Положение о работе с персональными данными клиентов, контрагентов
УТВЕРЖДАЮ
Директор ООО «Академия вина»
Виноградова Т.А.
01.09.2022
ПОЛОЖЕНИЕ
о работе с персональными данными клиентов, контрагентов
Санкт-Петербург
1. Общие положения
1.1. Положение о работе с персональными данными клиентов, контрагентов (далее – Положение) Общество с ограниченной ответственностью «Академия вина» (далее – Оператор) разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами, действующими на территории России.
1.2. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением. Настоящее Положение размещается на официальном сайте wine-academia.ru (далее-Сайт) и находится в свободном доступе. Доступ к Положению есть у всех пользователей сайта.
1.3. Настоящее Положение определяет действия Оператора в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее именуемые – «Субъект персональных данных», «Субъект») с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.4. Настоящее Положение определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных субъектов персональных данных и гарантии конфиденциальности сведений о физических лицах:
- клиентах и (или) представителях компаний-клиентов;
-контрагентах и (или) представителях компаний-контрагентов Оператора, которые предоставили Оператору свои персональные данные;
- пользователей сайта, размещенного по адресу - wine-academia.ru, в том числе представители контрагентов, иных третьих лиц;
-иных субъектов, в связи с наличием у Оператора правоотношений, не противоречащих законодательству Российской Федерации, и которые могут быть однозначно соотнесены с конкретным физическим лицом и его персональными данными.
1.5. Для обработки персональных данных Субъектов персональных данных, Общество получает от каждого субъекта согласие на обработку его персональных данных.
Согласие Субъекта на обработку персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона,
устанавливающего ее цель, условия получения персональных данных и круг субъектов,
персональные данные которых подлежат обработке, а также определенного полномочия Оператора;
- обработка персональных данных в целях исполнения договора (составление первичной документации, осуществления деловых коммуникаций, осуществления оплат, оформления доверенностей и т.п.);
-обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
1.6. Цель настоящего Положения – защита персональных данных клиентов, контрагентов Оператора от несанкционированного доступа и разглашения. Персональные данные вышеперечисленных лиц являются конфиденциальной, строго охраняемой информацией.
1.7. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.8. Оператор осуществляет обработку следующих персональных данных:
1.8.1. В отношении физических лиц посетителей сайта Оператора
Цель использования ПД |
Виды обрабатываемых ПД |
Последствия непредоставления/отказа в предоставлении ПД |
Регистрация на Сайте |
|
Без ввода информации регистрация на сайте невозможна. Регистрация облегчает отслеживание статуса заказа; позволяет повторить покупку в пару кликов, т.к. содержимое корзины запоминается системой и доступно в личном кабинете; ускоряет процесс оформления заказа. |
Идентификация на Сайте |
|
Идентификация нужна для связи и отправки уведомлений о статусе заказа. Без идентификации незарегистрированный пользователь сайта не сможет оформить заказ и отслеживать его статусы. |
Отображение профиля для иных Пользователей Сайта |
|
Без этой информации невозможно оставлять отзывы и комментарии |
Установление и поддержание связи между Пользователем и Обществом с ограниченной ответственностью «Академией Вина», консультирование по вопросам оказания услуг |
|
Без информации Пользователь не сможет получить консультацию по предоставляемым услугам. |
Заключение договоров с Обществом с ограниченной ответственностью «Академия вина», исполнение обязательств по ним |
|
Невозможно заключение и исполнение договора. |
Направление сообщений рекламного характера; информационных рассылок; предоставление информации рекламного характера в устном и письменном виде |
|
Пользователь не сможет получать сообщения об акциях, спецпредложениях, новинках, изменение информации о продуктах сайта и условиях их предоставления, календари мероприятий и т.д. |
Размещение фото и видеоматериалов, полученных Общество с ограниченной ответственностью «Академией Вина» в процессе ведения текущей деятельности Общества с ограниченной ответственностью «Академия вина», в т.ч. в процессе оказания услуг, изготовления учебных материалов, изготовления материалов рекламного характера, размещения комментариев Пользователей на сайте Общества с ограниченной ответственностью «Академия вина» |
