Ця Політика конфіденційності регулює обробку персональних даних, які MILIIEVSKA MARYNA (надалі — "Контролер") збирає через вебсайт https://vommo.es, відповідно до Регламенту (ЄС) 2016/679 (Загальний регламент про захист даних — GDPR) та Органічного закону 3/2018 від 5 грудня про захист персональних даних та гарантування цифрових прав (LOPDGDD).
1. Відповідальний за обробку
1.1. Власник: MILIIEVSKA MARYNA (Приватний підприємець — Autónoma)
1.2. NIF: Y5930891X
1.3. Юридична адреса: Calle Poeta Ben Hafadja, Nº 2, Planta 5, Puerta 17, 46009 Valencia (Valencia), Іспанія
1.4. Електронна пошта: info@vommo.es
1.5. Телефон: +34 614 55 77 04
1.6. Вебсайт: https://vommo.es
2. Уповноважений із захисту даних (DPO)
2.1. Контролер не призначав Уповноваженого із захисту даних, оскільки не виникає випадків, встановлених статтею 37 GDPR та статтею 34 LOPDGDD. Діяльність Контролера не полягає в операціях з обробки, які за своєю природою, обсягом та/або цілями потребують регулярного та систематичного спостереження за суб'єктами даних у великих масштабах, а також у масштабній обробці спеціальних категорій даних.
2.2. З будь-яких питань, пов'язаних з обробкою персональних даних, суб'єкт даних може звернутися безпосередньо до Контролера за адресою info@vommo.es.
3. Цілі обробки
3.1. Персональні дані, зібрані через вебсайт, будуть оброблятися з наступними цілями:
3.1.1. Управління комерційними відносинами, оформлення замовлень, доставка, повернення та гарантійне обслуговування.
3.1.2. Адміністративне, бухгалтерське та податкове управління.
3.1.3. Управління стягненнями, платежами та виставленням рахунків.
3.1.4. Обслуговування клієнтів та вирішення запитів або скарг.
3.1.5. Надсилання електронних комерційних повідомлень про власні товари та послуги за умови отримання попередньої згоди суб'єкта даних або наявності попередніх договірних відносин відповідно до статті 21.2 Закону 34/2002 (LSSI-CE).
3.1.6. Добровільна підписка на розсилки (newsletters) та надсилання періодичної інформації.
3.1.7. Створення комерційних профілів у рекламних цілях за допомогою файлів cookie та пікселів відстеження за попередньою згодою суб'єкта даних (див. пункт 9).
3.1.8. Виконання юридичних зобов'язань, що застосовуються до Контролера.
4. Правова основа
4.1. Обробка персональних даних здійснюється на підставі наступних правових підстав статті 6.1 GDPR:
4.1.1. Виконання договору (ст. 6.1.b GDPR): для обробки та управління замовленнями, доставкою, поверненнями та гарантіями, а також для надання послуг, запитаних через вебсайт.
4.1.2. Згода суб'єкта даних (ст. 6.1.a GDPR): для надсилання комерційних повідомлень, підписки на розсилки, встановлення не суворо необхідних файлів cookie та створення рекламних профілів. Згода може бути відкликана в будь-який момент, що не впливає на законність обробки, здійсненої до її відкликання.
4.1.3. Виконання юридичного зобов'язання (ст. 6.1.c GDPR): для збереження даних у податкових, бухгалтерських цілях та з метою цивільної відповідальності, а також для відповіді на запити компетентних органів.
4.1.4. Законний інтерес (ст. 6.1.f GDPR): для запобігання шахрайству, забезпечення безпеки вебсайту, покращення послуг та подання або захисту претензій. У всіх випадках було проведено відповідну оцінку балансу інтересів, при цьому права та свободи суб'єкта даних мають переважну силу, де це доречно.
5. Терміни зберігання
5.1. Персональні дані зберігатимуться протягом наступних термінів, визначених залежно від мети обробки та чинних юридичних зобов'язань:
5.1.1. Дані клієнтів та покупців: протягом дії комерційних відносин та, після їх завершення, протягом терміну позовної давності для юридичних дій, що випливають з них (5 років згідно зі статтею 1964.2 Цивільного кодексу Іспанії).
5.1.2. Дані про виставлення рахунків та бухгалтерська документація: 6 років згідно зі статтею 30 Господарського кодексу Іспанії.
5.1.3. Податкові дані: 4 роки згідно зі статтею 66 Загального податкового закону Іспанії (Ley 58/2003).
