РАСШИРЕННЫЕ ПОЛОЖЕНИЯ О ПОЛИТИКЕ КОНФИДЕНЦИАЛЬНОСТИ СОГЛАСНО СТ. 12, 13 И, ПРИ НЕОБХОДИМОСТИ, СТ. 14 ОБЩЕГО РЕГЛАМЕНТА ЕС ПО ЗАЩИТЕ ДАННЫХ № 2016/679, КАСАЮЩИЕСЯ ЗАЩИТЫ ФИЗИЧЕСКИХ ЛИЦ И ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ (ДАЛЕЕ GDPR)  
Ответственное за обработку персональных данных лицо ниже перечисляет положения в соответствии со ст. 12, 13 и, при необходимости, ст. 14 GDPR, в отношении обработки персональных данных, предоставленных клиентом/заинтересованным лицом путем заполнения и подписания Договора на приобретение продукции/услуг, продаваемых ответственным за обработку персональных данных лицом, посредством добровольного внесения своих персональных данных на данном сайте (при заполнения формы обратной связи) или в ходе навигации на сайте. 
1. Ответственное за обработку персональных данных лицо и контактные данные 
Ответственным за обработку персональных данных лицом является компания Consorzio I.F.C. Impianti, юридический адрес: г. Парма, виа Сандро Пертини, 12, индекс  41123, код налогоплательщика 02714200348 эл. почта: INFO@CONSORZIOIFC.IT

2. Принципы обработки персональных данных 
Согласно положениям GDPR лицо, ответственное за обработку персональных данных, постоянно следит за тем, чтобы персональные данные: 
(a) подвергались обработке законным, корректным и прозрачным образом; 
(b) были собраны в определенных, ясно обозначенных и законных целях, и впоследствии были обработаны способом, не противоречащим обозначенным целям;
(c) были адекватными, соответствующими и ограниченными целями обработки; 
(d) были точными и, при необходимости, обновленными; 
(e) хранились в течение периода времени, не превышающего срок, необходимый для достижения целей, для которых требовалась их обработка; 
(f) обрабатывались с применением надлежащих технических и организационных мер, способных обеспечить сохранность данных; 
(g) были обработаны, в случае наличия согласия, на основании решения, добровольно принятого клиентом/заинтересованным лицом, на основе отдельно представленного запроса, оформленного ясным и доступным образом и написанного простым и понятным языком. 
Ответственное за обработку персональных данных лицо принимает надлежащие технические и организационные меры, направленные на защиту персональных данных с момента разработки проекта, и, способные по умолчанию гарантировать обработку лишь тех данных, которые необходимы для достижения конкретных целей. 
Ответственное за обработку персональных данных лицо принимает и учитывает указания, замечания и мнения клиента/заинтересованного лица, поступившие на указанный выше адрес, с целью внедрения динамичной системы менеджмента данных, способной обеспечить фактическую защиту заинтересованных лиц в том, что касается обработки их персональных данных. 
Данные Положения могут претерпеть изменения в результате эволюционного развития соответствующего законодательства и технических и организационных мер, принимаемых ответственным за обработку персональных данных лицом; клиенту/заинтересованному лицу рекомендуется время от времени просматривать данный раздел сайта, чтобы ознакомиться с обновленными положениями, действующими в определенный период времени.

3. Порядок обработки персональных данных 
Обработка персональных данных осуществляется вручную и с применением электронных средств и программ, тесно связанных с указанными ниже целями обработки, и, в любом случае, способом, обеспечивающим безопасность и конфиденциальность данных.

