ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ1. Общие положения1.1. Настоящая Политика в отношении обработки персональных данных (далее - «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика действует в отношении следующих категорий субъектов персональных данных, которые обрабатывает Оператор:
- работники Оператора;
- контрагенты Оператора (физические лица);
- представители (работники) контрагентов Оператора (юридических лиц и индивидуальных предпринимателей);
- клиенты Оператора;
- пользователи Сайта Оператора.
1.3. Основные понятия, используемые в Политике:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (Оператор) —
Общество с ограниченной ответственностью «УШУАРЕ», ИНН 9729416839, ОГРН 1267700080031, адрес: 119634, г. Москва, ш. Боровское, д. 37, корп. 3, помещ. 1, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Сайт — совокупность программ для ЭВМ и иной информации, доступ к которым обеспечивается через сеть Интернет по адресу:
https://ushuare.ru.
1.4. Основные права и обязанности Оператора.1.4.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и иными нормативными правовыми актами;
- поручить обработку персональных данных другому лицу (например, IT-подрядчики, бухгалтерские, юридические, транспортные компании) с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку без согласия при наличии оснований, указанных в Законе о персональных данных.
1.4.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.
1.5. Основные права субъектов персональных данных. Субъект персональных данных имеет право:- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случаях, предусмотренных законом;
- обжаловать в Роскомнадзоре или в суде неправомерные действия или бездействие Оператора.
Реализовать права можно, направив запрос по адресу:
119634, г. Москва, ш. Боровское, д. 37, корп. 3, помещ. 1, либо на e-mail:
ushuare@mail.ru. Запрос должен быть оформлен с соблюдением требований раздела 7 настоящей Политики.
1.6. Контроль за исполнением требований настоящей Политики осуществляет уполномоченное лицо, ответственное за организацию обработки персональных данных у Оператора.1.7. Ответственность за нарушение требований законодательства РФ и локальных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством РФ.2. Принципы обработки персональных данныхОбработка персональных данных осуществляется Оператором в соответствии с законодательством РФ и на основе следующих принципов:
- законности и справедливой основы;
- ограничения обработки достижением конкретных, заранее определенных и законных целей;
- недопущения обработки, несовместимой с целями сбора;
- недопущения объединения баз данных, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям;
- недопущения избыточной обработки;
- обеспечения точности, достаточности и актуальности персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей обработки или при утрате необходимости в их достижении, если иное не предусмотрено федеральным законом.
3. Правовые основания обработкиПравовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция РФ;
- Трудовой кодекс РФ;
- Гражданский кодекс РФ;
- Налоговый кодекс РФ;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»;
- иные нормативные правовые акты РФ.
Правовым основанием также являются договоры с субъектами персональных данных и (или) их согласие.
4. Цели и условия обработки персональных данных4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора.
4.2. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточная обработка.
4.3. Категории субъектов и данные (общие положения о сроках хранения - до 5 лет после прекращения договора, если иные сроки не установлены законом):
4.3.1. Контрагенты Оператора (физические лица).
Цель: заключение и исполнение договоров.
Согласие: не требуется при обработке по п. 5 ч. 1 ст. 6 Закона о персональных данных.
Данные:
- ФИО;
- адрес места жительства;
- паспортные данные;
- телефон;
- e-mail;
- ИНН;
- СНИЛС.
Биометрия и специальные категории не обрабатываются. Источник и срок хранения: при заключении договора; хранение - в сроки исполнения договора и (или) сроки, установленные законодательством. Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, блокирование, удаление, уничтожение. Способ обработки: смешанная обработка; передача по сети Интернет при необходимости исполнения договора. Раскрытие третьим лицам: не допускается без согласия, если иное не предусмотрено законом. Трансграничная передача: не осуществляется, за исключением случаев, предусмотренных законом и (или) при наличии согласия субъекта.
4.3.2. Представители (работники) контрагентов.Цель: исполнение договоров с контрагентами.
Согласие: обеспечивает соответствующий контрагент.
Данные:
- ФИО;
- телефон;
- e-mail;
- должность.
Биометрия и специальные категории не обрабатываются. Способ обработки: смешанная обработка; возможна передача по сети Интернет. Раскрытие и трансграничная передача не допускаются без оснований, установленных законом, и (или) без согласия субъекта.
4.3.3. Клиенты Оператора.Цели:
- заключение и исполнение договоров розничной купли-продажи;
- участие в программе лояльности; направление информации рекламного характера о товарах и услугах.
Согласие:
- не требуется при обработке по п. 5 ч. 1 ст. 6 Закона о персональных данных;
- требуется для участия в программе лояльности и получения рекламы.
Данные:
- ФИО;
- телефон;
- e-mail;
- адрес доставки;
- учетные данные (логин, пароль) - при наличии личного кабинета.
Биометрия и специальные категории не обрабатываются. Способ обработки: смешанная обработка; по сети Интернет - в объеме, необходимом для исполнения договора.
Передача третьим лицам: для исполнения договора (организации доставки товара) данные Клиента (ФИО, телефон, адрес доставки) передаются курьерским службам, привлекаемым Оператором для доставки. Для проведения расчетов данные передаются банку (платежному агенту), обеспечивающему прием платежей. Указанные лица осуществляют обработку персональных данных по поручению Оператора на основании договоров и обязаны соблюдать конфиденциальность и требования Закона о персональных данных.
4.3.4. Пользователи Сайта.Цели:
- обработка заявок на Сайте;
- направление рекламной информации (с согласия);
- ведение статистики посещений; составление профиля.
