Відповідність GDPR

1. ВСТУП ТА МЕТА

ТОВ «ОФІС СИСТЕМ КОНСАЛТИНГ» прагне забезпечити найвищі стандарти захисту персональних даних згідно з:

  • Регламентом (ЄС) 2016/679 (Загальний регламент про захист даних – GDPR)
  • Законом України «Про захист персональних даних» №2297-VІ
  • Директивою 2002/58/ЄС про конфіденційність та електронні комунікації
  • Законодавством Великої Британії щодо захисту даних (UK GDPR)
  • Законодавством США (CCPA, COPPA, FERPA, державні закони)

Цей документ описує наші зобов’язання та практику щодо дотримання GDPR.

2. ОБЛАСТЬ ЗАСТОСУВАННЯ

2.1 Територіальна область

Цей документ застосовується до обробки персональних даних всіх осіб:

  • Розташованих в ЄС (незалежно від місцеположення Компанії)
  • Розташованих у Великій Британії
  • Розташованих в Україні
  • Розташованих у США (загальні стандарти + спеціальні закони штатів)
  • Інших юрисдикцій, де застосовується аналогічне законодавство

2.2 Матеріальна область

Цей документ застосовується до обробки персональних даних:

  • Через веб-сайт sco-office.com
  • Електронною поштою
  • Телефонними розмовами
  • Особистими зустрічами
  • Іншими каналами комунікації

3. ОСНОВНІ ПРИНЦИПИ GDPR

Компанія дотримується п’яти ключових принципів GDPR:

3.1 Принцип 1: Законність, справедливість та прозорість

Вимога GDPR (ст. 5(1)(a)):
Персональні дані повинні бути оброблені законно, справедливо та прозоро.

Як ми дотримуємось:

  • ✅ Обробляємо дані на основі однієї з законних основ (ст. 6 GDPR)
  • ✅ Забезпечуємо справедливість без дискримінації
  • ✅ Публікуємо Політику конфіденційності доступною мовою
  • ✅ Надаємо прозору інформацію про обробку даних
  • ✅ Не використовуємо дані для незаконних цілей
  • ✅ Не вводимо в оману щодо цілей обробки

3.2 Принцип 2: Обмеження мети (Purpose Limitation)

Вимога GDPR (ст. 5(1)(b)):
Дані можуть бути зібрані лише для окреслених, явних та законних цілей і не можуть бути обробляються далі іншим чином.

Як ми дотримуємось:

  • ✅ Чітко визначаємо мету обробки для кожного типу даних (див. Політику конфіденційності, розділ 3.1)
  • ✅ Не перенаправляємо дані на нові цілі без вашої згоди
  • ✅ Отримуємо окремо згода для кожної іншої мети
  • ✅ Ведемо реєстр цілей обробки для внутрішніх потреб
МетаКатегорія данихЮридична основаЗгода потрібна?
Надання послугКонтактні, бізнес-даніВиконання договоруНі
Виставлення рахунківКомунікаційні, платіжніВиконання договору, законні вимогиНі
Маркетинг (e-mail)Контактні даніЗгода (базується на GDPR ст. 21)Так
Аналітика (Google Analytics)Технічні, поведінковіЗаконні інтереси + згодаТак
Cookies маркетинговіПристрій ID, поведінковіЗгода (Директива 2002/58/ЄС)Так
Безпека та запобігання шахрайствуВсі типиЗаконні інтересиНі

3.3 Принцип 3: Мінімізація даних (Data Minimization)

Вимога GDPR (ст. 5(1)(c)):
Персональні дані повинні бути адекватні, актуальні та ненадмірні відносно цілей.