4. Цели обработки персональных данных 
(4a) Цели, для достижения которых необходима обработка данных 
Персональные данные, предоставленные клиентом/заинтересованным лицом, обрабатываются главным образом в целях выполнения договора, финансовых обязательств и, в целом, оформления всех договорных отношений. 
Предоставление данных при заключении договора или после его заключения, в рамках договорных отношений и в предусмотренных целях, является обязательным; как следствие, непредоставление данных или их частичное или неточное предоставление делает невозможным заключением и/или выполнение договора, в результате чего клиент/заинтересованное лицо не может воспользоваться услугами/товарами, предлагаемыми ответственным за обработку персональных данных лицом, а также может нести ответственность за невыполнение договорных обязательств. 
Персональные данные, предоставленные клиентом/заинтересованным лицом, могут также является предметом обработки, если это необходимо для выполнения ответственным за обработку персональных данным лицом предусмотренных законом обязательств; для защиты жизненно-важных интересов клиента/заинтересованного лица или другого физического лица; для выполнения обязательств в общественных интересах или задач, связанных с осуществлением общественных полномочий, которыми наделено ответственное за обработку персональных данных лицо; в целях защиты законных интересов ответственного за обработку персональных данных лица или третьих лиц, при условии, что интересы, права и основные свободы клиента/заинтересованного лица при этом не преобладают; в вышеуказанных случаях предоставление данных является обязательным, и непредоставление данных или их частичное или неточное предоставление со стороны клиента/заинтересованного лица может повлечь за собой возможную ответственность или санкции, предусмотренные судебной системой. 
(4b) Прочие цели обработки, на основании особого и отдельно выраженного согласия клиента/заинтересованного лица 
Помимо изложенных выше целей обработки предоставленные/полученные персональные данные могут быть обработаны с согласия клиента/заинтересованного лица, которое может быть выражено посредством выделения пункта <<Выразить согласие>> в договоре или на сайте (или с использованием приложений в социальных сетях или на интернет-ресурсах, принадлежащих ответственному за обработку персональных данных лицу), в целях проведения исследования рынка, отправления коммерческих и рекламных уведомлений, по телефону (с использованием предоставленного номера мобильного телефона) и посредством автоматизированных контактных систем (эл. почта, sms, mms, факс и т.п.), в отношении продукции/услуг, предлагаемых ответственным за обработку данных лицом или компаниями концерна, в состав которого может входить ответственное за обработку персональных данных лицо. 
Согласие на использование данных в целях, указанных в п. (4b), не является обязательным; как следствие, в случае отказа обработка данных будет производиться лишь в целях, указанных в п. (4a), за исключением указанных ниже аспектов, касающихся законных интересов ответственного за обработку данных лица или третьих лиц.

5. Категории персональных данных, подлежащих обработке  
Ответственное за обработку персональных данных лицо в основном обрабатывает идентификационные/контактные данные (имя, фамилия, адреса, вид и номер удостоверяющего личность документа, номера телефонов, адреса электронной почты, данные в целях налогообложения и выставления счета и т.п.), а также — если предусмотрены коммерческие сделки — финансовые данные (банковские данные, в частности, реквизиты текущих счетов, номера кредитных карт, а также прочие данные, имеющие отношение к коммерческим сделкам). 
Обработка данных, осуществляемая ответственным за обработку персональных данных лицом, в рамках выполнения договора и в силу особого согласия клиента/заинтересованного лица, в целом, не затрагивает особые категории персональных данных, известных как конфиденциальные (расовая или этническая принадлежность, политические убеждения, вероисповедание, состояние здоровья, сексуальная ориентация и т.п.), а также генетические, биометрические или судебные данные (сведения о правонарушениях и осуждениях по уголовным делам). 
Тем не менее, не исключено, что ответственное за обработку персональных данных лицо — в целях выполнения договорных обязательств — будет должно сохранить и/или подвергнуть обработке конфиденциальные, генетические, биометрические и судебные данные клиента/заинтересованного лица или третьих лиц (которыми клиент/заинтересованное лицо в свою очередь располагает в качестве ответственного за обработку персональных данных таких третьих лиц); в таком случае, обработка указанных данных будет производиться на условиях и в пределах, установленных при назначении клиентом/заинтересованным лицом ответственного за обработку персональных данных. 
Ответственное за обработку данных лицо, являясь также владельцем сайта и, потенциально, лицом, ответственным за обработку данных (на вышеуказанных условиях), назначенным клиентом/заинтересованным лицом, осуществляет также обработку навигационных данных. Информационные системы и программные процедуры, обеспечивающие работу интернет-сайтов, накапливают в ходе нормального функционирования некоторые персональные данные, передача которых предусмотрена протоколами интернет-коммуникации. Речь идет о сведениях, сбор которых не предусматривает их соотнесение с идентифицированными субъектами, но которые, в силу своего характера, могут позволить идентифицировать заинтересованное лицо. В эту категорию данных входят: сведения о геолокации; IP-адреса; вид браузера и операционной системы; доменные имена; адрес веб-сайтов, с которых был произведен вход/выход; страницы, посещаемые пользователем внутри сайт; время доступа; продолжительность пребывания на отдельной странице; анализ внутреннего маршрута и прочие параметры, имеющих отношение к операционной системе и компьютерной среде пользователя. Следовательно, речь идет о сведениях, которые, в силу своего характера, позволяют идентифицировать пользователей посредством обработки и соотнесения информации с данными, имеющимися в распоряжении третьих лиц. 
На сайте могут также использоваться файлы cookie как сеансовые (не сохраняются в компьютере заинтересованного лица и исчезают при закрытии браузера), так и устойчивые, служащие для передачи информации личного характера; в любом случае, они представляют собой систему, позволяющую отследить заинтересованное лицо.

