Hero Desktop


Hero Desktop


Hero Desktop


Russian Personal Data Policy

1. General Provisions

1.1. The Net-A-Porter Group Limited ("NAP" or "Operator") respects the privacy rights of its customers and recognizes the importance of protecting the information collected about them.

1.2. The present NAP Privacy and Confidentiality Policy ("Policy"), which constitutes a public document, covers all personal data ("PD") processed by NAP and has been developed in line with the applicable laws related to PD (the "Laws").

1.3. The purpose of the Policy is to inform PD owners ("Data Subject/s") and other persons engaged in PD processing of NAP adherence to the fundamental principles of legitimacy, justice, non-redundancy, correlation of the content and scope of the PD processed to the declared processing purposes.

2. Definitions

2.1. The following definitions apply to PD protection:

2.1.1. "Personal data": data which relates to a living individual who can be identified a) from that data or, b) from that data and other information in our possession or likely to come into our possession).

2.1.2. "Data subject": an individual who is the subject of PD. Data subjects have legal rights in relation to handling and processing of their PD.

2.1.3."Operator" a person who (either alone or jointly with other persons) determines the purpose for which, and the manner in which, any PD is to be processed. They have a responsibility to establish practices and policies in line with the Law.

2.1.4."Data processors" any person, other than an employee of the Operator) who processes PD on behalf of an Operator, i.e. third parties that process or handle PD on our behalf.

2.1.5."Processing" any activity that involves the use of PD. It includes obtaining, recording or holding the data, or carrying out any operation or set of operations on the data including organizing, amending, retrieving, using, disclosing, erasing or destroying. Processing also includes transferring PD to third parties.

3. Objectives of PD Processing

3.1. NAP legal obligations and requirements under the Law for the processing of PD are to ensure that all PD processed by NAP in the course of its activities is:

3.1.1. collected, stored and processed for justifiable reasons;

3.1.2. processed by authorized persons with a legitimate reason;

3.1.3. stored safely;

3.1.4. retained only for the defined time period (no longer than thirty calendar days from the achievement of the declared purposes of data processing) after which it is appropriately destroyed;

3.1.5. not disclosed to unauthorized persons.

3.2. NAP will actively seek to meet its obligations and duties in accordance with the Law and in so doing will not infringe the rights of its employees, customers, third parties or others.

4. Legal Grounds for PD Processing

4.1.  PD are processed by NAP:

4.1.1. upon acquisition of appropriate consent of the Data Subject to the processing of his/her PD;

4.1.2. for the purpose of being compliant with the Law;

4.1.3. for the purpose of performing an agreement of which the Data Subject is a party or beneficiary.

4.2. PD may only be processed for the specific purpose notified to the Data Subject when it was first collected, or for purposes specifically permitted by the Law, after receiving written consent from the Data Subjects. PD must not be collected for one purpose and subsequently used for another. If it becomes necessary to change the purpose for which the data is being processed, the Data Subject must be informed of the new purpose and shall express its consent before any processing occurs.

5. Purposes of PD Processing

5.1. NAP processes PD for the following purposes:

5.1.1. comply with Law requirements, organize its activities and its employees’ activities;

5.1.2. verify the eligibility of customers to register as users on the NAP website;

5.1.3. process users’ registrations, providing customers with a sign in ID for the NAP website and maintain and manage such registrations;

5.1.4. process, fulfill and deliver orders and manage customers’ accounts;

5.1.5. provide customers with relevant customer care and respond to their queries, feedback, claims or disputes;

5.1.6. perform research or statistical analysis for marketing and promotional purposes in order to improve the content and layout of the NAP website and improve the NAP product offerings and services;

5.1.7. subject to obtaining consent in such form as may be required under the Law, NAP may use PD from its customers to provide them with notices, surveys, product alerts, communications and other marketing materials relating to goods and services offered by NAP sites including its exclusive membership programs, value added services ancillary to the memberships, and other products and services offered by NAP from time to time to its registered users.

5.2. NAP shall be entitled to transfer PD if required by the Law or if officially requested by State bodies.

5.3. If the customer voluntarily submits any information for publication on the NAP website through the publishing tools, including but not limited to, Company Profile, Product Catalog, Trade Leads, Trust Pass Profile and any discussion forum, then the customer is deemed to have given consent to the publication of such information.

