Политика в отношении обработки персональных данных субъектов ПДн - Cdek
Регистрация
Cdek Forward
/
Политика в отношении обработки персональных данных субъектов ПДн

ПОЛИТИКА
в отношении обработки персональных данных субъектов ПДн

ООО «СДЭК-ОПТИМА»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение документа

Настоящая политика в отношении обработки персональных данных субъектов ПДн (далее — Политика) является основополагающим документом, регулирующим вопросы обработки персональных данных субъектов ПДн в ООО «СДЭК-ОПТИМА» (далее — Общество). Действие настоящей Политики не распространяется на обработку персональных данных сотрудников Общества, соискателей вакантных должностей и иных субъектов ПДн, прямо не обозначенных в настоящей Политике, поскольку эти отношения регулируются иными внутренними нормативными актами.

Настоящая Политика разработана в соответствии с пп. 2 ч. 1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и предназначена для ознакомления неограниченного круга лиц путём опубликования на сайте Общества.

Политика раскрывает состав персональных данных субъектов ПДн, обрабатываемых Обществом, цели, способы и принципы обработки, права субъектов ПДн, а также перечень мер, применяемых Обществом в целях обеспечения безопасности ПДн.

Утверждение и пересмотр Политики проводится каждые три года, а также:

  • при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Обществе;
  • при создании новых или внесении изменений в существующие процессы обработки персональных данных субъектов ПДн;
  • по результатам контрольных мероприятий по выполнению требований законодательства РФ о персональных данных.

1.2. Нормативные ссылки

Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и иные нормативные правовые акты, регулирующие вопросы обработки персональных данных.

1.3. Область действия

Действие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных субъектов ПДн, как с использованием средств вычислительной техники, так и без таковых. Настоящая Политика распространяется непосредственно на сайт https://forwardcdek.ru/ (далее — Сайт), принадлежащий Обществу, и на информацию, получаемую с его помощью.

Настоящая Политика применяется, в частности, но не ограничиваясь:

  • при навигации на Сайте без заполнения форм;
  • при заполнении формы заявки на Сайте;
  • при ином использовании Сайта.

1.4. Используемые сокращения

ИСПДн — информационная система персональных данных.

Общество — ООО «СДЭК-ОПТИМА».

ПДн — персональные данные.

РФ — Российская Федерация.

Сайт — https://forwardcdek.ru/, принадлежащий ООО «СДЭК-ОПТИМА», на котором размещена настоящая Политика или ссылка на неё.

1.5. Используемые термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — ООО «СДЭК-ОПТИМА», ИНН 6732213791, ОГРН 1216700010680, 214000, РФ, г. Смоленск, ул. Большая Советская, д. 16/17, офис А 13.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Пользователь — физическое лицо, имеющее доступ к Сайту и использующее его, независимо от факта заполнения форм на Сайте.

Субъект персональных данных — физическое лицо, чьи персональные данные переданы Обществу для обработки. Применительно к настоящей Политике к субъектам ПДн относятся Пользователи Сайта.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

2. ОСНОВНЫЕ НОРМАТИВНЫЕ ПОЛОЖЕНИЯ

2.1. Принципы обработки персональных данных

Обществом обеспечивается правомерность обработки ПДн субъектов ПДн, а также надлежащий уровень безопасности обрабатываемых ПДн.

Обработка ПДн субъектов ПДн в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определённых и законных целей.

Обработке подлежат только те ПДн субъектов ПДн, которые отвечают целям их обработки. Содержание и объём обрабатываемых ПДн соответствуют заявленным целям обработки; избыточность обрабатываемых данных не допускается.

Общество хранит ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, и уничтожает ПДн по достижении целей их обработки, если иное не предусмотрено федеральным законом.

2.2. Цели, состав и сроки обработки персональных данных

Общество руководствуется конкретными, заранее определёнными целями обработки ПДн. Цели обработки персональных данных, перечень ПДн, категории субъектов ПДн, сроки обработки и хранения, а также порядок уничтожения приведены в таблице ниже.

