ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.1. Ця Політика конфіденційності (надалі — «Політика») регулює порядок збирання, використання, зберігання та захисту персональних даних відвідувачів і користувачів веб-сайту з доменним іменем gladdrop.tv (надалі — «Сайт»).

1.2. Контролером персональних даних є GLADDROP LTD — компанія, зареєстрована в Англії та Уельсі за номером 17214115 (надалі — «Компанія», «ми», «нас»).

1.3. Ця Політика розроблена відповідно до вимог:

• UK General Data Protection Regulation (UK GDPR) та UK Data Protection Act 2018 — щодо даних резидентів Великої Британії;
• Regulation (EU) 2016/679 (EU GDPR) — щодо даних резидентів та суб'єктів даних, розташованих у державах — членах ЄС/ЄЕЗ;
• Privacy and Electronic Communications Regulations 2003 (PECR) — щодо використання файлів cookie та електронних маркетингових комунікацій;
• ePrivacy Directive 2002/58/EC — щодо суб'єктів у ЄС;
• Закон України «Про захист персональних даних» від 1 червня 2010 року — в частині обробки персональних даних фізичних осіб, що перебувають або проживають на території України.

1.4. Терміни «персональні дані», «обробка», «контролер», «обробник», «суб'єкт даних», «згода», «законний інтерес» вживаються у значеннях, визначених UK GDPR та EU GDPR.

1.5. Перед використанням Сайту просимо уважно ознайомитися з цією Політикою.

2. ВИЗНАЧЕННЯ ТЕРМІНІВ

2.1. Персональні дані — будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи (суб'єкта даних).

2.2. Обробка — будь-яка operation з персональними даними: збирання, запис, систематизація, зберігання, адаптація, зміна, отримання, консультування, використання, розкриття шляхом передачі, поширення або надання доступу, зіставлення або об'єднання, обмеження, знищення або стирання.

2.3. Контролер — GLADDROP LTD, яка визначає цілі та засоби обробки персональних даних.

2.4. Обробник — фізична або юридична особа, яка обробляє персональні дані від імені Контролера.

2.5. Суб'єкт даних / Користувач — ідентифікована або ідентифікована фізична особа, персональні дані якої обробляються (Відвідувач Сайту та/або зареєстрований Користувач).

2.6. Сайт — веб-сайт з доменним іменем gladdrop.tv.

2.7. Cookie-файли — невеликі текстові файли, що розміщуються на пристрої Користувача для цілей, описаних у розділі 8 цієї Політики.

2.8. UK GDPR — UK General Data Protection Regulation у редакції, включеній до законодавства Великої Британії відповідно до European Union (Withdrawal) Act 2018, з урахуванням поправок UK Data Protection Act 2018.

2.9. EU GDPR — Regulation (EU) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року.

2.10. ICO — Information Commissioner's Office, наглядовий орган у сфері захисту даних у Великій Британії.

3. КАТЕГОРІЇ ПЕРСОНАЛЬНИХ ДАНИХ, ЩО ЗБИРАЮТЬСЯ

3.1. Дані, що надаються Користувачем безпосередньо:

• Ім'я та прізвище;
• Адреса електронної пошти;
• Контактний номер телефону;
• Адреса доставки / платіжна адреса;
• Платіжні дані (обробляються виключно через сертифіковані платіжні сервіси PCI DSS; Компанія не зберігає повні реквізити платіжних карток);
• Дані, необхідні для виставлення рахунків та ведення бухгалтерського обліку;
• Зміст листування з Компанією (повідомлення в службу підтримки, електронна пошта).

3.2. Дані, що збираються автоматично:

• IP-адреса та приблизне географічне розташування;
• Тип пристрою, операційна система, браузер та його версія;
• URL-адреса переходу та сторінки виходу;
• Мовні та регіональні налаштування;
• Дата, час та тривалість візиту; переглянуті сторінки;
• Дії на Сайті (кліки, прокрутка, заповнення форм);
• Cookie-ідентифікатори та аналогічні технічні ідентифікатори (за умови отримання згоди відповідно до розділу 8).

3.3. Дані, що отримуються від третіх осіб:

Ми можемо отримувати персональні дані від:

• платіжних провайдерів — підтвердження транзакцій;
• аналітичних сервісів (Google Analytics) — агреговані та/або знеособлені дані про взаємодію з Сайтом (за умови вашої попередньої згоди на аналітичні cookie-файли).

3.4. Особливі категорії даних:

Компанія не збирає та не обробляє особливі категорії персональних даних. У разі якщо надання таких даних є необхідним для конкретного сервісу, Компанія отримує окрему явну згоду суб'єкта даних до початку будь-якої обробки.

