Политика конфиденциальности DressCode

ПОЛИТИКА

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

общества с ограниченной ответственностью «Торговый Дом «Дресс Код»

2025

СОДЕРЖАНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ3

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ11

3. ОБЪЁМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ12

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ15

5. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПРЕДСТАВИТЕЛЕЙ19

6. РЕГЛАМЕНТ РЕАГИРОВАНИЯ, В СЛУЧАЕ ЗАПРОСА УПОЛНОМОЧЕННОГО ОРГАНА ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ21

7. УСЛОВИЯ ОБРАБОТКИ, ЗАПРЕТЫ И УСЛОВИЯ НА ОБРАБОТКИ НЕОГРАНИЧЕННЫМ КРУГОМ ЛИЦ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ22

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение политики

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных. Политика является общедоступным документом общества с ограниченной ответственностью «Торговый Дом «Дресс Код» (ИНН: 5031076048, Адрес: 194291, г. Санкт-Петербург, проспект Луначарского, дом 76, корпус 2, литер А, пом. 14Н) (далее – ООО «Торговый Дом «Дресс Код», Оператор) и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия

автоматизированная обработка персональных данных – обработкаперсональных данных с помощью средств вычислительной техники;

безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

обработка персональных данных – любое действие (операция) илисовокупность действий (операций), совершаемых с использованием средствавтоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных – действия, в результате которыхстановится невозможным без использования дополнительной информацииопределить принадлежность персональных данных конкретному субъектуперсональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо иликосвенно определённому или определяемому физическому лицу (субъектуперсональных данных);

персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

предоставление персональных данных – действия, направленные нараскрытие персональных данных определённому лицу или определённому кругу лиц;

распространение персональных данных – действия, направленные нараскрытие персональных данных неопределённому кругу лиц;

технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий ифакторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которыхстановится невозможным восстановить содержание персональных данных винформационной системе персональных данных и (или) в результате которыхуничтожаются материальные носители персональных данных.

файлы cookies – небольшие файлы, обычно состоящие из букв и цифр, загружаемые на устройство, когда пользователь обращается к определенным веб-сайтам. Файлы cookies позволяют веб-сайту распознавать устройство пользователя и отображать сайт в соответствии с предпочтениями пользователя.

1.3. Основные права Оператора

Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»(далее – Федеральный закон № 152-ФЗ).

Оператор оставляет за собой право проверить полноту и точностьпредоставленных персональных данных (далее также – ПДн), их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В случае выявления ошибочных или неполных ПДн, Оператор имеет право прекратить все отношения с субъектом ПДн.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.

Оператором могут быть получены ПДн от лица, не являющегося субъектом ПДн, при условии предоставления Оператором подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн, Операторвправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Оператор вправе поручить обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (договора), либо путём принятия соответствующего акта (далее – поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ. В поручении Оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели ихобработки, должна быть установлена обязанность такого лица соблюдатьконфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьёй 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьёй 19 Федерального закона №152-ФЗ, в том числе требование об уведомлении Оператора о случаях,предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.

Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.

В случаях, когда Оператор поручает обработку ПДн третьему лицу,ответственность перед субъектом ПДн за действия указанного лица несёт Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несёт ответственность перед Оператором.

В случае, если Оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несёт Оператор и лицо, осуществляющее обработку ПДн по поручению Оператора.

1.4. Основные обязанности Оператора

Оператор соблюдает следующие принципы и условия обработки ПДн:

• обработка ПДн ограничивается достижением конкретных, заранееопределённых и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки;

• содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;

• не допускается обработка ПДн, несовместимая с целями сбора ПДн;

• не допускается объединение баз данных, содержащих ПДн, обработкакоторых осуществляется в целях, несовместимых между собой;

• Оператор обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;

• Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

Оператор не собирает, не обрабатывает и не передаёт ПДн субъектов ПДн третьим лицам, без согласия субъекта ПДн, если иное не предусмотренозаконодательством Российской Федерации.

В случае выявления неправомерной обработки ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн, Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн, Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн, Оператор на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемойОператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора.

В случае, если обеспечить правомерность обработки ПДн невозможно,Оператор в срок, не превышающий 10 рабочих дней с даты выявлениянеправомерной обработки ПДн, осуществляет уничтожение таких ПДн илиобеспечивает их уничтожение. Решение о неправомерности обработки ПДн инеобходимости уничтожения ПДн принимает ответственный за организациюобработки ПДн Оператора, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом, также указанный орган.

