Защита данных

Политика конфиденциальности

Мы очень рады вашему интересу к нашей компании. Защита данных имеет особое значение для руководства Yulia Heß. Использование веб-страниц Yulia Heß возможно в принципе без предоставления каких-либо персональных данных. Однако, если субъект данных желает воспользоваться специальными услугами нашей компании через наш сайт, может потребоваться обработка персональных данных. Если обработка персональных данных необходима и для такой обработки отсутствует законное основание, мы, как правило, запрашиваем согласие субъекта данных.

Обработка персональных данных, таких как имя, адрес, адрес электронной почты или номер телефона субъекта данных, всегда осуществляется в соответствии с Общим регламентом по защите данных (GDPR) и в соответствии с применимыми к Yulia Heß национальными правилами защиты данных. С помощью этой политики конфиденциальности наша компания хотела бы проинформировать общественность о характере, объеме и цели собираемых, используемых и обрабатываемых нами персональных данных. Кроме того, субъекты данных информируются о своих правах с помощью настоящей политики конфиденциальности.

Как контролер данных, Yulia Heß внедрила многочисленные технические и организационные меры для обеспечения максимально полной защиты персональных данных, обрабатываемых через этот сайт. Тем не менее, передача данных через Интернет в принципе может иметь уязвимости в системе безопасности, поэтому абсолютная защита не может быть гарантирована. По этой причине каждый субъект данных может передавать нам персональные данные альтернативными способами, например, по телефону.

1. Определения терминов

Политика конфиденциальности Yulia Heß основывается на терминологии, принятой европейскими законодательными и исполнительными органами при издании Общего регламента по защите данных (GDPR). Наша политика конфиденциальности должна быть легко читаемой и понятной как для общественности, так и для наших клиентов и деловых партнеров. Чтобы обеспечить это, мы хотели бы заранее разъяснить используемую терминологию.

В настоящей политике конфиденциальности мы используем, среди прочего, следующие термины:

  • а) Персональные данные
    Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (далее «субъект данных»). Физическое лицо считается идентифицируемым, если оно может быть прямо или косвенно идентифицировано, в частности, посредством сопоставления с идентификатором, таким как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одна или несколько специфических черт, выражающих физическую, физиологическую, генетическую, психическую, экономическую, культурную или социальную идентичность этого физического лица.
  • б) Субъект данных
    Субъект данных — это любое идентифицированное или идентифицируемое физическое лицо, персональные данные которого обрабатываются контролером, ответственным за обработку.
  • в) Обработка
    Обработка — это любая операция или совокупность операций, совершаемых с персональными данными или наборами персональных данных с использованием автоматизированных средств или без них, такие как сбор, запись, организация, упорядочивание, хранение, адаптация или изменение, считывание, выборка, использование, раскрытие посредством передачи, распространение или иная форма предоставления доступа, сопоставление или комбинирование, ограничение, удаление или уничтожение.
  • г) Ограничение обработки
    Ограничение обработки — это маркировка сохраненных персональных данных с целью ограничения их будущей обработки.
  • д) Профилирование
    Профилирование — это любая форма автоматизированной обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов, относящихся к физическому лицу, в частности, для анализа или прогнозирования аспектов, касающихся производительности труда этого физического лица, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения, местонахождения или перемещения.
  • е) Псевдонимизация
    Псевдонимизация — это обработка персональных данных таким образом, при котором персональные данные больше не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и защищена техническими и организационными мерами, гарантирующими, что персональные данные не будут отнесены к идентифицированному или идентифицируемому физическому лицу.
  • ж) Контролер или лицо, ответственное за обработку
    Контролер или лицо, ответственное за обработку, — это физическое или юридическое лицо, государственный орган, учреждение или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Если цели и средства такой обработки определены правом Союза или правом государств-членов, то контролер или конкретные критерии его назначения могут быть предусмотрены правом Союза или правом государств-членов.
  • з) Обработчик (процессор)
    Обработчик — это физическое или юридическое лицо, государственный орган, учреждение или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.
  • и) Получатель
    Получатель — это физическое или юридическое лицо, государственный орган, учреждение или иной орган, которому раскрываются персональные данные, независимо от того, является ли он третьей стороной или нет. Однако государственные органы, которые могут получать персональные данные в рамках конкретного следственного поручения в соответствии с правом Союза или правом государств-членов, не считаются получателями.
  • к) Третья сторона
    Третья сторона — это физическое или юридическое лицо, государственный орган, учреждение или иной орган, отличный от субъекта данных, контролера, обработчика, а также лиц, которые уполномочены обрабатывать персональные данные под непосредственным руководством контролера или обработчика.
  • л) Согласие
    Согласие — это любое добровольное, конкретное, осознанное и недвусмысленное волеизъявление субъекта данных в форме заявления или иного четкого подтверждающего действия, которым субъект данных дает понять, что он согласен на обработку относящихся к нему персональных данных.

