Политика в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных

 1. ОБЩИЕ ПОЛОЖЕНИЯ.

1.1.  Настоящее Положение об обработке персональных данных (далее – Положение) разработано и применяется в Обществе с ограниченной ответственностью «МБ Мебель» (далее – Оператор) в соответствии с  пп. 2  ч. 1 ст.  18.1  Федерального  закона  от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон «О персональных данных»).

1.2. Настоящее Положение определяет политику Оператора в отношении обработки персональных данных,  принятых на обработку, порядок и условия осуществления обработки персональных данных лиц, передавших свои персональные данные для обработки Оператору (далее – субъекты персональных данных) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.3. Положение разработано с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.

1.4. Персональные данные Субъекта персональных данных – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.5. Оператор осуществляет обработку следующих персональных данных:

  • фамилию, имя, отчество субъектов персональных данных;
  • номер контактного телефона;
  • адрес электронной почты;
  • страна/город местонахождения;
  • адрес доставки заказа.

1.6. Оператор осуществляет обработку персональных данных Субъектов персональных данных в следующих целях: - для исполнения заключенного между Оператором и Субъектом договора, в том числе для осуществления обработки и доставки заказов покупателей; - в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных. 

1.7. Оператор осуществляет обработку персональных данных Субъекта персональных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

 Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»

2. ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Персональные данные субъектов персональных данных получаются Оператором: - при осуществлении субъектом персональных данных заполнения заявки в форме обратной связи с использованием средств электронного сайта Оператора http://www.mebelbereg.ru; - при осуществлении субъектом персональных данных заказа товаров по контактному номеру (номерам) телефона Оператора, а также других обращений к Оператору посредством телефонного вызова; - иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных.

2.2. Оператор руководствуется следующими принципами по установлению целей обработки персональных данных. - обработка персональных данных должна осуществляться на законной и справедливой основе. - содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. - при обработке персональных данных Оператор соблюдает иные принципы и правила обработки, установленные законодательством Российской Федерации.

2.3. Цели обработки персональных данных различаются. Оператор руководствуется сроками обработки персональных данных в зависимости от категорий субъектов персональных данных и с учетом положений нормативных правовых актов Российской Федерации. Оператор вправе обрабатывать персональные данные только в законных целях и обработка персональных данных должна ограничиваться достижением этих целей.

2.4. Целями обработки персональных данных Оператором являются: - в отношении контрагентов, их представителей и работников – выполнение норм Гражданского кодекса РФ о договорных обязательствах, заключение и исполнение договоров с контрагентами, выполнение оператором действий по поручению представителей субъектов персональных данных; - в отношении Пользователей – идентификация стороны в рамках услуг, соглашений и договоров с оператором; связь с Пользователем, исполнения соглашений и договоров, а также обработка запросов и заявок от Пользователя, предоставление помощи в осуществлении покупок товаров и услуг в интернете через сайт оператора на максимально выгодных условиях; помощь в поиске максимально выгодного предложения, соответствующего запросу качества, количества и характеристик. - цели, обозначенные в Политике конфиденциальности.

2.5. Оператор не обрабатывает биометрические персональные данные.

2.6. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

2.7. При обработке персональных данных Оператор обязан соблюдать безопасность и конфиденциальность обрабатываемых персональных данных, а также выполнять иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.

2.8. В соответствии с ФЗ «О персональных данных» оператор назначает ответственного за организацию обработки персональных данных.

2.9. Ответственный за организацию обработки персональных данных обязан осуществлять внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике оператора.

3. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор получает и начинает обработку персональных данных субъекта с момента получения его согласия.

3.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения субъектом персональных данных конклюдентных действий.

3.3. Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей.

3.4. Субъект персональных данных принимает решение о предоставлении своих персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.

3.5. В случае получения Оператором персональных данных от контрагента на основании и в целях исполнения заключенного с ним договора, в том числе от клиента-юридического лица, использующего сервисы, предоставляемые веб-сайтом Оператора, ответственность за правомерность и достоверность персональных данных, а также за получение согласия Представителей контрагентов и Представителей клиентов на передачу их персональных данных Оператору несет контрагент, передающий персональные данные, что закрепляется в тексте договора Оператора с контрагентом (клиентом).

