Положение об обработке и защите персональных данных ООО СОЮЗСПЕЦОДЕЖДА

Положение об обработке и защите персональных данных ООО СОЮЗСПЕЦОДЕЖДА

1. Общие положения

   1.1. Положение об обработке и защите персональных данных в Обществе с ограниченной ответственностью «СОЮЗСПЕЦОДЕЖДА» (далее - Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в обществе с ограниченной ответственностью «СОЮЗСПЕЦОДЕЖДА» (далее – Оператор, Компания).

   1.2. Настоящее Положение определяет политику Компании как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных. Обработка персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
   В целях реализации Положения в Компании разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
   Положение об обработке персональных данных работников Компании;
   Иные локальные нормативные акты и документы, регламентирующие в Компании вопросы обработки персональных данных.

   1.3. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257), постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также иных нормативных правовых актов Российской Федерации, регулирующих вопросы обработки персональных данных.

   1.4. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
   Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение Данных.
   Субъектами персональных данных, обрабатываемых Компанией, являются:
   кандидаты, претендующие на замещение вакантных должностей в Компании;
   работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
   лица, входящие в органы управления Компании и не являющимися работниками;
   субъекты (физические лица), с которыми Компанией заключаются договоры гражданско-правового характера;
   контрагенты Компании - физические лица, представители юридических лиц – контрагентов Компании;
   клиенты – потребители, в т.ч. посетители либо зарегистрированные пользователи сайта, принадлежащего Компании: https://www.specodegda.ru/ (далее – «Сайт»), в том числе с целью оформления заказа на Сайте с последующей доставкой клиенту, получатели услуг по доставке, участники бонусных программ лояльности;

   1.5. Компания осуществляет обработку персональных данных субъектов в следующих целях, но не ограничиваясь:
   

   • осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также уставом и локальными актами Компании.
   • Работников: в целях соблюдения Компанией как работодателем трудового, налогового и пенсионного законодательства Российской Федерации, а именно выполнения следующих задач, но не ограничиваясь:
     - заключения/исполнения обязательств по трудовым и гражданско-правовым договорам;
     - содействия соискателям в трудоустройстве, работникам в обучении и продвижении по службе;
     - расчета и начисления заработной платы, начислением и уплатой налога на доходы физических лиц, а также иных обязательных выплат, формированию и представлению персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с действующим законодательством;
     - исполнения судебных актов, актов других органов, подлежащих исполнению в соответствии с требованиями действующего законодательства; - организации командировок работников;
     - оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
     - защиты жизни, здоровья и других жизненно важных интересов работников, либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных невозможно;
     - контроля количества и качества выполняемой работы;
     - обеспечения сохранности имущества;
     - обеспечения контрольно- пропускного режима в помещениях Компании;
     - организации кадрового учета работников, ведения кадрового делопроизводства, учета рабочего времени;
     - поддержании корпоративной культуры, коммуникаций между работниками;
     - пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами Компании;
   • Близких родственников, детей работников Компании, в целях:
     исполнения требований законодательства Российской Федерации;
     предоставления дополнительных льгот.
   • Кандидатов на вакантные должности (соискателей) в целях:
     принятия решения о возможности заключения трудового договора с лицами, претендующими на вакантные должности и организации трудоустройства;
   • Лиц, входящих в органы управления Компании, не являющихся работниками, в целях:
     выполнения требований, предусмотренных законодательством, в т.ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок;
   • Контрагентов-физических лиц в целях, но не ограничиваясь:
     подготовки, заключения, исполнения и прекращения договора, одной из сторон которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет
     являться выгодоприобретателем или поручителем;
     рассмотрения возможностей дальнейшего сотрудничества.
   • Представителей юридических лиц – контрагентов Компании в целях, а именно, но не ограничиваясь:
     ведения переговоров, подготовки, заключение, исполнение и прекращения договоров, по которым предоставляются персональные данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.
   • Клиентов – потребителей в целях, а именно, но не ограничиваясь:
     реализации товаров и услуг;
     исполнения договора, в т.ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайте;
     - регистрации и обслуживании аккаунта на сайте;
     - информирования о предлагаемых Компанией товарах, оказываемых услугах,
     - информирования о проводимых Компанией бонусных мероприятиях, рекламных акциях, розыгрышей призов среди покупателей, специальных предложениях и т.п.;
     - контроля Компанией результатов рекламных акций
     анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
     клиентской поддержки;
     информирования о статусе заказа;
     - направления уведомлений, запросов и информации, обработки запросов и заявок от пользователя;
     доставки заказанного товара клиенту, совершившему заказ на Сайте, возврата товара.
     - рекламирования и иного любого продвижения Компанией товаров и услуг Компании на рынке путем осуществления прямых контактов с Пользователем, Клиентом – потребителем посредством смс / e-mail рассылки, направления SMS-сообщений на телефонные номера, рассылки посредством информационно-коммуникационных сервисов, таких как WhatsApp, Telegram и т.п., а также иных видов рассылок и уведомлений с использованием любых средств связи, направления обращений на адреса электронной почты, телефонные обращения;
     - анализа Компанией покупательских особенностей;
     - ведения и актуализации Компанией клиентской базы;
     - проведение аналитических исследований, в том числе с целью выявления возможных недостатков и/или нарушений в работе Сайта, в том числе касающихся безопасности его
     - проведению Оператором опросов и исследований, направленных на выявление удовлетворенности / неудовлетворенности Клиента, Пользователя в товарах и услугах, предоставляемых Оператором;
     - проведения маркетинговых и иных исследовательских действий, проведения электронных и sms опросов.
   • Участников программ лояльности, иных маркетинговый мероприятий в целях:
     информирования о предлагаемых Компанией товарах, оказываемых услугах;
     - информирования о проводимых Компанией бонусных мероприятиях, рекламных акциях, розыгрышей призов среди покупателей, специальных предложениях и т.п.;
     - рекламирования и иного любого продвижения Компанией товаров и услуг Компании на рынке путем осуществления прямых контактов с Пользователем, Клиентом – потребителем посредством смс / e-mail рассылки, направления SMS-сообщений на телефонные номера, рассылки посредством информационно-коммуникационных сервисов, таких как WhatsApp, Telegram и т.п., а также иных видов рассылок и уведомлений с использованием любых средств связи, направления обращений на адреса электронной почты, телефонные обращения;
     - контроля Компанией результатов рекламных акций
     идентификация участника в программе лояльности;
     исполнения Компанией обязательств по программе лояльности.
   • обеспечения пропускного и внутриобъектового режимов на объектах Компании;
   • осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей;
   • в иных законных целях.