5.3. NAP does not sell PD to third party marketing companies.

5.4. NAP may employ third party business partners to collect and process PD on its behalf and, therefore, to transfer them PD for these purposes, after receiving written consent from the Data Subject. NAP may also share PD with third party business partners, if required for performance of any of the Purposes of PD processing indicated in art. 5.1.1 -5.1.7 or in order to provide customers with targeted advertising and other services. In such cases, these third parties will be subject to confidentiality agreements as outlined in articles 7.6 and 11 below and accordingly instructed by NAP to comply with the Law and NAP internal regulations.

5.5. NAP may collate information about site traffic, sales, wish lists, and other commercial information which can be transferred to third parties. This information cannot lead to the customer being identified and it is therefore not regarded as PD.

6. Consent and Processed PD

6.1. NAP collects PD in several ways when the customer places an order, buys a gift card for a friend or registers for a service. By registering, the customer expresses their consent to the collection of his/her PD.

6.2. In order to process and fulfill a customer’s order, NAP needs to collect the following information: name, surname, email address, phone numbers, home address, shipping and credit/debit card billing address(es).

6.3.  PD can be accepted from a person other than the Data Subject. In this case, NAP asks such a person to ensure that Data subject has provided his consent and that the latter has been informed about this Policy, prior to submitting PD for processing. If not provided, such a person shall be liable for the disclosure of information of other data related to the Data subject.

6.4. Saved bank card details are never shared with third parties and are only used to process the customer’s order using NAP partners’ payment systems. NAP may also ask further information as a result of authentication or identity checks.

7. PD processing

7.1. NAP will maintain an inventory of categories of PD it processes relating to its employees and customers, and for the purposes of which each category is used. The inventory shall indicate high-risk categories of PD processed in accordance with the Law, including but not limited to:

7.1.1. personal bank accounts, credit/debit cards and other financial information;

7.1.2. material relating to meetings, interviews or negotiations which could adversely affect individuals if such information were to be divulged.

7.2. NAP is responsible for ensuring that all PD processed within its systems are adequate, relevant and not excessive and are only collected on the basis of a real and justifiable business reason. Periodic reviews of NAP technology, processes and procedures implemented for PD processing are to be conducted to ensure they continue to be adequate and fit-for-purpose. Any anomalies identified are to be recorded and appropriate action must be taken to address the findings.

7.3. Processed PD must correspond to real and justifiable business reasons, for this purpose:

7.3.1. NAP will only process the minimum amount of PD required to meet its legitimate purposes;

7.3.2. additional information which is not relevant or is excessive for the stated purpose is not processed;

7.3.3. new systems and processes involving PD are to be developed and reviewed to ensure their compliance with the Law and NAP internal regulations.

7.4. NAP implements appropriate technical and organizational measures to prevent unauthorized or unlawful processing, accidental loss, destruction and damage to PD. Such measures align to the basic information security principles of:

7.5.1. Confidentiality - only those persons specifically authorized can access and or use PD;

7.5.2. Integrity - PD shall be accurate and relied upon for the purpose for which it is being processed;

7.5.3. Availability - PD are only provided to authorized persons upon receipt of a validated request compliant to applicable laws;

7.5.4. Security - PD are stored in accordance with technical/security requirements provided by the Law and are not disclosed orally, in writing or in any electronic form to any unauthorized person, either deliberately or accidentally.

 7.6. NAP does not collect PD of visitors of NAP site who did not provide their data or consent as well as PD of employees residing in the Russian territory as NAP does not have any labor relationships with any subjects residing in the Russian Federation.

8. Storage Period and PD Retention

8.1. NAP is to ensure that PD is not kept for any longer than necessary and will adhere to any legal, regulatory or specific business reason justifying PD processing.

8.2. PD relating to customers’ is only to be retained for as long as a business justification of PD processing remains. PD are not kept and processed for any longer than necessary and their processing shall be ceased if the Data subject expressly require it and, in any case, it will be ceased after thirty (30) calendar days from the achievement of the declared purposes of data processing.

8.2. Appropriate processes and procedures are applied to ensure the regular backup of PD, and backups can be restored when required, within the period for which relevant PD have been retained.

9. Rights of Data Subjects

9.1. Everyone has the right to request access to any PD about them or directly connected to its processing that is held by NAP.

9.2. NAP complies with requests for access to PD as established by the Law. The supplied information shall be in an intelligible form that is easily understood by everyone.

9.3. NAP is allowed to require further information to determine whether the person submitting the request is the Data Subject (this is to avoid PD about one individual being send to another, inadvertently, or as a result of deception).

9.4. The Data Subject is entitled to modify their own PD by signing in to their account on the NAP site. The customer is able to delete saved credit/debit card details. If the customer changes their billing or shipping address while an order is still being processed, the order will be re-processed through security validation checks. PD can be also amended by the NAP customer care team by emailing customercare@theoutnet.com.

