Политика оператора в отношении обработки персональных данных

1. Введение

Настоящая политика определяет основные принципы, цели, условия и способы обработки персональных данных.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных субъектов персональных данных.

1.1 Цели

Настоящая Политика определяет принципы обработки персональных данных Обществом с ограниченной ответственностью «Практик Групп» (адрес местонахождения: 163045, Архангельская область, г Архангельск, Талажское ш, д. 9 стр. 7 (далее – Общество)) субъектов персональных данных.

Целью настоящей Политики является обеспечение защиты прав и свобод человека, и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Область применения

1.2.1 Настоящая Политика действует в отношении всей информации, содержащей персональные данные субъектов персональных данных, которую Общество и/или связанные с ним юридические лица могут получить о субъекте персональных данных при осуществления основной хозяйственной деятельности. Настоящая Политика является общедоступной

1.2.2 Настоящая Политика распространяется на процессы обработки персональных данных в Обществе, осуществляемые как с использованием средств автоматизации, в том числе с использованием ин­формационно-телекоммуникационных сетей, так и без использования таких средств.

1.3 Ответственность

1.3.1 Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного сотрудника, ответственного за организацию обработки персональных данных.

1.3.2 Контроль за выполнением требований настоящей Политики осуществляется в процессе проведения внутренних аудитов системы менеджмента качества.

2. Термины, обозначения и сокращения, нормативные ссылки

2.1 Нормативные ссылки

Настоящий документ разработан с учетом требований:

• Конституции РФ;
• Федерального закона РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В целях реализации положений политики, разработаны соответствующие локальные нормативные акты и иные документы, в том числе:

• Положение об обработке и защите персональных данных;
• Инструкция по обеспечению безопасности персональных данных при их обработке;
• Инструкция по обеспечению безопасности персональных данных при взаимодействии с контрагентами;
• Инструкция по обеспечению безопасности персональных данных при организации пропускного режима;
• Инструкция ответственного за организацию обработки персональных данных;
• Инструкция ответственного за обеспечение безопасности персональных данных;
• Инструкция по обработке обращений субъектов персональных данных;
• Положение по обработке персональных данных по поручению третьих лиц.

2.2 Термины и определения

Информация — сведения (сообщения, данные) независимо от формы их представления;

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В настоящей Политике под Оператором понимается ООО «Практик Групп», расположенное по адресу: 163045, Архангельская область, г Архангельск, Талажское ш, д. 9 стр. 7.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Сайт(ы) Общества — официальные сайты ООО «Практик Групп», включая, но не ограничиваясь следующими: https://practic29.ru/, http://practic29.ru/.

Пользователь — любое физическое лицо, просматривающее страницы Сайта на своем компьютере и/или мобильном устройстве, в т.ч. покупатель Общества, являющийся зарегистрированным пользователем Сайта и имеющий личный кабинет на Сайте.

Личный кабинет — приватная область Сайта, позволяющая зарегистрированному пользователю Сайта получать доступ к истории своих покупок и иных операций, а также хранить и изменять персональные данные, необходимые для совершения заказов.

3. Согласие на обработку персональных данных

Субъект персональных данных:

• используя сайт Общества и заполняя веб-формы, содержащие персональные данные; и (или)
• совершая звонок в колл-центр Общества и продолжая разговор с оператором; и/или
• иным способом передавая свои персональные данные Обществу, предоставляет Обществу согласие, на автоматизированную, а также без использования средств автоматизации обработку персональных данных, на условиях, указанных в пунктах 5-8 Политики.

Согласие на обработку персональных данных субъекта действует с даты его предоставления и до момента достижения целей обработки персональных данных, указанных в пункте 5.1 Политики. Персональные данные субъекта, хранятся не более 30 (тридцати) дней после момента достижения заявленных целей обработки, если иное не указано в Политике или не предусмотрено законодательством Российской Федерации.

Согласие полностью или частично может быть отозвано путем направления письменного запроса в адрес Общества в соответствии с пунктом 11 Политики.

4. Права и обязанности субъектов персональных данных

4.1 Права субъектов персональных данных

4.1.1 Субъекты персональных данных имеют право (при личном обращении или при направлении письменного запроса) на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

4.1.2 Субъекты персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если, по мнению субъектов персональных данных, данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.1.3 Также субъекты персональных данных могут отозвать данное ими согласие на обработку персональных данных, включая согласие на получение информации информационного и/или рекламного характера.