   1.6. Компания не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, судимости физических лиц, за исключением случаев, предусмотренных законодательством Российской Федерации.

   1.7. Компания вправе осуществлять обработку специальной категории персональных данных, касающейся состояния здоровья субъекта персональных данных (застрахованных лиц и иных лиц), в случаях предусмотренных действующим законодательством.

   1.8. Обработка биометрических данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) в Компании осуществляется в соответствии с законодательством Российской Федерации.

   1.9. Компания вправе осуществлять трансграничную передачу персональных данных работников Компании на территорию иностранного государства иностранному физическому или иностранному юридическому лицу с целью заключения Компанией гражданско-правовых договоров с иностранными контрагентами и исполнения обязательств по ним, с целью организации зарубежных командировок работников.
   Компания не осуществляет трансграничную передачу персональных данных иных субъектов персональных данных.

   1.10. В Компании запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством Российской Федерации.

   1.11. Компания при сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

   1.12. Во исполнение требований ч. 2 ст. 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Компании.

2. Общие принципы обработки персональных данных. Основные права субъекта персональных данных, права и обязанности Компании.

   2.1. Компания осуществляет обработку персональных данных на основе общих принципов:

   2.1.1.Обработка персональных данных осуществляется на законной и справедливой основе, осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
   Сбор персональных данных осуществляется путем получения их непосредственно от субъекта персональных данных, в случае оформления согласия на распространение, такое согласие дополнительно может быть оформлено с использованием информационной системы Роскомнадзора.
   В случае возникновения необходимости получения персональных данных у третьей стороны следует заранее известить об этом субъекта персональных данных, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона № 152-ФЗ).
   Получение письменных согласий на обработку персональных данных субъекта, в случаях, когда в соответствии с федеральными законами для обработки персональных данных требуется письменное согласие, осуществляется структурным подразделением Компании, в полномочия которого входит решение вопроса, в связи с которым требуется получение такого согласия.
   Получение письменных согласий на обработку персональных данных работников и граждан, претендующих на вакантных должностей осуществляется отделом кадров Компании.
   Персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, требующих раскрытия персональных данных в соответствии с требованиям законодательства Российской Федерации.
   Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона № 152-ФЗ. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных;

   2.1.2. Обработке подлежат персональные данные, отвечающие заранее определенным и законным целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки.
   Содержание и объем обрабатываемых персональных данных определяются целями их обработки, приведенными в п.1.5 Положения, и указываются в согласии субъекта персональных данных на обработку его персональных данных, за исключением случаев, когда обработка персональных данных может осуществляться без получения такого согласия на основании Федерального закона № 152-ФЗ. Обработка персональных данных, избыточных по отношению к заявленной цели их обработки, не допускается;

   2.1.3. При обработке обеспечиваются достоверность, точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;

   2.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

   2.1.5. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

   2.1.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

   2.1.7. Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

   2.1.8. Компания обеспечивает конфиденциальность и безопасность обрабатываемых персональных данных.