9.5. At all times the customer has the right to opt-out of subscribing to NAP regular service updates which may be sent to them: (i) email alerts for new products, features, enhancements, special offers, upgrade opportunities, contests, events of interest, and one-off marketing promotions; and (ii) direct mail alerts for new products, features, enhancements, special offers, upgrade opportunities, contests, events of interest, and one-off marketing promotions. Any email sent by NAP to the customer contains an easy automated unsubscribe link. Alternatively the customer can change their email preferences or opt out of all emails by signing in to their account on the NAP site or emailing customercare@theoutnet.com.

9.6. NAP sites and their contents are not targeted to minors (those under the age of 18). However, NAP cannot ascertain the age of individuals who access its site. If a minor has provided NAP with PD without parental or guardian consent, the parent or guardian should contact NAP to have the relevant information removed.

10. Transfer and Cross-border Transfer ("CBT") of PD

10.1. NAP performs transfer and CBT of PD, i.e. transmission of PD to a recipient located in a foreign jurisdiction, in conformity with the rules established by the Law and exclusively for the purposes of PD processing indicated in art. 5 above.

10.2. PD can be transferred without written consent of the Data Subject to foreign countries that ensure proper protection of Data Subjects’ rights in conformity with the Law.

10.3. PD can be transmitted across the borders to the countries that are incapable of ensuring proper protection of PD owner rights:

10.3.1. upon written consent of the Data Subject to CBT of their PD given as established by the Law;

10.3.2. for the purpose of performing an agreement of which both the Data Subject and the Operator are parties;

10.3.3. in other cases established by the Law, having previously received the Data Subject’s written consent.

10.4.  The Operator, with a due respect of the applicable Laws, could transfer PD to recipients located in foreign countries, including but not limited to: the United Kingdom of Great Britain and Northern Ireland, the United States of America and Italy.

10.5. In case NAP shares PD with any (national or foreign) third party a Confidentiality Agreement ("NDA") shall be stipulated with such subject. In this case: (i) the NDA shall clearly indicate and describe the purposes for which the information may be used by the recipient and any eventual limitation or restriction to the possibility to use the information; and (ii) the recipient must provide an undertaking or other form of evidence of its commitment to process the information in a manner that will not contravene the Law and NAP applicable internal regulations.

11. Information on Third Parties Engaged in PD processing

11.1. Upon consent of the Data Subject, NAP is entitled to charge a Data Processor" with performing PD processing activities by virtue of a Data Processor Agreement ("DPA") to be mandatorily concluded with this subject.

11.2.  The DPA shall define the list of actions (operations) with PD to be conducted by the Processor, the processing purposes, the confidentiality obligations towards the PD assumed by the Processor, as well as the obligations to protect PD as they are processed, and the requirements for the protection of the processed PD.

11.3.  The Processor shall not be obliged to obtain consent from the Data Subject for the processing of their PD.

12. Information on Applicable Requirements to PD Protection

12.1. In the course of PD processing, NAP shall take all required legal, organizational and technical measures provided by the Law to protect PD from unlawful or accidental access, destruction, adjustment, blocking, copying, submission, sharing or other unlawful actions.

12.2. Namely, but not exclusively, PD shall be protected by means of the following:

12.2.1. appointment of persons responsible for organizing PD processing and safety;

12.2.2. issuance of internal regulations/procedures on PD processing and protection focused on prevention and tracing violations of the Law, elimination of respective consequences;

12.2.3. make employees engaged in PD processing aware of their participation in personal data processing, as well as the rules for personal data processing and protection set by NAP regulatory acts;

12.2.4. registration and recording of operations with PD;

12.2.5. internal transmission of PD solely among the persons holding positions included in the list of positions that require PD processing of the persons filling such positions;

12.2.6. organization of PD processing procedures within protected areas and with the use of required technology and systems, as well as ensuring physical protection of PD storage media, locations and tools for their processing;

12.2.7. setting access rules to PD, tracing cases of unauthorized access to PD and taking relevant measures;

12.2.8. implement a process for assessing the level of risk to individuals associated with processing PD;

12.2.9. organize periodic internal controls/audits over compliance of the PD protection measures taken in accordance with the Law and internal regulations of NAP.