2. Имя и адрес контролера, ответственного за обработку данных

Контролером в понимании Общего регламента по защите данных, иных законов о защите данных, действующих в государствах-членах Европейского союза, а также других положений, касающихся защиты данных, является:

Yulia Heß (Юлия Хесс)
Albstraße, 12
72525 Münsingen
Deutschland (Германия)
Тел.: +49 155 6827 4494
E-mail: info@yuliahess.de
Сайт: www.yuliahess.de

3. Сбор общих данных и информации

Сайт Yulia Heß фиксирует ряд общих данных и информации при каждом посещении сайта субъектом данных или автоматизированной системой. Эти общие данные и информация сохраняются в лог-файлах (журналах) сервера. Могут быть зафиксированы: (1) используемые типы браузеров и их версии, (2) операционная система, используемая запрашивающей системой, (3) веб-сайт, с которого запрашивающая система перешла на наш сайт (так называемый реферер), (4) подстраницы, которые посещаются на нашем сайте с помощью запрашивающей системы, (5) дата и время доступа к сайту, (6) адрес интернет-протокола (IP-адрес), (7) интернет-провайдер запрашивающей системы и (8) прочие аналогичные данные и информация, служащие для предотвращения угроз в случае атак на наши информационные системы.

При использовании этих общих данных и информации Yulia Heß не делает никаких выводов о субъекте данных. Эта информация необходима для того, чтобы: (1) корректно доставлять содержимое нашего сайта, (2) оптимизировать содержимое нашего сайта и рекламу для него, (3) обеспечивать долгосрочную работоспособность наших информационных систем и технических средств нашего сайта, а также (4) предоставлять правоохранительным органам информацию, необходимую для судебного преследования в случае кибератаки. Поэтому данные и информация, собранные анонимно, анализируются Yulia Heß как в статистических целях, так и с целью повышения уровня защиты и безопасности данных в нашей компании, чтобы в конечном итоге обеспечить оптимальный уровень защиты обрабатываемых нами персональных данных. Анонимные данные лог-файлов сервера хранятся отдельно от любых персональных данных, предоставленных субъектом данных.

4. Рутинное удаление и блокирование персональных данных

Лицо, ответственное за обработку, обрабатывает и хранит персональные данные субъекта данных только в течение периода, необходимого для достижения цели хранения, или в той мере, в какой это предусмотрено европейским законодателем или иным законодателем в законах или предписаниях, действию которых подлежит лицо, ответственное за обработку.

Если цель хранения более не актуальна или если истекает срок хранения, предписанный европейским законодателем или иным компетентным законодателем, персональные данные будут рутинно блокироваться или удаляться в соответствии с законодательными нормами.

