Политика об обработке и защите персональных данных в ООО «РЕФОРМА»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика составлена в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
1.2. Настоящая Политика действует в отношении всех персональных данных, которые ООО "РЕФОРМА" (далее – Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору с Обществом (в том числе уполномоченным представителем такой стороны) или клиентом и/или потенциальным клиентом Общества, желающим заключить с Обществом договор розничной купли-продажи и/или иной гражданско-правовой договор, а также желающим получать информацию на сайте Общества (п. 1.6. Политики) или желающего участвовать в маркетинговых мероприятиях Общества, в том числе путем осуществления прямых контактов с помощью средств связи (с использованием телефонной связи, смс-сервисов, электронной почты), а также от субъекта персональных данных, состоящего с Обществом в отношениях, регулируемых трудовым законодательством, кандидатов на работу.
1.3. Настоящая Политика разъясняет принципы, цели, условия и порядок обработки персональных данных, а также определяет категории (субъектов) персональных данных, меры по защите персональных данных и исполнению законодательства РФ.
1.4. Настоящая Политика применяется ко всем субъектам персональных данных, перечисленным в пункте 1.2 настоящей Политики (далее – Субъекты ПДн).
1.5. Сайт Общества имеет доменное имя: feelcomfort.ru.
1.6. Правовым основанием обработки персональных данных субъектов в Обществе являются:
1.6.1 Осуществление возложенных на Общество законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, федеральными законами и иными нормативными правовыми актами России, а также локальными нормативными документами Общества (далее – ЛНД), в том числе:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ст. 85-90 Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
- Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ № 1119 от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Согласием субъектов персональных данных на осуществление обработки персональных данных;
- Уставом Общества;
- ЛНД.
1.6.2. Организация учета работников Общества для обеспечения соблюдения законов и иных нормативных правовых актов России, содействия в трудоустройстве, обучении, пользования различного вида льготами в соответствии с:
- Трудовым кодексом РФ;
- Налоговым кодексом РФ;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- ЛНД.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные хранятся и обрабатываются с соблюдением требований законодательства Российской Федерации в форме, позволяющей определить Субъекта ПДн, не
дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн.
2.2. Общество гарантирует, что не обрабатывает и не будет обрабатывать через Сайт специальные категории персональных данных, а именно касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные Субъектов ПДн.
2.3. Общество рассматривает персональные данные как ценный актив и принимает необходимые и достаточные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
2.4. Персональные данные Субъектов ПДн хранятся на защищенных серверах Общества.
2.5. Доступ к персональным данным разрешен только ограниченному числу уполномоченных лиц.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки персональных данных субъектов в Обществе:
3.1.1. Реализации товаров, работ (услуг) через Интернет;
3.1.2. Заключение и исполнение договоров с клиентами / контрагентами;
3.1.3. Рассмотрение возможности заключения трудового договора с Субъектом ПДн;
3.1.4. Регулирование трудовых отношений работника с Обществом (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля качества выполняемой работы и обеспечения сохранности имущества);
3.1.5. Передача Обществом персональных данных или поручения их обработки третьим лицам в соответствии с действующим законодательством РФ;
3.1.6. Обеспечение пропускного режима в офис Общества;
3.1.7. Предоставление сведений уведомительного или маркетингового характера, в том числе о новых продуктах, услугах, проводимых маркетинговых акциях и мероприятиях (по которым имеется предварительное согласие Субъекта ПДн на их получение);
3.1.8. Осуществление функций, полномочий и обязанностей, возложенных на Общество действующим законодательством РФ.
3.2. Допускаются иные цели обработки персональных данных Субъекта ПДн в случае, если указанные действия не противоречат действующему законодательству РФ, деятельности Общества, и на проведение указанной обработки получено письменное согласие Субъекта ПДн.
3.3. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных соответствуют целям обработки персональных данных Субъектов ПДн.
3.4. Общество не использует персональные данные Субъектов ПДн в целях причинения им имущественного и морального вреда, затруднения реализации ими своих прав и свобод.
3.5. Обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется в случае, если выполняется одно из следующих условий:
4.1.1. Обработка персональных данных осуществляется с согласия Субъекта ПДн на обработку его персональных данных.