Як ми дотримуємось:

  • ✅ Збираємо тільки дані, необхідні для зазначеної мети
  • ✅ Не запитуємо непотрібну інформацію у формах
  • ✅ Видаляємо дані по завершенню мети (див. розділ 5 цього документу)
  • ✅ Псевдонімізуємо та анонімізуємо дані де можливо
  • ✅ Регулярно переглядаємо необхідність зберігання кожного типу даних

3.4 Принцип 4: Точність (Accuracy)

Вимога GDPR (ст. 5(1)(d)):
Персональні дані повинні бути точні та, у разі необхідності, актуальні.

Як ми дотримуємось:

  • ✅ Забезпечуємо точність збору даних
  • ✅ Регулярно оновлюємо дані (при необхідності)
  • ✅ Впроваджуємо механізми виявлення помилок
  • ✅ Надаємо можливість користувачам корегувати неправильні дані
  • ✅ Видаляємо застарілі чи неправильні дані
  • ✅ Ведемо перевірки якості даних кожні 6 місяців

3.5 Принцип 5: Цілісність та конфіденційність (Integrity and Confidentiality)

Вимога GDPR (ст. 5(1)(f)):
Персональні дані повинні бути захищені від незаконної обробки та випадкової втрати, знищення чи пошкодження.

Як ми дотримуємось:

  • ✅ Шифруємо дані при передачі (TLS 1.2+) та зберіганні (AES-256)
  • ✅ Використовуємо безпечні сервери з багатошаровим захистом
  • ✅ Обмежуємо доступ до даних потрібним персоналом
  • ✅ Ведемо логи всіх операцій з даними
  • ✅ Здійснюємо регулярні резервні копіювання
  • ✅ Мати процедури реагування на інциденти
  • ✅ Регулярно тестуємо системи безпеки (див. розділ 7)

4. ЗАКОННІ ОСНОВИ ОБРОБКИ (ст. 6 GDPR)

Компанія обробляє персональні дані лише на основі однієї з шести законних основ:

Основа 1: Виконання договору (ст. 6(1)(b))

Коли використовується:
Обробка даних необхідна для виконання договору з вами.

Приклади:

  • Контактна інформація для надання консалтингу
  • Платіжні дані для виставлення рахунків
  • Деталі проєкту для виконання послуг
  • Інформація про постачання для ремонту обладнання

Ваші права: Не можете заперечувати проти такої обробки, але можете запросити видалення після завершення послуг.

Основа 2: Ваша експліцитна згода (ст. 6(1)(a))

Коли використовується:
Ви дали згоду на обробку даних.

Вимоги до згоди (ст. 7 GDPR):

  • ✅ Повинна бути добровільною (без примусу)
  • ✅ Специфічною (не загальною)
  • ✅ Інформованою (ви знаєте мету)
  • ✅ Явною (активна дія, як клік)
  • ✅ Легко можлива до відкликання

Ваші права: Можете відкликати згоду в будь-який момент без негативних наслідків.

Основа 3: Дотримання юридичних зобов'язань (ст. 6(1)(c))

Коли використовується:
Обробка даних необхідна для виконання законних вимог.

Період зберігання: Згідно з законодавством (зазвичай 5-7 років)

Ваші права: Обмежені, бо це законний обов’язок, але можете отримати копію даних.

Основа 4: Захист життєво важливих інтересів (ст. 6(1)(d))

Коли використовується:
Обробка даних необхідна для захисту життя чи здоров’я.

В контексті Компанії: Рідко використовується.

Основа 5: Виконання завдань суспільного інтересу (ст. 6(1)(e))

Коли використовується:
Обробка необхідна для завдань в інтересі громадськості.

Основа 6: Законні інтереси (ст. 6(1)(f))

Коли використовується:
Обробка даних слугує законним інтересам Компанії, які не переважають ваші права.

Приклади законних інтересів Компанії:

  • Безпека сайту та запобігання шахрайству
  • Вдосконалення послуг та аналітика
  • Маркетингова комунікація (в обмежених обсягах)
  • Управління та адміністрація
  • Захист від судових позовів
  • Аналіз тенденцій для стратегічного планування

Ваші права: Можете заперечити проти обробки, якщо ваші права переважають наші інтереси.