3.5. Діти:

Сайт не призначений для осіб, молодших 16 років. Ми свідомо не збираємо персональні дані дітей. Якщо нам стане відомо, що дані дитини були зібрані без відповідного дозволу, мы негайно їх видалимо.

4. ПРАВОВІ ПІДСТАВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Відповідно до статті 6 UK GDPR та EU GDPR, ми обробляємо Ваші персональні дані на таких правових підставах:

5. ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ ТРЕТІМ ОСОБАМ

5.1. Ми передаємо Ваші персональні дані третім особам лише у визначених нижче випадках та виключно на підставі укладених договорів про обробку даних (Data Processing Agreements) або стандартних договірних положень (Standard Contractual Clauses).

5.2. Категорії отримувачів:

• Платіжні провайдери — для обробки транзакцій (діють як незалежні контролери або обробники відповідно до PCI DSS);
• Постачальники хмарної інфраструктури та хостингу — для забезпечення роботи Сайту;
• Поштові та кур'єрські служби — для організації доставки замовлень;
• Провайдери маркетингових та аналітичних платформ — для надсилання розсилок і аналізу Сайту (за наявності Вашої згоди);
• Органи державної влади та правоохоронні органи — за законної вимоги відповідно до чинного законодавства Великої Британії або ЄС.

5.3. У разі реструктуризації, злиття або придбання Компанії персональні дані можуть бути передані правонаступнику за умови дотримання вимог UK GDPR / EU GDPR та повідомлення Вас про це.

5.4. Ми не продаємо та не передаємо персональні дані третім особам для їхніх власних маркетингових цілей без Вашої явної згоди.

6. МІЖНАРОДНА ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ

6.1. Деякі з наших постачальників послуг можуть знаходитися або здійснювати обробку даних за межами Великої Британії або ЄЕЗ. У таких випадках передача здійснюється на підставі одного з таких механізмів: рішення про достатність захисту (Adequacy Decision); Стандартних договірних положень (SCCs), затверджених Європейською Комісією (рішення 2021/914); UK International Data Transfer Agreement (IDTA), затвердженого ICO; або обов'язкових корпоративних правил (Binding Corporate Rules).

6.2. Щодо передачі між Великою Британією та ЄС/ЄЕЗ: Велика Британія визнана Європейською Комісією країною з достатнім рівнем захисту даних (Adequacy Decision від 28 червня 2021 р.). Відповідно, передача персональних даних між Великою Британією та ЄС здійснюється без додаткових гарантій.

6.3. Щодо суб'єктів даних з України — передача персональних даних до/з України:

• Україна не включена до переліку країн з достатнім рівнем захисту даних ні Великою Британією (UK Adequacy Regulations), ні Європейською Комісією (станом на дату набрання чинності цією Політикою).
• Передача персональних даних до/з України здійснюється на підставі Стандартних договірних положень (SCCs), затверджених Європейською Комісією (рішення 2021/914), та/або UK International Data Transfer Agreement (IDTA), затвердженого ICO, — залежно від того, яка юрисдикція застосовується.
• Відповідно до статті 29 Закону України «Про захист персональних даних», передача персональних даних до Великої Британії та держав — членів ЄС/ЄЕЗ є правомірною, оскільки зазначені юрисдикції забезпечують належний рівень захисту.
• Компанія вживає всіх розумних заходів для забезпечення того, що отримувачі персональних даних українських суб'єктів дотримуються стандартів захисту, еквівалентних вимогам UK GDPR / EU GDPR.

6.4. Для отримання додаткової інформації про механізми захисту при міжнародній передачі даних звертайтеся за контактними даними, зазначеними в розділі 14.

7. СТРОКИ ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ ДАНИХ

7.1. Ми зберігаємо Ваші персональні дані не довше, ніж це необхідно для досягнення цілей їх обробки або виконання вимог чинного законодавства.

7.2. Після закінчення строку зберігання персональні дані надійно видаляються або знеособлюються.

8. ФАЙЛИ COOKIE ТА АНАЛОГІЧНІ ТЕХНОЛОГІЇ

8.1. Правова підстава: відповідно до Privacy and Electronic Communications Regulations 2003 (PECR) та Директиви ePrivacy 2002/58/EC, мы розміщуємо не обов'язкові cookie-файли лише після отримання Вашої явної, вільної, конкретної, поінформованої та однозначної згоди (Ваша згоди фіксується через Cookie Consent Banner / Cookie Preference Centre при першому відвідуванні Сайту).