3.6. Оператор, получивший персональные данные от контрагента и клиента-юридического лица, не принимает на себя обязательства по информированию субъектов (их представителей), персональные данные которых ему переданы, о начале обработки персональных данных, поскольку обязанность осуществить соответствующее информирование при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу несет передавший персональные данные контрагент (клиент). Данная обязанность контрагента (клиента) включается в договор, заключаемый с ним Оператором.

3.7. Персональные данные лиц, подписавших договоры с Оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охрана их конфиденциальности и согласие субъектов персональных данных на обработку таких данных не требуется.

3.8. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов, за исключением лиц, подписавших договоры с Оператором или предоставивших доверенности с правом действовать от имени и по поручению контрагентов Оператора, самостоятельно приславших персональные данные на электронную почту и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора (доверенности) или электронном письме. Согласие у своего представителя на передачу его персональных данных Оператору и обработку Оператором этих персональных данных может получить контрагент в порядке, описанном выше. В этом случае получение Оператором согласия субъекта на обработку его персональных данных не требуется.

3.9. Согласие Представителей субъектов на обработку их персональных данных предоставляется в форме конклюдентных действий путем предоставления доверенности с правом действовать от имени и по поручению субъектов персональных данных и документа, удостоверяющего личность Представителя субъекта.

3.10. Согласие субъектов на предоставление их персональных данных не требуется при получении Оператором, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

3.11. В случае поступления запросов от организаций, не обладающих соответствующими полномочиями, Оператор обязан получить от субъекта согласие на предоставление его персональных данных в любой доказываемой форме, и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что указанное правило будет (было) соблюдено.

3.12. Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора с Оператором, стороной которого является субъект персональных данных, может быть отозвано субъектом персональных данных. В этом случае Оператор уничтожает такие персональные данные, в отношении которых отзывается согласие на обработку, и обеспечивает их уничтожение контрагентами, которым были переданы такие данные, в течение 30 дней с момента получения отзыва согласия субъекта на обработку его персональных данных.

3.13. Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.

3.14. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в Федеральном законе «О персональных данных».

3.15. Порядок отзыва согласия на обработку персональных данных: - для отзыва согласия на обработку персональных данных, данного в письменной форме,  а также в форме конклюдентных действий посредством телефонного звонка по номеру, указанному на электронном сайте Оператора, необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора.

3.16. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

4. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор реализует следующие требования законодательства в области персональных данных: - требования о соблюдении конфиденциальности персональных данных; - требования об обеспечении реализации субъектом персональных данных своих прав; - требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных); - требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; - иные требования законодательства.

4.2. В соответствии с ФЗ «О персональных данных» Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных. В частности, защита персональных данных достигается Оператором путем: - назначения ответственного за организацию обработки персональных данных; - издания Оператором настоящей Политики; - ознакомления работников, допущенных к обработке персональных данных субъектов, с требованиями, установленными законодательством Российской Федерации в области персональных данных, настоящей Политики, а также другими локальными нормативными актами Оператора; - организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (использование сертифицированного программного обеспечения, ограничение паролем доступа к компьютерам, программному обеспечению, обрабатывающему персональные данные, локальной сети, утверждение списка лиц, имеющих доступ к персональным данным в силу служебных обязанностей); - организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (организация надлежащего хранения документов, содержащих персональные данные, утверждение соответствующих мер и списка должностей); - организации доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями; - осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

 

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

5.1. Настоящая Политика является внутренним документом Оператора.

5.2. Иные обязанности и права Оператора как лица, организующего обработку персональных данных определяются законодательством Российской Федерации в области персональных данных.

5.3. Во исполнение ч. 2 ст. 18.1. Закона настоящая Политика должна быть опубликована или неограниченный доступ к ней должен быть обеспечен иным образом. 

5.4. Оператор освобождается от ответственности в случаях, когда информация о субъекте:

- стала публичным достоянием до её утраты или разглашения.
- была получена от третьей стороны до момента её получения интернет-магазином.
- была разглашена с согласия Клиента. 

5.5. Оператор оставляет за собой право вносить изменения в настоящую Политику (во все ее разделы и преамбулу, а также в наименование).

5.6. Новое Положение об обработке персональных вступает в силу с момента ее размещения на сайте Оператора.