Обратный звонок
Наш менеджер перезвонит Вам в течении 10 минут
Нажимая кнопку «Оставить заявку», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Политика обработки персональных данных
WorldBox Group
Дата вступления в силу: 03 апреля 2026 г.
Последнее обновление: 03 апреля 2026 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») устанавливает принципы, порядок и условия обработки персональных данных в компании WorldBox Group (далее — «Оператор», «Компания»).
1.2. Компания осуществляет международную деятельность в сфере продажи контейнеров и ведёт операции в следующих регионах: Китай (Шанхай, Гонконг), Сингапур, Южная Корея (Бусан), Объединённые Арабские Эмираты (Джебель Али), Малайзия (Порт Кланг), Нидерланды (Роттердам), Бельгия (Антверпен-Брюгге), Соединённые Штаты Америки (Лос-Анджелес), Шри-Ланка (Коломбо), Российская Федерация и иные страны.
1.3. Политика разработана в соответствии с:
— Регламентом (ЕС) 2016/679 (Общий регламент по защите данных — GDPR);
— Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказом ФСТЭК России от 18.02.2013 № 21;
— Законом о защите персональных данных Республики Болгария;
— Законом Сингапура о защите персональных данных (PDPA, 2012);
— Законом КНР о защите персональной информации (PIPL, 2021);
— Законом Южной Кореи о защите персональной информации (PIPA);
— Федеральным законом ОАЭ № 45 от 2021 года о защите персональных данных;
— Калифорнийским законом о конфиденциальности потребителей (CCPA/CPRA, США);
— иными применимыми нормативно-правовыми актами стран присутствия Компании.
1.4. Настоящая Политика является обязательной для исполнения всеми сотрудниками и подрядчиками Компании, имеющими доступ к персональным данным.
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
Наименование: WorldBox Group
Юридический адрес: Пловдив, Болгария, бул. „Санкт Петербург" 48, 2 этаж
Телефон: +35 988 279 6907
Электронная почта: WorldBoxGroupInfo@gmail.com
Telegram: @WorldBoxGroup
Дата вступления в силу: 03 апреля 2026 г.
Последнее обновление: 03 апреля 2026 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») устанавливает принципы, порядок и условия обработки персональных данных в компании WorldBox Group (далее — «Оператор», «Компания»).
1.2. Компания осуществляет международную деятельность в сфере продажи контейнеров и ведёт операции в следующих регионах: Китай (Шанхай, Гонконг), Сингапур, Южная Корея (Бусан), Объединённые Арабские Эмираты (Джебель Али), Малайзия (Порт Кланг), Нидерланды (Роттердам), Бельгия (Антверпен-Брюгге), Соединённые Штаты Америки (Лос-Анджелес), Шри-Ланка (Коломбо), Российская Федерация и иные страны.
1.3. Политика разработана в соответствии с:
— Регламентом (ЕС) 2016/679 (Общий регламент по защите данных — GDPR);
— Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказом ФСТЭК России от 18.02.2013 № 21;
— Законом о защите персональных данных Республики Болгария;
— Законом Сингапура о защите персональных данных (PDPA, 2012);
— Законом КНР о защите персональной информации (PIPL, 2021);
— Законом Южной Кореи о защите персональной информации (PIPA);
— Федеральным законом ОАЭ № 45 от 2021 года о защите персональных данных;
— Калифорнийским законом о конфиденциальности потребителей (CCPA/CPRA, США);
— иными применимыми нормативно-правовыми актами стран присутствия Компании.
1.4. Настоящая Политика является обязательной для исполнения всеми сотрудниками и подрядчиками Компании, имеющими доступ к персональным данным.
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
Наименование: WorldBox Group
Юридический адрес: Пловдив, Болгария, бул. „Санкт Петербург" 48, 2 этаж
Телефон: +35 988 279 6907
Электронная почта: WorldBoxGroupInfo@gmail.com
Telegram: @WorldBoxGroup
Сфера деятельности: международная продажа морских контейнеров.
3. ОСНОВНЫЕ ПОНЯТИЯ
3.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
3.2. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
3.3. Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются Оператором.
3.4. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных.
3.5. Обработчик — лицо, обрабатывающее персональные данные по поручению Оператора.
3.6. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3.7. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется на основе следующих принципов:
а) Законность и справедливость — обработка осуществляется на законных основаниях, добросовестно и прозрачно.
б) Ограничение целью — данные собираются для конкретных, явных и законных целей и не подвергаются дальнейшей обработке, несовместимой с этими целями.
в) Минимизация данных — обрабатываемые данные являются адекватными, относящимися к делу и ограниченными тем, что необходимо для достижения целей обработки.
г) Точность — данные должны быть точными и при необходимости актуализироваться. Неточные данные должны быть удалены или исправлены без промедления.
3. ОСНОВНЫЕ ПОНЯТИЯ
3.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
3.2. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
3.3. Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются Оператором.