8.2. Категорії cookie-файлів:

8.3. Керування cookie-файлами: Ви можете в будь-який час переглянути та змінити свої уподобання щодо cookie через Cookie Preference Centre на Сайті, а також через налаштування браузера. Відкликання згоди на не обов'язкові cookie не вплине на законність їх попередньої обробки.

8.4. Google Analytics: При наданні згоди на аналітичні cookie ми використовуємо Google Analytics з активованою функцією анонімізації IP-адрес (IP anonymisation). Ви можете встановити плагін відмови від Google Analytics: https://tools.google.com/dlpage/gaoptout.

9. МАРКЕТИНГОВІ КОМУНІКАЦІЇ

9.1. Правова підстава: ми надсилаємо маркетингові листи виключно на підставі Вашої явної та окремої попередньої згоди, отриманої відповідно до вимог PECR (Regulation 6) та EU GDPR. Прапорець «Погоджуюсь» не може бути попередньо позначений.

9.2. Зміст розсилок: нові товари та послуги, акції, спеціальні пропозиції, корисна інформація.

9.3. Право на відписку: Ви можете відкликати свою згоду та відписатися в будь-який момент:

• натиснувши посилання «Відписатись» у кожному маркетинговому листі;
• надіславши запит за контактними даними розділу 14.

9.4. Ми припиняємо надсилання маркетингових повідомлень невідкладно після отримання запиту на відписку (в будь-якому разі — не пізніше 10 робочих днів). Відписка не впливає на транзакційні листи (підтвердження замовлення, повідомлення про доставку).

10. ЗАХОДИ БЕЗПЕКИ

10.1. Компанія впроваджує технічні та організаційні заходи відповідно до статті 32 UK GDPR / EU GDPR для забезпечення рівня безпеки, що відповідає ризику, зокрема:

• шифрування даних при передачі (TLS/SSL) та у стані спокою (encryption at rest);
• псевдонімізація персональних даних там, де це доцільно;
• обмеження доступу за принципом мінімальної необхідності (need-to-know basis);
• регулярне тестування та оцінка ефективності заходів безпеки;
• навчання персоналу у сфері захисту персональних даних;
• процедури реагування на порушення безпеки даних (Data Breach Response Plan).

10.2. У разі порушення безпеки персональних даних, що може становити ризик для прав і свобод суб'єктів даних, Компанія повідомляє ICO (та/або відповідний наглядовий орган ЄС) не пізніше ніж через 72 години після виявлення інциденту. У разі високого ризику ми також безпосередньо повідомляємо постраждалих Користувачів.

10.3. Незважаючи на вжиті заходи, жодна система передачі даних мережею Інтернет не є абсолютно захищеною. Ми рекомендуємо Вам використовувати надійні паролі та не розкривати облікові дані третім особам.

11. ПРАВА СУБ'ЄКТІВ ДАНИХ

11.1. Відповідно до UK GDPR та EU GDPR, Ви маєте такі права:

11.2. Строк розгляду запитів: ми відповідаємо на всі законні запити протягом одного (1) місяця з дати отримання. У складних або множинних запитах строк може бути продовжено ще на два місяці (з повідомленням Вас протягом першого місяця).

11.3. Запит надсилається за контактами розділу 14 і має містити: Ваше ім'я та прізвище; контактні дані; суть запиту; засоби ідентифікації (для підтвердження особи).

11.4. Послуги Subject Access Request (SAR) надаються безкоштовно. У разі явно безпідставних або надмірних запитів ми залишаємо за собою право стягнути розумну плату або відмовити у виконанні запиту.

11.5. Якщо Ви вважаєте, що обробка Ваших персональних даних порушує застосовне законодавство, Ви маєте право подати скаргу до відповідного наглядового органу:

• Information Commissioner's Office (ICO) — наглядовий орган Великої Британії: www.ico.org.uk | тел. 0303 123 1113;
• Наглядового органу держави-члена ЄС за Вашим місцем звичайного проживання або роботи (якщо Ви перебуваєте в ЄС);
• Уповноваженого Верховної Ради України з прав людини (Омбудсман) — якщо Ви є суб'єктів даних, що перебуває або проживає в Україні: вул. Інститутська, 21/8, м. Київ, 01008 | hot-line@ombudsman.gov.ua | тел. 0800-501-720 (безкоштовно).

11.6. Ми заохочуємо Вас перш за все зв'язатися з нами для вирішення питання до подачі скарги до регулятора.

12. ОСОБЛИВІ ПОЛОЖЕННЯ ДЛЯ СУБ'ЄКТІВ ДАНИХ З УКРАЇНИ

12.1. Цей розділ застосовується додатково до решта положень цієї Політики у випадках, коли суб'єкт даних є фізичною особою, що перебуває або проживає в Україні, або коли обробка персональних даних підпадає під дію Закону України «Про захист персональних даних» від 1 червня 2010 року (надалі — «Закон»).

