Политика в отношении обработки персональных данных ООО «СОЛГАР Витамин
- Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных ООО «СОЛГАР Витамин» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав персональных данных, обрабатываемых в ООО «СОЛГАР Витамин» (далее – Общество, Оператор), функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных и организации внутреннего контроля.
1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
1.3. Обеспечение неограниченного доступа к настоящей Политике реализуется путем ее публикации на сайте Компании в сети Интернет.
1.4. Настоящая Политика подлежит актуализации в случаях:
- изменения законодательства РФ о персональных данных;
- выявления несоответствий, затрагивающих обработку и (или) защиту ПДн, по результатам контроля выполнения требований по обработке и (или) защите ПДн;
- по решению руководства Компании.
1.5. Настоящая Политика разработана в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
1.6. Субъекты, чьи персональные данные обрабатывает Общество, могут получить разъяснения по вопросам обработки своих персональных данных путем направления письменного запроса на адрес Общества, а также обратиться к лицу, ответственному за осуществление контроля за обработкой персональных данных в Обществе, направив сообщение на электронный адрес info@solgarvitamin.ru с пометкой «Обработка персональных данных».
2. Термины и определения
2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Оператор – организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики оператором является ООО «СОЛГАР Витамин» (далее «Общество»)
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.12. Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в профсоюзах, состояния здоровья и интимной жизни.
2.13. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
2.14. Общедоступные источники персональных данных – общедоступные источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.
2.15. Ответственный за организацию обработки персональных данных – физическое лицо, назначаемое ООО «СОЛГАР Витамин» ответственным за организацию обработки персональных данных.
2.16. Подразделение-инициатор — подразделение Оператора, принимающее решение об обработке персональных данных и организующее обработку персональных данных в рамках подразделения.
3. Цели политики
3.1. Целями данной Политики является:
3.1.1. Обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3.1.2. Защита персональных данных от несанкционированного доступа, неправомерного их использования или утраты со стороны сотрудников Общества, не допущенных к работе с персональными данными.
3.1.3. Исключение незаконного вмешательства в информационные ресурсы Общества со стороны третьих лиц.
3.2. Политика устанавливает:
- Порядок сбора персональных данных;
- Действия оператора по сбору, систематизации, накоплению, хранению, уточнению, уничтожению персональных данных;
- Порядок передачи персональных данных третьей стороне;
- Перечень должностных лиц, имеющих доступ к персональным данным;
- Состав персональных данных, подлежащих сбору и хранению;
- Цели сбора персональных данных.
4.Общие принципы обработки персональных данных
4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.7. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является.
4.8. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
4.9. В случае, если персональные данные можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом и от него должно быть получено письменное согласие, кроме случаев прямо предусмотренных действующим законодательством.
4.10. Общество не имеет право собирать и обрабатывать персональные данные об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, членстве в общественных объединениях или их профсоюзной деятельности, частной жизни, за исключением случаев, предусмотренных действующим законодательством.
4.11. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законом оснований. Заключение о наличии оснований для продолжения обработки персональных данных после отзыва согласия дается Генеральным директором ООО «СОЛГАР Витамин» ответственному за организацию обработки персональных данных Общества.
5.Цели, состав, условия и порядок обработки персональных данных
5.1. Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
Оператор обрабатывает персональные данные:
5.1.1. C целью предоставления информации, включая:
- продвижение товаров и /или услуг Общества и его партнеров;
- персонализация предложений Общества, включая формирование соответствующих запросам субъекта конкретных рекомендаций;
- прием обращений субъектов и предоставление ответов на указанные обращения; статистических и иных исследований использования сервиса Общества и предлагаемых им товаров / услуг;
- выполнение возложенных законодательством на Оператора обязанностей;
- улучшение качества и удобства использования сайта, поддержка его функционирования;
Для указанной цели Оператор обрабатывает следующие персональные данные:
Имя, электронная почта, данные файлов «cookies», IP-адрес, геолокационные данные, адреса запрашиваемых страниц, поисковые запросы, сведения об устройстве, технические характеристики оборудования и программного обеспечивания.