   2.2. В рамках обработки персональных данных для субъекта персональных данных и Компании определены следующие права.

   2.2.1. Субъект персональных данных имеет право:
   - получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных, в том числе содержащей:
   

   • подтверждение факта обработки персональных данных Компанией,
   • правовые основания и цели обработки персональных данных;
   • цели и применяемые Компанией способы обработки персональных данных;
   • наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть переданы или раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
   • перечень и категории обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
   • сроки обработки персональных данных, в том числе сроки их хранения;
   • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
   • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
   • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
   • информацию о способах исполнения Компанией обязанностей по обработке персональных данных, установленных статьей 18.1 Федерального закона № 152-ФЗ;
   • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
   
   - требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
   - принимать предусмотренные законом меры по защите своих прав;
   - отозвать свое согласие на обработку персональных данных и потребовать удалить свои персональные данные, если персональные данные больше не требуются для целей, в которых они были получены, и у Компании отсутствуют законные основания для обработки его персональных данных;
   - требовать немедленно прекратить обработку его персональных данных в целях продвижения Компанией товаров, работ, услуг;
   - обратиться к Компании с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения.
   - обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Компании при обработке его персональных данных;
   Субъект персональных данных имеет также иные права, установленные законодательством Российской Федерации.

   2.2.2. Компания имеет право:
   - обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
   - получать от субъекта персональных данных предоставление достоверных персональных данных, необходимых для исполнения договора, оказания услуги, а также в иных случаях, предусмотренных Законодательством о персональных данных;
   - самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом № 152-ФЗ или другими федеральными законами.
   - ограничить доступ субъекта персональных данных к его персональным данным в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
   - в случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ - поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъекта персональных данных на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке. Ответственность в этом случае перед субъектом персональных данных за действия указанного лица несет Компания.

   2.3. Компания обязана:

   2.3.1. Уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных;

   2.3.2. Организовывать обработку персональных данных в порядке, установленном Федеральным законом № 152-ФЗ.

   2.3.3. В случаях, установленных законодательством Российской Федерации в области персональных данных, Компания обязана предоставить субъекту персональных данных или его представителю при обращении либо при получении запроса от субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных (предусмотренную п. 2.2.1 настоящей Положения), в сроки установленные Федеральным законом № 152-ФЗ по месту своего расположения в рабочее время.
   При сборе персональных данных Компания обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Федерального закона № 152 ФЗ

   2.3.4. Предоставить субъектам персональных данных и/или их представителям безвозмездно возможность ознакомления с персональными данными при обращении с соответствующим запросом в течение 10 рабочих дней с даты получения подобного запроса;

   2.3.5. Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом, а также последствия отказа дать согласие на их обработку;

   2.3.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа осуществить блокирование неправомерно обрабатываемых персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных при обращении субъекта персональных данных или его представителя либо по их запросу обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;

   2.3.7 Уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование персональных данных, в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем;

   2.3.8. Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты получения Компанией соответствующего требования или выявления неправомерной обработки персональных данных;

   2.3.9. Прекратить обработку Данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Компанией) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Компанией) по достижению цели обработки персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных, либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;

   2.3.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

   2.3.11. В случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных Компания обязана в срок, не превышающий 10 рабочих дней с даты получения требования прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «№ 152 ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

   2.3.12. В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков, Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

   2.3.13. Опубликовать в сети Интернет и иным образом обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему политику Компании в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

   2.3.14. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

   2.3.15. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания обязана с момента выявления такого инцидента самой Компанией, либо уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
   1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Компанией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
   2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

   2.3.16. Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

   2.3.17. Сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;

   2.3.18. Компания несет иные обязанности, установленные Федеральным законом № 152-ФЗ и законодательством Российской Федерации.

3. Порядок и условия обработки персональных данных, их хранения и уничтожения.

   Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
   Сбор, запись, систематизация, накопление и уточнение персональных данных осуществляются путем: получения оригиналов необходимых документов; копирования оригиналов документов; внесения сведений в учетные формы (на бумажных и электронных носителях); формирования персональных данных в ходе их обработки; внесения персональных данных в информационные системы Компании.