12.2. Підстави обробки за Законом України. Обробка персональних даних здійснюється на підставі статті 11 Закону, зокрема:

• згода суб'єкта даних на обробку його персональних даних;
• необхідність виконання договору, стороною якого є суб'єкт даних;
• необхідність захисту законних інтересів Компанії або третіх осіб;
• виконання обов'язків Компанії, визначених законом.

12.3. Права суб'єктів даних за законодавством України. Додатково до прав, зазначених у розділі 11 (UK GDPR / EU GDPR), суб'єкти даних, що перебувають в Україні, мають такі права відповідно до статті 8 Закону:

• знати про місцезнаходження бази персональних даних, яка містить їх персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) її власника або розпорядника;
• отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані;
• на доступ до своїх персональних даних та отримання їх копії;
• пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням;
• звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
• застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;
• вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
• відкликати згоду на обробку персональних даних;
• знати механізм автоматичної обробки персональних даних;
• на захист від автоматизованого рішення, яке має для нього правові наслідки.

12.4. Порядок реалізації прав. Запити щодо реалізації прав за Законом України направляються за контактними даними, зазначеними в розділі 14. Компанія розглядає такі запити в строки, передбачені Законом, а саме — не пізніше 30 (тридцяти) календарних днів з дати отримання запиту, якщо інший строк не передбачений законодавством України для конкретної категорії запитів. У разі відмови в задоволенні запиту Компанія надає вмотивовану письмову відповідь із зазначенням підстав відмови.

12.5. Реєстрація бази персональних даних. Відповідно до Закону України «Про захист персональних даних», Компанія як іноземний власник бази персональних даних, що обробляє дані українських суб'єктів, вживає заходів для забезпечення дотримання вимог Закону, зокрема щодо повідомлення суб'єктів даних про обробку їхніх персональних даних та підстави такої обробки.

12.6. Мова документа. Ця Політика складена англійською мовою як основною. Україномовна версія є офіційним перекладом. У разі будь-яких суперечностей між англійською та україномовною версіями Політики версія англійською мовою є пріоритетною.

13. ЗМІНИ ДО ПОЛІТИКИ

13.1. Ми залишаємо за собою право оновлювати цю Політику. Про суттєві зміни ми повідомляємо Вас шляхом:

• розміщення оновленої Політики на Сайті із зазначенням нової дати набрання чинності;
• надсилання повідомлення на Вашу електронну адресу (для зареєстрованих Користувачів) — не пізніше ніж за 30 днів до набрання чинності змінами, що суттєво впливають на обробку даних або Ваші права.

13.2. Якщо нові умови обробки даних потребують Вашої окремої згоди (наприклад, нові цілі обробки), ми запитаємо таку згоду в установленому порядку.

13.3. Продовження використання Сайту після набрання чинності змінами, що не потребують окремої згоди, означає їх прийняття.

14. КОНТАКТНА ІНФОРМАЦІЯ

14.1. З усіх питань, пов'язаних з обробкою персональних даних та реалізацією Ваших прав, звертайтеся до Компанії:

15. ЗАСТОСОВНЕ ПРАВО ТА ВИРІШЕННЯ СПОРІВ

15.1. Ця Політика регулізується та тлумачиться відповідно до законодавства Англії та Уельсу (England and Wales).

15.2. Для суб'єктів даних, розташованих у державах — членах ЄС, застосовуються також положення EU GDPR та відповідного національного законодавства ЄС.

15.3. Для суб'єктів даних, що перебувають або проживають в Україні, застосовуються також положення Закону України «Про захист персональних даних» від 1 червня 2010 року в частині, що не суперечить умовам цієї Політики. У разі колізії норм пріоритет надається законодавству, що забезпечує суб'єкту даних більший обсяг захисту.

15.4. Усі спори, що виникають у зв'язку з цією Політикою, підлягають вирішенню в судах Англії та Уельсу, якщо інше не передбачено обов'язковими нормами законодавства ЄС, законодавства України або країни звичайного проживання Користувача. Суб'єкти даних з України зберігають право на звернення до судів України або до Уповноваженого Верховної Ради України з прав людини у порядку, передбаченому Законом.

16. ПРИКІНЦЕВІ ПОЛОЖЕННЯ

16.1. Недійсність окремих положень цієї Політики не тягне за собою недійсності Політики в цілому.

16.2. Ця Політика є публічним документом. Актуальна версія завжди розміщена на Сайті.

16.3. Ця Політика набирає чинності з 18 травня 2026 року.