с целями, указанными в пункте 4б, является факультативным, поэтому в случае отказа обработка данных осуществляется только с целями, указанными в пункте 4а с учетом указанных далее исключений, касающихся законных интересов оператора обработки данных и третьих лиц.

5. Категории персональных данных
   Оператор обработки осуществляет обработку в основном паспортных и контактных данных (имя, фамилия, адреса, вид и номер документа, удостоверяющего личность, телефонные номера, адреса электронной почты, данные, касающиеся налогообложения и др.), а также, если предусмотрено выполнение коммерческих операций, данных финансового характера (связанных с банками, в частности, реквизитов текущих счетов, номеров кредитных карт и иных данных, используемых в вышеупомянутых коммерческих операциях).
   Обработка данных, осуществляемая оператором обработки как во исполнение Договора, так и с явного согласия Заказчика или иного заинтересованного лица, обычно не затрагивает отдельные категории персональных данных, считающиеся конфиденциальным (такие данные могут указывать на расовую или этническую принадлежность, политические и религиозные убеждения, состояние здоровья, сексуальную ориентацию и т. д.), а также генетические и биометрические данные и данные, касающиеся уголовных судимостей и совершенных правонарушений.
   Тем не менее, не исключена возможность того, что оператору обработки данных для исполнения вытекающих из Договора обязательств потребуется сохранить и/или подвергнуть обработке конфиденциальные, генетические, биометрические или судебные данные Заказчика или иного заинтересованного лица, а также данные третьих лиц, которыми Заказчик или иное заинтересованное лицо располагает в качестве оператора обработки данных; в подобных случаях обработка таких данных оператором обработки осуществляется на основании, на условиях и в пределах, устанавливаемых Заказчиком или иным заинтересованным лицом при официальном возложении на оператора обработки непосредственной ответственности за обработку данных.
   Оператор обработки данных, являясь таковым в отношении своего Веб-сайта и, возможно, будучи назначен Заказчиком или иным заинтересованным лицом (на вышеуказанных условиях) на роль лица, непосредственно осуществляющего обработку, осуществляет обработку в том числе данных о действиях, выполняемых в сети. Информационные системы и программные процессы, обеспечивающие работу веб-сайтов, в ходе своей нормальной работы собирают определенные персональные данные, возможность передачи которых подразумевается самим фактом использования протоколов связи сети Интернет. Такие данные собираются без намерения ассоциировать из с конкретными лицами, однако, в силу своей природы, они могут быть использованы для идентификации лица, к которому относятся. В эту категорию входят данные геолокации, IP-адреса, наименование используемого браузера и операционной системы, доменное имя и адреса веб-сайтов, к которым осуществляется доступ или с которых осуществляется переход, информация о просмотренных пользователем страницах веб-сайта, время доступа, продолжительность просмотра той или иной страницы, результаты анализа внутренних переходов, а также иные данные, касающиеся используемой пользователем операционной системы и информационной среды, в которой он действует. То есть, речь идет о данных, которые, по самой своей природе, позволяют идентифицировать пользователей путем обработки этих данных и их сопоставления с другими данными, в том числе теми, которыми располагают третьи лица.
   Кроме того, Веб-сайтом могут использоваться куки — как сессионные (сохраняемые на компьютере заинтересованного лица и автоматически удаляемые при закрытии браузера), так и постоянные, — предназначенные для передачи данных персонального характера или имеющие то или иное отношение к системам отслеживания пользователей.6. Источник персональных данных
   Персональные данные, обрабатываемые оператором обработки, поступают непосредственно оператору обработки от Заказчика или иного заинтересованного лица в момент и в процессе просмотра данного Веб-сайта (или использования приложений оператора обработки для социальных сетей и интернет-ресурсов) либо собираются оператором обработки, в том числе при посредстве сотрудников его коммерческого отдела, в момент подписания Договора, после его подписания и в ходе его исполнения, а также получаются из открытых источников.