6. Источник получения персональных данных 
Персональные данные, обрабатываемые ответственным за обработку персональных данных лицом, предоставляются ему непосредственно клиентом/заинтересованным лицом в ходе навигации на сайте (или в ходе использования других веб-приложений или социальных сетей ответственного за обработку персональных данных лица) или собираются им при содействии своих коммерческих партнеров при подписании или выполнении договора, или же поступают из общественно доступных источников. 
Как указано выше, ответственное за обработку данных лицо, выступая в качестве уполномоченного на обработку данных в целях выполнения договорных обязательств, вправе хранить и/или обрабатывать данные, в частности, навигационные данные, а также — в некоторых случаях — конфиденциальные, генетические, биометрические или судебные данные третьих лиц, которыми клиент/заинтересованное лицо в свою очередь располагает в качестве ответственного за обработку персональных данных лица, которые были получены с согласия третьих лиц в ходе их навигации на сайте (или в ходе использования других веб-приложений или социальных сетей ответственного за обработку данных лица).

7. Законные интересы 
Законные интересы ответственного за обработку данных или третьих лиц могут служить законным основанием для обработки данных, при условии, что при этом не преобладают интересы, права и основные свободы заинтересованного лица. В целом, могут существовать законные интересы, при которых между ответственным за обработку данных лицом и заинтересованным лицом существуют надлежащие и адекватные отношения, к примеру, в случае, если заинтересованное лицо является клиентом ответственного за обработку данных лица. В частности, законным интересом ответственного за обработку данных лица является обработка персональных данных клиента/заинтересованного лица: в целях предупреждения мошенничества; для осуществления прямого маркетинга; в целях обеспечения свободного обращения вышеуказанных данных внутри группы компаний, в состав которой может входить ответственное за обработку данных лицо; законной является обработка данных, имеющих отношение к трафику, с целью обеспечения безопасности сетей и информации, то есть способности сети или системы противостоять непредвиденным событиям или противозаконным действиям, которые могут подвергнуть риску доступность, достоверность, целостность и конфиденциальность данных.