   3.1. Обработка Персональных данных в Компании осуществляется с согласия субъекта персональных данных, оформленного в соответствии с пунктом 4 статьи 9 Федерального № 152-ФЗ закона кроме случаев, установленных законодательством Российской Федерации, с соблюдением требований конфиденциальности персональных данных, установленных статьей 7 Федерального закона № 152-ФЗ, а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите персональных данных, установленных законодательством Российской Федерации. При этом:
   - Компания не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение Компанией согласия на обработку персональных данных не является обязательным.
   - заключаемые Компанией с субъектом персональных данных договоры не содержат положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
   - обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется на основании согласия, которое оформляется отдельно от иных согласий субъекта персональных данных. В данном согласии субъект имеет право определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, а также установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц;
   - обработка персональных данных субъектов, не достигших совершеннолетия, осуществляется при наличии согласия законного представителя такого субъекта. Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации, а также смешанную обработку.
   - запрещается обрабатывать персональные данные, не предусмотренные настоящим Положением, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, за исключением случаев, установленных ч. 2 ст. 10 Федерального закона № 152-ФЗ. Обработка специальной категории персональных данных, касающейся состояния здоровья субъекта персональных данных осуществляется с согласия субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными субъектом персональных данных.

   3.2. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
   Обработка персональных данных в Компании осуществляется следующими способами:
   - неавтоматизированная (без использования средств автоматизации) обработка персональных данных;
   - автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; - смешанная обработка персональных данных.

   3.2.1. При обработке персональных данных, осуществляемой без использования средств автоматизации:
   - руководителями структурных подразделений Компании определяются места хранения персональных данных (материальных носителей) для исключения несанкционированного доступа к ним;
   - персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
   - при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных должны соблюдаться следующие условия:

   • типовая форма (бланк) или связанные с ней документы (карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Компании, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
   • типовая форма (бланк) должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
   • типовая форма (бланк) должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
   • типовая форма (бланк) не должна допускать фиксацию на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
   
   - при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности:
   
   
   • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
   • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
   
   - уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

   3.2.2. При обработке персональных данных в информационных системах персональных данных Компании:
   - Доступ сотрудников Компании к персональным данным, находящимся в информационных системах персональных данных, предусматривает обязательное прохождение ими процедуры идентификации и аутентификации. Лицам, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется пароль для доступа к соответствующей информационной системе персональных данных (прикладной программной подсистеме). Доступ указанным лицам предоставляется в соответствии с их должностными обязанностями на основании приказа генерального директора Компании.
   - информация может вноситься как в ручном, так и в автоматическом режимах.
   - обмен персональными данными при их обработке в информационных системах персональных данных Компании осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
   - обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
   - определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных Компании;
   - применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Компании, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
   - применения прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
   - оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
   - учета машинных носителей персональных данных;
   - обнаружения фактов несанкционированного доступа к персональным данным и принятия мер;
   - восстановления персональных данных, модифицированных или удаленных,
   - установления правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Компании,
   - контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных;
   - недопущения воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
   -обеспечения возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
   - осуществления постоянного контроля за обеспечением уровня защищенности персональных данных;
   - соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
   - при обнаружении нарушений порядка предоставления персональных данных – незамедлительного приостановления предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
   - разбирательства и составления заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработки и принятия мер по предотвращению возможных опасных последствий подобных нарушений;
   - применения для уничтожения персональных данных средств защиты информации, в составе которых реализована функция уничтожения информации.
   - в случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Компании уполномоченными сотрудниками лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

   3.3. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Компанией и третьим лицом, в котором должны быть определены:

   • перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
   • цели обработки персональных данных;
   • обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

   3.4. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
   Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона № 152 ФЗ.
   В случае получения разрешения субъекта персональных на распространение персональных данных с условиями обработки и наличием запретов на обработку неограниченным кругом лиц, Компания обязана опубликовать в срок не позднее 3 рабочих дней информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
   В случае обращения субъекта персональных данных с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, Компания прекращает их передачу (распространение, предоставление, доступ) в течение 3 рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

   3.5. Компания осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

   3.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Компанией, а обработка должна быть прекращена, соответственно.

   3.7. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Компания обеспечивает конфиденциальность персональных данных субъекта персональных данных со своей стороны, со стороны своих работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.

   3.8. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

   3.9. Обеспечение безопасности обрабатываемых персональных данных осуществляется Компанией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.

   3.10. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
   Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных папках (файлообменниках, облачных хранилищах данных) в информационной системе персональных данных.

   3.11. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
   Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Компании.

   3.12. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных на обработку его персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
   После наступления условий для прекращения обработки персональных данных, истечения срока нормативного хранения документов на бумажных носителях, которые содержат персональные данные субъектов, документы подлежат уничтожению в установленные законодательством Российской Федерации сроки.
   Для этого ответственным сотрудником (или сотрудниками) Компании производится физическое уничтожение бумажных носителей.
   После условий для прекращения обработки персональных данных, истечения срока нормативного хранения персональных данных в электронном виде ответственный сотрудник (или сотрудники) Компании уничтожает с информационных носителей персональные данные путем стирания или форматирования, либо физически уничтожает сами носители, на которых хранится информация в установленные законодательством Российской Федерации сроки.
   Факт уничтожения персональных данных подтверждается документально актом об уничтожении, в случае, если подлежат уничтожению персональные данные, обрабатываемые с использованием средств автоматизации в информационных системах, по факту уничтожения дополнительно составляется выгрузка из журнала регистрации событий в информационной системе.