5. Права субъекта данных

  • а) Право на подтверждение
    Каждый субъект данных имеет предоставленное европейским законодателем право требовать от лица, ответственного за обработку, подтверждения того, обрабатываются ли касающиеся его персональные данные. Если субъект данных желает воспользоваться этим правом на подтверждение, он может в любое время обратиться к сотруднику лица, ответственного за обработку.
  • б) Право на получение информации (доступ)
    Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право в любое время бесплатно получать от лица, ответственного за обработку, информацию о сохраненных персональных данных, касающихся его личности, а также копию этой информации. Кроме того, европейский законодатель предоставил субъекту данных право на получение следующей информации:
    • цели обработки;
    • категории обрабатываемых персональных данных;
    • получатели или категории получателей, которым персональные данные были или будут раскрыты, в частности, получатели в третьих странах или международные организации;
    • по возможности, планируемый срок хранения персональных данных или, если это невозможно, критерии определения этого срока;
    • наличие права на исправление или удаление касающихся его персональных данных, либо на ограничение обработки со стороны ответственного лица, либо права на возражение против такой обработки;
    • наличие права на подачу жалобы в надзорный орган;
    • если персональные данные собираются не у самого субъекта данных: вся имеющаяся информация о происхонии данных;
    • наличие автоматизированного принятия решений, включая профилирование, в соответствии со статьей 22, пунктами 1 и 4 GDPR и — по крайней мере, в этих случаях — значимая информация об используемой логике, а также о масштабах и предполагаемых последствиях такой обработки для субъекта данных.
    • Кроме того, субъект данных имеет право получить информацию о том, были ли его персональные данные переданы в третью страну или международную организацию. В этом случае субъект данных также имеет право на получение информации о надлежащих гарантиях, связанных с такой передачей. Если субъект данных желает воспользоваться этим правом на получение информации, он может в любое время обратиться к сотруднику лица, ответственного за обработку.
  • в) Право на исправление
    Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право требовать незамедлительного исправления относящихся к нему неточных персональных данных. Кроме того, субъект данных имеет право, с учетом целей обработки, требовать восполнения неполных персональных данных — в том числе посредством предоставления дополнительного заявления. Если субъект данных желает воспользоваться этим правом на исправление, он может в любое время обратиться к сотруднику лица, ответственного за обработку.
  • г) Право на удаление (право быть забытым)
    Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право требовать от контролера незамедлительного удаления относящихся к нему персональных данных при наличии одного из следующих оснований и в той мере, в какой обработка не является необходимой:
    • Персональные данные были собраны или иным образом обработаны для целей, для которых они более не являются необходимыми.
    • Субъект данных отзывает свое согласие, на котором основывалась обработка в соответствии со ст. 6, абз. 1, буква «а» GDPR или ст. 9, абз. 2, буква «а» GDPR, и иное правовое основание для обработки отсутствует.
    • Субъект данных заявляет возражение против обработки в соответствии со ст. 21, абз. 1 GDPR, и при этом отсутствуют превалирующие законные основания для обработки, либо субъект данных заявляет возражение против обработки в соответствии со ст. 21, абз. 2 GDPR.
    • Персональные данные обрабатывались незаконно.
    • Удаление персональных данных необходимо для исполнения юридического обязательства в соответствии с правом Союза или правом государств-членов, которому подлежит контролер.
    • Персональные данные были собраны в связи с предлагаемыми услугами информационного общества в соответствии со ст. 8, абз. 1 GDPR.

Если одно из вышеуказанных оснований применимо, и субъект данных желает инициировать удаление персональных данных, хранящихся у Yulia Heß, он может в любое время обратиться к сотруднику лица, ответственного за обработку. Сотрудник Yulia Heß распорядится о том, чтобы требование об удалении было исполнено незамедлительно.

Если персональные данные были обнародованы Yulia Heß и наша компания, как контролер, обязана удалить персональные данные в соответствии со ст. 17, абз. 1 GDPR, то Yulia Heß, с учетом имеющихся технологий и затрат на реализацию, предпримет разумные меры, в том числе технического характера, чтобы уведомить других контролеров, обрабатывающих опубликованные персональные данные, о том, что субъект данных потребовал от этих других контролеров удаления всех ссылок на эти персональные данные, а также их копий или репликаций, в той мере, в какой обработка не является необходимой. Сотрудник Yulia Heß предпримет необходимые действия в каждом конкретном случае.

  • д) Право на ограничение обработки
    Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право требовать от контролера ограничения обработки при наличии одного из следующих условий:
    • Точность персональных данных оспаривается субъектом данных — на период, позволяющий контролеру проверить точность персональных данных.
    • Обработка является незаконной, субъект данных отказывается от удаления персональных данных и вместо этого требует ограничения их использования.
    • Контролер больше не нуждается в персональных данных для целей обработки, однако они необходимы субъекту данных для предъявления, осуществления или защиты правовых требований.
    • Субъект данных подал возражение против обработки в соответствии со ст. 21, абз. 1 GDPR, и пока не установлено, превалируют ли законные основания контролера над основаниями субъекта данных.

Если одно из вышеуказанных условий соблюдено, и субъект данных желает потребовать ограничения обработки персональных данных, хранящихся у Yulia Heß, он может в любое время обратиться к сотруднику лица, ответственного за обработку. Сотрудник Yulia Heß организует ограничение обработки.

  • е) Право на переносимость данных
    Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право получать относящиеся к нему персональные данные, которые были предоставлены субъектом данных контролеру, в структурированном, общепринятом и машиночитаемом формате. Оно также имеет право передавать эти данные другому контролеру без препятствий со стороны контролера, которому были предоставлены персональные данные, при условии, что обработка основана на согласии в соответствии со ст. 6, абз. 1, буква «а» GDPR или ст. 9, абз. 2, буква «а» GDPR, либо на договоре в соответствии со ст. 6, абз. 1, буква «b» GDPR, и обработка осуществляется с помощью автоматизированных процедур, за исключением случаев, когда обработка необходима для выполнения задачи, представляющей общественный интерес или осуществляемой при исполнении официальных полномочий, возложенных на контролера.