13. The Data Protection Officer

13.1. NAP is responsible through its Data Protection Officer ("DPO") for the implementation of the present Policy and all operations connected with the processing of PD. In particular, the DPO is responsible for:

13.1.1. ensuring that NAP complies with the Law;

13.1.2. ensuring that appropriate ‘fair processing’ statements are made when NAP, its agents, contractors or service providers collect or process PD on its behalf, and that these reflect the purposes for which the information may be used and any other parties to whom the information may be revealed;

13.1.3. ensuring that PD is only obtained for specified and lawful business purposes indicated in this Policy and is not subsequently processed in a manner incompatible with those purposes;

13.1.4. ensuring that Data Subjects provide appropriate consent to their PD being held and processed by NAP;

13.1.5. ensuring NAP conducts periodic reviews of computer and hard copy records to verify that PD held is: (i) adequate, relevant, and not excessive for its purpose; (ii) accurate and up to date; and (iii) not kept longer than is necessary;

13.1.6. ensuring that NAP complies with article 9 of the present Policy in case of requests submitted by Data Subjects;

13.1.7. ensuring NAP applies all appropriate technical and organisational measures provided for by the Law to safeguard against unauthorised or unlawful processing of PD and against any accidental loss or destruction of, or damage to PD;

13.1.8. ensuring that training is provided to employees on joining NAP and annually thereafter and that a record of attendance is maintained.

13.2. The DPO is appointed by NAP executive body and receives instructions directly from that body. 

14. Responsibility for Violation of PD Processing Rules

14.1. NAP employees engaged in PD processing shall bear disciplinary, civil, administrative or criminal responsibility for violation of PD processing rules in conformity with the Law and internal regulations of NAP.

15. Modification of this Policy

15.1. NAP has the right to amend and/or update this Policy in whole or in part in conforming with the Law. Each modification shall be clearly communicated on the NAP website and will be effective immediately upon publication.

16. Contact Details

16.1. Name of the Operator: The Net-A-Porter Group Limited, The Village Offices, Westfield London Shopping Centre, Ariel Way, London, W12 7GF

16.2. To obtain further information on the PD policy, please refer to the Contact Us section of the NAP website and email the relevant department. Alternatively, our THE OUTNET customer care team is available by calling +44 330 022 4250 (from a mobile or internationally) or emailing customercare@theoutnet.com.

1. Общие положения

1.1. Net-A-Porter Group Limited («NAP» или «Оператор») уважает права своих покупателей на защиту персональных данных и конфиденциальность, а также признает важность защиты собранной о них информации.

1.2. Настоящая Политика защиты персональных данных и конфиденциальности NAP («Политика»), представляющая собой общедоступный документ, распространяется на все персональные данные («ПД»), обрабатываемые в NAP, и разработана в соответствии с применимым законодательством в области ПД («Законодательство»).

1.3. Цель данной Политики — проинформировать владельцев ПД («Субъектов данных») и иных лиц, принимающих участие в обработке ПД, о том, что NAP соблюдает фундаментальные принципы законности, справедливости, отсутствия избыточности ПД, а также соответствия содержания и объема обрабатываемых ПД заявленным целям обработки.

2. Определения

2.1. К защите ПД применяются следующие определения:

2.1.1. «Персональные данные»: данные, имеющие отношение к физическому лицу, которое можно идентифицировать a) на основании этих данных или b) на основании этих данных и иной информации, которая находится в нашем распоряжении или, вероятно, может попасть в наше распоряжение).

2.1.2. «Субъект данных»: физическое лицо, которое является субъектом ПД. Субъекты данных имеют законные права в отношении обработки их ПД.

2.1.3.«Оператор»: лицо, которое (самостоятельно или совместно с другими лицами) определяет цель и способ обработки ПД. Он несет ответственность за внедрение правил и норм в соответствии с Законодательством.

2.1.4.«Обработчики данных»: любое лицо, кроме работника Оператора), которое обрабатывает ПД от имени Оператора, т. е. третьи лица, которые обрабатывают ПД от нашего имени.

2.1.5.«Обработка»: любое действие, сопряженное с использованием ПД. Включает получение, запись и хранение данных, а также выполнение любых операций или совокупности операций с данными, включая их систематизацию, уточнение, восстановление, использование, разглашение, удаление или уничтожение. Обработка также включает передачу ПД третьим лицам.

3. Задачи обработки ПД

3.1. Юридические обязательства NAP и требования Законодательства в отношении обработки ПД служат обеспечением того, что все ПД, обрабатываемые NAP в ходе ее деятельности:

3.1.1. собираются, хранятся и обрабатываются на законных основаниях;

3.1.2. правомерно обрабатываются уполномоченными лицами ;

3.1.3. хранятся с соблюдением мер безопасности;

3.1.4. хранятся только в течение определенного периода времени (не более тридцати календарных дней со дня достижения заявленных целей обработки), после которого уничтожаются надлежащим образом;

3.1.5. не разглашаются неуполномоченным лицам.