4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
4.1.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).
4.1.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем.
4.1.5. Обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн.
4.1.6. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с клиентом с помощью средств связи, а также политической агитации, обработка персональных данных при которых допускается только при условии предварительного согласия Субъекта персональных данных.
4.1.7. Осуществляется Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе.
4.1.8. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ.
4.2. Доступ к персональным данным предоставлен Обществу непосредственно Субъектом ПДн либо с его письменного согласия его персональные данные сделаны общедоступными (включены в общедоступные источники персональных данных для неограниченного круга лиц в соответствии со ст. 8 Федерального закона «О персональных данных»).
4.3. Обрабатываемые персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ.
5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется работниками, уполномоченными на то должностными инструкциями, иными ЛНД или приказами Общества. При этом указанные работники имеют право доступа только к тем персональным данным Субъектов ПДн, которые необходимы им для выполнения конкретных должностных обязанностей.
5.2. Общество вправе поручить обработку персональных данных третьей стороне с согласия Субъекта ПДн и в иных случаях, предусмотренных действующим законодательством РФ, на основании заключаемого с этой стороной договора. Третья сторона, осуществляющая обработку персональных данных по договору, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», обеспечивая при обработке их конфиденциальность, целостность и доступность.
5.3. Обработка персональных данных в Обществе проводиться как с использованием средств автоматизации (информационных систем), так и без таковых с учетом требований
законодательства РФ. Конкретный способ обработки персональных данных определяется на основании процедур использования данных, определенных ЛНД.
5.4. Исключительно автоматизированная обработка персональных данных в Обществе не осуществляется. Во всех процессах обработки персональных данных с использование автоматизации принимают участие работники Общества.
5.5. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов или в электронном виде на бумажных или электронных
носителях соответственно.
5.6. Общество получает персональные данные от самого Субъекта ПДн или от лица, не являющегося Субъектом ПДн, при условии предоставления Обществу подтверждения наличия оснований, указанных в п.п. 1-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или основаниях, предусмотренных законодательством РФ.
5.7. Передача персональных данных третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных действующим законодательством РФ, либо в случае наличия у Общества согласия Субъекта ПДн на передачу его персональных данных третьим лицам.
5.7.1. В случае, если обязанность Общества по предоставлению персональных данных третьим лицам предусмотрена законодательством РФ, то Общество обязано предоставить персональные данные в составе, виде и сроки, указанные в соответствующих нормативных правовых актах.
5.7.2. Любые запросы третьих лиц, не являющихся владельцами персональных данных, на предоставление персональных данных Субъектов ПДн должны рассматриваться ответственными работниками Общества на предмет их обоснованности и правомерности в сроки, установленные ЛНД или приказами Общества.
6. КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В Обществе обрабатываются следующие категории персональных данных:
- фамилия,
- имя,
- отчество,
- год рождения,
- месяц рождения,
- дата рождения,
- место рождения,
- адрес,
- семейное положение,
- социальное положение,
- образование,
- профессия,
- доходы.
6.2. В Обществе обрабатываются иные категории персональных данных:
- телефон,
- e-mail,
- ИНН,
- СНИЛС,
- табельный номер,
- пол,
- сведения о воинском учете.
6.3. В Обществе запрещена обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.4. В Обществе обработка персональных данных о состоянии здоровья субъектов допускается только в отношении персональных данных работников или Субъектов ПДн, являющихся кандидатами на работу в структурные подразделения Общества, содержащихся на бумажном носителе, в целях исполнения двусторонних договоров, регулирующих трудовые отношения Общества и его работника, в целях исполнения действующего трудового законодательства РФ (п. 2.3. ч. 2 ст. 10 Федерального закона «О персональных данных»), а также в целях исполнения иных договорных обязательств Общества с письменного согласия Субъекта ПДн (п.п.1,8 ч.2 ст.10 Федерального закона «О персональных данных»).
6.5. Условия и порядок обработки персональных данных работников Общества, Субъектов ПДн, являющихся кандидатами на вакантные должности устанавливается отдельными ЛНД Общества.
7. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общество осуществляет обработку персональных данных следующих категорий Субъектов ПДн: клиентов – физических лиц, зарегистрированных на Сайте Общества и приобретающих товары, работы (услуги) на Сайте Общества, а также детей клиентов; учредителей, участников (акционеров, товарищей, пайщиков), руководителей, представителей, должностных лиц и прочих работников контрагентов – юридических лиц, а также индивидуальных предпринимателей; работников и связанных с ними близких родственников, а также Субъектов ПДн, являющихся кандидатами на трудоустройство в Общество; выгодоприобретателей, бенефициарных владельцев клиентов; действующих и бывших работников Общества; участников (акционеров, товарищей, пайщиков), аффилированных лиц Общества, руководителей клиентов, являющихся аффилированными лицами по отношению к Обществу.
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект ПДн вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются не полными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные действующим законодательством РФ меры.
8.2. Субъект ПДн имеет право на получение информации, касающейся обработки его Персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона «О персональных данных»;
- перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, от которого поступил запрос, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию о ранее осуществленной или о предполагаемой трансграничной передаче персональных данных;
- сведения о лице, осуществляющем обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.3. Субъект ПДн имеет право обжаловать действия или бездействие Общества в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке в случае, если Субъект ПДн считает, что Общество осуществляет обработку его персональных данных с нарушением требований закона о персональных данных или иным образом нарушает его права и свободы.
8.4. Субъект ПДн имеет также право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8.5. Субъект ПДн при обращении в Общество по вопросам обработки и защиты его персональных данных может направить в адрес Общества письменный запрос.
8.6. Право Субъекта ПДн данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
8.7. Общество вправе отказать Субъекту ПДн в выполнении повторного запроса сведений о его персональных данных, не соответствующего условиям действующего законодательства Российской Федерации. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
9. ОБЯЗАННОСТИ ОБЩЕСТВА
9.1. Общество, как Оператор по обработке персональных данных, несет обязанности, предусмотренные главой 4 Федерального закона «О персональных данных», а именно при сборе, обработке и защите персональных данных Общество обязуется:
9.1.1. Предоставлять персональные данные Субъекту ПДн в доступной форме, не содержащей персональные данные, относящиеся к другим Субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.1.2. Предоставлять персональные данные Субъекту или его представителю при обращении, в течение 30 (Тридцати) дней с даты получения запроса Субъекта ПДн или его представителя.
9.1.3. Разъяснять письменно Субъекту ПДн юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законом.
9.1.4. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
9.1.5. Разместить на сайте Общества, как Оператора персональных данных, настоящую Политику и обеспечивать неограниченный доступ к ней.
9.1.6. Представлять документы, ЛНД, определяющие состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также подтверждать принятие соответствующих мер по запросу уполномоченного органа по защите прав Субъектов ПДн.
9.1.7. Принимать необходимые правовые, организационные и технические меры либо обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.1.8. В случае подтверждения факта неточности персональных данных и на основании сведений, представленных Субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных уточнять персональные данные Субъекта, либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.1.9. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, в срок, не превышающий трех рабочих дней с даты этого выявления, Общество обязуется прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней от даты выявления неправомерной обработки персональных данных, обязуется уничтожить такие персональные данные или обеспечить их уничтожение.
9.1.10. Уведомлять об устранении допущенных нарушений или об уничтожении персональных данных Субъекта ПДн или его представителя, а в случае, если обращение Субъекта ПДн или его представителя, либо запрос уполномоченного органа по защите прав Субъектов ПДн были направлены уполномоченным органом по защите прав Субъектов ПДн, также уведомлять указанный орган.
9.1.11. Прекратить обработку персональных данных в случае достижения цели обработки персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества), уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн, либо если Общество не вправе осуществлять обработку персональных данных без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных», или другими федеральными законами.
9.1.12. Прекратить обработку персональных данных Субъекта ПДн в случае отзыва им согласия на обработку его персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку персональных данных без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
9.1.13. Назначить лиц, ответственных за организацию обработки персональных данных, в том числе и защиту персональных данных.