   Как указано выше, оператор обработки данных, будучи назначен на роль лица, непосредственно осуществляющего обработку, для исполнения вытекающих из Договора обязательств может хранить и/или осуществлять обработку данных третьих лиц, в частности, касающихся действий в сети, в число которых могу входить конфиденциальные, генетические, биометрические и судебные данные, каковыми данными Заказчик или иное заинтересованное лицо располагает в качестве оператора их обработки и каковые данные были получены им, с предварительного согласия вышеозначенных третьих лиц, в момент и в процессе просмотра этими лицами Веб-сайта (или использования приложений оператора обработки для социальных сетей и интернет-ресурсов)7. Законные интересы
   Законные интересы оператора обработки данных и третьих лиц могут являться законным юридическим основанием для обработки данных, если над ними не превалируют интересы или основополагающие права и свободы заинтересованного лица. В общем, такие законные интересы могут возникать при наличии уместных и надлежащих отношений между оператором обработки данных и заинтересованным лицом, например, если заинтересованное лицо является клиентом оператора обработки. В частности, законным интересом оператора обработки является осуществление обработки данных Заказчика или иного заинтересованного лица для предотвращения мошенничества, для осуществления деятельности прямого маркетинга, для обеспечения свободной передачи этих данных внутри группы компаний, к которой принадлежит оператор обработки; также законным интересом является осуществление обработки данных о передаче в сети — для обеспечения сетевой и информационной безопасности, т. е., устойчивости сети или системы к непредвидимым обстоятельствам или к противоправным действиям, ставящим под угрозу их работоспособность или достоверность, целостность и конфиденциальность передаваемых данных.
6. Обмен персональными данными

(8а) Передача персональных данных. Категории лиц, имеющих доступ к данным
Помимо лиц, на различных основаниях являющихся работниками и сотрудниками оператора обработки данных (получающими от оператора обработки разрешение на обработку данных на основании соответствующих письменных служебных инструкций для обеспечения конфиденциальности и защиты данных), определенные действия по обработке данных могут выполняться третьими лицами, которым оператор обработки поручает в той или иной мере осуществление таких действий, которые необходимы для достижения целей, указанных в пункте 4а, т. е., связанных с исполнением как договорных, так и законных обязательств; в число таких лиц (исчерпывающий перечень которых не может быть здесь приведен) в первую очередь входят: коммерческие и/или технические партнеры; предприятия, оказывающие банковские и финансовые услуги; предприятия, оказывающие услуги по архивации документов; предприятия, осуществляющие коллекторскую деятельность; предприятия, осуществляющие бухгалтерские ревизии и сертификацию балансовой отчетности; рейтинговые агентства; предприятия, оказывающие оператору обработки данных услуги профессиональной поддержки и консультации; предприятия, осуществляющие обслуживание клиентов; предприятия, осуществляющие операции факторинга и перевода долга или выступающие на иных основаниях в качестве цессионария; предприятия, входящие в ту же группу компаний, что и оператор обработки данных; лица, предоставляющие коммерческую информацию; предприятия, оказывающие услуги в сфере IT. Лица, относящиеся к вышеперечисленным категориям, осуществляют обработку персональных данных в качестве самостоятельных операторов обработки, то есть, выступают в качестве лиц, непосредственно осуществляющих обработку, выполняя конкретные действия по обработке в соответствии с договорными обязательствами, исполняемыми такими лицами в пользу или в интересах оператора обработки данных; оператор обработки передает лицам, непосредственно осуществляющим обработку, соответствующие письменные указания, в которых особый упор делается на принятие минимальных мер безопасности для обеспечения конфиденциальности и защиты данных.
Определенные действия по обработке данных могут выполняться третьими лицами, которым оператор обработки поручает в той или иной мере осуществление таких действий, которые необходимы для достижения целей, указанных в пункте 4б; в число таких лиц (исчерпывающий перечень которых не может быть здесь приведен) в первую очередь входят: коммерческие и/или технические партнеры; предприятия, профильной деятельностью которых является оказание услуг маркетинга; рекламные агентства; лица, оказывающие услуги поддержки и консультации при ведении деятельности на конкурсной основе и заключении сделок с премией. Лица, относящиеся к вышеперечисленным категориям, осуществляют обработку передаваемых им персональных данных в качестве самостоятельных операторов обработки, то есть, выступают в качестве лиц, непосредственно осуществляющих обработку, выполняя конкретные действия по обработке в соответствии с договорными обязательствами, исполняемыми такими лицами в пользу или в интересах оператора обработки данных; оператор обработки передает лицам, непосредственно осуществляющим обработку, соответствующие письменные указания, в которых особый упор делается на принятие минимальных мер безопасности для обеспечения конфиденциальности и защиты данных.