4.2 Обязанности субъектов персональных данных

 4.2.1 Субъекты персональных данных обязаны:

• предоставлять достоверную и актуальную информацию о себе, в том числе актуальные контактные данные, принадлежащие субъекту персональных данных;
• своевременно сообщать о необходимости внесения изменений (обновлений, уточнений) в персональные данные;
• знакомиться с актуальными версиями юридических документов Общества, публикуемых на внутренних и внешних ресурсах Общества или доступных для ознакомления иным способом, в том числе настоящей Политики, Положения об обработке и защите персональных данных и иных документов Общества.

4.3 Обязанности Оператора персональных данных

4.3.1 Общество, являясь Оператором персональных данных, обязано:

• осуществлять обработку персональных данных на законной и справедливой основе в соответствии с требованиями и условиями законодательства Российской Федерации;
• обеспечивать конфиденциальность персональных данных и принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• иные обязанности, установленные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5. Цели и правовые основания обработки персональных данных

5.1 Цели обработки персональных данных

Обработка персональных данных субъектов осуществляется Обществом для достижения конкретных, заранее определенных и законных целей, а именно:

5.1.1 Для физических лиц, являющихся представителями контрагентов Общества (далее – Представители контрагентов):

• предоставление субъекту информации, связанной с заключением и исполнением договоров, через различные каналы связи (почта, СМС-сообщения, электронная почта, телефонный звонок);
• заключение договора и исполнение условий договора, заключенного между Обществом и контрагентом;
• участие в маркетинговых мероприятиях, организуемых Обществом.

5.1.2 Для физических лиц, заключивших, либо намеревающихся заключить договор розничной купли-продажи (далее – Клиент):

• продажа товаров и предоставления сопутствующих услуг и сервисов;
• исполнение обязательств Общества перед Клиентами;
• обеспечение соблюдения законодательства РФ, иных нормативных правовых актов, условий договора розничной купли-продажи в рамках осуществления продажи товаров в т.ч. дистанционным способом;
• продвижение товаров, работ, услуг Общества путём осуществления прямых контактов с субъектами;
• рассылка сервисных сообщений (информация о заказе, коды авторизации и иное);
• регистрация личного кабинета на сайтах Общества;
• контроль качества оказываемых услуг и проведения маркетинговых исследований Обществом;
• регистрация покупателя в бонусной программе Общества;
• обеспечение соблюдения законодательства РФ и иных нормативных правовых актов, в рамках проведения претензионных работ, возврата, замены, ремонта, гарантийного обслуживания товара;
• организация маркетинговых мероприятий и розыгрышей ценных призов.

5.2 Правовые основания обработки персональных данных

5.2.1 Общество осуществляет обработку персональных данных Представителей контрагентов на основании:

• положений Гражданского кодекса РФ;
• договора с контрагентом;
• согласия на обработку персональных данных, полученного лично от субъекта.

5.2.2 Общество осуществляет обработку персональных данных Клиентов на основании:

• положений закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
• согласия на обработку персональных данных, полученного лично от субъекта персональных данных;
• договора розничной купли-продажи.

6. Объем и категории обрабатываемых персональных данных

 6.1 Для достижения целей, приведенных в пункте 5.1.8 настоящей Политики, Общество обрабатывает следующие персональные данные Клиентов:

• фамилия, имя, отчество;
• дата рождения;
• контактные данные (адрес электронной почты, контактный телефон);
• адрес места жительства/адрес доставки;
• история покупок и взаимодействия с Обществом.

6.2 Объем обрабатываемых Обществом персональных данных физических лиц, обработка персональных данных которых поручена Обществу третьими лицами, определяется соответствующим оператором персональных данных в договоре поручения обработки.

• заключенных между Обществом и третьими лицами договоров, предусматривающих поручение обработки персональных данных.

6.3 Включение персональных данных в общедоступные источники данных

7. Порядок и условия обработки персональных данных

Общество осуществляет как автоматизированную обработку персональных данных субъектов, то есть обработку с использованием средств автоматизации, так и обработку без использования средств автоматизации. Общество обеспечивает выполнение следующих действий (операций) с персональными данными:

7.1 Сбор персональных данных:

• Представителей контрагентов осуществляется лично, непосредственно от контрагентов в виде копий и/или оригиналов документов;
• Клиентов осуществляется лично, с их согласия в виде копий и/или оригиналов документов, а также в процессе обращения в колл-центр Общества.

