Политика компании по сохранности персональных данных
I. Общие положения
1. Настоящая политика в отношении обработки персональных данных (далее — ПД) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от
2. Политика действует в отношении всех ПД, которые обрабатывает Компания и распространяется на отношения в области ПД, возникшие у Компании как до, так и после утверждения Политики.
3. Во исполнение требований ч. 2 ст. 18.1 Закона о ПД Политика публикуется в свободном доступе на официальном сайта Компании
в
II. Определение терминов
4. В настоящей Политике используются следующие термины:
4.1. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
4.2. Оператор ПД (далее — Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
4.3. Субъект ПД — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПД.
4.4. Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с ПД с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
4.5. Обработка ПД включает в себя:
автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники;
распространение ПД — действия, направленные на раскрытие ПД неопределенному кругу лиц;
предоставление ПД — действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
блокирование ПД — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
уничтожение ПД — действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;
обезличивание ПД — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД;
информационная система ПД — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача ПД — передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4.6. Конфиденциальность ПД — обязательное для соблюдения Оператором или иным получившим доступ к ПД лицом требование не допускать их распространения без согласия субъекта ПД или наличия иного законного основания.
4.7. Пользователь сайта (далее — Пользователь) — лицо, имеющее доступ к Сайту, посредством сети «Интернет» и использующее Сайт.
4.8. Cookies — небольшой фрагмент данных, отправленный
4.9.
III. Порядок и условия обработки ПД
5. Настоящая Политика применяется только к сайту Компании. Компания не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте.
6. Компания не проверяет достоверность ПД, предоставляемых Пользователем сайта.
7. Обработка ПД осуществляется с согласия субъектов ПД
на обработку их ПД, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8. Политика устанавливает обязательства Компании по неразглашению и обеспечению режима защиты конфиденциальности ПД, которые Пользователь предоставляет по запросу Компании при регистрации на сайте.
9. Персональные данные, разрешённые к обработке в рамках Политики, предоставляются Пользователем в момент регистрации на Сайте и включают в себя следующую информацию:
— анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.),
— адрес электронной почты, пользовательские данные (сведения о местоположении; тип и версия операционной системы (ОС),
— тип и версия Браузера,
— тип устройства и разрешение его экрана,
— информация о поисковых запросах Пользователя,
— информация об источнике откуда пришел на сайт пользователь: с какого сайта или по какой рекламе;
— язык ОС и Браузера;
— история перехода по адресным ссылкам;
—
— сведения о расчетных счетах и реквизитах счета Пользователя, а также иные персональные данные необходимые для обработки в целях, для которых данное Согласие предоставляется Пользователем.
Сайт защищает ПД, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы («пиксель»):
- IP адрес;
- информация из cookies;
- информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы);
- время доступа;
- адрес страницы, на которой расположен рекламный блок;
- реферер (адрес предыдущей страницы).
10. Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.
11. Сайт осуществляет сбор статистики об
12. Любая иная персональная информация, не оговоренная выше (история покупок, используемые браузеры и операционные системы,
IV. Цель обработки ПД
13. Обработке подлежат только ПД, которые отвечают целям их обработки.
14. Основной целью обработки ПД является обработка входящих запросов физических лиц для последующей связи для приобретения Пользователем (выбора, резервирования, заказа, оплаты, получения информации) товаров посредством сайта, аналитики действий физического лица на сайте функционирования и усовершенствования сайта.
15. Персональные данные Пользователя Компания может использовать для:
15.1. Идентификации Пользователя, зарегистрированного на сайте, для оформления заказа и (или) заключения Договора
15.2. Предоставления Пользователю доступа к персонализированным ресурсам Сайта.
15.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработка запросов и заявок от Пользователя.
15.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.
15.5. Подтверждения достоверности и полноты ПД, предоставленных Пользователем.
15.6. Создания учетной записи для совершения покупок, если Пользователь дал согласие на создание учетной записи.
15.7. Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.
15.8. Предоставления Пользователю с его согласия, обновлений продукции, специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта или от имени партнеров сайта.
15.9. Осуществления рекламной деятельности с согласия Пользователя.
15.10. Предоставления доступа Пользователю на сайты или сервисы партнеров сайта с целью получения продуктов, обновлений и услуг.
V. Способы и сроки обработки персональной информации
16. Обработка ПД Пользователя осуществляется без ограничения срока любым законным способом, в том числе в информационных системах ПД с использованием средств автоматизации или без использования таких средств.
17. Пользователь соглашается с тем, что Компания вправе передавать ПД третьим лицам, в частности, курьерским службам, организациями почтовой связи, операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на Сайте, включая доставку Товара.
18. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
VI. Защита ПД
19. При обработке ПД посредством автоматизации Компанией используются информационные системы, обеспечивающие предусмотренный в соответствии с требованиями законодательства уровень защищенности ПД.
20. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области ПД.
21. В соответствии с требованиями законодательства Компанией создана система защиты ПД (далее — СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
22. Подсистема правовой защиты представляет собой комплекс правовых,
23. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы и защиты информации при взаимодействии с Пользователями сайта.