4. Меры, направленные на обеспечение выполнения обязанностей по обработке персональных данных.

   4. В Компании принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ в области обработки персональных данных:

   4.1. В целях эффективной организации процессов обработки персональных данных назначается ответственный за организацию обработки персональных данных в Компании, который в соответствии с установленными полномочиями обеспечивает:
   -разработку и актуализацию локальных нормативных документов Компании по вопросам обработки и защиты персональных данных;
   - доведение до сведения работников Компании положений законодательства Российской Федерации, локальных нормативных документов Компании по вопросам обработки персональных данных, а также требований по защите персональных данных;
   - внутренний контроль за соблюдением в Компании требований законодательства Российской Федерации и нормативных документов Компании в области персональных данных, в том числе требований по защите персональных данных;
   - контроль за обработкой обращений и запросов субъектов персональных данных или их представителей в области персональных данных;
   - взаимодействие с государственными органами по вопросам защиты персональных данных.

   4.2. В Компании издаются: Положение об обработке и защите персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

   4.3. Принимается комплекс правовых, организационных и технических мер для защиты персональных данных, в том числе обрабатываемых в информационных системах, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

   4.4. Осуществляется внутренний контроль соответствия обработки персональных данных в Компании Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам в области обработки и обеспечения безопасности персональных данных;

   4.5. Проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ.

   4.6. Осуществляется ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами Компании по вопросам обработки персональных данных, и (или) обучение указанных работников.

5. Меры, направленные на обеспечение выполнения обязанностей по защите персональных данных.

   5.1. Система защиты персональных данных Компании включает в себя комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона № 152-ФЗ, направленных на нейтрализацию актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Компании.

   5.2. Меры, необходимые и достаточные для обеспечения защиты Компанией обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
   - назначение лица, ответственного за организацию обработки персональных данных в Компании;
   - принятие локальных нормативных актов и иных документов в области защиты персональных данных;
   - соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
   - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
   - организацию обучения и проведение методической работы с работниками Компании, допущенными к работе с персональными данными, в том числе посредством информационных систем;
   - получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
   - обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
   - обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
   - становление индивидуальных паролей доступа работников в информационную систему в соответствии с трудовыми обязанностями;
   - применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
   - хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
   - осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным нормативным актам Компании; иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

   5.3. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Компании определяются и применяются с учетом установленных уровней защищенности персональных данных при их обработке в информационных системах персональных данных Кампании в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

   5.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Компании, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принятия следующих мер по обеспечению безопасности:
   - определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Компании;
   - обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
   - применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Компании, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
   - применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
   - оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; - учет машинных носителей персональных данных;
   - обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
   - восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
   - установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Компании, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Компании;
   - контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

6. Особенности обработки и защиты персональных данных, собираемых Компанией с использованием сети Интернет

   6.1. Компания обрабатывает и защищает персональные данные, поступающие от посетителей (пользователей) Cайта https://www.specodegda.ru/ (далее – Сайт), а также поступающие на адреса корпоративной электронной почты Компании, с доменным именем «@specodegda.ru.»

   6.2. Сбор персональных данных: существуют два основных способа, с помощью которых Компания получает персональные данные с помощью сети Интернет.

   6.2.1. Предоставление персональных данных (включая фамилию, имя, отчество, должность, контактный телефон, адрес электронной почты, адрес доставки и др.) субъектами персональных данных путем заполнения соответствующих форм на Сайте, и посредством направления электронных писем на корпоративные адреса Компании.

   6.2.2. Автоматически собираемая информация.
   Компания может собирать и обрабатывать следующие сведения которые являются анонимными и не идентифицирует посетителя как отдельного человека:
   