По запросу, направляемому по юридическому адресу оператора обработки данных, предоставляется периодически обновляемый перечень лиц, непосредственно осуществляющих обработку данных, с которыми у оператора обработки установлены взаимоотношения.
Кроме того, персональные данные могут передаваться соответствующим органам власти по их требованию в соответствии с обязательствами, установленными законом.

(8б) Передача персональных данных в третьи страны
Персональные данные Заказчика или иного заинтересованного лица могут также передаваться в другие страны, как входящие, так и не входящие в Европейский Союз; в последнем случае для этого требуется или специальное решение о допустимости такой меры, или обеспечение соответствующих гарантий, предусмотренных регламентом GDPR (т. е., в частности, введение в договор типовых пунктов о защите данных, одобренных Европейской Комиссией); или, в отсутствие вышеназванных условий, применение одной или нескольких оговорок, предусмотренных регламентом GDPR (в частности, при наличии явного согласия Заказчика или иного заинтересованного лица; либо во исполнение Договора, заключенного Заказчиком или иным заинтересованным лицом; либо по исполнение договора, заключенного оператором обработки данных в пользу Заказчика или иного заинтересованного лица с третьим физическим или юридическим лицом и направленного в первую очередь на осуществление действий, перепорученных такому лицу оператором обработки данных с целью исполнения Договора, заключенного с Заказчиком или иным заинтересованным лицом). В случае передачи данных в страны, не входящие в Европейский Союз, Заказчик или иное заинтересованное лицо может, направив письменный запрос по юридическому адресу оператора обработки данных, ознакомиться с соответствующими гарантиями или оговорками, оправдывающими передачу данных за рубеж. В случаях передачи данных в страны, не входящие в Европейский Союз, подразумевается, что со всеми просьбами, касающимися данных, в том числе относительно прав, признаваемых в соответствии с регламентом GDPR за Заказчиком или иным заинтересованным лицом, он может на полных основаниях обращаться к оператору обработки данных.

9. Критерии для определения продолжительности срока хранения персональных данных
   Для целей, указанных в пункте 4а, срок хранения и возможной обработки персональных данных, предоставляемых Заказчиком или иным заинтересованным лицом, равняется сроку действия прав и обязанностей/обязательств (юридических, налоговых и т. д.), вытекающих из Договора, т. е., как правило, 10 лет, кроме случаев возникновения обстоятельств, вследствие которых отсчет срока действия приостанавливается, что может привести к продлению срока хранения.
   Для целей, указанных в пункте 4а, период хранения и возможной обработки данных, предоставляемых Заказчиком или иным заинтересованным лицом, прекращается с отзывом согласия, предварительно данного Заказчиком или иным заинтересованным лицом, либо, в отсутствие такового, в любом случае через год после прекращения любых отношений между оператором обработки данных и Заказчиком или иным заинтересованным лицом.
10. Права Заказчика или иного заинтересованного лица
    Оператор обработки данных признает за Заказчиком или иным заинтересованным лицом (способствуя их осуществление им) все права, предусмотренные регламентом GDPR, в частности, право требовать доступа к собственным персональным данным и получения их копии (ст. 15 GDPR), право на внесение исправления (ст. 16 GDPR) и на удаление данных (ст. 17 GDPR), на ограничение обработки данных по своему усмотрению (ст. 18 GDPR), на возможность переноса данных при наличии предпосылок для этого (ст. 20 GDPR) и на запрещение обработки данных по своему усмотрению (ст. 21 и 22 GDPR для всех указанных в документе случаев, в особенности — в случае обработки с целью маркетинговой деятельности или в случае автоматизации процессов принятия решений, в том числе при профилировании, ведущей к затрагивающим его юридическим последствиям, при наличии соответствующих предпосылок).