5. КАТЕГОРІЇ ОСІБ ТА ВИДАЛЕННЯ ДАНИХ

5.1 Строки зберігання персональних даних

Компанія дотримується принципу “зберігання стільки, скільки потрібно”.

5.2 Процедури видалення

З завершенням строку зберігання дані автоматично видаляються шляхом:

  • Фізичного знищення накопичувачів
  • Криптографічного стирання (перезапису)
  • Безповоротне видалення з баз даних
  • Архівування резервних копій

6. ПЕРЕДАЧА ДАНИХ ТРЕТІМ ОСОБАМ (ст. 44-49 GDPR)

Принцип обмеження передачі

Компанія передає дані третім особам тільки:

  • Коли це необхідно для надання послуг
  • На основі договорів про обробку даних
  • З адекватними гарантіями захисту

7. ПРАВА СУБ'ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ

Компанія дотримується всіх 8 основних прав, визначених GDPR ст. 12-22:

7.1 Право на доступ (ст. 15)

Що це означає:
Ви маєте право отримати копію своїх персональних даних та інформацію про обробку.

Як реалізувати:

  1. Подайте письмовий запит на officesystemcons@gmail.com
  2. Вкажіть: “Запит про доступ до персональних даних (ст. 15 GDPR)”
  3. Надайте достатню інформацію для ідентифікації

 

Наша відповідь:

  • Строк: 30 днів (може бути продовжено до 90 днів)
  • Формат: Комп’ютерочитаний, структурований формат (XML, CSV, JSON)
  • Вартість: Безоплатно (може бути платною при повторних запитах)
  • Інформація: Дані + цілі + категорії одержувачів + строки зберігання

7.2 Право на коригування (ст. 16)

Що це означає:
Ви можете запросити коригування неправильної чи неповної інформації.

Приклади:

  • Виправити ім’я (неправильна орфографія)
  • Оновити адресу (переїзд)
  • Коригування посади (зміна роботи)

 

Процес:

  1. Контактуйте з нами письмово
  2. Опишіть неправильну інформацію
  3. Надайте правильні дані або доказ

 

Наша дія:

  • Перевіримо інформацію протягом 7 днів
  • Оновимо дані без затримок

Повідомимо одержувачів про коригування (де можливо)

7.3 Право на видалення ("Право бути забутим") (ст. 17)

Що це означає:
За певних обставин ви можете запросити видалення своїх персональних даних.

Коли можна запросити:

  • ✅ Дані більше не потрібні для цілей, для яких були зібрані
  • ✅ Ви відкликаєте свою згоду (якщо обробка базується на ст. 6(1)(a))
  • ✅ Ви заперечуєте проти обробки (ст. 21) без інтересів що переважають
  • ✅ Дані були оброблені незаконно
  • ✅ Видалення необхідне для дотримання законності
  • ✅ Дані від дітей до 16 років (батьківська заява)

Коли видалення не можливе:

  • ❌ Виконання юридичних зобов’язань (податки, бухгалтерія)
  • ❌ Захист прав третіх осіб
  • ❌ Встановлення, реалізація чи захист правових вимог
  • ❌ Архівування в інтересах громадськості
  • ❌ Обробка для цілей безпеки

Процес:

  1. Подайте запит на officesystemcons@gmail.com
  2. Вкажіть: “Запит на видалення персональних даних (ст. 17 GDPR)”
  3. Опишіть причину видалення

Наша дія:

  • Строк: 30 днів
  • Перевіримо, чи видалення можливе
  • Видалимо дані або надамо обґрунтування відмови
  • Повідомимо одержувачів про видалення (де можливо)

7.4 Право на обмеження обробки (ст. 18)

Що це означає:
Ви можете запросити тимчасово обмежити обробку своїх даних.