   • информацию о предпочтениях посетителей (пользователей) на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Компанией с целью предоставления актуальной информации пользователям при использовании Сайта, предоставления пользователям целевой информации по Товарам, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются наибольшим спросом у пользователей Сайта и клиентов Компании;
   • обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта. Компания автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом, переписки по электронной почте и т. п. Речь идет о технологиях и сервисах, таких как веб-протоколы, cookie, веб-отметки, а также приложения и инструменты указанной третьей стороны.
   • cookie. cookie – это часть данных, передаваемых с просматриваемого веб-сайта на хранение браузеру посетителя (пользователя) веб-сайта. При повторном посещении страниц этого же сайта браузер пользователя передаёт сохранённую ранее информацию обратно. Таким образом, cookie – это уникальный идентификатор браузера для веб-сайта. Cookies отражают предпочтения пользователя или действия на веб-сайте, а также сведения об оборудовании пользователя, дате и времени сессии, дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов.
     Файлы Cookie могут использоваться для:
     1) настройки содержимого веб-страниц Сайта в соответствии с предпочтениями пользователей, а также для распознавания посетителя;
     2) создания статистики, которая помогает понять, как именно посетители используют Сайт;
     3) поддержания сеанса посетителя Сайта (после входа в систему), благодаря чему посетители не должны повторно вводить логин и пароль на каждой страничке;
     На Сайте используются сессионные и постоянные cookie-файлы. Сессионные файлы сохраняют данные только в ходе пребывания пользователя на Сайте, а постоянные файлы сохраняют данные для того, чтобы они были доступны и использовались более чем для одной сессии.
     При посещении Сайта пользователь может также получать файлы cookie от сайтов помимо посещаемого (так называемые “сторонние файлы cookie”). Также существуют различные типы файлов «cookie», которые в зависимости от характеристик и функций могут сохраняться на компьютере или мобильном устройстве пользователя в течение различных периодов времени.
     Большинство веб-браузеров разрешают использование cookie и по умолчанию допускают хранение файлов cookie, однако пользователи Сайта могут в любой момент внести изменения в настройки файлов cookie для отказа от работы с cookie или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа cookie в браузере будет запрещена.
     Некоторые операции на страницах Сайта не могут быть выполнены без использования файлов cookie, которые технически необходимы для функционирования Сайта. Продолжая использовать Сайт, пользователь дает свое согласие на обработку сookie.
     Пользователь может отказаться от обработки сookie, однако такой отказ может повлиять на корректность работы Сайта.
     При желании пользователь может удалить сохраненные сookie в настройках браузера.
   • Веб-отметки. На определенных веб-страницах или электронных письмах Компания может использовать распространенную в Интернете технологию «веб-отметки» (также известную как «тэги» или «точная GIF-технология»). Веб-отметки помогают анализировать эффективность веб-сайтов, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.
     При этом веб-отметки, cookie и другие мониторинговые технологии не дают возможность автоматически получать персональные данные. Если пользователь Сайта по своему усмотрению предоставляет свои персональные данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования вебсайтами и/или для совершенствования взаимодействия с пользователями.
   • Если посетитель (пользователь) не согласен с тем, чтобы Компания использовала данные типы файлов, то посетитель (пользователь) должен соответствующим образом установить настройки браузера или отказаться от использования Сайта Компании.

   6.3. Компания вправе пользоваться предоставленными персональными данными в соответствии с заявленными целями их сбора при наличии согласия субъекта персональных данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области персональных данных. Полученные персональные данные в обобщенном виде могут использоваться для лучшего понимания потребностей посетителей (пользователей) Сайта, покупателей товаров, реализуемых Компанией, и улучшения качества обслуживания.

   6.4. Компания может поручать обработку персональных данных третьим лицам исключительно с согласия субъекта персональных данных. Также персональные данные могут передаваться третьим лицам в следующих случаях:
   а) B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.
   б) Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта персональных данных.

   6.5. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация, в том числе ссылки на такие ресурсы как:
   https://vk.com/souzspecodegda; https://www.youtube.com/channel/UCwfJGroOKKia1kYsYwMq2hg.
   При этом действие настоящего Положения не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с политиками об обработке персональных данных, размещенными на таких сайтах.

   6.6. Пользователь Сайта может в любое время отозвать свое согласие на обработку персональных данных, направив письменное уведомление по адресу Компании:
   115093, г.Москва, ул. Б.Серпуховская, д. 36, пом. I, ком.3.
   После получения такого сообщения обработка персональных данных пользователя будет прекращена, а его персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством.

7. Цели обработки, категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей или при наступлении иных законных оснований

   7.1. К категориям субъектов персональных данных относятся:

   • 7.1.1. Физические лица, состоящие в трудовых отношениях с Компанией, в том числе физические лица, уволившиеся из Компании.
     В данной категории субъектов Компанией обрабатываются персональные данные в целях соблюдении трудового законодательства при осуществлении трудовых отношений и исполнении трудового договора с работником , а также выполнение требований налогового законодательства, воинского учета, государственного статистического учета и иных предусмотренных действующим законодательством требований, возложенных на Компанию как на работодателя. Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, данные документа, удостоверяющего личность (серия, номер, кем и когда выдан), дата рождения, место рождения, гражданство, пол, ИНН, СНИЛС, сведения об образовании и квалификации, сведения о наградах, поощрениях, почетных званиях, сведения, содержащиеся в документах об образовании, сведения о трудовой деятельности и стаже, сведения о семейном положении, серия и номер документа подтверждающего смену фамилии, сведения, содержащиеся в документах воинского учета и реквизиты документов воинского учета, номер расчетного счета и номер банковской карты для начисления заработной платы работника и иных выплат, сведения о состоянии здоровья для категорий работников, определённых ст. 220 ТК РФ, адрес проживания и/или адрес регистрации, фотография, сведения о ученой степени, сведения о водительском удостоверении, и иные персональные данные, необходимые для достижения цели, предусмотренной настоящим подпунктом.
     Способ обработки: смешанная (автоматизированная и неавтоматизированная). Получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; внесения персональных данных в журналы, реестры и информационные системы и документы.
     Сроки обработки: в течение срока действия трудового договора; в соответствии с требованиями трудового, налогового законодательства.
     Срок хранения: в течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел.
     Порядок уничтожения: в соответствии с Регламентом о порядке уничтожения информации, содержащей персональные данные в ООО «СОЮЗСПЕЦОДЕЖДА» в зависимости от типа носителя персональных данных.
   • 7.1.2. Физические лица, являющиеся кандидатами на работу (соискателями).
     В данной категории субъектов Компанией обрабатываются персональные данные в целях организации трудоустройства в Компанию.
     Категории субъектов: кандидаты на работу (соискатели).
     Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, сведения об образовании, сведения об опыте работы, иные сведения, которые соискатель желает направить в своем резюме или анкете.
     Способ обработки: смешанная (автоматизированная и неавтоматизированная)
     Срок обработки: до принятия решения о трудоустройстве кандидата или его несоответствия вакансии.
     Срок хранения: 30 дней.
     При поступлении в адрес Компании резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
     Порядок уничтожения: в соответствии с Регламентом о порядке уничтожения информации, содержащей персональные данные в ООО «СОЮЗСПЕЦОДЕЖДА» в зависимости от типа носителя персональных данных.
   • 7.1.3. Клиенты и контрагенты Компании (физические лица)
     В данной категории субъектов Компанией обрабатываются персональные данные, полученные в целях заключения и исполнения договора, стороной которого (выгодоприобретателем) является субъект персональных данных.
     Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, паспортные данные (серия, номер, кем и когда выдан), адрес проживания и/или регистрации, банковские реквизиты.
     Способ обработки: смешанная (автоматизированная и неавтоматизированная)
     Сроки обработки в течение срока, необходимого для исполнения заключенного договора.
     Срок хранения: в соответствии с требованиям действующего законодательства о налоговом и бухгалтерском учете.
     Порядок уничтожения: в соответствии с Регламентом о порядке уничтожения информации, содержащей персональные данные в ООО «СОЮЗСПЕЦОДЕЖДА» в зависимости от типа носителя персональных данных.
   • 7.1.4. Представители/работники клиентов /контрагентов (юридических лиц) Компании.
     В данной категории субъектов Компанией обрабатываются персональные данные, полученные Компанией в целях исполнения договора, стороной которого является клиент/контрагент (юридическое лицо).
     Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты.
     Способ обработки: смешанная (автоматизированная и неавтоматизированная)
     Сроки обработки и хранения: до истечения действия и исполнения договора или изменения представителей/работников клиентов/контрагентов (юридических лиц), с которыми осуществляется взаимодействие в целях исполнения договора.
     Порядок уничтожения: в соответствии с Регламентом о порядке уничтожения информации, содержащей персональные данные в ООО «СОЮЗСПЕЦОДЕЖДА» в зависимости от типа носителя персональных данных
   • 7.1.5. Пользователи сайта Компании.
     В данной категории субъектов персональных данных Компанией обрабатываются персональные данные посетителей Сайта https://www.specodegda.ru/ с целью предоставления пользователям сайта:
     - реализации товаров и услуг;
     - исполнения договора, в т.ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайте; - регистрации и обслуживании аккаунта на сайте;
     - предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям, контроля Компанией результатов рекламных акций;
     - анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
     - клиентской поддержки;
     - информирования о статусе заказа;
     - направления уведомлений, запросов и информации, обработки запросов и заявок от пользователя;
     - доставки заказанного товара клиенту, совершившему заказ на Сайте, возврата товара.
     - рекламирования и иного любого продвижения Компанией товаров и услуг Компании на рынке путем осуществления прямых контактов с пользователем;
     - информирования Пользователя о предлагаемых Компанией товарах, оказываемых услугах;
     - информирования Пользователя о проводимых Компанией бонусных мероприятиях, рекламных акциях, розыгрышей призов среди покупателей, и т.п.;
     - контроля Компанией результатов рекламных акций;
     - анализа Компанией покупательских особенностей;
     - ведения и актуализации Оператором клиентской базы;
     - проведению Компанией опросов и исследований, направленных на выявление удовлетворенности / неудовлетворенности Пользователя в товарах и услугах, предоставляемых Компанией.
     - проведение аналитических исследований, в том числе с целью выявления возможных недостатков и/или нарушений в работе Сайта, в том числе касающихся безопасности его использования, и последующего их устранения.
     Перечень обрабатываемых персональных данных: имя, фамилия, адрес электронной почты, номера контактных телефонов, сведения о профессии и/или должность пользователя, сведения о IP-адресе, с которого осуществляется вход, используемом браузере, почтовом клиенте, электронных письмах, по ссылкам с которых осуществляется взаимодействие с сайтом.
     Способ обработки: смешанная (автоматизированная и неавтоматизированная).
     Сроки обработки и хранения: до отзыва согласия на обработку персональных данных.
     Порядок уничтожения: в соответствии с Регламентом о порядке уничтожения информации, содержащей персональные данные в ООО «СОЮЗСПЕЦОДЕЖДА» в зависимости от типа носителя персональных данных.
   • 7.1.6. Клиенты, потенциальные клиенты.
     В данной категории субъектов Компанией обрабатываются персональные данные клиентов, потенциальных клиентов с целью информирования о товарах, услугах, акциях и предложениях посредством телефонной связи, SMS, и электронной почты от Компании.
     Перечень обрабатываемых персональных данных: фамилия, имя, отчество номер телефона, адрес электронной почты, регион и/или город РФ, адрес доставки, профессия и/или должность.
     Способ обработки: смешанная (автоматизированная и неавтоматизированная)
     Сроки обработки и хранения: до отзыва согласия на обработку персональных данных.
     Порядок уничтожения: в соответствии с Регламентом о порядке уничтожения информации, содержащей персональные данные в ООО «СОЮЗСПЕЦОДЕЖДА» в зависимости от типа носителя персональных данных.
   • 7.1.7. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в пункте 1.5 Положения).
     Категории и перечень обрабатываемых персональных данных в отношении других субъектов персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки персональных данных, указанных в пункте 1.5 Положения.
8. Порядок получения разъяснений по вопросам обработки персональных данных.