3.4. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных.
3.5. Обработчик — лицо, обрабатывающее персональные данные по поручению Оператора.
3.6. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3.7. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется на основе следующих принципов:
а) Законность и справедливость — обработка осуществляется на законных основаниях, добросовестно и прозрачно.
б) Ограничение целью — данные собираются для конкретных, явных и законных целей и не подвергаются дальнейшей обработке, несовместимой с этими целями.
в) Минимизация данных — обрабатываемые данные являются адекватными, относящимися к делу и ограниченными тем, что необходимо для достижения целей обработки.
г) Точность — данные должны быть точными и при необходимости актуализироваться. Неточные данные должны быть удалены или исправлены без промедления.
д) Ограничение хранения — данные хранятся в форме, позволяющей идентифицировать субъекта, не дольше, чем это необходимо для целей обработки.
е) Целостность и конфиденциальность — обеспечение надлежащей безопасности данных, включая защиту от несанкционированного доступа, случайной утраты, уничтожения или повреждения.
ж) Подотчётность — Оператор несёт ответственность за соблюдение принципов обработки и способен продемонстрировать такое соблюдение.
з) Недопустимость объединения баз данных — базы данных, содержащие персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не подлежат объединению (в соответствии с ФЗ-152 РФ).
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
— клиенты и потенциальные клиенты Компании (покупатели контейнеров);
— представители юридических лиц — контрагентов;
— пользователи сайта и сервисов Компании;
— логистические и портовые партнёры;
— сотрудники и кандидаты на вакантные должности;
— иные лица, вступившие в отношения с Компанией.
6. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор может обрабатывать следующие персональные данные:
а) Идентификационные данные:
— фамилия, имя, отчество;
— дата рождения;
— гражданство.
б) Контактные данные:
— адрес электронной почты;
— номер телефона;
— почтовый адрес;
— аккаунты в мессенджерах (Telegram, WhatsApp и др.).
в) Данные для оказания услуг:
— информация о заказах контейнеров и обращениях;
— история взаимодействия с Компанией;
— реквизиты организации (для юридических лиц);
— сведения о порте назначения и доставке.
е) Целостность и конфиденциальность — обеспечение надлежащей безопасности данных, включая защиту от несанкционированного доступа, случайной утраты, уничтожения или повреждения.
ж) Подотчётность — Оператор несёт ответственность за соблюдение принципов обработки и способен продемонстрировать такое соблюдение.
з) Недопустимость объединения баз данных — базы данных, содержащие персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не подлежат объединению (в соответствии с ФЗ-152 РФ).
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
— клиенты и потенциальные клиенты Компании (покупатели контейнеров);
— представители юридических лиц — контрагентов;
— пользователи сайта и сервисов Компании;
— логистические и портовые партнёры;
— сотрудники и кандидаты на вакантные должности;
— иные лица, вступившие в отношения с Компанией.
6. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор может обрабатывать следующие персональные данные:
а) Идентификационные данные:
— фамилия, имя, отчество;
— дата рождения;
— гражданство.
б) Контактные данные:
— адрес электронной почты;
— номер телефона;
— почтовый адрес;
— аккаунты в мессенджерах (Telegram, WhatsApp и др.).
в) Данные для оказания услуг:
— информация о заказах контейнеров и обращениях;
— история взаимодействия с Компанией;
— реквизиты организации (для юридических лиц);
— сведения о порте назначения и доставке.
г) Технические данные:
— IP-адрес;
— данные файлов cookie;
— информация о браузере, операционной системе и устройстве;
— данные о поведении на сайте;
— геолокационные данные (на уровне страны/региона).
д) Данные сотрудников (при наличии трудовых отношений):
— паспортные данные;
— ИНН, СНИЛС (для сотрудников в РФ) или аналоги в иных юрисдикциях;
— банковские реквизиты;
— данные об образовании и квалификации.
6.2. Оператор не осуществляет обработку специальных категорий персональных данных (биометрические данные, сведения о расовом или этническом происхождении, политических взглядах, религиозных убеждениях, состоянии здоровья и т. д.), за исключением случаев, прямо предусмотренных законодательством.
7. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор обрабатывает персональные данные в следующих целях:
а) Оказание услуг:
— заключение и исполнение договоров купли-продажи контейнеров;
— организация логистики и доставки;
— обработка заявок и заказов;
— техническая поддержка.
б) Коммуникация:
— ответы на обращения и запросы;
— информирование об услугах, ценах, наличии контейнеров;
— обратная связь.
в) Маркетинг (при наличии согласия):
— направление рекламных материалов;
— проведение опросов и исследований;
— персонализация предложений.
г) Аналитика:
— улучшение качества сайта и услуг;
— статистический анализ;
— выявление технических неполадок.
д) Кадровое делопроизводство:
— оформление трудовых отношений;
— ведение кадрового учёта;
— начисление заработной платы.