|
Снижение возможности либо невозможность получения полной информации о продуктах сайта и отзывах иных пользователей о таких продуктах. |
Улучшение качества обслуживания Пользователей и модернизация Сайта) |
|
Нередко улучшения качества обслуживания и потребность в модернизации сайта обусловлены обоснованным пожеланием пользователей. Не соглашаясь на обработку файлов cookies Пользователь не может участвовать в улучшении качества работы сайта Общества с ограниченной ответственностью «Академии Вина». |
Статистические и иные исследования на основе обезличенной информации |
|
Не предоставляя эти ПД Пользователь не может участвовать в исследованиях на основе обезличенной информации Общества с ограниченной ответственностью «Академии Вина». |
Оформление заявки на получение Пользователем рассрочки или кредитных средств |
|
Пользователь не сможет получить желаемую рассрочку или кредит без Заявки на получение кредита или рассрочки. |
1.8.2. В отношении физических лиц - представителей юридических лиц и/или индивидуальных предпринимателей, либо иных категорий контрагентов, вступивших с Оператором в договорные отношения либо имеющих намерение воспользоваться услугами/ приобрести товары Оператора:
- фамилия, имя, отчество;
- дата рождения;
- номер контактного телефона;
- адрес электронной почты (e-mail);
- тип, серия и номер документа, удостоверяющего личность;
- дата выдачи документа, удостоверяющего личность и информация о выдавшем его органе;
- должность;
- адрес места проживания и адрес регистрации;
-история обращений к Оператору Субъекта персональных данных, в том числе присылаемые Субъектом при обращениях к Оператору документы.
Из перечня данных, указанных выше Оператор вправе обрабатывать исключительно только те данные, которые необходимы для заключения договора либо исполнения заключенного хозяйственного Договора с Оператором (в том числе, но не ограничиваясь: оформление доверенности, обработка доверенности, деловая электронная переписка, видеоконференция – переговоры, телефонные переговоры, обмен информацией в мессенджерах и/или социальных сетях).
1.9. В отношении пользователей Сайта и физических лиц, от которых поступил звонок Оператору и/или было направлено письмо Оператору посредством электронной почты/в мессенджере/ в социальную сеть:
- фамилия, имя, отчество (при наличии);
- номер контактного телефона;
- адрес электронной почты (e-mail);
- дата рождения;
При использовании Сайта Оператор обрабатывает также иные (обезличенные) данные посетителей сайта, которые автоматически передаются в процессе использования Сайта:
- сведения об используемом браузере (или иной программе, с помощью которой
осуществляется доступ к сайту);
-сведения об операционной системе
- данные из файлов cookie;
- реферер (адрес предыдущей посещенной пользователем страницы);
- время доступа
- тип устройства
- возрастная группа
-географический регион нахождения пользователя в момент посещения Сайта
2. Получение и обработка персональных данных
2.1. Для достижения целей настоящего Положения к обработке персональных данных допущены только те сотрудники Оператора, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Оператор требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.
2.2. В соответствии с настоящим Положением Оператор может осуществлять обработку персональных данных самостоятельно, а также с привлечением третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в настоящем Положении целей.
2.3. В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Оператор использует автоматизированную, с применением средств вычислительной техники, так и неавтоматизированную, с применением бумажного документооборота, обработку персональных данных. Принятие решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Оператором не производится. Оператор хранит персональную информацию Субъектов персональных данных в соответствии с внутренним регламентом.
2.4. В отношении персональной информации Субъекта персональных данных сохраняется конфиденциальность, кроме случаев добровольного предоставления Субъектом информации о себе для общего доступа неограниченному кругу лиц. В данном случае Субъект персональных данных соглашается с тем, что определенная часть его персональной информации становится общедоступной.
2.5. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.6. Оператор не вправе требовать от субъекта персональных данных представления персональных данных, которые будут избыточны для целей обработки, которые преследует Оператор.
2.7. Субъект персональных данных обязуется предоставлять Оператору достоверные сведения о себе.