    В тех случаях, когда обработка осуществляется на основании согласия Заказчика или иного заинтересованного лица, оператор обработки данных признает за ним право отозвать такое согласие в любой момент без отмены законности обработки, осуществлявшейся до отзыва согласия, на основании которого она осуществлялась. С этой целью Заказчик или иное заинтересованное лицо может в любой момент удалить свою учетную запись на Веб-сайте (или в приложениях оператора обработки данных для социальных сетей и интернет-ресурсов), с помощью соответствующей ссылки, указываемой в конце каждого получаемого им сообщения коммерческого характера, или обратившись к оператору обработки данных с использованием приведенных выше реквизитов.Кроме того, оператор обработки данных ставит в известность Заказчика или иное заинтересованное лицо о его праве обращаться с протестом к Гаранту защиты персональных данных, осуществляющему деятельность по контролю на территории Италии, и осуществлять обжалование в судебном порядке как решения Гаранта, так и действий самого оператора обработки данных и/или лица, непосредственно осуществляющего обработку.
11. Обеспечение безопасности информационных систем и персональных данных
    Учитывая текущее положение вещей и затраты, связанные с осуществлением обработки данных, а также саму ее природу, предмет, контекст и цели, не говоря о вероятности и потенциальной тяжести риска в отношении прав и свобод физических лиц, оператор обработки данных применяет технические средства и организационные меры, которые он считает приемлемыми для обеспечения уровня защиты, соответствующего степени риска, в частности, обеспечивая на постоянной основе конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки данных (в том числе, при необходимости, с использованием шифрования данных) и возможность оперативно восстанавливать доступ к данным в случае физических поломок и технических неисправностей, а также применяя внутренние процедуры, имеющие своей целью испытание, проверку и оценку эффективности используемых технических средств и организационных мер.
    При оценке достаточности обеспечиваемого уровня безопасности учитываются связанные с обработкой данных риски, являющиеся следствием возможного уничтожения, потери, изменения и несанкционированного распространения данных, а также случайного или незаконного доступа к передаваемым, хранимым или иным образом обрабатываемым персональным данным.
    Оператор обработки данных прилагает все усилия для того, чтобы все подчиненные ему лица, имеющие доступ к персональным данным, осуществляли обработку этих данных только при наличии соответствующих указаний со стороны оператора обработки данных.
    С учетом вышесказанного Заказчик или иное заинтересованное лицо принимает к сведению и соглашается с тем, что ни одна система безопасности не способна обеспечить абсолютную защиту с полной уверенностью; поэтому оператор обработки данных не несет ответственности за действия третьих лиц, незаконно осуществляющих доступ к таким системам без надлежащего разрешения, несмотря на принятые адекватные меры предосторожности.
12. Автоматизация процессов принятия решений, в том числе при профилировании
    При достижении целей, указанных в пункте 4а, оператор обработки данных может использовать средства автоматизации обработки, в том числе при профилировании, для оптимизации пользования Веб-сайтом (или приложениями оператора обработки для социальных сетей и интернет-ресурсов) и для улучшения впечатления от покупки, с вышеупомянутыми исключениями относительно прав Заказчика или иного заинтересованного лица на запрещение и на отзыв согласия.
    Под составлением профиля понимаются любые формы автоматизированной обработки персональных данных, направленные на выработку оценки определенных аспектов, имеющих отношение к физическому лицу, в частности, для анализа и прогнозирования некоторых аспектов, касающихся, например, личных предпочтений или местонахождения такого лица; целью этого может быть в том числе и составление пользовательских профилей, то есть, однородных групп субъектов, формируемых в соответствии с их характеристиками, интересами или особенностями поведения.
    Оператор обработки данных не осуществляет никаких автоматизированных действий по обработке, создающих юридические последствия в отношении Заказчика или иного заинтересованного лица или оказывающих значительное воздействие подобного рода на него лично, за исключением тех случаев, когда это необходимо для заключения и исполнения Договора, допускается законом или для этого имеется явное согласие Заказчика или иного заинтересованного лица, и в любом случае за ним признается право потребовать выполнения соответствующих действий человеком, выразить собственное мнение и опротестовать принятое решение.