— IP-адрес;
— данные файлов cookie;
— информация о браузере, операционной системе и устройстве;
— данные о поведении на сайте;
— геолокационные данные (на уровне страны/региона).
д) Данные сотрудников (при наличии трудовых отношений):
— паспортные данные;
— ИНН, СНИЛС (для сотрудников в РФ) или аналоги в иных юрисдикциях;
— банковские реквизиты;
— данные об образовании и квалификации.
6.2. Оператор не осуществляет обработку специальных категорий персональных данных (биометрические данные, сведения о расовом или этническом происхождении, политических взглядах, религиозных убеждениях, состоянии здоровья и т. д.), за исключением случаев, прямо предусмотренных законодательством.
7. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор обрабатывает персональные данные в следующих целях:
а) Оказание услуг:
— заключение и исполнение договоров купли-продажи контейнеров;
— организация логистики и доставки;
— обработка заявок и заказов;
— техническая поддержка.
б) Коммуникация:
— ответы на обращения и запросы;
— информирование об услугах, ценах, наличии контейнеров;
— обратная связь.
в) Маркетинг (при наличии согласия):
— направление рекламных материалов;
— проведение опросов и исследований;
— персонализация предложений.
г) Аналитика:
— улучшение качества сайта и услуг;
— статистический анализ;
— выявление технических неполадок.
д) Кадровое делопроизводство:
— оформление трудовых отношений;
— ведение кадрового учёта;
— начисление заработной платы.
е) Юридические обязательства:
— соблюдение требований законодательства всех юрисдикций присутствия;
— ведение бухгалтерского и налогового учёта;
— взаимодействие с государственными и таможенными органами.
8. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
8.1. Европейский Союз / ЕЭП / Болгария (GDPR):
— согласие субъекта данных (ст. 6(1)(a));
— необходимость для исполнения договора (ст. 6(1)(b));
— соблюдение юридической обязанности (ст. 6(1)(c));
— законные интересы Оператора (ст. 6(1)(f)).
8.2. Российская Федерация (ФЗ-152):
— согласие субъекта персональных данных (п. 1 ч. 1 ст. 6);
— обработка необходима для исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6);
— обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц (п. 7 ч. 1 ст. 6);
— обработка необходима для достижения целей, предусмотренных международным договором РФ или законом (п. 2 ч. 1 ст. 6);
— обработка персональных данных, подлежащих опубликованию или обязательному раскрытию (п. 10 ч. 1 ст. 6);
— обработка необходима для осуществления правосудия (п. 3 ч. 1 ст. 6).
8.3. Сингапур (PDPA):
— согласие субъекта данных;
— деловая необходимость (Business Improvement Purpose);
— исключения, предусмотренные Приложениями к PDPA.
8.4. Китайская Народная Республика (PIPL):
— согласие субъекта данных;
— необходимость для заключения или исполнения договора;
— необходимость для исполнения законных обязанностей;
— защита жизни и здоровья;
— иные основания, предусмотренные PIPL.
8.5. Южная Корея (PIPA):
— согласие субъекта данных;
— необходимость для исполнения договора;
— законный интерес Оператора;
— иные основания, предусмотренные PIPA.
8.6. ОАЭ (Федеральный закон № 45):
— согласие субъекта данных;
— необходимость для исполнения договора;
— защита жизненно важных интересов;
— иные основания, предусмотренные законодательством.
8.7. США / Калифорния (CCPA/CPRA):
— уведомление о сборе данных и целях использования;
— Компания не продаёт персональные данные потребителей.
8.8. Для иных юрисдикций применяются правовые основания, предусмотренные законодательством соответствующей страны.
— соблюдение требований законодательства всех юрисдикций присутствия;
— ведение бухгалтерского и налогового учёта;
— взаимодействие с государственными и таможенными органами.
8. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
8.1. Европейский Союз / ЕЭП / Болгария (GDPR):
— согласие субъекта данных (ст. 6(1)(a));
— необходимость для исполнения договора (ст. 6(1)(b));
— соблюдение юридической обязанности (ст. 6(1)(c));
— законные интересы Оператора (ст. 6(1)(f)).
8.2. Российская Федерация (ФЗ-152):
— согласие субъекта персональных данных (п. 1 ч. 1 ст. 6);
— обработка необходима для исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6);
— обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц (п. 7 ч. 1 ст. 6);
— обработка необходима для достижения целей, предусмотренных международным договором РФ или законом (п. 2 ч. 1 ст. 6);
— обработка персональных данных, подлежащих опубликованию или обязательному раскрытию (п. 10 ч. 1 ст. 6);
— обработка необходима для осуществления правосудия (п. 3 ч. 1 ст. 6).
8.3. Сингапур (PDPA):
— согласие субъекта данных;
— деловая необходимость (Business Improvement Purpose);
— исключения, предусмотренные Приложениями к PDPA.