8. Обращение персональных данных 
(8a) Передача персональных данных — категории получателей 
Помимо служащих и сотрудников ответственного за обработку данных (которые уполномочены обрабатывать данные в силу соответствующих письменных должностных инструкций, в целях обеспечения конфиденциальности и безопасности данных), некоторые операции по обработке данных могут также осуществляться третьими лицами, которым ответственное за обработку данных лицо поручает, в том числе и частично, некоторые операции, направленные на достижение целей, предусмотренных п. (4а), во исполнение договорных и законных обязательств, в числе которых следующие лица: коммерческие и/или технические партнеры; компании, предоставляющие финансовые и банковские услуги; компании, предоставляющие услуги архивирования документов; коллекторские компании; аудиторские компании, осуществляющие сертификацию балансовых отчетов; рейтинговые компании; субъекты, предоставляющие ответственному за обработку данных профессиональную поддержку и консультации; компании, осуществляющие обслуживание клиентов; факторинговые компании, осуществляющие секьюритизацию или уступку кредиторской задолженности; компании группы, в состав которой может входить ответственное за обработку данных лицо; субъекты, предоставляющие финансовую информацию; компании, предоставляющие информационные услуги. Субъекты, входящие в вышеуказанные категории, обрабатывают данные в качестве независимых ответственных за обработку данных или уполномоченных для обработки данных лиц, в отношении отдельных операций по обработке, входящих в число оговоренных договором услуг, которые данные субъекты предоставляют в пользу/ в интересах ответственного за обработку данных; ответственный за обработку данных предоставляет соответствующие письменные должностные инструкции, уделяя внимание принятию минимальных мер безопасности в целях обеспечения конфиденциальности и безопасности данных. Некоторые операции по обработке данных могут осуществляться третьими лицами, которым ответственное за обработку данных лицо поручает — в том числе лишь отчасти — некоторые операции, направленные на достижение целей, предусмотренных п. (4b), в числе которых необходимо упомянуть следующие лица: коммерческие и/или технические партнеры; компании, предоставляющие маркетинговые услуги на государственном уровне; рекламные агентства; субъекты, предоставляющие ответственному за обработку данных профессиональную поддержку и консультации относительно конкурсов и сделок с премией. Субъекты, входящие в вышеуказанные категории, обрабатывают данные в качестве независимых ответственных за обработку данных лиц или уполномоченных для обработки данных лиц, в отношении отдельных операций по обработке, входящих в число оговоренных договором услуг, которые данные субъекты предоставляют в пользу/ в интересах ответственных за обработку данных лиц; ответственное за обработку данных лицо предоставляет соответствующие письменные должностные инструкции, уделяя внимание принятию минимальных мер безопасности в целях обеспечения конфиденциальности и безопасности данных. 
На основе письменного запроса, отправленного по адресу ответственного за обработку данных лица, можно получить подлежащий периодическому обновлению список уполномоченных лиц, с которыми ответственное за обработку данных лицо поддерживает отношения. 
Персональные данные могут также быть переданы компетентным органам, по их запросу, во исполнение обязательств, предусмотренных законом. 
(8b) Передача персональных данных в другие страны 
Персональные данные клиента/заинтересованного лица могут также быть переданы за рубеж, в страны, входящие и не входящие в состав Европейского союза; передача данных в страны, не входящие в состав Европейского союза, осуществляется на основе соответствующего решения, или в рамках и с гарантиями, предусмотренными GDPR (в частности, при наличии утвержденных Европейской комиссией типовых договорных положений, касающихся защиты данных), или, в других случаях, в отступление от одного или нескольких положений GDPR (в частности, в силу особо выраженного согласия клиента/ заинтересованного лица, или во исполнение договора, заключенного клиентом/заинтересованным лицом, или во исполнение договора, заключенного ответственным за обработку данных лицом и иным физическим или юридическим лицом в пользу клиента/ заинтересованного лица, в особенности, в целях осуществления деятельности, порученной данному лицу самим ответственным за обработку данных лицом во исполнение договора, заключенного с клиентом/заинтересованным лицом). В случае передачи данных в страны, не входящие в состав Европейского союза, клиенту/заинтересованному лицу позволено получить сведения о соответствующих гарантиях или отступлениях, которые узаконивают трансграничную обработку данных; получение этой информации возможно на основании письменного запроса, отправленного по адресу ответственного за обработку данных лица. Остается в силе положение, согласно которому в случае передачи данных в страны, не входящие в состав Европейского союза, в отношении любого запроса, касающегося данных, в том числе в рамках осуществления прав, закрепленных GDPR за клиентом/заинтересованным лицом, он всегда может обратиться к ответственному за обработку данных.

9. Критерии для установления периода хранения персональных данных 
В рамках достижения целей, предусмотренных п. (4а), период хранения персональных данных, предоставленных клиентом/ заинтересованным лицом, а также их потенциальной последующей обработки, совпадает со сроком давности прав/обязанностей (законных, налоговых и т.п.), установленных договором: как правило, срок давности составляет 10 лет, в отсутствие событий, способных прервать срок давности и продлить данный период. 
В рамках достижения целей, предусмотренных п. (4b), период хранения данных, предоставленных клиентом/ заинтересованным лицом, а также их потенциальной последующей обработки, завершается при отзыве согласия, выраженного ранее клиентом/ заинтересованным лицом, или, в отсутствие отзыва, по прошествии одного года с момента прекращения любых отношений между владельцем процедуры и клиентом/заинтересованным лицом.

