Политика
в отношении обработки персональных данных
Косметического объединения АО «СВОБОДА»

 

1. ОБЩИЕ ПОЛОЖЕНИЯ.

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана и применяется в Акционерном обществе «Косметическое объединение «СВОБОДА» (далее  – Общество) в соответствии  с  п. 2  ч. 1 ст.  18.1  Федерального  закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 (далее - «Закон»).

1.2. Настоящая Политика определяет позицию Общества в отношении обработки и защиты персональных данных (далее – «ПД»),  принятых на обработку, порядок и условия осуществления обработки ПД физических лиц, передавших свои ПД для обработки Обществу (далее – субъекты ПД) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой ПД.

1.3. Политика разработана с целью обеспечения защиты прав и свобод субъектов ПД при обработке их ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Настоящая Политика распространяется на ПД, полученные как до, так и после ввода в действие настоящей Политики.


2. ОПРЕДЕЛЕНИЯ.

2.1. Персональные данные Субъекта персональных данных – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

2.3. Под безопасностью персональных данных понимается защищенность ПД от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.


3.ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Обработка и обеспечение безопасности ПД осуществляется в соответствии с требованиями  Конституции Российской Федерации, Федерального закона № 152-ФЗ «О ПД», подзаконных актов, других определяющих случаи и особенности обработки ПД федеральных законов Российской Федерации.

3.2. Субъектами ПД, обрабатываемых Обществом, являются:

  • клиенты – потребители, а именно: посетители сайта, принадлежащего Обществу: http://www.svobodako.ru (далее – «Сайт»), в том числе с целью оформления заказа (заявки, отзыва и др.) на Сайте с последующей доставкой клиенту или без последующей доставки, получатели услуг по доставке, по проведению экскурсий;

3.3. Общество осуществляет обработку ПД Субъектов ПД в следующих целях:

  • для осуществления обработки и доставки заказов покупателей;
  • для осуществления обработки заявок на проведение экскурсий;
  • для сбора и обработки мнений (предложений, жалоб, отзывов) о товарах и услугах и направлении ответов на них.
  • в иных целях в случае, если соответствующие действия Общества не противоречат действующему законодательству, деятельности Общества, и на проведение указанной обработки получено согласие Субъекта ПД. 

3.4. Общество  осуществляет обработку следующих ПД: фамилия, имя, отчество субъектов ПД; номер контактного телефона; адрес электронной почты; адрес доставки заказа.

При получении ПД, не указанных в настоящем пункте, такие данные подлежат немедленному уничтожению лицом, непреднамеренно получившим их.

 

4. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. При обработке ПД Общество придерживается следующих принципов:

  • законности и справедливой основе;
  • ограничения обработки ПД достижением конкретных, заранее определенных и законных целей;
  • своевременности и достоверности получения согласия субъекта ПД на обработку ПД;
  • обработки только ПД, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых ПД заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки;
  • недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
  • обеспечения точности ПД, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПД. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  • хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД.

4.2. Общество обрабатывает ПД только при наличии хотя бы одного из следующих условий:

  • обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
  • обработка ПД необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
  • обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе;
  • осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

 

5. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1. ПД субъектов ПД получаются Обществом посредством электронного сайта Общества http://www.svobodako.ru при осуществлении субъектом ПД заказа товаров, записи на экскурсии, при обращении субъекта ПД в Общество посредством отправки сообщений (предложений, жалоб, отзывов и др.) о товарах и услугах, заполнения форм обратной связи, иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите ПД.

5.2. Общество вправе пользоваться предоставленными персональными данными в соответствии с заявленными целями их сбора при наличии согласия субъекта ПД, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области ПД.

5.3. Согласие на обработку ПД может быть дано субъектом ПД в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения субъектом ПД конклюдентных действий.

5.4. Согласие на обработку ПД считается предоставленным субъектом ПД посредством совершения субъектом ПД следующих действий:

  • нажатием кнопки «отправить» в соответствующей графе формы заказа (заявки, отзыва и др.).

5.5. Согласие считается полученным с момента отправки соответствующей формы заказа (заявки, отзыва и др.) и действует до момента отмены субъектом ПД заказа (заявки, отзыва и др.) или до момента направления субъектом ПД Обществу отзыва согласия на обработку ПД в соответствии с п.5.13. настоящей Политики.

5.6. Общество не осуществляет обработку ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

5.7. Биометрические Данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта) Обществом не обрабатываются.

5.8. Общество не осуществляет трансграничную передачу ПД.

5.9. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять передачу ПД третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

5.10. Общество вправе поручить обработку ПД субъектов ПД третьим лицам с согласия субъекта ПД, на основании заключаемого с этими лицами договора.

5.11. Лица, осуществляющие обработку ПД на основании заключаемого с Обществом договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты ПД, предусмотренные Законом. Для каждого третьего лица в договоре определяются перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку ПД, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПД при их обработке, указываются требования к защите обрабатываемых ПД в соответствии с Законом.