Причини обмеження:

  1. Оскаржується точність – поки ми перевіремо
  2. Незаконна обробка – замість видалення, запросити обмеження
  3. Дані більше не потрібні – але вам вони потрібні для судового захисту
  4. Заперечення проти обробки – поки розглядаємо заперечення

Наша дія при обмеженні:

  • Зберігаємо дані, але не обробляємо їх
  • Не виконуємо аналітику чи маркетинг
  • Тільки зберігаємо та повідомляємо одержувачів
  • Видаляємо обмеження по розв’язанню проблеми

Період: Тривалість розгляду причини обмеження (максимум 30 днів)

7.5 Право на портативність даних (ст. 20)

Що це означає:
Ви маєте право отримати свої дані у структурованому, загальноприйнятому та машиночитному форматі для передачі іншому контролеру.

Формати, що підтримуються:

  • CSV (Comma-Separated Values)
  • JSON (JavaScript Object Notation)
  • XML (eXtensible Markup Language)
  • Excel (.xlsx)

Процес:

  1. Запросіть портативність на officesystemcons@gmail.com
  2. Вкажіть бажаний формат
  3. Надайте деталі ідентифікації

Наша дія:

  • Строк: 30 днів
  • Формат: На вибір, що підтримується нами

Передача: Можемо передати дані безпосередньо іншому контролеру (якщо технічно можливо)

7.6 Право на заперечення (ст. 21)

Що це означає:
Ви маєте право заперечити проти обробки ваших персональних даних в певних обставинах.

Дві категорії заперечення:

А) Право заперечити проти обробки на основі законних інтересів (ст. 21(1))

  • Маркетингова комунікація
  • Аналітика
  • Профілювання

При запереченні ми мусимо зупинити обробку, крім якщо:

  • Наші інтереси переважають ваші
  • Захист наших юридичних прав

Б) Право заперечити проти маркетингу (ст. 21(2)) – Абсолютне право

  • Запросіть “Opt-Out” від маркетингу
  • Ми повинні негайно припинити маркетингові комунікації
  • Ви можете відписатись через посилання в кожному e-mail

Як зареєструвати заперечення:

  1. Email: officesystemcons@gmail.com
  2. Вкажіть: “Заперечення проти обробки даних (ст. 21 GDPR)”
  3. Уточніть, від чого ви заперечуєте

Наша дія:

  • Негайно припинимо маркетинг
  • Розглянемо законні інтереси (для інших цілей)
  • Повідомимо вас протягом 14 днів

7.7 Право на захист від автоматизованого прийняття рішень (ст. 22)

Що це означає:
Ви маєте право не підлягати рішенню, що базується виключно на автоматизованій обробці (профілювання), яке мало б значні наслідки для вас.

8. ОЦІНКА ВПЛИВУ НА ЗАХИСТ ДАНИХ (DPIA)

8.1 Коли DPIA потрібна

DPIA проводиться для операцій обробки, що мають високий ризик для прав осіб, зокрема:

  • ✅ Обробка чутливих категорій даних (здоров’я, раса, релігія)
  • ✅ Системне спостереження за поведінкою
  • ✅ Обробка даних дітей
  • ✅ Автоматизовані рішення зі значними наслідками
  • ✅ Обробка даних у великому масштабі

8.2 DPIA для Компанії

Компанія проводить DPIA для:

  • Google Analytics – чи анонімізуємо IP, як обробляємо дані
  • Meta Pixel – оцінка ризиків ретаргетингу
  • Email маркетинг – збір контактних даних, відписування
  • Cookies – вплив на конфіденційність користувачів
  • Трансграничні передачі – в США, Британію

8.3 Результати DPIA

Документація DPIA включає:

  • Опис операції обробки
  • Оцінка необхідності та пропорційності
  • Рішення щодо ризиків
  • Запропоновані заходи для мінімізації ризиків
  • Висновок про прийнятність ризику

 

Результати DPIA надаються органам захисту даних при запиту.