В случае установления факта неправомерной или случайной передачи(предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта(-ов) ПДн, Оператор с момента выявления такого инцидента самим Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом, обязан уведомить уполномоченный орган по защите прав субъектов ПДн:

1) в течение 24-х часов о произошедшем инциденте, о предполагаемыхпричинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице Оператора, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение 72-х часов о результатах внутреннего расследованиявыявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае достижения цели обработки ПДн, Оператор прекращает обработку ПДн или обеспечивает её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого,выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае отзыва субъектом ПДн согласия на обработку его ПДн, Операторпрекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн, Оператор в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срокапредоставления запрашиваемой информации.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие ПДн. При этом Оператор уведомляет субъекта ПДн или его представителя о внесённых изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

В случае отсутствия возможности уничтожения ПДн в течение срока,указанные выше по тексту, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок, не более, чем 6 месяцев, если иной срок не установлен федеральными законами.

Подтверждение уничтожения ПДн осуществляется в соответствии стребованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

1.5. Основные права субъекта ПДн

Субъект ПДн принимает решение о предоставлении своих ПДн и даётсогласие на их обработку свободно, своей волей и в своём интересе. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

В целях обеспечения своих законных интересов, субъекты ПДн или егопредставители имеют право:

1) получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);

2) осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ;

3) требовать уточнение своих ПДн, их блокирование или уничтожение, в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект ПДн при отказе Оператором исключить или исправить, блокировать или уничтожить его ПДн, имеет право заявить в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие;

4) требовать от Оператора уведомления всех лиц, которым ранее былисообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки ПДн субъекта, обо всех произведённых в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;

5) обжаловать в суде или в уполномоченном органе по защите прав субъектов ПДн любые неправомерные действия или бездействие Оператора при обработке и защите ПДн субъекта, если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн Оператором;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые Оператором способы обработки ПДн;

4) наименование и место нахождения Оператора, сведения о лицах (заисключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренныхФедеральным законом № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица,осуществляющего обработку ПДн по поручению Оператора, если обработкапоручена или будет поручена такому лицу;

10) информацию о способах исполнения Оператором обязанностей,установленных статьёй 18.1 Федерального закона № 152-ФЗ;

11) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае, если обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно в Операторили направить ему повторный запрос в целях получения сведений, и ознакомления с ПДн не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

Субъект ПДн вправе обратиться повторно или направить ему повторный запрос до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренные частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

Право субъекта ПДн на доступ к его ПДн может быть ограничено всоответствии с федеральными законами, в том числе, если:

1) обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

4) доступ субъекта ПДн к его ПДн нарушает права и законные интересытретьих лиц;

5) обработка ПДн осуществляется в случаях, предусмотренныхзаконодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в ООО «Торговый Дом «Дресс Код»осуществляется на следующих основаниях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных;

3) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

4) поручение на обработку персональных данных;

5) уставной документ Оператора.

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Использование файлов cookies и метрических программ

Для стабильной и удобной работы с сайтом Оператора, а также в целях обеспечения постоянного улучшения его работы, на сайте Оператора могут использоваться файлы cookies. Данные файлы, сохраняются в браузере компьютера, мобильного телефона или другого устройства после посещения большинства ресурсов сети Интернет. Файлы cookies необходимы для поддержания работы сайта, развития и получения аналитических данных.

Основанием для обработки файлов cookies в этом случае будет согласие на обработку персональных данных, предоставляемого пользователем сайта путем совершения конклюдентных действий - продолжение пользования сайтом. Пользователь может отключить cookies, при этом Оператор не гарантирует нормальную работу сайта.

В целях идентификации сайта Оператора поисковой системой yandex.ru, а также учета частоты посещения страниц сайта Оператор использует службу Яндекс.Метрика, технологии cookies. В момент посещения пользователем той или иной страницы Оператора браузер пользователя, выполняя сервисные коды службы Яндекс.Метрика, передает в них информацию о факте посещения страницы, о времени посещения страницы, об адресе страницы, с которой произошел переход на текущую страницу, IP-адресе, данные об аппаратных событиях, файлы cookies, сведения о местоположении и прочее сведения об устройстве.

Оператор использует сведения, полученные через Яндекс.Метрику, только для совершенствования услуг на сайте Оператора. Оператор не объединяет сведения, полученные через Яндекс.Метрику, с персональными данными.

4.2. Способы обработки и перечень действий с ПДн субъектов, осуществляемых Оператором:

Оператором применяются следующие способы обработки ПДн: смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Оператором осуществляются следующие действия с ПДн: передача (доступ), передача (предоставление), запись, блокирование, систематизация, передача (распространение), использование, удаление, накопление, сбор, хранение, уточнение (обновление, изменение), уничтожение, извлечение.