    В случае возражения Yulia Heß прекращает обработку персональных данных, за исключением случаев, когда мы можем продемонстрировать убедительные законные основания для обработки, которые превалируют над интересами, правами и свободами субъекта данных, либо если обработка служит для предъявления, осуществления или защиты правовых требований.

    Если Yulia Heß обрабатывает персональные данные в целях прямого маркетинга, субъект данных имеет право в любое время заявить возражение против обработки персональных данных в целях такой рекламы. Это также относится к профилированию, если оно связано с таким прямым маркетингом. Если субъект данных заявляет Yulia Heß возражение против обработки в целях прямого маркетинга, Yulia Heß прекращает обработку персональных данных для этих целей.

    Кроме того, субъект данных имеет право по причинам, вытекающим из его конкретной ситуации, заявить возражение против обработки относящихся к нему персональных данных, осуществляемой Yulia Heß в научных, исторических исследовательских или статистических целях в соответствии со ст. 89, абз. 1 GDPR, за исключением случаев, когда такая обработка необходима для выполнения задачи, лежащей в общественных интересах.

    Для осуществления права на возражение субъект данных может напрямую обратиться к любому сотруднику Yulia Heß. Субъект данных также свободен в контексте использования услуг информационного общества, несмотря на Директиву 2002/58/ЕС, реализовать свое право на возражение с помощью автоматизированных процедур, в которых используются технические спецификации.
  • з) Автоматизированные решения в индивидуальных случаях, включая профилирование
    Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право не подпадать под решение, основанное исключительно на автоматизированной обработке — включая профилирование, — которое влечет за собой юридические последствия в отношении него или аналогичным образом существенно влияет на него, при условии, что решение (1) не является необходимым для заключения или исполнения договора между субъектом данных и контролером, либо (2) разрешено законодательством Союза или государств-членов, которому подлежит контролер, и это законодательство содержит надлежащие меры по защите прав, свобод и законных интересов субъекта данных, либо (3) принимается на основании явно выраженного согласия субъекта данных.

    Если решение (1) необходимо для заключения или исполнения договора между субъектом данных и контролером, либо (2) оно принимается на основании явно выраженного согласия субъекта данных, Yulia Heß принимает надлежащие меры для защиты прав, свобод и законных интересов субъекта данных, что как минимум включает право на вмешательство со стороны представителя контролера, право на изложение собственной точки зрения и право на оспаривание решения.

    Если субъект данных желает воспользоваться своими правами в отношении автоматизированных решений, он может в любое время обратиться к сотруднику лица, ответственного за обработку.
  • и) Право на отзыв согласия на обработку персональных данных Каждое лицо, чьи персональные данные подлежат обработке, имеет предоставленное европейским законодателем право в любое время отозвать свое согласие на обработку персональных данных.

    Если субъект данных желает воспользоваться своим правом на отзыв согласия, он может в любое время обратиться к сотруднику лица, ответственного за обработку.

6. Положения о защите данных при использовании и применении Instagram

Лицо, ответственное за обработку, интегрировало компоненты сервиса Instagram на данный веб-сайт. Instagram — это сервис, классифицируемый как аудиовизуальная платформа, который позволяет пользователям обмениваться фотографиями и видео, а также распространять такие данные в других социальных сетях.

Оператором сервисов Instagram является компания Meta Platforms Ireland Ltd. (ранее Facebook Ireland Ltd.), 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland (Ирландия).

При каждом посещении одной из страниц данного веб-сайта, который управляется лицом, ответственным за обработку, и на котором интегрирован компонент Instagram (кнопка Instagram), интернет-браузер в информационной системе субъекта данных автоматически инициирует загрузку соответствующего компонента Instagram. В рамках этого технического процесса Instagram получает информацию о том, какую именно подстраницу нашего веб-сайта посетил субъект данных.

Если субъект данных одновременно авторизован в Instagram, то при каждом посещении нашего веб-сайта и в течение всего времени пребывания на нем Instagram распознает, какую конкретно подстраницу посещает субъект данных. Эта информация собирается компонентом Instagram и сопоставляется с соответствующей учетной записью субъекта данных в Instagram. Если субъект данных нажимает на одну из кнопок Instagram, интегрированных на нашем сайте, переданные при этом данные и информация сопоставляются с личной учетной записью пользователя в Instagram, сохраняются и обрабатываются сервисом Instagram.