9. РЕАГУВАННЯ НА ІНЦИДЕНТИ (DATA BREACH NOTIFICATION)

9.1 Вимога про повідомлення (ст. 33-34 GDPR)

Повідомлення органів захисту даних (Authorities):

  • ⏱️ Строк: 72 години з моменту виявлення інциденту
  • 📄 Що вказати:
    • Природа інциденту
    • Приблизне число осіб та записів
    • Ймовірні наслідки
    • Вжиті чи запропоновані заходи

 

Повідомлення вас (суб’єкт даних):

  • ⏱️ Строк: Без необхідного зволікання
  • 📧 Як: E-mail, рекомендована пошта, телефон
  • 📄 Що вказати:
    • Що сталось (просто поясніть)
    • Які дані були компрометовані
    • Ймовірні ризики для вас
    • Які заходи вживаємо
    • Як з вами контактувати

Чи були дані зашифровані (може розповісти про невисокий

9.2 Коли повідомлення НЕ потрібно

Якщо дані були:

  • ✅ Зашифровані та ключ недоступний
  • ✅ Анонімізовані (невідновлювальні)
  • ✅ Передані підрядникам з належними гарантіями

9.3 Наші процедури реагування на інциденти

  1. Виявлення – Моніторинг 24/7, оповіщення про аномалії
  2. Оцінка – Визначення масштабу, типу даних, осіб
  3. Реакція – Зупинка витоку, ізоляція скомпрометованих систем
  4. Розслідування – Аналіз причини, збір доказів
  5. Повідомлення – Органи захисту, вас, партнерів (72 години)
  6. Лікування – Вжиття запобіжних заходів
  7. Аналіз – Post-mortем, удосконалення

10. КОНТРОЛЬНА ФУНКЦІЯ ТА АУДИТ

10.1 Внутрішній аудит

Компанія проводить внутрішні аудити:

  • Квартально – перевірка дотримання GDPR
  • Напрямки аудиту:
    • Правомірність обробки даних
    • Дотримання принципів (мінімізація, точність)
    • Реалізація прав суб’єктів
    • Безпека та захист
    • Контрольні механізми

10.2 Зовнішні аудити та сертифікація

  • ISO 27001 – Сертифікація систем управління інформаційною безпекою (планується)
  • SOC 2 Type II – Аудит контролів безпеки та конфіденційності
  • Перевірки органами захисту даних – При запиті

10.3 Дотримання вимог партнерів

Партнери та клієнти можуть запросити:

  • Документацію про GDPR
  • Копіювання DPA-угод з процесорами
  • Звіти про аудити безпеки
  • Доказ дотримання принципів

 

Контакт для запитів: officesystemcons@gmail.com

11. КОНТАКТНА ІНФОРМАЦІЯ

Для питань щодо GDPR дотримання:

ТОВ «ОФІС СИСТЕМ КОНСАЛТИНГ»

📧 Email: officesystemcons@gmail.com

📍 Адреса: Україна, 01010, м. Київ, вул. Острозьких Князів, буд. 32/2, офіс 216

🏢 ЄДРПОУ: 44527298

👤 Директор: ПЕДЧЕНКО ТАЇСА ІВАНІВНА

Координатор з захисту даних: Доступний через контактну форму на сайті

12. ВИСНОВОК

ТОВ «ОФІС СИСТЕМ КОНСАЛТИНГ» робить все можливе для дотримання GDPR та інших законів про захист даних. Ми прагнемо:

✅ Захищати ваші персональні дані
✅ Бути прозорими щодо обробки
✅ Дотримуватись ваших прав
✅ Реагувати на запити без затримок
✅ Постійно удосконалювати наші практики
✅ Розвивати культуру приватності

Дякуємо за довіру!

Цей документ оновлюється при змінах у законодавстві або практиці Компанії.