5.1.4. Юридична гарантія відповідності товарів: дані, необхідні для розгляду претензій протягом 3 років з моменту доставки, відповідно до статті 120 Королівського законодавчого декрету 1/2007 (TRLGDCU) зі змінами, внесеними Королівським декретом-законом 7/2021.
5.1.5. Дані, що обробляються на підставі згоди (комерційні повідомлення, розсилка, рекламний профілінг): доки суб'єкт даних не відкличе свою згоду або не скористається своїм правом на видалення.
5.1.6. Дані про перегляд та файли cookie: протягом термінів, зазначених у Політиці використання файлів cookie.
5.2. Після закінчення зазначених термінів дані будуть видалені або заблоковані відповідно до положень статті 32 LOPDGDD, залишаючись у виключному розпорядженні суддів та судів, прокуратури або компетентних державних адміністрацій для розгляду можливої відповідальності, що виникає внаслідок обробки, протягом терміну позовної давності такої відповідальності.
6. Одержувачі даних
6.1. Персональні дані можуть бути передані наступним одержувачам, якщо це необхідно для цілей, описаних у пункті 3:
6.1.1. Компетентні державні адміністрації у випадках, передбачених законом.
6.1.2. Фінансові установи та платіжні шлюзи для управління стягненнями.
6.1.3. Транспортні та логістичні компанії для доставки замовлень.
6.1.4. Податкові, бухгалтерські та юридичні консультанти в межах надання відповідних професійних послуг.
6.1.5. Технологічні постачальники (хостинг, електронна пошта, інструменти аналітики та маркетингу, обслуговування клієнтів), які діють як оператори обробки згідно з договором, укладеним відповідно до статті 28 GDPR.
6.2. Крім випадків, зазначених вище та передбачених у пункті 7, передача даних третім особам без згоди суб'єкта даних не здійснюється.
7. Міжнародна передача даних
7.1. Як правило, персональні дані обробляються в межах Європейської економічної зони (ЄЕЗ).
7.2. Проте в рамках обробки аналітичних та рекламних файлів cookie, описаних у Політиці використання файлів cookie, відбувається міжнародна передача даних до Сполучених Штатів Америки через наступних постачальників:
Google Ireland Ltd. (відповідальний в ЄЕЗ) та Google LLC (обробка в США) для сервісів Google Analytics 4, Google Ads та Google Tag Manager. Інформація: https://policies.google.com/privacy.
Meta Platforms Ireland Ltd. (відповідальний в ЄЕЗ) та Meta Platforms, Inc. (обробка в США) для сервісу Meta Pixel / Facebook Ads. Інформація: https://www.facebook.com/privacy/policy.
7.3. Така передача регулюється Рішенням про виконання (ЄС) 2023/1795 Комісії від 10 липня 2023 року щодо адекватності рівня захисту персональних даних у рамках EU-U.S. Data Privacy Framework, до якої приєдналися зазначені американські організації. З офіційним реєстром сертифікованих організацій можна ознайомитися за посиланням https://www.dataprivacyframework.gov/list.
7.4. У разі, якщо будь-яке з цих рішень про адекватність перестане застосовуватися, Контролер вживе додаткових гарантій відповідно до статті 46 GDPR, таких як Стандартні договірні умови, затверджені Європейською Комісією, та проведе відповідну оцінку впливу передачі (TIA).
7.5. Ця передача відбувається лише тоді, коли користувач надав згоду на використання аналітичних або рекламних файлів cookie за допомогою панелі налаштувань, описаної в Політиці використання файлів cookie.
8. Категорії даних, що обробляються
8.1. Залежно від взаємодії користувача з вебсайтом, Контролер може обробляти наступні категорії даних:
8.1.1. Ідентифікаційні дані: ім'я, прізвище, DNI, NIE або паспорт.
8.1.2. Контактні дані: поштова адреса, телефон, електронна пошта.
8.1.3. Дані про розрахунки та транзакції: платіжна інформація, банківські дані, необхідні для стягнення плати, історія покупок.
8.1.4. Дані про навігацію: IP-адреса, тип браузера, операційна система, дати та тривалість доступу, ідентифікатори пристрою, джерело переходу, взаємодія з вебсайтом.
8.1.5. Дані, надані добровільно через контактні форми, підписку, коментарі або відгуки.
8.2. Контролер не обробляє спеціальні категорії даних, визначені у статті 9 GDPR (дані про стан здоров'я, етнічне походження, релігійні переконання тощо).