В Обществе не осуществляется обработка ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных.

Цель обработкиСостав ПДнКатегория субъектовПравовое основаниеСрок хранения
Обработка заявок, направленных через форму на Сайте; консультация по услугам; обратная связьФамилия, имя, отчество; адрес электронной почты; номер телефона; ИНН; система налогообложенияПользователи Сайта (физические лица, индивидуальные предприниматели)Согласие субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ-152)1 год с момента получения заявки; при заключении договора — 5 лет с момента исполнения обязательств
Анализ посещаемости Сайта; улучшение работы Сайта и пользовательского опыта (Яндекс.Метрика, счётчик № 99905566)IP-адрес; данные cookie-файлов; тип браузера и ОС; посещённые страницы; время посещений; источник переходаВсе посетители СайтаЗаконный интерес оператора (п. 5 ч. 1 ст. 6 ФЗ-152)Не более 2 лет

2.3. Правовые основания обработки персональных данных

Обработка ПДн субъектов ПДн осуществляется на основании:

  • Гражданского кодекса РФ;
  • Налогового кодекса РФ;
  • Устава Общества;
  • договоров, заключённых между Обществом и субъектом ПДн;
  • согласия субъекта ПДн на обработку ПДн.

3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПДН

Оператор получает ПДн субъектов ПДн путём внесения Пользователем своих данных в форму заявки на Сайте.

Оператор получает и начинает обработку персональных данных субъекта ПДн с момента возникновения правового основания для обработки.

Согласие на обработку ПДн считается предоставленным субъектом ПДн посредством совершения следующих конклюдентных действий в совокупности: проставления специального знака («галочки») в специальном поле на Сайте перед отправкой формы заявки и нажатия кнопки «Оставить заявку». Указанные действия расцениваются однозначно как предоставление согласия на обработку ПДн в объёме и для целей, предусмотренных настоящей Политикой. Согласие считается полученным с момента проставления специального знака.

В случае получения ПДн от третьих лиц обязанность по получению согласий на обработку и передачу таких ПДн лежит на этих третьих лицах.

В случае отсутствия правового основания для обработки ПДн обработка ПДн субъекта не осуществляется.

ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъектам ПДн, затруднения реализации прав и свобод граждан РФ.

Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение ПДн с использованием баз данных, находящихся на территории Российской Федерации.

Общество в ходе своей деятельности вправе поручать обработку ПДн третьим лицам с соблюдением требований ч. 3 ст. 6 ФЗ-152. В частности, обработка технических данных посетителей Сайта осуществляется ООО «Яндекс» в рамках сервиса Яндекс.Метрика. Обработка данных ООО «Яндекс» осуществляется в соответствии с Политикой конфиденциальности Яндекса: https://yandex.ru/legal/confidential/.

Общество не размещает ПДн субъектов ПДн в общедоступных источниках.

Хранение ПДн субъектов ПДн осуществляется Обществом в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.

Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

4. ОБРАБОТКА ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения соблюдения установленных законодательством прав субъектов ПДн в Обществе введён порядок работы с обращениями и запросами субъектов ПДн.

Данный порядок обеспечивает соблюдение следующих прав субъекта ПДн:

  • право на получение информации, касающейся обработки его ПДн (подтверждение факта обработки, правовые основания и цели, сроки хранения, сведения о третьих лицах, имеющих доступ к ПДн);
  • право на уточнение, блокирование или уничтожение своих ПДн, если они являются неполными, устаревшими, неточными, незаконно полученными или не необходимы для заявленной цели обработки;
  • право на отзыв согласия на обработку ПДн;
  • право на обжалование действий (бездействия) Оператора в Роскомнадзор или в судебном порядке.

Указанные выше сведения предоставляются субъекту ПДн в течение 10 рабочих дней с момента обращения либо получения Оператором запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней, в случае направления Оператором мотивированного уведомления с указанием причин продления.