8.4. Китайская Народная Республика (PIPL):
— согласие субъекта данных;
— необходимость для заключения или исполнения договора;
— необходимость для исполнения законных обязанностей;
— защита жизни и здоровья;
— иные основания, предусмотренные PIPL.
8.5. Южная Корея (PIPA):
— согласие субъекта данных;
— необходимость для исполнения договора;
— законный интерес Оператора;
— иные основания, предусмотренные PIPA.
8.6. ОАЭ (Федеральный закон № 45):
— согласие субъекта данных;
— необходимость для исполнения договора;
— защита жизненно важных интересов;
— иные основания, предусмотренные законодательством.
8.7. США / Калифорния (CCPA/CPRA):
— уведомление о сборе данных и целях использования;
— Компания не продаёт персональные данные потребителей.
8.8. Для иных юрисдикций применяются правовые основания, предусмотренные законодательством соответствующей страны.
9. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные собираются следующими способами:
— непосредственно от субъекта данных (заполнение форм на сайте, переписка по электронной почте, Telegram, телефонные обращения, заявки на покупку контейнеров);
— автоматически при использовании сайта (cookie, логи сервера);
— от третьих лиц (контрагенты, логистические партнёры, портовые агенты) при наличии законных оснований.
9.2. При сборе персональных данных Оператор информирует субъекта данных о целях обработки, правовых основаниях, сроках хранения и правах субъекта.
9.3. Согласие на обработку персональных данных может быть получено:
— в письменной форме (в том числе в электронной форме);
— путём проставления отметки (чек-бокса) на сайте;
— посредством совершения конклюдентных действий (направление заявки, обращения).
10. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Персональные данные обрабатываются и хранятся в течение следующих сроков:
— данные клиентов — в течение срока действия договора и 5 (пяти) лет после его прекращения (с учётом сроков исковой давности);
— данные пользователей сайта — в течение 3 (трёх) лет с момента последнего взаимодействия;
— данные сотрудников — в течение срока трудовых отношений и в соответствии с требованиями законодательства (для РФ: 75 лет для документов по личному составу, 5 лет для бухгалтерских документов);
— маркетинговые данные — до отзыва согласия субъектом данных;
— бухгалтерские и налоговые данные — в соответствии с требованиями законодательства соответствующей юрисдикции (не менее 5 лет);
— таможенные и логистические данные — в соответствии с требованиями таможенного законодательства соответствующих стран.
10.2. По истечении указанных сроков персональные данные подлежат удалению или обезличиванию в течение 30 (тридцати) календарных дней.
10.3. Для Российской Федерации: в случае отзыва субъектом персональных данных согласия на обработку, Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено законодательством (ч. 5 ст. 21 ФЗ-152).
11. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Оператор может передавать персональные данные следующим категориям получателей:
а) Обработчики данных — лица, выполняющие обработку по поручению Оператора (хостинг-провайдеры, сервисы аналитики, платёжные системы, CRM-системы).
б) Логистические и портовые партнёры — в объёме, необходимом для организации доставки и обработки контейнеров.
в) Государственные и таможенные органы — по законному запросу уполномоченных органов.
9.1. Персональные данные собираются следующими способами:
— непосредственно от субъекта данных (заполнение форм на сайте, переписка по электронной почте, Telegram, телефонные обращения, заявки на покупку контейнеров);
— автоматически при использовании сайта (cookie, логи сервера);
— от третьих лиц (контрагенты, логистические партнёры, портовые агенты) при наличии законных оснований.
9.2. При сборе персональных данных Оператор информирует субъекта данных о целях обработки, правовых основаниях, сроках хранения и правах субъекта.
9.3. Согласие на обработку персональных данных может быть получено:
— в письменной форме (в том числе в электронной форме);
— путём проставления отметки (чек-бокса) на сайте;
— посредством совершения конклюдентных действий (направление заявки, обращения).
10. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Персональные данные обрабатываются и хранятся в течение следующих сроков:
— данные клиентов — в течение срока действия договора и 5 (пяти) лет после его прекращения (с учётом сроков исковой давности);
— данные пользователей сайта — в течение 3 (трёх) лет с момента последнего взаимодействия;
— данные сотрудников — в течение срока трудовых отношений и в соответствии с требованиями законодательства (для РФ: 75 лет для документов по личному составу, 5 лет для бухгалтерских документов);
— маркетинговые данные — до отзыва согласия субъектом данных;
— бухгалтерские и налоговые данные — в соответствии с требованиями законодательства соответствующей юрисдикции (не менее 5 лет);
— таможенные и логистические данные — в соответствии с требованиями таможенного законодательства соответствующих стран.
10.2. По истечении указанных сроков персональные данные подлежат удалению или обезличиванию в течение 30 (тридцати) календарных дней.
10.3. Для Российской Федерации: в случае отзыва субъектом персональных данных согласия на обработку, Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено законодательством (ч. 5 ст. 21 ФЗ-152).
11. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Оператор может передавать персональные данные следующим категориям получателей:
а) Обработчики данных — лица, выполняющие обработку по поручению Оператора (хостинг-провайдеры, сервисы аналитики, платёжные системы, CRM-системы).
б) Логистические и портовые партнёры — в объёме, необходимом для организации доставки и обработки контейнеров.
в) Государственные и таможенные органы — по законному запросу уполномоченных органов.
г) Контрагенты — при наличии договорных обязательств и в объёме, необходимом для исполнения договора.
11.2. При передаче данных обработчикам Оператор заключает соглашение об обработке данных, обеспечивающее надлежащий уровень защиты. Для РФ — поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 ФЗ-152.
12. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. В связи с международной деятельностью Компании персональные данные могут передаваться между странами присутствия (Болгария, Китай, Сингапур, Южная Корея, ОАЭ, Малайзия, Нидерланды, Бельгия, США, Шри-Ланка, Россия и др.).
12.2. ЕС / ЕЭП (GDPR):
— передача в третьи страны осуществляется при наличии решения Европейской Комиссии о достаточности, стандартных договорных оговорок (SCC) или иных надлежащих гарантий (глава V GDPR).
12.3. Российская Федерация (ФЗ-152):
— трансграничная передача осуществляется в соответствии со ст. 12 ФЗ-152;
— передача в страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, осуществляется без дополнительных ограничений;
— передача в страны, не обеспечивающие адекватную защиту прав субъектов, осуществляется при наличии: (а) письменного согласия субъекта; (б) исполнения договора; (в) иных оснований, предусмотренных ФЗ-152;
— при сборе персональных данных граждан РФ обеспечивается их запись, систематизация, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 ФЗ-152).
12.4. КНР (PIPL):
— трансграничная передача осуществляется после проведения оценки воздействия на защиту персональной информации;
— при передаче за пределы КНР может потребоваться прохождение проверки безопасности CAC или заключение стандартного контракта.
12.5. Сингапур (PDPA):
— передача данных за пределы Сингапура осуществляется при обеспечении сопоставимого уровня защиты.
12.6. Южная Корея (PIPA):
— передача данных за пределы Южной Кореи осуществляется при наличии согласия субъекта и обеспечения надлежащих мер защиты.
12.7. Для иных юрисдикций — Компания соблюдает применимые требования к трансграничной передаче.
13. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Оператор применяет следующие меры для обеспечения безопасности:
а) Организационные меры:
— назначение ответственных лиц за обработку персональных данных;
— для РФ: назначение ответственного за организацию обработки персональных данных (ст. 22.1 ФЗ-152);
— разработка и утверждение внутренних нормативных документов;
— обучение сотрудников правилам обработки персональных данных;
— разграничение прав доступа;
— контроль за соблюдением требований по защите данных;
— проведение внутренних аудитов.
11.2. При передаче данных обработчикам Оператор заключает соглашение об обработке данных, обеспечивающее надлежащий уровень защиты. Для РФ — поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 ФЗ-152.
12. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. В связи с международной деятельностью Компании персональные данные могут передаваться между странами присутствия (Болгария, Китай, Сингапур, Южная Корея, ОАЭ, Малайзия, Нидерланды, Бельгия, США, Шри-Ланка, Россия и др.).
12.2. ЕС / ЕЭП (GDPR):
— передача в третьи страны осуществляется при наличии решения Европейской Комиссии о достаточности, стандартных договорных оговорок (SCC) или иных надлежащих гарантий (глава V GDPR).
12.3. Российская Федерация (ФЗ-152):
— трансграничная передача осуществляется в соответствии со ст. 12 ФЗ-152;
— передача в страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, осуществляется без дополнительных ограничений;
— передача в страны, не обеспечивающие адекватную защиту прав субъектов, осуществляется при наличии: (а) письменного согласия субъекта; (б) исполнения договора; (в) иных оснований, предусмотренных ФЗ-152;
— при сборе персональных данных граждан РФ обеспечивается их запись, систематизация, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 ФЗ-152).
12.4. КНР (PIPL):
— трансграничная передача осуществляется после проведения оценки воздействия на защиту персональной информации;
— при передаче за пределы КНР может потребоваться прохождение проверки безопасности CAC или заключение стандартного контракта.
12.5. Сингапур (PDPA):
— передача данных за пределы Сингапура осуществляется при обеспечении сопоставимого уровня защиты.
12.6. Южная Корея (PIPA):
— передача данных за пределы Южной Кореи осуществляется при наличии согласия субъекта и обеспечения надлежащих мер защиты.
12.7. Для иных юрисдикций — Компания соблюдает применимые требования к трансграничной передаче.
13. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Оператор применяет следующие меры для обеспечения безопасности:
а) Организационные меры:
— назначение ответственных лиц за обработку персональных данных;
— для РФ: назначение ответственного за организацию обработки персональных данных (ст. 22.1 ФЗ-152);
— разработка и утверждение внутренних нормативных документов;
— обучение сотрудников правилам обработки персональных данных;
— разграничение прав доступа;
— контроль за соблюдением требований по защите данных;
— проведение внутренних аудитов.
б) Технические меры:
— использование средств шифрования при передаче и хранении данных;
— применение систем аутентификации и авторизации;
— регулярное резервное копирование;
— использование антивирусного программного обеспечения;
— мониторинг и журналирование доступа;
— регулярное обновление программного обеспечения;
— межсетевое экранирование;
— обнаружение и предотвращение вторжений.
в) Для Российской Федерации — дополнительно:
— определение угроз безопасности персональных данных при их обработке в ИСПДн;
— применение организационных и технических мер в соответствии с Постановлением Правительства РФ № 1119 и Приказом ФСТЭК России № 21;
— оценка эффективности принимаемых мер до ввода в эксплуатацию ИСПДн.
14. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1. Европейский Союз / ЕЭП / Болгария (GDPR):
— право на доступ (ст. 15);
— право на исправление (ст. 16);
— право на удаление — «право на забвение» (ст. 17);
— право на ограничение обработки (ст. 18);
— право на переносимость данных (ст. 20);
— право на возражение (ст. 21);
— право на отзыв согласия;
— право на подачу жалобы в надзорный орган.
14.2. Российская Федерация (ФЗ-152):
— право на получение информации об обработке персональных данных (ч. 7 ст. 14);
— право требовать от Оператора уточнения персональных данных, их блокирования или уничтожения (ч. 1 ст. 14);
— право на отзыв согласия на обработку (ч. 2 ст. 9);
— право на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд (ст. 17);
— право на возмещение убытков и компенсацию морального вреда (ч. 2 ст. 17);
— право требовать от Оператора прекращения обработки персональных данных в целях продвижения товаров, работ, услуг (ч. 2 ст. 15).
14.3. Сингапур (PDPA):
— право на доступ;
— право на исправление;
— право на отзыв согласия;
— право на подачу жалобы в PDPC.
14.4. КНР (PIPL):
— право на доступ, копирование, исправление и удаление;
— право на отзыв согласия;
— право на объяснение правил обработки;
— право на перенос данных;
— право на подачу жалобы в CAC.
14.5. Южная Корея (PIPA):
— право на доступ, исправление, удаление и приостановку обработки;
— право на отзыв согласия;
— право на подачу жалобы в PIPC.
14.6. ОАЭ:
— право на доступ, исправление, удаление и ограничение обработки;
— право на отзыв согласия;
— право на перенос данных.
— использование средств шифрования при передаче и хранении данных;
— применение систем аутентификации и авторизации;
— регулярное резервное копирование;
— использование антивирусного программного обеспечения;
— мониторинг и журналирование доступа;
— регулярное обновление программного обеспечения;
— межсетевое экранирование;
— обнаружение и предотвращение вторжений.
в) Для Российской Федерации — дополнительно:
— определение угроз безопасности персональных данных при их обработке в ИСПДн;
— применение организационных и технических мер в соответствии с Постановлением Правительства РФ № 1119 и Приказом ФСТЭК России № 21;
— оценка эффективности принимаемых мер до ввода в эксплуатацию ИСПДн.
14. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1. Европейский Союз / ЕЭП / Болгария (GDPR):
— право на доступ (ст. 15);
— право на исправление (ст. 16);
— право на удаление — «право на забвение» (ст. 17);
— право на ограничение обработки (ст. 18);
— право на переносимость данных (ст. 20);
— право на возражение (ст. 21);
— право на отзыв согласия;
— право на подачу жалобы в надзорный орган.
14.2. Российская Федерация (ФЗ-152):
— право на получение информации об обработке персональных данных (ч. 7 ст. 14);
— право требовать от Оператора уточнения персональных данных, их блокирования или уничтожения (ч. 1 ст. 14);
— право на отзыв согласия на обработку (ч. 2 ст. 9);
— право на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд (ст. 17);
— право на возмещение убытков и компенсацию морального вреда (ч. 2 ст. 17);
— право требовать от Оператора прекращения обработки персональных данных в целях продвижения товаров, работ, услуг (ч. 2 ст. 15).
14.3. Сингапур (PDPA):
— право на доступ;
— право на исправление;
— право на отзыв согласия;
— право на подачу жалобы в PDPC.
14.4. КНР (PIPL):
— право на доступ, копирование, исправление и удаление;
— право на отзыв согласия;
— право на объяснение правил обработки;
— право на перенос данных;
— право на подачу жалобы в CAC.
14.5. Южная Корея (PIPA):
— право на доступ, исправление, удаление и приостановку обработки;
— право на отзыв согласия;
— право на подачу жалобы в PIPC.
14.6. ОАЭ:
— право на доступ, исправление, удаление и ограничение обработки;
— право на отзыв согласия;
— право на перенос данных.