10. Права клиента/заинтересованного лица  
Ответственное за обработку данных лицо признает и содействует осуществлению клиентом/заинтересованным лицом всех прав, предусмотренных GDPR, в частности, права потребовать доступ к собственным персональным данным и получить их копии (ст. 15 GDPR), права внесения изменений (ст. 16 GDPR), права удаления данных (ст. 17 GDPR), права ограничения обработки, относящихся к нему данных (ст. 18 GDPR), права переноса данных (ст. 20 GDPR, при наличии оснований), а также права опротестования обработки, относящихся к нему данных (ст. 21 и 22 GDPR; в вышеуказанных случаях и — в частности — в случае обработки данных в коммерческих целях, которая может превратиться в автоматизированный процесс принятия решений или профилирования, способный повлечь за собой вытекающие правовые последствия, при наличии для этого оснований). 
В случае, если обработка данных основана на согласии клиента/ заинтересованного лица, ответственное за обработку данных лицо также признает за клиентом/заинтересованным лицом право отозвать указанное согласие в любой момент, что не ставит под сомнение законность обработки, осуществленной на основании данного согласия до его отзыва. В этих целях, клиент/заинтересованное лицо может отписаться от рассылок на сайте (или на иных веб-приложениях или в социальных сетях ответственного за обработку данных), перейти по специальной ссылке, имеющейся внизу каждого полученного им коммерческого уведомления, или же связаться с ответственным за обработку данных лицом по вышеуказанным контактам. 
Ответственное за обработку данных лицо также уведомляет клиента/заинтересованное лицо о его праве подать жалобу в Комитет по защите персональных данных, являющийся органом надзора, действующим в Италии, и подать судебный иск, в том числе и вопреки решению Комитета, против ответственного за обработку данных и/или уполномоченного для обработки данных лица.

11. Безопасность систем и персональных данных 
С учетом уровня технического развития, затрат на осуществление, характера, предмета, контекста и целей обработки, а также риска, связанного с вероятностью и серьезностью нарушения прав и свобод физических лиц, ответственное за обработку данных лицо принимает целесообразные технические и организационные меры, способные обеспечить соответствующий риску уровень безопасности; в частности, оно обязуется обеспечить, на постоянной основе, конфиденциальность, целостность, доступность и устойчивость систем и услуг по обработке данных (также посредством шифровки персональных данных, при необходимости), а также способность своевременно восстановить доступность данных в случае физического или технического инцидента, и внедрять внутренние процедуры по регулярному испытанию, проверке и оценке эффективности принятых технических и организационных мер. 
При оценке надлежащего уровня безопасности учитываются риски обработки данных, в частности, в результате уничтожения, утери, изменения, не авторизованного распространения или незаконного или случайного доступа к переданным, сохраненным или обработанным персональным данным. 
Ответственное за обработку данных лицо следит за тем, чтобы любые лица, действующие под его руководством и имеющие доступ к персональным данным, осуществляли обработку данных лишь после получения инструкций от самого ответственного за обработку данных лица. 
Согласно оговоренному выше клиент/заинтересованное лицо признает и принимает тот факт, что ни одна система безопасности не может гарантировать абсолютной защиты; ответственное за обработку данных лицо не несет ответственности за злонамеренные действия третьих лиц в целях неавторизованного доступа к системам, имевшие место несмотря на принятые надлежащие меры предосторожности.

12. Автоматизированная обработка данных, включая профилирование 
Ответственное за обработку данных лицо может осуществлять автоматизированную обработку данных, включая профилирование, для достижения целей, предусмотренных п. (4b), для оптимизации навигации на сайте (или использования иных веб-приложений или социальных сетей ответственного за обработку данных лица) и усовершенствования процесса покупки, при этом остается в силе вышеуказанное право клиента/заинтересованного лица на возражение и отзыв своего согласия. 
Под профилированием подразумевается любая форма автоматизированной обработки персональных данных, направленная на оценку определенных аспектов физического лица, с целью анализа или прогнозирования касающихся его аспектов, к примеру, личных предпочтений, интересов, местонахождения данного лица, также в целях создания профилей или однородных групп субъектов, классифицированных по характеристикам, интересам и поведению. 
Ответственное за обработку данных лицо не осуществляет автоматизированную обработку, которая может повлечь за собой правовые последствия для клиента/заинтересованного лица, или повлиять значимым образом на его личность, за исключением случаев, в которых данная обработка необходима для заключения или выполнения договора, санкционирована законом или основана на особом согласии клиента/заинтересованного лица; в любом случае, за ним признается право требования человеческого вмешательства, право выражения своего мнения и опротестования решения.