24. Подсистема технической защиты включает в себя комплекс технических, программных,
25. Обеспечение безопасности ПД в Компании может достигаться, в частности:
25.1. принятием локальных актов по вопросам обработки и защиты ПД;
25.2. назначением лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите ПД;
25.3. определением угроз безопасности ПД при их обработке в информационных системах и разработкой мер и мероприятий по защите ПД;
25.4. применением правовых, организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные нормативными правовыми актами уровни защищенности ПД;
25.5. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации и сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
25.6. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационных систем;
25.7. учетом машинных носителей ПД;
25.8. обнаружением фактов несанкционированного доступа к ПД и принятием соответствующих мер;
25.9. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
25.10. установлением правил доступа к ПД, обрабатываемым в информационных системах, а также ограничением, обеспечением регистрации и учета действий, совершаемых с ПД в информационной системе ПД;
25.11. введением системы контроля управления доступом в помещениях Компании и установлением индивидуальных паролей для доступа работников в информационную систему в соответствии с их должностными обязанностями;
25.12. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищенности информационных систем;
25.13. ознакомлением работников Компании, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации в области ПД, в том числе с требованиями к их защите, локальными актами по вопросам обработки и защиты ПД, и обучением работников Компании;
25.14. осуществлением внутреннего контроля и аудита.
26. При обработке ПД Компания обеспечивает использование баз данных, находящихся на территории Российской Федерации.
27. Дополнительные сведения о реализуемых требованиях к защите ПД могут публиковаться на официальном сайте Компании.
VII. Права субъекта ПД
28. Субъект ПД имеет право на доступ к его ПД и следующим сведениям:
28.1. подтверждение факта обработки ПД Компанией;
28.2. правовые основания, цели и применяемые Компанией способы обработки ПД;
28.3. наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Компанией или на основании федерального закона;
28.4. сроки обработки ПД, в том числе сроки их хранения;
28.5. порядок осуществления субъектом ПД прав, предусмотренных Законом о ПД;
28.6. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;
28.7. информацию о способах исполнения Компанией обязанностей, установленных статьей 18.1 Закона о ПД.
VIII. Обязанности Компании при обработке ПД
29. При обработке ПД Компания обязана:
29.1. при сборе ПД предоставить субъекту ПД информацию, касающуюся обработки его ПД;
29.2. в случаях если ПД были получены не от субъекта ПД, уведомить субъекта ПД;
29.3. разъяснить субъекту ПД последствия отказа предоставить ПД и (или) дать согласие на их обработку;
29.4. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
29.5. предоставлять ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
IX. Порядок хранения и уничтожения ПД при достижении
целей обработки или при наступлении иных законных оснований
30. ПД хранятся на бумажном носителе структурными подразделениями Компании, осуществление деятельности которых сопряжено с необходимостью работы с такими данными.
31. ПД хранятся в электронном виде в информационных системах.
32. Сроки хранения ПД на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.
33. Срок хранения ПД, внесенных в информационные системы, должен соответствовать сроку хранения ПД на бумажных носителях.
34. ПД при их обработке, осуществляемой без использования информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях, в специальных разделах.
35. При достижении цели обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку, ПД подлежат уничтожению, если:
35.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
35.2. Компания не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Законом о ПД или иными федеральными законами;
35.3. иное не предусмотрено другим соглашением между Компанией и субъектом ПД.
36. Документы, содержащие ПД, сроки хранения которых истекли, подлежат уничтожению.
37. Документы на бумажном носителе, содержащие ПД, уничтожаются с соблюдением требований, установленных законодательством Российской Федерации об архивном деле.
38. Уничтожение по окончании срока обработки ПД на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПД, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
X. Актуализация, исправление, удаление ПД,
ответы на запросы субъектов на доступ к ПД
39. Подтверждение факта обработки ПД, правовые основания и цели обработки ПД, а также иные сведения, указанные в Законе о ПД, предоставляются Компанией субъекту ПД или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПД или его представителя (далее — запрос). Данный срок может быть продлен, но не более чем на 10 рабочих дней в случае направления Компанией в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
40. В предоставляемые сведения не включаются ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД.
41. Запрос должен содержать:
41.1. номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
41.2. сведения, подтверждающие участие субъекта ПД в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Компанией;
41.3. подпись субъекта ПД или его представителя.
42. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
43. Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о ПД, субъекту ПД или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
44. В том случае, если в запросе не отражены в соответствии с требованиями Закона о ПД все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то Компания направляет субъекту ПД мотивированный отказ.
45. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами (ч. 8 ст. 14 Закона о ПД).
46. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД Компания осуществляет блокирование ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.
47. В случае подтверждения факта неточности ПД Компания на основании сведений, представленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов и информации уточняет ПД в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПД.
48. В случае выявления неправомерной обработки ПД при запросе субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД Компания осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения запроса.
XI. Ответственность сторон
49. Компания, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием ПД, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 18, 19 и 51.2 Политики.
50. В случае утраты или разглашения ПД Компания не несёт ответственность, если ПД:
50.1. стали публичным достоянием до их утраты или разглашения;
50.2. были получены от третьей стороны до момента их получения Компанией;
50.3. были разглашены с согласия Пользователя..