3.2. NAP активно стремится выполнять свои обязательства и обязанности в соответствии с Законодательством, не нарушая, при этом, права своих работников, покупателей и третьих или иных лиц.

4. Правовые основания обработки ПД

4.1. NAP обрабатывает ПД:

4.1.1. после получения надлежащего согласия Субъекта данных на обработку его ПД;

4.1.2. с целью соблюдения Законодательства;

4.1.3. с целью выполнения соглашения, стороной или выгодополучателем которого является Субъект данных.

4.2. ПД могут обрабатываться только с той конкретной целью, которая сообщена Субъекту данных при их сборе, либо в целях, прямо предусмотренных Законодательством, после получения соответствующего письменного согласия. ПД нельзя собирать для одной цели, а впоследствии использовать для другой. Если требуется изменить цель обработки данных, Субъект данных должен быть проинформирован о новой цели и предоставить соответствующее согласие до проведения какой-либо обработки.

5. Цели обработки ПД

5.1. NAP обрабатывает ПД в следующих целях:

5.1.1. выполнение требований Законодательства, организация своей деятельности и организация деятельности ее работников;

5.1.2. проверка права покупателей на регистрацию в качестве пользователей на веб-сайте NAP;

5.1.3. обработка регистрации пользователей, предоставление покупателям учетных данных для входа на веб-сайт NAP, а также администрирование и управление такой регистрацией;

5.1.4. обработка, выполнение и доставка заказов и управление учетными записями покупателей;

5.1.5. предоставление покупателям соответствующего обслуживания и реагирование на их вопросы, отзывы, претензии или споры;

5.1.6. проведение исследований или статистического анализа в рекламных и маркетинговых целях для улучшения содержания и структуры веб-сайта NAP, а также улучшения ассортимента продукции и услуг NAP;

5.1.7. при условии получения согласия в такой форме, которая требуется в силу Законодательства, NAP имеет право использовать ПД, полученные от покупателей, для направления им сообщений, опросов, уведомлений о товарах, информационных сообщений и прочих маркетинговых материалов, имеющих отношение к товарам и услугам, предлагаемым на веб-сайтах NAP, включая ее эксклюзивную программу членства, дополнительные услуги для участников этой программы, а также прочие продукты и услуги, которые NAP предлагает своим зарегистрированным пользователям на соответствующий момент времени.

5.2. NAP вправе передавать ПД если это является требованием Законодательства или на основании мотивированного запроса государственных органов.

5.3. Если покупатель добровольно предоставил какую-либо информацию для публикации на веб-сайте NAP с использованием средств публикации, включая, помимо прочего, Анкету компании, Каталог продукции, Торговые контакты, Профиль Trust Pass и любой форум, то считается, что покупатель дал согласие на публикацию такой информации.

5.3. NAP не продает ПД сторонним маркетинговым компаниям.

5.4. NAP может нанимать сторонних бизнес-партнеров для сбора и обработки ПД от ее имени и, соответственно, передавать им ПД для этих целей, но после получения соответствующего письменного согласия от Субъекта данных. NAP также может передавать ПД сторонним бизнес-партнерам , если это требуется для реализации любой из Целей обработки ПД, указанных в ст. 5.1.1 -5.1.7 или для предоставления покупателям целевой рекламы и прочих услуг. В таких случаях на эти третьи стороны распространяются соглашения о конфиденциальности, как описано в ст. 7.6 и 11 ниже, и они получают от NAP соответствующие указания по соблюдению Законодательства и внутренних правил NAP.

5.5. NAP может собирать информацию об использовании трафика веб-сайта, продажах, списках пожеланий, а также прочую коммерческую информацию, которая может быть передана третьим лицам. Такая информация не позволяет идентифицировать покупателя, поэтому она не является ПД.

6. Согласие и обрабатываемые ПД

6.1. NAP собирает ПД несколькими способами, когда покупатель делает заказ, приобретает подарочную карточку для друга или регистрируется для получения услуги. Регистрируясь, покупатель дает свое согласие на сбор его ПД.

6.2. В целях обработки и выполнения заказа покупателя NAP необходимо собрать следующую информацию: имя, фамилия, адрес электронной почты, номера телефонов, домашний адрес, адрес доставки и адрес выставления счета по кредитной/дебетовой карте.