4.3 Передача ПДн третьим лицам

ПДн могут быть переданы в Социальный фонд России, Федеральную налоговую службу, в иные органы исполнительной власти в целях осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

ПДн могут быть переданы или поручены для обработки следующим третьим лицам:

1) ООО «Премиум Бонус», ИНН 7725279218

Местонахождение третьего лица:

111020, г. Москва, 2-ая Синичкина ул, д. 9А, стр. 3 пом. I, ком. 5, 6

Условия передачи ПДн:

согласие субъекта персональных данных или его законного представителя

Трансграничная передача ПДн:

не осуществляется.

Способ передачи ПДн третьему лицу:

смешанный с передачей по сети интернет.

Цели передачи ПДн:

Обеспечение реализации программы лояльности (идентификации участника в программе лояльности, начисления бонусов, обеспечения процесса учета и предоставления информации о накопленных бонусах и скидках, использования бонусов и скидок) и отправки рекламных предложений

Наименование субъекта и перечень передаваемых ПДн

1) Потребители/потенциальные потребители:

Иные категории ПДн: Фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты

Способы обработки ПДн третьим лицом:

смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Перечень действий, разрешенных третьему лицу:

блокирование, запись, извлечение, использование, накопление, обезличивание, передача (доступ), передача (предоставление), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.

2) ООО «Альфа», ИНН: 7804448839

Местонахождение третьего лица:

196105, г Санкт-Петербург, вн.тер.г. муниципальный округ Московская застава, ул Свеаборгская, д. 4, литера А, офис 12

Условия передачи ПДн:

согласие субъекта персональных данных или его законного представителя

Трансграничная передача ПДн:

не осуществляется.

Способ передачи ПДн третьему лицу:

смешанный с передачей по сети интернет.

Цели передачи ПДн:

Оповещения о начислении и возможности применения бонусов, о рекламных предложениях и акциях, об индивидуальных скидках и бонусах

Наименование субъекта и перечень передаваемых ПДн

1) Потребители/потенциальные потребители:

Иные категории ПДн: номер телефона

Способы обработки ПДн третьим лицом:

смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Перечень действий, разрешенных третьему лицу:

блокирование, запись, извлечение, использование, накопление, обезличивание, передача (доступ), передача (предоставление), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.

3) ООО «СМС Трафик», ИНН: 7705642257

Местонахождение третьего лица:

196105, г Санкт-Петербург, вн.тер.г. муниципальный округ Московская застава, ул Свеаборгская, д. 4, литера А, офис 12

Условия передачи ПДн:

согласие субъекта персональных данных или его законного представителя

Трансграничная передача ПДн:

не осуществляется.

Способ передачи ПДн третьему лицу:

смешанный с передачей по сети интернет.

Цели передачи ПДн:

Оповещения о рекламных предложениях, акциях и скидках

Наименование субъекта и перечень передаваемых ПДн

1) Потребители/потенциальные потребители:

Иные категории ПДн: номер телефона

Способы обработки ПДн третьим лицом:

смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Перечень действий, разрешенных третьему лицу:

блокирование, запись, извлечение, использование, накопление, обезличивание, передача (доступ), передача (предоставление), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.

4) ИП Гелахова Светлана Генриховна, ИНН 503150004540

Адрес третьего лица:

115569, Москва г., Маршала Захарова ул., д. 10, корпус 2, кв. 464

Условия передачи ПДн:

согласие субъекта персональных данных или его законного представителя

Трансграничная передача ПДн:

не осуществляется.

Способ передачи ПДн третьему лицу:

смешанный с передачей по сети интернет.

Цели передачи ПДн:

Обеспечение технического функционирования сайта, включая хранение и доступ к персональным данным в рамках заключенных соглашений

Наименование субъекта и перечень передаваемых ПДн

1) Потребители/потенциальные потребители:

Иные категории ПДн: Фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты

Способы обработки ПДн третьим лицом:

смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Перечень действий, разрешенных третьему лицу:

блокирование, запись, извлечение, использование, накопление, обезличивание, передача (доступ), передача (предоставление), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.

