Политика конфиденциальности
- Предмет и область действия
- Термины и определения
- Порядок и условия обработки персональных данных
- Права субъекта персональных данных
- Сведения о реализуемых требованиях к защите персональных данных
Предмет и область действия
Политика конфиденциальности Акционерного общества Контакт Интернейшнл (далее по тексту также — «Компания») в отношении обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Компании в области использования и защиты персональных данных, с целью соблюдения и защиты прав и свобод людей, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.
Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений Компании.
Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.
К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети Интернет.
Компания имеет право вносить изменения в настоящую Политику и вправе в одностороннем порядке в любой момент изменять ее условия. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено этой новой редакцией.
Во всем ином, что не предусмотрено настоящей Политикой, Компания руководствуется положениями действующего законодательства Российской Федерации.
Термины и определения
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации можно отнести, позволяющие по совокупности определить (идентифицировать) субъекта персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.
Оператор — лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящей Политики Компания, обрабатывая персональные данные, является Оператором, если иное прямо не указано в Политике.
Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Российской Федерации, если иное прямо не указано в Политике.
Порядок и условия обработки персональных данных
Под безопасностью персональных данных Компания понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
Обработка и обеспечение безопасности персональных данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Российской Федерации, а также руководящих и методических документов Правительства Российской Федерации, Минцифры России, Роскомнадзора, ФСТЭК России и ФСБ России.
При обработке персональных данных Компания придерживается следующих принципов:
- законности и справедливости;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению неполных или неточных данных;
- прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Компания обрабатывает персональные данные в следующих случаях:
- осуществление Компанией деятельности в сфере электронной коммерции в качестве владельца веб-сайтов;
- оформление и регулирование Компанией трудовых и иных непосредственно связанных с ними отношений;
- осуществление Компанией обычной хозяйственной деятельности в качестве юридического лица.
При наличии соответствующих правовых оснований, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу персональных данных третьим лицам без поручения таким лицам обработки персональных данных.
К указанным лицам, например, относятся банки, осуществляющие расчеты с контрагентами Компании, перевозчики и экспедиторы, осуществляющие доставку заказов в соответствии со своими правилами, контрагенты Компании, которым Компания передает данные доверенностей своих представителей, государственные органы, запрашивающие персональные данные в пределах своей компетенции, и т.д.
Такие лица не обрабатывают персональные данные от имени Компании или в его интересах, поскольку имеют собственные цель и правовые основания такой обработки (например, банки принимают платежные документы в соответствии с требованиями банковского законодательства, а Компания не вправе вмешиваться в их деятельность).
Если иное не предусмотрено законодательством Российской Федерации, Компания прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:
- ликвидации Компании;
- реорганизации Компании, влекущей прекращение его деятельности;
- отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.
Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Компанией в своих внутренних документах и локальных нормативных актах.
В ряде случаев, как это описано ниже, Компания получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на веб-сайтах Компании. Для работы с такими данными Компания использует cookies.
Cookies — это небольшие текстовые файлы, содержащие некоторую информацию, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время просмотра веб-страницы. Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или для устранения различных ошибок, которые могут периодически возникать.
Пользователи также могут самостоятельно ограничить или полностью отключить установку cookies через настройки своего веб-браузера. Однако без использования технических cookies веб-сайты Компании могут работать некорректно, а часть их функционала может оказаться недоступна.
Компания, используя cookies, не преследует цели идентифицировать конкретного пользователя веб-сайтов Компании.
Компания при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, внутренних документов и локальных нормативных актов Компании в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в Компании;
- издает внутренние документы, определяющие политику Компании в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществляет ознакомление работников Компании, его филиалов, представительств и структурных подразделений, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, внутренних документов и локальных нормативных актов Компании в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
- проводит регулярные обязательные тренинги для своих работников по вопросам персональных данных;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Компании в области персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Российской Федерации;
- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
Права субъекта персональных данных
Лицо, персональные данные которого обрабатываются Компанией, имеет следующие права:
- право на отзыв ранее данного им согласия на обработку персональных данных*;
- право на получение информации, касающейся обработки персональных данных;
- право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Компанией.
* Согласно ч. 2 ст. 9, ч. 4 и 5 ст. 21 Федерального закона «О персональных данных» Компания вправе продолжить обработку персональных данных при наличии иных правовых оснований.
Если иной порядок взаимодействия Компании и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Компании заявление:
- в письменной форме и подписанное собственноручной подписью — по адресу 191025, Россия, Санкт-Петербург, Невский пр. 108 литера А, пом. 23-Н ; либо
- в виде электронного документа и подписанное электронной подписью — на электронную почту info@cleanshop.ru
Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
- ФИО субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе либо иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией, либо сведения, иным способом подтверждающие факт обработки персональных данных Компанией;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Компании, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.
Сведения о реализуемых требованиях к защите персональных данных
Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Компания регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Компании.
К таким мерам, в частности, относится:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- учет машинных носителей персональных данных;
- организация пропускного и внутриобъектового режимов на территории Компании;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
Приложение 1 «Осуществление Компанией деятельности в сфере электронной коммерции в качестве владельца веб-сайтов»
| Цель обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных |
|---|---|---|
| Продвижение товаров, работ, услуг на рынке, использование, в том числе посещение, веб-сайтов Компании (далее по тексту совместно также – «Сайты»), оформление заказов на Сайтах и последующая их доставка (возврат) | Пользователи Сайтов |
|
| Лица, оформляющие и (или) получающие (возвращающие) заказы на Сайтах |
|
Приложение 2 «Оформление и регулирование Компанией трудовых и иных непосредственно связанных с ними отношений»
| Цель обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных |
|---|---|---|
| Ведение бухгалтерского и кадрового учета, а также соблюдение и исполнение требований действующего трудового законодательства Российской Федерации (расчет и выплата заработной платы, осуществление иных причитающихся выплат в рамках трудового законодательства, предоставление отпусков, направление в командировки, привлечение к дисциплинарной или материальной ответственности и пр.) включая формирование, ведение и хранение личных дел работников, трудовых книжек и иных кадровых документов, а также ведение воинского учета в Компании |
|
|
| Обработка информации (резюме) кандидата на трудоустройство | Кандидаты на замещение вакантных должностей Компании |
|
Приложение 3 «Осуществление Компанией обычной хозяйственной деятельности в качестве юридического лица»
| Цель обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных |
|---|---|---|
| Заключение, исполнение и расторжение иных гражданско-правовых договоров с третьими лицами | Физические лица – стороны гражданско- правовых договоров |
|
| Представители сторон гражданско-правовых договоров |
|
|
| Соблюдение и исполнение иных требований действующего законодательства Российской Федерации (осуществление бухгалтерского и налогового учета, организация документооборота и архивного хранения, направление соответствующих сведений в государственные органы, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение претензий правообладателей и обращений субъектов персональных данных, потребителей и пр.) |
|
|