9. Профілювання та автоматизовані рішення
9.1. Коли користувач надає згоду на використання рекламних та аналітичних файлів cookie, Контролер разом із постачальниками, зазначеними у пункті 7, здійснює обробку для створення профілів у комерційних та рекламних цілях, що полягає у:
9.1.1. Аналізі поведінки користувача під час навігації вебсайтом (відвідані сторінки, переглянуті товари, час перебування, події конверсії).
9.1.2. Сегментації рекламних аудиторій для персоналізації та вимірювання маркетингових кампаній на сторонніх платформах (Google Ads, Meta Ads).
9.1.3. Приписуванні конверсій відповідним рекламним кампаніям.
9.2. Застосована логіка: вищезгадані постачальники використовують власні алгоритми, які поєднують активність користувача на вебсайті з його активністю на інших сайтах та платформах, де вони задіяні, з метою визначення комерційних інтересів та пропонування релевантного рекламного контенту.
9.3. Наслідки: профілювання використовується виключно в рекламних та статистичних цілях і не призводить до прийняття автоматизованих рішень, що мають юридичні наслідки або істотно впливають на суб'єкта даних у розумінні статті 22 GDPR. Профілювання не використовується для обумовлення цін, відмови у продажу товарів або встановлення диференційованих договірних умов.
9.4. Права суб'єкта даних: користувач може заперечити проти профілювання в будь-який момент:
Відкликавши згоду на рекламні та/або аналітичні файлів cookie через посилання "Налаштувати файли cookie", доступне у підвалі сторінки.
Використовуючи засоби рекламного контролю, надані самими постачальниками: Налаштування реклами Google, Налаштування реклами Meta.
Звернувшись до Контролера за адресою info@vommo.es.
10. Права суб'єкта даних
10.1. Суб'єкт даних може скористатися наступними правами, визнаними статтями 15–22 GDPR та статтями 13–18 LOPDGDD:
Доступ до своїх персональних даних.
Виправлення неточних або неповних даних.
Видалення даних, коли, серед інших причин, вони більше не потрібні для цілей, для яких вони були зібрані.
Обмеження обробки за певних обставин.
Заперечення проти обробки, включаючи профілювання для цілей прямого маркетингу.
Портативність даних у структурованому, загальновживаному та придатному для машинного зчитування форматі.
Право не підлягати індивідуальним автоматизованим рішенням, включаючи профілювання, які мають юридичні наслідки або подібним чином істотно впливають на нього.
Відкликання згоди, наданої в будь-який момент.
10.2. Права можна реалізувати, надіславши запит на info@vommo.es або поштою на адресу, зазначену в пункті 1.3, додавши копію DNI, NIE, паспорта або еквівалентного документа, що підтверджує особу заявника.
10.3. Контролер розгляне запит протягом максимум одного місяця з моменту його отримання, термін може бути продовжений ще на два місяці у разі складних запитів або великої кількості заявок, відповідно до статті 12.3 GDPR.
10.4. Суб'єкт даних також має право подати скаргу до Іспанського агентства із захисту даних (AEPD) за адресою C/ Jorge Juan, 6, 28001 Madrid, або через його електронну приймальню https://www.aepd.es, особливо якщо він не задоволений реалізацією своїх прав.
11. Заходи безпеки
11.1. Контролер вжив необхідних технічних та організаційних заходів для забезпечення безпеки персональних даних та запобігання їх зміні, втраті, несанкціонованій обробці або доступу, враховуючи стан технологій, природу даних та ризики, яким вони піддаються, відповідно до статті 32 GDPR.
11.2. Проте користувач повинен усвідомлювати, що заходи безпеки в Інтернеті не є неприступними і що можуть статися витоки через зловмисні дії третіх осіб, хоча Контролер докладає всіх зусиль, щоб запобігти їм і, за необхідності, повідомити про них Орган контролю та постраждалих суб'єктів даних на умовах, передбачених статтями 33 та 34 GDPR.
12. Неповнолітні
12.1. Відповідно до статті 7 LOPDGDD, використання вебсайту, оформлення замовлень та обробка персональних даних дозволені особам старше 14 років. Неповнолітні особи молодше цього віку повинні мати явну згоду своїх батьків або законних опікунів.
12.2. Контролер навмисно не збирає дані осіб молодше 14 років. Якщо така обставина буде виявлена, дані будуть негайно видалені.
13. Зміна Політики конфіденційності
13.1. Контролер залишає за собою право змінювати цю Політику конфіденційності з метою її адаптації до законодавчих новел, судової практики або змін у процесах обробки.
13.2. Будь-які зміни будуть опубліковані на вебсайті із зазначенням дати останнього оновлення. Якщо зміни суттєво впливають на права суб'єктів даних, вони будуть проінформовані про це розумними засобами.