14.7. США / Калифорния (CCPA/CPRA):
— право знать, какие данные собираются;
— право на удаление данных;
— право на отказ от продажи/передачи данных;
— право на исправление неточных данных;
— право на недискриминацию при осуществлении своих прав.
14.8. Для реализации прав субъект данных может обратиться:
— по электронной почте: WorldBoxGroupInfo@gmail.com
— по телефону: +35 988 279 6907
— по почте: Пловдив, Болгария, бул. „Санкт Петербург" 48, 2 этаж
— через Telegram: @WorldBoxGroup
14.9. Оператор рассматривает запрос в течение 30 (тридцати) календарных дней (для GDPR — без неоправданной задержки, не позднее 1 месяца; для РФ — 10 рабочих дней с момента получения запроса или 30 дней в зависимости от типа обращения). В случае сложности запрос может быть продлён с уведомлением субъекта.
15. ПОРЯДОК ОБРАБОТКИ ИНЦИДЕНТОВ
15.1. В случае нарушения безопасности персональных данных Оператор:
а) Незамедлительно принимает меры по устранению инцидента и минимизации последствий.
б) Уведомляет надзорные органы:
— ЕС/ЕЭП: уведомление надзорного органа в течение 72 часов (ст. 33 GDPR);
— РФ: уведомление Роскомнадзора в течение 24 часов с момента обнаружения, а также в течение 72 часов — о результатах внутреннего расследования (ч. 3.1 ст. 21 ФЗ-152);
— иные юрисдикции: в сроки, предусмотренные применимым законодательством.
в) Уведомляет затронутых субъектов данных, если нарушение создаёт высокий риск для их прав и свобод.
г) Документирует инцидент и принятые меры.
16. УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННЫХ ОРГАНОВ
16.1. Для Российской Федерации: Оператор направляет в Роскомнадзор уведомление об обработке персональных данных в соответствии со ст. 22 ФЗ-152 (за исключением случаев, предусмотренных ч. 2 ст. 22 ФЗ-152).
16.2. Для ЕС: Оператор ведёт реестр деятельности по обработке данных в соответствии со ст. 30 GDPR.
17. ПОРЯДОК ОТЗЫВА СОГЛАСИЯ
17.1. Субъект данных вправе отозвать своё согласие на обработку персональных данных в любое время, направив соответствующее уведомление Оператору.
17.2. Отзыв согласия не влияет на законность обработки, осуществлённой на основании согласия до его отзыва.
17.3. Сроки прекращения обработки после отзыва согласия:
— для ЕС/ЕЭП: без неоправданной задержки;
— для РФ: в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 ФЗ-152);
— для иных юрисдикций: в соответствии с применимым законодательством.
— право знать, какие данные собираются;
— право на удаление данных;
— право на отказ от продажи/передачи данных;
— право на исправление неточных данных;
— право на недискриминацию при осуществлении своих прав.
14.8. Для реализации прав субъект данных может обратиться:
— по электронной почте: WorldBoxGroupInfo@gmail.com
— по телефону: +35 988 279 6907
— по почте: Пловдив, Болгария, бул. „Санкт Петербург" 48, 2 этаж
— через Telegram: @WorldBoxGroup
14.9. Оператор рассматривает запрос в течение 30 (тридцати) календарных дней (для GDPR — без неоправданной задержки, не позднее 1 месяца; для РФ — 10 рабочих дней с момента получения запроса или 30 дней в зависимости от типа обращения). В случае сложности запрос может быть продлён с уведомлением субъекта.
15. ПОРЯДОК ОБРАБОТКИ ИНЦИДЕНТОВ
15.1. В случае нарушения безопасности персональных данных Оператор:
а) Незамедлительно принимает меры по устранению инцидента и минимизации последствий.
б) Уведомляет надзорные органы:
— ЕС/ЕЭП: уведомление надзорного органа в течение 72 часов (ст. 33 GDPR);
— РФ: уведомление Роскомнадзора в течение 24 часов с момента обнаружения, а также в течение 72 часов — о результатах внутреннего расследования (ч. 3.1 ст. 21 ФЗ-152);
— иные юрисдикции: в сроки, предусмотренные применимым законодательством.
в) Уведомляет затронутых субъектов данных, если нарушение создаёт высокий риск для их прав и свобод.
г) Документирует инцидент и принятые меры.
16. УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННЫХ ОРГАНОВ
16.1. Для Российской Федерации: Оператор направляет в Роскомнадзор уведомление об обработке персональных данных в соответствии со ст. 22 ФЗ-152 (за исключением случаев, предусмотренных ч. 2 ст. 22 ФЗ-152).
16.2. Для ЕС: Оператор ведёт реестр деятельности по обработке данных в соответствии со ст. 30 GDPR.