Общество в течение 7 рабочих дней со дня предоставления субъектом ПДн сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления сведений, подтверждающих незаконность получения или необходимость уничтожения ПДн, оператор уничтожает такие персональные данные.

Запросы субъектов ПДн должны быть направлены по адресу Оператора.

5. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПДН И ОПЕРАТОРА

5.1. Субъект имеет право:

  • получить информацию, касающуюся обработки его ПДн;
  • требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведённых исправлениях;
  • отозвать своё согласие на обработку ПДн;
  • на свободный безвозмездный доступ к своим ПДн посредством направления запроса;
  • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке;
  • иные права, предусмотренные действующим законодательством.

5.2. Оператор обязан:

  • обеспечивать конфиденциальность ПДн и не раскрывать их третьим лицам без согласия субъекта ПДн, если иное не предусмотрено законом;
  • опубликовать настоящую Политику или иным образом обеспечить неограниченный доступ к ней;
  • принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн;
  • предоставлять ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа;
  • исполнять иные обязанности, предусмотренные законодательством.

6. ПРЕКРАЩЕНИЕ ОБРАБОТКИ И УНИЧТОЖЕНИЕ ПДН

6.1. Прекращение обработки

Оператор прекращает обработку ПДн в случае:

  • достижения цели обработки ПДн — в течение 30 дней, если иное не предусмотрено договором;
  • истечения срока действия согласия субъекта ПДн — в течение 30 дней;
  • выявления неправомерной обработки ПДн — в течение 3 дней с даты выявления;
  • невозможности обеспечения правомерности обработки персональных данных — в течение 10 рабочих дней;
  • отзыва согласия субъектом ПДн, если сохранение ПДн более не требуется для целей обработки, — в течение 30 дней;
  • предоставления субъектом ПДн сведений, подтверждающих, что ПДн являются незаконно полученными или не необходимы для заявленной цели обработки, — в течение 7 рабочих дней со дня представления таких сведений.

В случае обращения субъекта ПДн с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.

6.2. Отзыв согласия на обработку ПДн

Субъект ПДн может в любой момент отозвать своё согласие на обработку ПДн при условии, что подобная процедура не нарушает требований законодательства РФ.

Для отзыва согласия на обработку ПДн необходимо направить соответствующее заявление в письменной форме по месту нахождения Оператора или на адрес электронной почты: cdek-001@yandex.ru.

В случае отзыва субъектом согласия Оператор прекращает обработку ПДн и уничтожает их в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, если иное не предусмотрено договором между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта на основаниях, предусмотренных ФЗ или другими федеральными законами.

6.3. Уничтожение ПДн

При достижении целей обработки персональных данных, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого является субъект персональных данных;
  • Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом ПДн.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДН

При обработке ПДн Оператор применяет правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий.

Обеспечение безопасности ПДн достигается, в частности:

  • назначением ответственного лица за организацию обработки ПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн, включая использование защищённого протокола HTTPS на Сайте;
  • хранением персональных данных граждан РФ исключительно на серверах, расположенных на территории Российской Федерации (ч. 5 ст. 18 ФЗ-149);
  • ограничением круга лиц, имеющих доступ к персональным данным, — доступ предоставляется только уполномоченным сотрудникам в соответствии с их должностными обязанностями;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн;
  • ознакомлением сотрудников Оператора, осуществляющих обработку ПДн, с положениями законодательства РФ и настоящей Политикой.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛИТИКИ

Контроль исполнения настоящей Политики возложен на ответственного за организацию обработки ПДн.

Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с законодательством РФ.

Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчинёнными.

9. ПРОЧИЕ ПОЛОЖЕНИЯ

Политика и изменения к ней утверждаются единоличным исполнительным органом Общества и вступает в силу со дня её утверждения.

Оператор имеет право вносить изменения в Политику без согласия субъекта. Новая редакция Политики вступает в силу с момента опубликования на Сайте.

Все вопросы, связанные с обработкой ПДн, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.