Instagram через свой компонент всегда получает информацию о том, что субъект данных посетил наш сайт, если на момент посещения сайта пользователь одновременно авторизован в Instagram; это происходит независимо от того, нажимает ли субъект данных на компонент Instagram или нет. Если субъект данных не желает передавать такую информацию в Instagram, он может предотвратить передачу, выйдя из своего аккаунта Instagram перед посещением нашего веб-сайта.

Дополнительную информацию и действующие положения Instagram о защите данных можно найти по адресам: https://help.instagram.com/155833707900388 (https://help.instagram.com/155833707900388) и https://www.instagram.com/about/legal/privacy/ (https://www.instagram.com/about/legal/privacy/).

7. Правовое основание обработки

Ст. 6, абз. 1, буква «a» GDPR служит нашей компании правовым основанием для операций по обработке, при которых мы получаем согласие на конкретную цель обработки. Если обработка персональных данных необходима для исполнения договора, стороной которого является субъект данных, как в случае операций по обработке, необходимых для поставки товаров или оказания иных услуг либо встречного исполнения, то обработка основывается на ст. 6, абз. 1, буква «b» GDPR. То же самое относится к операциям по обработке, необходимым для проведения преддоговорных мероприятий, например, в случае запросов о наших продуктах или услугах. Если наша компания подлежит юридическому обязательству, требующему обработки персональных данных, например, для исполнения налоговых обязательств, то обработка базируется на ст. 6, абз. 1, буква «c» GDPR. В редких случаях обработка персональных данных может потребоваться для защиты жизненно важных интересов субъекта данных или другого физического лица. Это произошло бы, например, если бы посетитель получил травму на нашем предприятии, и в связи с этим его имя, возраст, данные медицинского страхования или иная жизненно важная информация должны были бы быть переданы врачу, больнице или иным третьим лицам. В этом случае обработка основывалась бы на ст. 6, абз. 1, буква «d» GDPR.

Наконец, операции по обработке могут основываться на ст. 6, абз. 1, буква «f» GDPR. На этом правовом основании базируются операции, не охваченные ни одним из вышеупомянутых оснований, если обработка необходима для обеспечения законного интереса нашей компании или третьей стороны, при условии, что интересы, основные права и свободы субъекта данных не имеют преимущественной силы. Такие операции по обработке разрешены нам, в частности, потому, что они были отдельно упомянуты европейским законодателем. В связи с этим он выразил мнение, что наличие законного интереса можно предположить, если субъект данных является клиентом контролера (пункт 47, предложение 2 преамбулы GDPR).

Вот тщательный перевод разделов 8 и 9 на русский язык:

8. Законные интересы в обработке данных, преследуемые контролером или третьей стороной

Если обработка персональных данных основывается на статье 6, абзаце 1, букве «f» GDPR, нашим законным интересом является осуществление нашей деловой деятельности на благо благополучия всех наших сотрудников и акционеров.

9. Продолжительность хранения персональных данных

Критерием продолжительности хранения персональных данных является соответствующий установленный законом срок хранения. По истечении этого срока соответствующие данные рутинно удаляются, если они больше не требуются для исполнения договора или подготовки к его заключению.

10. Законодательные или договорные нормы по предоставлению персональных данных; необходимость для заключения договора; обязанность субъекта данных предоставлять персональные данные; возможные последствия непредоставления

Мы разъясняем вам, что предоставление персональных данных частично предписано законом (например, налоговым законодательством) или может вытекать из договорных положений (например, информация о партнере по договору).

Иногда для заключения договора может потребоваться, чтобы субъект данных предоставил нам персональные данные, которые впоследствии должны быть нами обработаны. Например, субъект данных обязан предоставить нам персональные данные, если наша компания заключает с ним договор. Непредоставление персональных данных приведет к тому, что договор с субъектом данных не сможет быть заключен.

Перед предоставлением персональных данных субъект данных должен обратиться к одному из наших сотрудников. Наш сотрудник в каждом конкретном случае разъяснит субъекту данных, является ли предоставление персональных данных обязательным по закону или договору, необходимо ли оно для заключения договора, существует ли обязанность предоставлять персональные данные и какими будут последствия их непредоставления.

11. Наличие автоматизированного принятия решений

Как компания, ответственно относящаяся к своим обязанностям, мы не используем автоматизированное принятие решений или профилирование.