17. ПОРЯДОК ОТЗЫВА СОГЛАСИЯ
17.1. Субъект данных вправе отозвать своё согласие на обработку персональных данных в любое время, направив соответствующее уведомление Оператору.
17.2. Отзыв согласия не влияет на законность обработки, осуществлённой на основании согласия до его отзыва.
17.3. Сроки прекращения обработки после отзыва согласия:
— для ЕС/ЕЭП: без неоправданной задержки;
— для РФ: в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 ФЗ-152);
— для иных юрисдикций: в соответствии с применимым законодательством.
18. ЛОКАЛИЗАЦИЯ ДАННЫХ
18.1. Для граждан Российской Федерации: при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных ФЗ-152 (ч. 5 ст. 18 ФЗ-152).
18.2. Для КНР: персональные данные, собранные и созданные в ходе деятельности на территории КНР, хранятся на территории КНР, за исключением случаев, предусмотренных PIPL.
18.3. Для иных юрисдикций — Компания соблюдает применимые требования к локализации данных.
19. НАДЗОРНЫЕ ОРГАНЫ
19.1. Субъект данных имеет право обратиться в надзорный орган по защите данных, в том числе:
— Болгария: Комисия за защита на личните данни (КЗЛД), kzld.bg;
— Российская Федерация: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), rkn.gov.ru;
— Сингапур: Personal Data Protection Commission (PDPC), pdpc.gov.sg;
— Южная Корея: Personal Information Protection Commission (PIPC), pipc.go.kr;
— Нидерланды: Autoriteit Persoonsgegevens (AP), autoriteitpersoonsgegevens.nl;
— Бельгия: Autorité de protection des données (APD), dataprotectionauthority.be;
— ОАЭ: UAE Data Office;
— США: California Attorney General (для жителей Калифорнии), oag.ca.gov;
— КНР: Cyberspace Administration of China (CAC), cac.gov.cn;
— Малайзия: Department of Personal Data Protection (JPDP);
— Шри-Ланка: уполномоченные органы в соответствии с местным законодательством;
— иные уполномоченные органы соответствующих юрисдикций.
20. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
20.1. Настоящая Политика вступает в силу с даты её утверждения и действует бессрочно до замены новой редакцией.
20.2. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия размещается на сайте Компании.
20.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с применимым законодательством соответствующей юрисдикции.
20.4. В случае противоречия между положениями настоящей Политики и императивными нормами применимого законодательства, преимущественную силу имеют нормы законодательства.
КОНТАКТНАЯ ИНФОРМАЦИЯ
WorldBox Group
Адрес: Пловдив, Болгария, бул. „Санкт Петербург" 48, 2 этаж
Телефон: +35 988 279 6907
Электронная почта: WorldBoxGroupInfo@gmail.com
Telegram: @WorldBoxGroup
18.1. Для граждан Российской Федерации: при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных ФЗ-152 (ч. 5 ст. 18 ФЗ-152).
18.2. Для КНР: персональные данные, собранные и созданные в ходе деятельности на территории КНР, хранятся на территории КНР, за исключением случаев, предусмотренных PIPL.
18.3. Для иных юрисдикций — Компания соблюдает применимые требования к локализации данных.
19. НАДЗОРНЫЕ ОРГАНЫ
19.1. Субъект данных имеет право обратиться в надзорный орган по защите данных, в том числе:
— Болгария: Комисия за защита на личните данни (КЗЛД), kzld.bg;
— Российская Федерация: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), rkn.gov.ru;
— Сингапур: Personal Data Protection Commission (PDPC), pdpc.gov.sg;
— Южная Корея: Personal Information Protection Commission (PIPC), pipc.go.kr;
— Нидерланды: Autoriteit Persoonsgegevens (AP), autoriteitpersoonsgegevens.nl;
— Бельгия: Autorité de protection des données (APD), dataprotectionauthority.be;
— ОАЭ: UAE Data Office;
— США: California Attorney General (для жителей Калифорнии), oag.ca.gov;
— КНР: Cyberspace Administration of China (CAC), cac.gov.cn;
— Малайзия: Department of Personal Data Protection (JPDP);
— Шри-Ланка: уполномоченные органы в соответствии с местным законодательством;
— иные уполномоченные органы соответствующих юрисдикций.
20. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
20.1. Настоящая Политика вступает в силу с даты её утверждения и действует бессрочно до замены новой редакцией.
20.2. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия размещается на сайте Компании.
20.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с применимым законодательством соответствующей юрисдикции.
20.4. В случае противоречия между положениями настоящей Политики и императивными нормами применимого законодательства, преимущественную силу имеют нормы законодательства.
КОНТАКТНАЯ ИНФОРМАЦИЯ
WorldBox Group
Адрес: Пловдив, Болгария, бул. „Санкт Петербург" 48, 2 этаж
Телефон: +35 988 279 6907
Электронная почта: WorldBoxGroupInfo@gmail.com
Telegram: @WorldBoxGroup