9.1.14. Не раскрывать третьим лицам и не распространять персональные данные без письменного согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
9.1.16. При передаче персональных данных третьему лицу осуществлять её с письменного согласия Субъекта ПДн. В том случае, если обработка персональных данных поручена третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
9.1.17. Направлять уведомления в уполномоченный орган по защите прав Субъектов ПДн в случаях, установленных Федеральным законом «О персональных данных».
9.2. В соответствии со статьей 18.1. Федерального закона «О персональных данных» Общество самостоятельно определяет состав, и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства РФ в области персональных данных.
10. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ОБЩЕСТВОМ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Меры по обеспечению безопасности Персональных данных при их обработке, применяемые Обществом, организовываются и реализуются в соответствии с требованиями, предусмотренными ст. 19 Федерального закона «О персональных данных».
10.2. Выбор требований к защите Персональных данных, обрабатываемых в информационных системах, осуществляется в соответствии с организационно- распорядительными и
методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, в зависимости от результатов классификации указанных систем.
10.3. Под защитой Персональных данных Субъекта понимается комплекс организационно-технических мер, направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных Субъектов, а также от иных неправомерных действий в отношении Персональных данных Субъекта.
10.4. Общество при защите Персональных данных принимает все необходимые организационно-технические меры.
11. СПРАВОЧНАЯ ИНФОРМАЦИЯ
11.1. Если после прочтения настоящей Политики у Субъекта ПДн остались вопросы, то указанное лицо вправе получить разъяснения по всем интересующим вопросам направив официальный запрос по почте на адрес: 107023, город Москва, переулок Медовый, д. 5, стр.1, этаж 2, пом. 5 лицу, ответственному за организацию обработки персональных данных в Обществе.
11.2. В случае направления официального запроса в Общество, в тексте запроса необходимо указать: -номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие гражданина в отношениях с Обществом (например, номер и дата заключения договора, условное словесное обозначение) либо сведения, иным способом подтверждающие факт обработки персональных данных Обществом; - подпись гражданина (или его законного представителя)*.
* Если официальный запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа, подписанного электронной подписью в соответствии с законодательством РФ
1.1. Настоящая Политика составлена в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
1.2. Настоящая Политика действует в отношении всех персональных данных, которые ООО "РЕФОРМА" (далее – Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору с Обществом (в том числе уполномоченным представителем такой стороны) или клиентом и/или потенциальным клиентом Общества, желающим заключить с Обществом договор розничной купли-продажи и/или иной гражданско-правовой договор, а также желающим получать информацию на сайте Общества (п. 1.6. Политики) или желающего участвовать в маркетинговых мероприятиях Общества, в том числе путем осуществления прямых контактов с помощью средств связи (с использованием телефонной связи, смс-сервисов, электронной почты), а также от субъекта персональных данных, состоящего с Обществом в отношениях, регулируемых трудовым законодательством, кандидатов на работу.
1.3. Настоящая Политика разъясняет принципы, цели, условия и порядок обработки персональных данных, а также определяет категории (субъектов) персональных данных, меры по защите персональных данных и исполнению законодательства РФ.
1.4. Настоящая Политика применяется ко всем субъектам персональных данных, перечисленным в пункте 1.2 настоящей Политики (далее – Субъекты ПДн).
1.5. Сайт Общества имеет доменное имя: feelcomfort.ru.
1.6. Правовым основанием обработки персональных данных субъектов в Обществе являются:
1.6.1 Осуществление возложенных на Общество законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, федеральными законами и иными нормативными правовыми актами России, а также локальными нормативными документами Общества (далее – ЛНД), в том числе:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ст. 85-90 Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
- Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ № 1119 от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Согласием субъектов персональных данных на осуществление обработки персональных данных;
- Уставом Общества;
- ЛНД.
1.6.2. Организация учета работников Общества для обеспечения соблюдения законов и иных нормативных правовых актов России, содействия в трудоустройстве, обучении, пользования различного вида льготами в соответствии с:
- Трудовым кодексом РФ;
- Налоговым кодексом РФ;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- ЛНД.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные хранятся и обрабатываются с соблюдением требований законодательства Российской Федерации в форме, позволяющей определить Субъекта ПДн, не
дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн.