6.3. ПД могут быть приняты от иного лица, кроме Субъекта данных. В таком случае, до предоставления ПД для обработки, NAP просит такое лицо удостовериться, что оно располагает согласием Субъекта данных и, что последний ознакомлен с настоящей Политикой .В случае отсутствия согласия Субъекта данных, указанное лицо несет ответственность в связи с раскрытием информации и данных, относящихся к Субъекту данных.

6.4. Сохраненные данные банковских карт никогда не передаются третьим лицам и используются только для обработки заказа покупателя с помощью платежных систем партнеров NAP. NAP также может запросить дополнительную информацию в результате аутентификации или проверки личности.

7. Обработка ПД

7.1. NAP ведет реестр категорий обрабатываемых ПД, относящихся к ее работникам и покупателям, соответственно целям, для которых используется каждая из категорий. В соответствии с Законодательством в реестре указываются категории обрабатываемых ПД высокого риска, включая, помимо прочего:

7.1.1. данные личных банковских счетов, кредитных/дебетовых карт и иные финансовые сведения;

7.1.2. материалы, относящиеся к встречам, собеседованиям или переговорам, разглашение которых может негативно, повлиять на физических лиц.

7.2. NAP несет ответственность за обеспечение того, что все ПД, обрабатываемые в ее системах, являются достаточными, релевантными и не являются избыточными, и собираются исключительно на реальном и законном коммерческом основании. Для того, чтобы гарантировать достаточность ПД и их соответствие целям обработки, в NAP проводятся периодические проверки технологий, процессов и процедур, используемых для обработки ПД. Любые выявленные нарушения фиксируются, а для их устранения принимаются соответствующие меры.

7.3. Обработанные ПД должны соответствовать реальным и законным коммерческим основаниям, с этой целью:

7.3.1. NAP обрабатывает только минимальное количество ПД, которое требуется для достижения ее законных целей;

7.3.2. дополнительная информация, которая не является значимой или является избыточной для указанной цели, не обрабатывается;

7.3.3. новые системы и процессы, сопряженные с ПД, разрабатываются и анализируются таким образом, чтобы гарантировать их соответствие Законодательству и внутренним правилам NAP.

7.4. NAP применяет адекватные технологические и организационные меры для предотвращения несанкционированной или незаконной обработки, случайной утраты, уничтожения или повреждения ПД. Такие меры согласуются с базовыми принципами информационной безопасности:

7.5.1. Конфиденциальность: только непосредственно уполномоченные лица могут просматривать или использовать ПД;

7.5.2. Целостность: ПД являются точными и применимыми для целей, для которых они обрабатываются;

7.5.3. Доступность: ПД предоставляются уполномоченным лицам только после получения проверенного запроса, соответствующего применимому законодательству;

7.5.4. Безопасность: ПД хранятся в соответствии с техническими требованиями и требованиями к безопасности, предусмотренными Законодательством, и ни преднамеренно, ни случайно не разглашаются неуполномоченным лицам ни в устной, ни в письменной, ни в какой-либо электронной форме.

7.6. NAP не обрабатывает ПД посетителей сайта NAP, которые не предоставили свои данные или своего согласия, а также не обрабатывает персональные данные работников, проживающих на территории Российской Федерации, поскольку компания не находится в трудовых отношениях с субъектами, осуществляющими свою трудовую деятельность на территории данной страны.

8. **Хранение** ПД , **период** хранения

8.1. NAP хранит ПД не дольше, чем необходимо, и придерживается правовой, регулятивной или конкретной коммерческой причины, являющейся основанием для обработки ПД.

8.2. ПД, имеющие отношение к покупателям, хранятся не дольше, чем требует того коммерческое обоснование обработки. ПД не обрабатываются дольше, чем это необходимо, и их обработка должна быть прекращена по непосредственному запросу Субъекта данных или, в любом случае, в течение 30 (тридцати) календарных дней с даты достижений заявленных целей обработки.

8.2. Применяются соответствующие процессы и методы, чтобы гарантировать регулярное создание резервных копий ПД, которые, в случае необходимости, могут быть восстановлены в течение периода хранения соответствующих ПД.

9. Права Субъектов данных

9.1. Каждый имеет право запросить доступ к любым ПД о нем или к данным, связанным с их непосредственной обработкой, которые находятся у NAP.

9.2. NAP выполняет запросы о доступе к ПД в соответствии с Законодательством. Информация предоставляется в доступной и понятной каждому форме.