4.4. Меры по обеспечению безопасности ПДн при их обработке

Оператор, при обработке ПДн, принимает необходимые правовые,организационные и технические меры, и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается Оператором, в частности,следующими мерами:

1) назначение ответственного за организацию обработки персональныхданных;

2) издание политики Оператора в отношении обработки персональныхданных, локальных актов по вопросам обработки персональных данных,определяющих для каждой цели обработки персональных данных категории иперечень обрабатываемых персональных данных, категории субъектов,персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152 «О персональных данных»;

4) осуществление внутреннего контроля и (или) аудита соответствияобработки персональных данных закону «О персональных данных» и внутренним документам Оператора по вопросам обработки персональных данных;

5) оценка вреда, в соответствии с требованиями, установленнымиуполномоченным органом по защите прав субъектов персональных данных, который может быть причинён субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом «О персональных данных»;

6) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

9) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

10) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

11) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;

12) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

13) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;

14) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

15) обеспечение взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, включая информирование о компьютерных инцидентах.

4.5. Базы ПДн Оператора находятся полностью в пределах территории Российской Федерации.

4.6. Сроки обработки и хранения ПДн

Персональные данные субъектов, обрабатываемые в информационных системах подлежат уничтожению либо обезличиванию в случае:

1) достижения целей обработки ПДн или утраты необходимости в достижении этих целей;

2) отзыва субъектом ПДн согласия на обработку его ПДн;

3) истечение срока действия согласия субъекта ПДн на обработку его ПДн;

4) отсутствия возможности обеспечить правомерность обработки ПДн;

5) прекращения деятельности Оператора.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

4.7. Условия обработки ПДн без использования средств автоматизации

При обработке ПДн, осуществляемой без использования средствавтоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Персональные данные при такой их обработке обособляются от инойинформации, в частности, путём фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

5. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПРЕДСТАВИТЕЛЕЙ

При устном обращении либо письменном запросе субъекта ПДн или егопредставителя на доступ к ПДн субъекта, Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.

Субъект ПДн или его представитель может воспользоваться формамизапросов (заявлений) или отзывом согласия, приведенные в приложениях кнастоящей Политике.

Сведения о наличии и обработке ПДн предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса от субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии сзаконодательством Российской Федерации.

Доступ субъекта ПДн или его представителя к ПДн субъекта Операторпредоставляет только под контролем ответственного за организацию обработки ПДн (далее – Ответственный).

Ответственный принимает решение о предоставлении доступа субъекту ПДн или его представителю к ПДн указанного субъекта.

В случае, если данные, предоставленные субъектом ПДн или егопредставителем не достаточны для установления его личности или предоставление ПДн нарушают конституционные права и свободы других лиц, Ответственный подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющийся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо от даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Операторомв адрес субъекта ПДн мотивированного уведомления с указанием причин продлениясрока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Для предоставления доступа субъекту ПДн или его представителя к ПДн субъекта, Ответственный привлекает работников структурного подразделения (отдела), обрабатывающих ПДн субъекта, по согласованию с руководителем этого структурного подразделения (отдела).

Оператор предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящиеся к этому субъекту ПДн.

Сведения о наличии ПДн Оператор предоставляет субъекту ПДн или его представителю в доступной форме, и в них не должны содержаться ПДн,относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Контроль предоставления сведений субъекту ПДн или его представителю осуществляет Ответственный.

Сведения о наличии ПДн должны быть предоставлены субъекту ПДн или его представителю при ответе на запрос или при обращении в течение 10 рабочих дней от даты получения запроса (обращения) субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

В случае отказа Оператором в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, Оператор предоставляет в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Право субъекта ПДн на доступ к его ПДн может быть ограничено всоответствии с федеральными законами, в том числе, если:

1) обработка ПДн, включая ПДн, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

4) доступ субъекта ПДн к его ПДн нарушает права и законные интересытретьих лиц;

5) обработка ПДн осуществляется в случаях, предусмотренныхзаконодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

6. РЕГЛАМЕНТ РЕАГИРОВАНИЯ, В СЛУЧАЕ ЗАПРОСА УПОЛНОМОЧЕННОГО ОРГАНА ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ,Оператор сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 10 дней с даты получения такого запроса. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Операторомв адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет Ответственный, при необходимости с привлечением работников Оператора.

В течение установленного срока, Ответственный подготавливает и направляет в уполномоченный орган по защите прав субъектов ПДн мотивированный ответ и другие необходимые документы.

7. УСЛОВИЯ ОБРАБОТКИ, ЗАПРЕТЫ И УСЛОВИЯ НА ОБРАБОТКИ НЕОГРАНИЧЕННЫМ КРУГОМ ЛИЦ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

В соответствии с частью 10 статьи 10.1 Федерального закона № 152-ФЗ, Оператор сообщает о том, что субъектами персональных данных не указаны условия обработки, не имеются запреты и условия на обработки неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения на информационных ресурсах Оператора