7.4 Уточнение (обновление, изменение) персональных данных:

• выполняется Обществом при получении соответствующего запроса от субъекта персональных данных ответственным сотрудников Общества.

7.5 Использование персональных данных:

• использование персональных данных субъектов осуществляется Обществом исключительно для целей, указанных в разделе 5 настоящей Политики

7.7 Удаление, уничтожение персональных данных:

• осуществляется Обществом в течение 30 (тридцати) дней с момента отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для достижения целей обработки персональных данных и/или соблюдения требований законодательства РФ;
• осуществляется Обществом в течение 30 (тридцати) дней с момента достижения цели их обработки или по истечении сроков хранения соответствующих данных и документов, в соответствии с требованиями законодательства РФ, внутренних документов Общества;
• осуществляется Обществом в течение 7 (семи) дней с момента выявления незаконно полученных персональных данных или персональных данных, необходимости обработки которых не установлена для определенных Обществом целей обработки;
• осуществляется Обществом в течение 10 (десяти) дней с момента выявления неправомерной обработки персональных данных, если устранение причин такой обработки невозможно;

8. Обработка файлов Cookie и счетчиков

8.1 Данные, которые автоматически передаются Обществу в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация, не содержат персональные данные пользователя и не используется Обществом в целях идентификации пользователя.

8.2 Файлы cookie, передаваемые Обществом оборудованию пользователя и оборудованием пользователя Обществу, могут использоваться Обществом в статистических и исследовательских целях, а также для улучшения внешнего вида и функциональности Сайта.

8.3 Пользователь может настроить используемый им браузер таким образом, чтобы отклонять все файлы cookie или оповещать об их отправке, а также удалить ранее полученные файлы cookie. При отказе от получения файлов cookie некоторые функции Сайта могут работать некорректно.

8.4 Структура файла cookie, его содержание и технические параметры определяются Обществом и могут изменяться без предварительного уведомления пользователя.

8.5 Счетчики, размещенные Обществом на Сайте, могут использоваться для анализа файлов cookie пользователя, для сбора и обработки статистической информации об использовании Сайта, а также для обеспечения работоспособности Сайта в целом или его отдельных функций. Технические параметры работы счетчиков определяются Обществом и могут изменяться без предварительного уведомления пользователя.

9. Обеспечение безопасности персональных данных

Общество предпринимает необходимые правовые, организационные и технические меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких персональных данных в соответствии с требованиями ст. 19 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», в частности:

• определение угроз безопасности персональных данных при их обработке;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по минимизации возникшего ущерба;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в Обществе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности персональных данных;

11. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

11.1 Субъекты персональных данных могут обратиться в Общество для реализации их прав на обновление (уточнение, изменение), удаление или уничтожение персональных данных, обрабатываемых в Обществе. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, Общество предпримет все необходимые действия по их актуализации или прекратит неправомерную обработку.

11.2 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено договором с субъектом или требованиями законодательства РФ.

11.3 Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой обработке персональных данных такого субъекта в соответствии с пунктом 3.1 настоящей Политики.

11.4 Запрос субъекта персональных данных или его представителя должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

11.5 Для получения дополнительной информации, касающейся обработки своих персональных данных, а также для реализации своих прав субъекты персональных данных могут обратиться к оператору персональных данных ООО «Практик Групп»:

• по адресу: 163045, Архангельская область, г Архангельск, Талажское ш, д. 9 стр. 7;
• по адресу электронной почты:zakaz@practic29.ru ;
• через форму обратной связи на сайте Общества;
• по телефону: 8(8182)42-45-42.

12. Пересмотр положений настоящей Политики

12.1 Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Общества и действует бессрочно до замены ее новым документом (новой редакцией Политики).

12.2 Общество проводит пересмотр настоящей Политики и ее актуализацию по мере необходимости, в частности:

• при изменении порядка обработки персональных данных в Обществе;
• по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных;
• при изменении требований законодательства РФ в области персональных данных к порядку обработки и обеспечению безопасности персональных данных;
• в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.

12.3 При внесении изменений в настоящую Политику указывается дата последнего обновления. Новая редакция вводится в действие приказом генерального директора Общества или иных уполномоченных представителей Общества.

12.4 Субъект персональных данных соглашается с положениями действующей в это время редакцией настоящей Политики, если продолжает каким–либо образом взаимодействовать с Обществом.