9.3. NAP имеет право запросить дополнительную информацию с тем, чтобы определить, является ли лицо, подавшее запрос, Субъектом данных (во избежание отправки ПД одного лица другому, как непреднамеренной, так и в результате введения в заблуждение).

9.4. Субъект данных имеет право уточнить (обновить, изменить) свои ПД, войдя в свою учетную запись на веб-сайте NAP. Покупатель может удалить сохраненные данные кредитной/дебетовой карты. В случае изменения покупателем своего адреса выставления счета или адреса доставки до окончания обработки заказа, заказ повторно проходит проверку безопасности. ПД также могут быть уточнены, посредством направления запроса в службу поддержки покупателей NAP по электронной почте customercare@theoutnet.com.

9.5. В любой момент времени покупатель имеет право отказаться от подписки на отправляемую ему регулярную рассылку NAP: (i) электронную рассылку о новой продукции, функциях, улучшениях, особых предложениях, возможностях повышения уровня, конкурсах, интересных мероприятиях и однократных маркетинговых акциях; а также (ii) прямую почтовую рассылку о новых продуктах, функциях, улучшениях, особых предложениях, возможностях повышения уровня, конкурсах, интересных мероприятиях и однократных маркетинговых акциях. Любое электронное сообщение, отправляемое NAP покупателю, содержит ссылку для легкой автоматической отмены подписки. Альтернативно, покупатель может изменить параметры электронной рассылки или отказаться от получения всех электронных сообщений, войдя в свою учетную запись на веб-сайте NAP или направив электронное сообщение на адрес customercare@theoutnet.com.

9.6. Веб-сайты NAP и их содержание не предназначены для несовершеннолетних (для лиц, не достигших 18 лет). Однако NAP не может определить возраст посетителей веб-сайта. В этой связи, если несовершеннолетний предоставил NAP свои ПД без согласия родителей или опекунов, то родитель или опекун должен обратиться в NAP, чтобы соответствующая информация была удалена.

10. Передача и Трансграничная передача ПД

10.1. NAP осуществляет передачу и Трансграничную передачу ПД, т. е. передачу ПД получателю, расположенному в иностранной юрисдикции, в соответствии с правилами, установленными Законодательством, и исключительно в целях обработки ПД, указанных в ст. 5 выше.

10.2. Без письменного согласия Субъекта данных ПД можно передавать в те зарубежные страны, которые обеспечивают надлежащую защиту прав Субъектов данных в соответствии с Законодательством.

10.3. ПД можно передавать за границу в страны, которые не способны обеспечить надлежащую защиту прав владельцев ПД:

10.3.1. с письменного согласия Субъекта данных на Трансграничную передачу его ПД, предоставленного в соответствии с Законодательством;

10.3.2. с целью выполнения соглашения, сторонами которого являются Субъект данных и Оператор;

10.3.3. в прочих случаях, установленных Законодательством, при условии получения предварительного письменного согласия Субъекта данных.

10.4. Оператор, при надлежащем соблюдении применимого Законодательства, может передать ПД получателям, расположенным в зарубежных странах, включая, помимо прочего: Соединенное Королевство Великобритании и Северной Ирландии, Соединенные Штаты Америки и Италию.

10.5. Если NAP передает ПД третьей стороне (расположенной в той же стране или за рубежом), с таким субъектом заключается соглашение о конфиденциальности («Соглашение о неразглашении»). В данном случае: (i) в Соглашении о неразглашении четко указываются и описываются цели, для которых получатель может использовать информацию, и любые возможные ограничения возможности использования этой информации; а также (ii) получатель должен взять на себя обязательство или предоставить иную форму подтверждения своего намерения проводить обработку информации таким способом, который не противоречит Законодательству и применимым внутренним правилам NAP.

11. Информация о третьих лицах, участвующих в обработке ПД

11.1. Получив согласие Субъекта данных, NAP имеет право поручить Обработчику данных осуществить обработку ПД на основании Соглашения с Обработчиком данных («СОД»), которое в обязательном порядке заключается с таким субъектом.

11.2. СОД определяет перечень действий (операций) Обработчика с ПД, цели обработки, обязательства в отношении конфиденциальности ПД, принятые на себя Обработчиком, а также обязательства по защите ПД в процессе обработки и требования к защите обрабатываемых ПД.

11.3. Обработчик не обязан получать согласие Субъекта данных на обработку его ПД.