   8.1. Лица, чьи персональные данные обрабатываются Компанией, имеют право на получение в доступной форме информации, касающейся обработки их персональных данных (далее ПДн), в том числе содержащей:
   1) подтверждение факта обработки ПДн Компанией;
   2) правовые основания и цели обработки ПДн;
   3) цели и применяемые Компанией способы обработки ПДн;
   4) наименование и место нахождения Организации, сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
   5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
   6) сроки обработки ПДн, в том числе сроки их хранения;
   7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом N 152-ФЗ;
   8) информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
   9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компанией, если обработка поручена или будет поручена такому лицу;
   9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 N 152-ФЗ;
   10) иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.
   Предоставление указанной информации осуществляется Компанией при получении запросов, которые возможно предоставить обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании:
   115093, г Москва, ул Серпуховская Б, 36 , эт. 1 пом. I, ком. 3.
   Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
   - обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; - доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

   8.2. Компания предоставляет субъекту персональных данных или его представителю сведения, касающиеся обработки его персональных данных, по соответствующему обращению или запросу субъекта персональных данных или его представителя в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе , и не содержащие персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

   8.3. Запрос субъекта персональных данных на получение сведений, касающихся обработки его персональных данных Компанией, должен содержать:
   − номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, а также, в случае обращения представителя, реквизиты доверенности или иного документа, подтверждающего полномочия представителя Субъекта персональных данных;
   − сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;
   − подпись Субъекта персональных данных или его представителя;
   Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

   8.4. Обращение субъекта персональных данных или его законного представителя в Компанию в целях реализации его прав, установленных Федеральным законом № 152-ФЗ, осуществляется в письменном виде с предъявлением документа, удостоверяющего личность субъекта персональных данных (за исключением, когда обращение осуществляется в форме электронного документа подписанного электронной подписью в соответствии с законодательством Российской Федерации), а в случае обращения представителя (законного представителя) – с предъявлением документа, удостоверяющего личность представителя и доверенности или иного документа, подтверждающего полномочия представителя субъекта персональных данных.

   8.5. Компания рассматривает запрос или обращение субъекта персональных данных/отзыв согласия на обработку персональных данных и предоставляет на него ответ в сроки и в порядке, установленными Федеральным законом № 152-ФЗ и законодательством Российской Федерации.

9. Заключительные положения

   Настоящее Положение является локальным нормативным актом Компании. Настоящее Положение является общедоступным. Общедоступность обеспечивается публикацией на Сайте Компании.
   Настоящее Положение может быть пересмотрено в любом из следующих случаев:
   - при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
   - в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
   - по решению руководства Компании;
   - при изменении целей и сроков обработки персональных данных;
   - при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
   - при применении новых технологий обработки и защиты персональных данных (в т. ч. передачи, хранения);
   - при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Компании.
   Компания, а также ее Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.