2.8. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент. Для отзыва согласия на обработку персональных данных Субъекту персональных данных необходимо направить письменное уведомление по адресу местонахождения: 191014, г. Санкт-Петербург, вн.тер.г. муниципальный округ Смольнинское, ул Восстания, д. 27 к. 2 литера б, помещ. 3-н, ком. 2,3.
В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» от 27.07.2006 г. или другими федеральными законами.
3. Хранение персональных данных
3.1. С целью обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них. Оператор обеспечивает, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
Оператор применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.2. В состав мер по обеспечению безопасности персональных данных, реализуемых Оператором в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
-защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- обеспечение целостности информационной системы и персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
В целях обеспечения соответствия уровня защиты персональных данных требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» Оператор не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения информационной безопасности персональных данных.
4. Оператор обязуется не разглашать полученную от Субъекта персональных данных информацию.
Не считается нарушением предоставление Оператором информации третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед Субъектом персональных данных. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.
4.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.
4.2. Персональные данные субъектов персональных данных хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъектов персональных данных, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются техническими службами Оператора и сообщаются индивидуально работникам, имеющим доступ к персональным данным субъектов персональных данных.
5. Использование персональных данных
5.1. Оператор осуществляет обработку персональных данных Субъектов персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:
- выполнения норм гражданского законодательства РФ о договорных обязательствах,
- заключение и исполнение договоров и/или соглашений с контрагентами/субъектами персональных данных – физическими лицами;
- обработки заказов, запросов или других действий Субъекта персональных данных;
- информирования субъекта персональных данных о статусе заказа;
- анализа качества предоставляемого Оператором сервиса и улучшению качества обслуживания клиентов Оператора;
- в случае выраженного согласия Субъекта персональных данных, в целях продвижения товаров, работ и услуг Оператора на рынке, оповещения о проводимых акциях, мероприятиях, скидках, проведения маркетинговых кампаний Оператора;
- в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных;
- персональные данные обрабатываются в целях осуществления аналитики Сайта, отслеживания и понимания принципов использования Сайта посетителями, совершенствования функционирования Сайта, решения технических проблем Сайта, разработки новых продуктов, расширения услуг, выявления популярности мероприятий и определения эффективности рекламных кампаний; обеспечения безопасности и предотвращения мошенничества.
5.2. Персональные данные, представленные субъектом персональных данных, обрабатываются автоматизированным и без использования средств автоматизации способами. Персональные данные хранятся столько, сколько нужно для достижения целей их обработки.
5.3. После истечения срока нормативного хранения документов, которые содержат персональные данные субъектов персональных данных, документы подлежат уничтожению.
6. Передача и распространение персональных данных
6.1. При передаче Обществом персональных данных субъект персональных данных должен дать на это согласие в письменной форме.
6.2. Общество вправе передать информацию, которая относится к персональным данным, без согласия субъекта персональных данных, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
6.3. Общество не вправе распространять персональные данные третьим лицам без выраженного согласия субъекта персональных данных на передачу таких данных.
6.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
6.5. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются Обществом без права распространения.
6.6. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что он не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Общество обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
6.7. Согласие на распространение персональных данных может быть предоставлено Обществу:
· непосредственно.
6.8. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Обществом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Общества в установлении субъектом персональных данных запретов и условий не допускается.
6.9. Общество обязано в срок не позднее 3 (трех) рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.
6.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты ) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
6.11. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Обществу требования, указанного в пункте 5.12 настоящего Положения.
6.12. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Общество или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (трех) рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Общество или третье лицо обязаны прекратить передачу персональных данных в течение 3 (трех) рабочих дней с момента вступления решения суда в законную силу.
7. Гарантии конфиденциальности персональных данных
7.1. Информация, относящаяся к персональным данным субъекта персональных данных, является служебной тайной и охраняется законом.
7.2. В настоящее Положение могут вноситься изменения и дополнения, которые утверждаются приказом директора Общества с ограниченной ответственностью «Академия вина».
7.3. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
7.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.