2.2. Общество гарантирует, что не обрабатывает и не будет обрабатывать через Сайт специальные категории персональных данных, а именно касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные Субъектов ПДн.
2.3. Общество рассматривает персональные данные как ценный актив и принимает необходимые и достаточные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
2.4. Персональные данные Субъектов ПДн хранятся на защищенных серверах Общества.
2.5. Доступ к персональным данным разрешен только ограниченному числу уполномоченных лиц.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Цели обработки персональных данных субъектов в Обществе:
3.1.1. Реализации товаров, работ (услуг) через Интернет;
3.1.2. Заключение и исполнение договоров с клиентами / контрагентами;
3.1.3. Рассмотрение возможности заключения трудового договора с Субъектом ПДн;
3.1.4. Регулирование трудовых отношений работника с Обществом (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля качества выполняемой работы и обеспечения сохранности имущества);
3.1.5. Передача Обществом персональных данных или поручения их обработки третьим лицам в соответствии с действующим законодательством РФ;
3.1.6. Обеспечение пропускного режима в офис Общества;
3.1.7. Предоставление сведений уведомительного или маркетингового характера, в том числе о новых продуктах, услугах, проводимых маркетинговых акциях и мероприятиях (по которым имеется предварительное согласие Субъекта ПДн на их получение);
3.1.8. Осуществление функций, полномочий и обязанностей, возложенных на Общество действующим законодательством РФ.
3.2. Допускаются иные цели обработки персональных данных Субъекта ПДн в случае, если указанные действия не противоречат действующему законодательству РФ, деятельности Общества, и на проведение указанной обработки получено письменное согласие Субъекта ПДн.
3.3. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных соответствуют целям обработки персональных данных Субъектов ПДн.
3.4. Общество не использует персональные данные Субъектов ПДн в целях причинения им имущественного и морального вреда, затруднения реализации ими своих прав и свобод.
3.5. Обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется в случае, если выполняется одно из следующих условий:
4.1.1. Обработка персональных данных осуществляется с согласия Субъекта ПДн на обработку его персональных данных.
4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
4.1.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).
4.1.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем.
4.1.5. Обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн.
4.1.6. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с клиентом с помощью средств связи, а также политической агитации, обработка персональных данных при которых допускается только при условии предварительного согласия Субъекта персональных данных.
4.1.7. Осуществляется Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе.
4.1.8. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ.
4.2. Доступ к персональным данным предоставлен Обществу непосредственно Субъектом ПДн либо с его письменного согласия его персональные данные сделаны общедоступными (включены в общедоступные источники персональных данных для неограниченного круга лиц в соответствии со ст. 8 Федерального закона «О персональных данных»).
4.3. Обрабатываемые персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ.
5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется работниками, уполномоченными на то должностными инструкциями, иными ЛНД или приказами Общества. При этом указанные работники имеют право доступа только к тем персональным данным Субъектов ПДн, которые необходимы им для выполнения конкретных должностных обязанностей.
5.2. Общество вправе поручить обработку персональных данных третьей стороне с согласия Субъекта ПДн и в иных случаях, предусмотренных действующим законодательством РФ, на основании заключаемого с этой стороной договора. Третья сторона, осуществляющая обработку персональных данных по договору, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», обеспечивая при обработке их конфиденциальность, целостность и доступность.
5.3. Обработка персональных данных в Обществе проводиться как с использованием средств автоматизации (информационных систем), так и без таковых с учетом требований
законодательства РФ. Конкретный способ обработки персональных данных определяется на основании процедур использования данных, определенных ЛНД.
5.4. Исключительно автоматизированная обработка персональных данных в Обществе не осуществляется. Во всех процессах обработки персональных данных с использование автоматизации принимают участие работники Общества.
5.5. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов или в электронном виде на бумажных или электронных
носителях соответственно.
5.6. Общество получает персональные данные от самого Субъекта ПДн или от лица, не являющегося Субъектом ПДн, при условии предоставления Обществу подтверждения наличия оснований, указанных в п.п. 1-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или основаниях, предусмотренных законодательством РФ.