5.2. Для целей, указанных в Политике, применяются следующие условия обработки:
5.2.1. Оператор не обрабатывает биометрические (генетические) и специальные категории персональных данных. Обрабатываемые Обществом персональные данные относятся к иным категориям персональных данных, для которых не устанавливаются специальные правила (режим) обработки и защиты.
5.3.2. Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Указанные действия могут быть осуществлены как неавтоматизированным, так и авnоматизированным способами.
5.2.3. Срок обработки и хранения персональных данных: до достижения цели обработки, до истечения срока действия согласия или до отзыва согласия (если отсутствуют иные основания для обработки таких ПД), в зависимости от того, какое событие наступило раньше.
5.3. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов с использованием баз данных, находящихся на территории РФ.
5.4. В рамках целей, указанных в Политике, Оператор использует данные сookies (небольшие фрагменты данных о прошлых посещениях). Соглашаясь с условиями обработки персональных данных, изложенными в настоящей Политике, субъект в том числе соглашается на обработку cookies в вышеуказанных целях. Субъект может просмотреть срок действия cookies, а также запретить их сохранение в настройках своего браузера. Сookies и иные сведения могут обрабатываться в том числе с использованием метрических программ (Яндекс.Метрика, Google Analytics и др.).
5.5. Правовыми основаниями обработки персональных данных Оператором являются в том числе:
- согласие субъекта персональных данных;
- необходимость обработки для осуществления творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
- необходимость обработки для достижения законодательно предусмотренных целей, а также выполнение обязанностей, возложенных на Оператора законодательством.
5.6. Персональные данные уничтожаются, если субъект данных предоставляет подтверждение того, что в сложившейся ситуации цель обработки данных исчерпана, не обоснована или более не правомерна (за исключением случаев, когда законодательством предусмотрено обратное).
5.7. Уничтожение персональных данных либо носителей персональных данных осуществляется лицом, ответственным за организацию работы с персональными данными.
6. Меры по обеспечению защиты персональных данных
6.1. Оператор обязуется обеспечивать конфиденциальность при обработке персональных данных субъектов и их защиту.
6.2. Оператор обеспечивает безопасность субъектов персональных данных посредством реализации правовых, организационных и технических мер.
6.2.1. Правовые меры, принимаемые Обществом, включают:
- издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
6.2.2. Организационные меры, принимаемые Обществом, включают:
- обеспечение неограниченного доступа к Политике, к сведениям о реализуемых требованиях к защите персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам РФ, требованиям к защите персональных данных, политике и локальным актам Оператора в отношении обработки персональных данных;
- оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
- ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- назначение лица, ответственного за организацию обработки персональных данных (внутренний контроль за обработкой персональных данных и реализацию мер по обеспечению их защиты);
- назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
- обеспечение сохранности информационных носителей персональных данных;
6.2.3. Технические меры, принимаемые Обществом, включают:
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- установление правил доступа к персональным данным, обрабатываемым в ИС, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИС;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИС и по реагированию на компьютерные инциденты в них;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИС.
7. Права пользователя
7.1. Пользователь вправе:
- получать информацию, касающуюся обработки своих персональных данных подтверждение Обществом цели обработки персональных данных, в том числе, на предоставление информации о целях и сроках обработки персональных данных (сроках их хранения);
- требовать при необходимости от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку своих персональных данных, направив Оператору заявление в письменной форме или направив соответствующий запрос со своего адреса электронной почты на электронный адрес Оператора info@solgarvitamin.ru с пометкой «Обработка (удаление) персональных данных»;
- определять представителей для защиты своих персональных данных;
- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Общества, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы;
- принимать иные предусмотренные законодательством РФ меры по защите своих прав
8. Обязанности Оператора
8.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, в том числе содержащей подтверждение факта обработки персональных данных Оператором; цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Законом.
8.2. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, в срок, не превышающий трех рабочих дней с даты выявления, Общество обязано прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Общество обязано уведомить субъекта персональных данных или его представителя.
8.3. В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцать) рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
9.Заключительные положения
9.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее размещения на сайте Общества по адресу solgarvitamin.ru.