Согласие: требуется до начала обработки (в том числе на использование файлов cookie и идентификаторов).
Данные:
- ФИО;
- телефон;
- e-mail;
- учетные данные (логин, пароль) - при наличии;
- дата и время посещений;
- IP-адрес; тип браузера и операционной системы;
- файлы cookie;
- данные, собираемые с помощью систем статистики.
Биометрия и специальные категории не обрабатываются. Способ обработки: смешанная обработка. Раскрытие и трансграничная передача не допускаются без оснований закона и (или) согласия.
Информационный баннер уведомляет пользователя об обработке файлов cookie и пользовательских данных; пользователь может дать согласие, продолжив использование Сайта, либо отказаться, отключив cookie в настройках браузера или покинув Сайт. Подробные условия определены в Политике в отношении файлов cookie (документ № 4 настоящего комплекта).
5. Порядок сбора и хранения персональных данных5.1. При сборе персональных данных, в том числе через сеть Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации (во исполнение требований Федерального закона № 242-ФЗ).
5.2. Лица, передавшие Оператору сведения о другом субъекте персональных данных без его согласия, несут ответственность в соответствии с законодательством РФ.
5.3. Персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем того требуют цели обработки, если иные сроки не установлены федеральным законом или договором.
5.4. Обрабатываемые персональные данные подлежат уничтожению в случаях:
- достижения срока или целей обработки;
- утраты необходимости;
- получения отзыва согласия - если отсутствуют иные правовые основания обработки;
- ликвидации Оператора.
6. Защита персональных данных6.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, распространения и иных несанкционированных действий, в том числе:
- определяет угрозы безопасности;
- принимает локальные акты; назначает ответственных лиц; создает условия для работы с персональными данными; ведет учет документов;
- организует работу информационных систем персональных данных;
- обеспечивает сохранность и разграничение доступа;
- обучает работников.
6.2. Инциденты информационной безопасности. При выявлении нарушения защиты персональных данных (утечка, несанкционированный доступ, изменение, уничтожение или блокирование) Оператор:
- фиксирует инцидент;
- проводит оценку угроз;
- принимает меры по локализации и устранению последствий;
- проводит внутреннее расследование;
- уведомляет Роскомнадзор в течение 24 часов с момента выявления инцидента о факте инцидента и в течение 72 часов о результатах внутреннего расследования (в случаях, предусмотренных законодательством);
- информирует субъектов при рисках для их прав и свобод;
- реализует корректирующие мероприятия; документирует итоги.
7. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов7.1. Подтверждение факта обработки персональных данных, правовые основания и цели обработки, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса в течение 10 рабочих дней с момента поступления обращения или запроса. Запрос должен содержать:
- номер и данные документа, удостоверяющего личность субъекта или представителя;
- сведения, подтверждающие участие субъекта в отношениях с Оператором (номер и дата договора и т. п.), либо иные сведения, подтверждающие факт обработки;
- подпись субъекта или представителя.
Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ. При отсутствии необходимых сведений или прав доступа направляется мотивированный отказ. Доступ может быть ограничен по ч. 8 ст. 14 Закона о персональных данных.
7.2. При выявлении неточных персональных данных по обращению субъекта или представителя либо по запросу Роскомнадзора Оператор блокирует такие данные на период проверки, если это не нарушает права и законные интересы субъекта или третьих лиц. При подтверждении неточности Оператор уточняет данные в течение 7 рабочих дней и снимает блокирование.
7.3. При выявлении неправомерной обработки по обращению субъекта или представителя либо Роскомнадзора Оператор блокирует такие данные с момента обращения или запроса.
7.4. При достижении целей обработки, а также в случае отзыва согласия персональные данные подлежат уничтожению, если: иное не предусмотрено договором; Оператор не вправе обрабатывать данные без согласия на основаниях, предусмотренных законом; либо иное не предусмотрено соглашением между Оператором и субъектом персональных данных.
7.5. Учет согласий на обработку персональных данных:
7.5.1. Согласие получается в письменной форме, в форме электронного документа, подписанного квалифицированной электронной подписью, либо посредством отметки (чек-бокса) при заполнении веб-форм на Сайте.
7.5.2. Оператор фиксирует: дату и время; форму; содержание согласия (перечень персональных данных); идентификатор субъекта (ФИО, контакты, IP-адрес, user-agent и др. при взаимодействии с Сайтом); способ хранения (CRM, почта и т. п.).
7.5.3. Согласия хранятся весь срок обработки и не менее 3 лет после ее окончания, если иное не предусмотрено законодательством РФ.
7.5.4. При отзыве согласия запись помечается как «аннулированная» с указанием даты отзыва.
8. Заключительные положения8.1. Оператор вправе направлять субъекту персональных данных сообщения рекламно-информационного характера посредством e-mail, SMS и push-уведомлений только при наличии предварительного согласия субъекта в соответствии с ч. 1 ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе». Согласие может предоставляться в письменной форме или в электронной форме (чек-бокс) на Сайте.
8.2. Отказ от получения рекламных сообщений возможен по ссылке «Отписаться» в письме, а также по адресам связи Оператора:
119634, г. Москва, ш. Боровское, д. 37, корп. 3, помещ. 1, e-mail:
ushuare@mail.ru.
8.3. Во исполнение ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика размещается в свободном доступе в сети Интернет на Сайте по адресу:
https://ushuare.ru/privacypolicy.