5.7. Передача персональных данных третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных действующим законодательством РФ, либо в случае наличия у Общества согласия Субъекта ПДн на передачу его персональных данных третьим лицам.
5.7.1. В случае, если обязанность Общества по предоставлению персональных данных третьим лицам предусмотрена законодательством РФ, то Общество обязано предоставить персональные данные в составе, виде и сроки, указанные в соответствующих нормативных правовых актах.
5.7.2. Любые запросы третьих лиц, не являющихся владельцами персональных данных, на предоставление персональных данных Субъектов ПДн должны рассматриваться ответственными работниками Общества на предмет их обоснованности и правомерности в сроки, установленные ЛНД или приказами Общества.
6. КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В Обществе обрабатываются следующие категории персональных данных:
- фамилия,
- имя,
- отчество,
- год рождения,
- месяц рождения,
- дата рождения,
- место рождения,
- адрес,
- семейное положение,
- социальное положение,
- образование,
- профессия,
- доходы.
6.2. В Обществе обрабатываются иные категории персональных данных:
- телефон,
- e-mail,
- ИНН,
- СНИЛС,
- табельный номер,
- пол,
- сведения о воинском учете.
6.3. В Обществе запрещена обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.4. В Обществе обработка персональных данных о состоянии здоровья субъектов допускается только в отношении персональных данных работников или Субъектов ПДн, являющихся кандидатами на работу в структурные подразделения Общества, содержащихся на бумажном носителе, в целях исполнения двусторонних договоров, регулирующих трудовые отношения Общества и его работника, в целях исполнения действующего трудового законодательства РФ (п. 2.3. ч. 2 ст. 10 Федерального закона «О персональных данных»), а также в целях исполнения иных договорных обязательств Общества с письменного согласия Субъекта ПДн (п.п.1,8 ч.2 ст.10 Федерального закона «О персональных данных»).
6.5. Условия и порядок обработки персональных данных работников Общества, Субъектов ПДн, являющихся кандидатами на вакантные должности устанавливается отдельными ЛНД Общества.
7. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общество осуществляет обработку персональных данных следующих категорий Субъектов ПДн: клиентов – физических лиц, зарегистрированных на Сайте Общества и приобретающих товары, работы (услуги) на Сайте Общества, а также детей клиентов; учредителей, участников (акционеров, товарищей, пайщиков), руководителей, представителей, должностных лиц и прочих работников контрагентов – юридических лиц, а также индивидуальных предпринимателей; работников и связанных с ними близких родственников, а также Субъектов ПДн, являющихся кандидатами на трудоустройство в Общество; выгодоприобретателей, бенефициарных владельцев клиентов; действующих и бывших работников Общества; участников (акционеров, товарищей, пайщиков), аффилированных лиц Общества, руководителей клиентов, являющихся аффилированными лицами по отношению к Обществу.
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект ПДн вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются не полными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные действующим законодательством РФ меры.
8.2. Субъект ПДн имеет право на получение информации, касающейся обработки его Персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона «О персональных данных»;
- перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, от которого поступил запрос, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию о ранее осуществленной или о предполагаемой трансграничной передаче персональных данных;
- сведения о лице, осуществляющем обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.3. Субъект ПДн имеет право обжаловать действия или бездействие Общества в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке в случае, если Субъект ПДн считает, что Общество осуществляет обработку его персональных данных с нарушением требований закона о персональных данных или иным образом нарушает его права и свободы.
8.4. Субъект ПДн имеет также право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8.5. Субъект ПДн при обращении в Общество по вопросам обработки и защиты его персональных данных может направить в адрес Общества письменный запрос.
8.6. Право Субъекта ПДн данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
8.7. Общество вправе отказать Субъекту ПДн в выполнении повторного запроса сведений о его персональных данных, не соответствующего условиям действующего законодательства Российской Федерации. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
9. ОБЯЗАННОСТИ ОБЩЕСТВА
9.1. Общество, как Оператор по обработке персональных данных, несет обязанности, предусмотренные главой 4 Федерального закона «О персональных данных», а именно при сборе, обработке и защите персональных данных Общество обязуется:
9.1.1. Предоставлять персональные данные Субъекту ПДн в доступной форме, не содержащей персональные данные, относящиеся к другим Субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.1.2. Предоставлять персональные данные Субъекту или его представителю при обращении, в течение 30 (Тридцати) дней с даты получения запроса Субъекта ПДн или его представителя.