5.12. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка ПД в Обществе осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

5.13. Субъект ПД может в любой момент отозвать свое согласие на обработку ПД. Отзыв согласия на обработку ПД осуществляется путем направления письменного уведомления по адресу Общества: 127015, г. Москва, ул. Вятская, д. 47. После получения такого сообщения обработка ПД субъекта будет прекращена в срок, не превышающий 30 (Тридцати) дней с даты поступления отзыва, а его ПД будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством.


6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ ОБЩЕСТВА В ЧАСТИ ОБРАБОТКИ ДАННЫХ.

6.1. Субъект, ПД которого обрабатываются Обществом, имеет право: ­

- получать от Общества:

  • подтверждение факта обработки ПД и сведения о наличии ПД, относящихся к соответствующему субъекту ПД;
  • сведения о правовых основаниях и целях обработки ПД;
  • сведения о применяемых Обществом способах обработки ПД;
  • сведения о наименовании и местонахождении Общества;
  • сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты ПД на основании договора с Обществом или на основании федерального закона;
  • перечень обрабатываемых ПД, относящихся к субъекту ПД, и информацию об источнике их получения, если иной порядок предоставления таких ПД не предусмотрен федеральным законом;
  • сведения о сроках обработки ПД, в том числе о сроках их хранения;
  • сведения о порядке осуществления субъектом ПД прав, предусмотренных Законом;
  • наименование (Ф.И.О.) и адрес лица, осуществляющего обработку ПД по поручению Общества;
  • иные сведения, предусмотренные Законом или другими нормативно-правовыми актами Российской Федерации; ­

- требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; ­

- отозвать свое согласие на обработку ПД в любой момент;

- ­требовать устранения неправомерных действий Общества в отношении его ПД;

- обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Общество осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;

- на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.

6.2. Общество в процессе обработки ПД обязано:

­- предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение 30 дней с даты получения запроса субъекта ПД или его представителя;

- до начала обработки ПД (если ПД получены не от субъекта ПД) предоставить субъекту ПД следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона: 1) наименование либо фамилия, имя, отчество и адрес Компании или ее представителя; 2) цель обработки ПД и ее правовое основание; 3) предполагаемые пользователи ПД; 4) установленные Законом права субъектов ПД; 5) источник получения ПД; ­

- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

­- опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

- ­предоставить субъектам ПД и/или их представителям безвозмездно возможность ознакомления с персональными данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;

-­ осуществить блокирование неправомерно обрабатываемых ПД, относящихся к субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекту ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД;

 - уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПД, в случае подтверждения факта неточности ПД на основании сведений, представленных субъектом ПД или его представителем;

- прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней с даты этого выявления;

-­ прекратить обработку ПД или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, в случае достижения цели обработки ПД;

-­ прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва субъектом ПД согласия на обработку ПД, если Общество не вправе осуществлять обработку ПД без согласия субъекта ПД.


7. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

 7.1. Общество при обработке ПД принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

7.2. К таким мерам в соответствии с Законом, в частности, относятся:

- ­назначение лица, ответственного за организацию обработки ПД, и лица, ответственного за обеспечение безопасности ПД;

-­ разработка и утверждение локальных актов по вопросам обработки и защиты ПД;

- применение правовых, организационных и технических мер по обеспечению безопасности ПД:

  • определение угроз безопасности ПД при их обработке в информационных системах ПД;
  • применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
  • учет машинных носителей ПД, если хранение ПД осуществляется на машинных носителях;
  • обнаружение фактов несанкционированного доступа к ПД и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД.

- контроль за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищенности информационных систем ПД;

-­ оценка вреда, который может быть причинен субъектам ПД в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

­- соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПД и обеспечивающих сохранность ПД;

- ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, локальными актами по вопросам обработки и защиты ПД, и обучение работников Общества.

 

8. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ.

8.1. Сроки обработки (хранения) ПД определяются исходя из целей обработки ПД, требованиями федеральных законов.

8.2. ПД, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПД после прекращения их обработки допускается только после их обезличивания.


9. ПОРЯДОК ПОЛУЧЕНИЯ РАЗЪЯСНЕНИЙ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

9.1. Лица, чьи ПД обрабатываются Обществом, могут получить разъяснения по вопросам обработки своих ПД, обратившись лично в Общество или направив соответствующий письменный запрос по адресу местонахождения Общества: 127015, Москва, ул. Вятская, д. 47.

 

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.

10.1. Настоящая Политика является локальным нормативным актом Общества. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте Общества по адресу: http://www.svobodako.ru/default2.aspx?s=0&p=505. Настоящая Политика может быть пересмотрена в любом из следующих случаев:

- при изменении законодательства Российской Федерации в области обработки и защиты ПД;

- ­в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;

- по решению руководства Общества;

-­ при изменении целей и сроков обработки ПД;

- при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

- ­при применении новых технологий обработки и защиты ПД (в т. ч. передачи, хранения);

-­ при появлении необходимости в изменении процесса обработки ПД, связанной с деятельностью Общества.

10.2. В случае неисполнения положений настоящей Политики Общество и его работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

10.3. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки ПД Общества, а также за безопасность ПД.