12. Информация о применимых требованиях к защите ПД

12.1. В ходе обработки ПД NAP обязуется принять все необходимые правовые, организационные и технические меры, предусмотренные Законодательством, для защиты ПД от незаконного или случайного доступа, уничтожения, искажения, блокировки, копирования, передачи, разглашения или иных незаконных действий.

12.2. Таким образом, защита ПД, включая, но не ограничиваясь, осуществляется посредством , следующих действий:

12.2.1. назначение лиц, ответственных за организацию обработки и защиты ПД;

12.2.2. подготовка внутренних правил и положений в отношении обработки и защиты ПД, направленных на предотвращение и отслеживание нарушений Законодательства, ликвидации соответствующих последствий;

12.2.3. информирование работников, задействованных в обработке ПД, об их участии в обработке персональных данных, а также о правилах обработки и защиты персональных данных, указанных в правовых документах NAP;

12.2.4. регистрация и учет операций с ПД;

12.2.5. внутренняя передача ПД исключительно между лицами, занимающими должности, включенные в перечень должностей, которые осуществляют обработку ПД;

12.2.6. организация процессов обработки ПД в защищенных зонах и с использованием необходимых технологий и систем, а также обеспечение физической защиты носителей ПД и мест и инструментов их обработки;

12.2.7. установка правил доступа к ПД, отслеживание случаев несанкционированного доступа к ПД и принятие соответствующих мер;

12.2.8. внедрение процесса оценки уровня риска для лиц, связанных с обработкой ПД;

12.2.9. организация периодического внутреннего контроля/аудита соблюдения мер защиты ПД, принятых в соответствии с Законодательством и внутренними правилами NAP.

13. Ответственный за защиту данных

13.1. NAP в лице своего сотрудника, Ответственного за защиту данных («ОЗД») несет ответственность за внедрение данной Политики и всех операций, связанных с обработкой ПД. В частности, ОЗД несет ответственность за:

13.1.1. соблюдение Законодательства NAP;

13.1.2. публикацию соответствующих заявлений о «честной обработке», когда NAP, ее представители, подрядчики или поставщики услуг собирают или обрабатывают ПД от ее имени, а также указание в них целей, в которых информация может использоваться, и любых других сторон, которым эта информация может быть сообщена;

13.1.3. сбор ПД только в определенных и законных целях, указанных в данной Политике, и их обработку исключительно в соответствии с данными целями;

13.1.4. предоставление Субъектами данных соответствующего согласия на обработку NAP их ПД;

13.1.5. проведение компанией NAP периодических проверок содержания компьютерных и бумажных носителей, чтобы удостовериться: (i) в достаточности, релевантности и неизбыточности ПД для их цели; (ii) в точности и актуальности ПД; а также (iii) в том, что они хранятся не дольше, чем необходимо;

13.1.6. соблюдение NAP ст. 9 данной Политики в случае получения запросов от Субъектов данных;

13.1.7. принятие NAP всех надлежащих технических и организационных мер, предусмотренных Законодательством, для предотвращения несанкционированной или незаконной обработки ПД и случайной утраты или случайного уничтожения или повреждения ПД;

13.1.8. проведение тренингов для работников при поступлении на работу в NAP и ежегодно после этого, а также ведение учета их посещения.

13.2. ОЗД назначается исполнительным органом NAP и подчиняется непосредственно этому органу.

14. Ответственность за нарушение правил обработки ПД

14.1. Работники NAP, участвующие в обработке ПД, несут дисциплинарную, гражданскую, административную или уголовную ответственность за нарушение правил обработки ПД в соответствии с Законодательством и внутренними правилами NAP.

15. Внесение изменений в Политику

15.1. NAP имеет право изменять и (или) обновлять данную Политику полностью или частично в соответствии с Законодательством. О каждом изменении в доступной форме сообщается на веб-сайте NAP, и оно вступает в силу сразу после публикации.

16. Контактные данные

16.1. Название Оператора: The Net-A-Porter Group Limited, The Village Offices, Westfield London Shopping Centre, Ariel Way, London, W12 7GF

16.2. Чтобы получить дополнительную информацию о политике в отношении ПД, пожалуйста, воспользуйтесь разделом «Контакты» (Contact Us) на веб-сайте NAP и отправьте электронное сообщение в соответствующий департамент. Альтернативно, можно обратиться в службу поддержки покупателей THE OUTNET по телефону +44 330 022 4250 (для звонков с мобильного телефона или международных звонков) или по электронной почте customercare@theoutnet.com.

Need help?

Don't hesitate to get in touch! We're available 24 hours a day, seven days a week.

Email: customercare@theoutnet.com

Call us on: 8-499-3466832