9.1.3. Разъяснять письменно Субъекту ПДн юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законом.
9.1.4. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
9.1.5. Разместить на сайте Общества, как Оператора персональных данных, настоящую Политику и обеспечивать неограниченный доступ к ней.
9.1.6. Представлять документы, ЛНД, определяющие состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также подтверждать принятие соответствующих мер по запросу уполномоченного органа по защите прав Субъектов ПДн.
9.1.7. Принимать необходимые правовые, организационные и технические меры либо обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.1.8. В случае подтверждения факта неточности персональных данных и на основании сведений, представленных Субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных уточнять персональные данные Субъекта, либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.1.9. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, в срок, не превышающий трех рабочих дней с даты этого выявления, Общество обязуется прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней от даты выявления неправомерной обработки персональных данных, обязуется уничтожить такие персональные данные или обеспечить их уничтожение.
9.1.10. Уведомлять об устранении допущенных нарушений или об уничтожении персональных данных Субъекта ПДн или его представителя, а в случае, если обращение Субъекта ПДн или его представителя, либо запрос уполномоченного органа по защите прав Субъектов ПДн были направлены уполномоченным органом по защите прав Субъектов ПДн, также уведомлять указанный орган.
9.1.11. Прекратить обработку персональных данных в случае достижения цели обработки персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества), уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн, либо если Общество не вправе осуществлять обработку персональных данных без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных», или другими федеральными законами.
9.1.12. Прекратить обработку персональных данных Субъекта ПДн в случае отзыва им согласия на обработку его персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку персональных данных без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
9.1.13. Назначить лиц, ответственных за организацию обработки персональных данных, в том числе и защиту персональных данных.
9.1.14. Не раскрывать третьим лицам и не распространять персональные данные без письменного согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
9.1.16. При передаче персональных данных третьему лицу осуществлять её с письменного согласия Субъекта ПДн. В том случае, если обработка персональных данных поручена третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
9.1.17. Направлять уведомления в уполномоченный орган по защите прав Субъектов ПДн в случаях, установленных Федеральным законом «О персональных данных».
9.2. В соответствии со статьей 18.1. Федерального закона «О персональных данных» Общество самостоятельно определяет состав, и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства РФ в области персональных данных.
10. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ОБЩЕСТВОМ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Меры по обеспечению безопасности Персональных данных при их обработке, применяемые Обществом, организовываются и реализуются в соответствии с требованиями, предусмотренными ст. 19 Федерального закона «О персональных данных».
10.2. Выбор требований к защите Персональных данных, обрабатываемых в информационных системах, осуществляется в соответствии с организационно- распорядительными и
методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, в зависимости от результатов классификации указанных систем.
10.3. Под защитой Персональных данных Субъекта понимается комплекс организационно-технических мер, направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных Субъектов, а также от иных неправомерных действий в отношении Персональных данных Субъекта.
10.4. Общество при защите Персональных данных принимает все необходимые организационно-технические меры.
11. СПРАВОЧНАЯ ИНФОРМАЦИЯ
11.1. Если после прочтения настоящей Политики у Субъекта ПДн остались вопросы, то указанное лицо вправе получить разъяснения по всем интересующим вопросам направив официальный запрос по почте на адрес: 107023, город Москва, переулок Медовый, д. 5, стр.1, этаж 2, пом. 5 лицу, ответственному за организацию обработки персональных данных в Обществе.
11.2. В случае направления официального запроса в Общество, в тексте запроса необходимо указать: -номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие гражданина в отношениях с Обществом (например, номер и дата заключения договора, условное словесное обозначение) либо сведения, иным способом подтверждающие факт обработки персональных данных Обществом; - подпись гражданина (или его законного представителя)*.
* Если официальный запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа, подписанного электронной подписью в соответствии с законодательством РФ
