Общие положения

Политика в отношении обработки персональных данных ООО «Гранж» разработана в соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и предназначена для предоставления неограниченного доступа к информации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных в ООО «Гранж».

Настоящая Политика описывает порядок обработки и защиты персональных данных физических лиц в связи с заключением договоров и исполнением договорных обязательств ООО «Гранж», осуществлением уставной деятельности организации.

Персональные данные относятся к категории конфиденциальной информации и защищены от несанкционированного, в том числе случайного, доступа к ним.

Основные понятия в области персональных данных

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу и удаление.

Автоматизированная обработка — обработка персональных данных с использованием средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Обезличивание персональных данных — действия, делающие невозможным определение принадлежности персональных данных конкретному субъекту без дополнительной информации.

Принципы и условия обработки персональных данных

• Обработка персональных данных осуществляется на основании законных оснований.
• Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
• Недопустимо объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях.
• Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки.
• Обеспечивается точность, актуальность и достаточность персональных данных для их обработки.

Обработка персональных данных в ООО «Гранж» может осуществляться в следующих случаях:

• Получено согласие субъекта на обработку его персональных данных.
• Обработка необходима для исполнения договора, стороной которого является субъект персональных данных.
• Обработка осуществляется в исследовательских или статистических целях с обязательным обезличиванием данных.
• Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.

Соблюдение всех условий обработки и защиты персональных данных гарантирует безопасность конфиденциальной информации.

Обрабатываемые персональные данные

С целью осуществления уставной деятельности ООО «Гранж», в том числе:

• заключения, исполнения и прекращения гражданско-правовых договоров;
• осуществления связи с субъектами персональных данных для направления уведомлений, информации и запросов, связанных с деятельностью ООО «Гранж»;
• обработки обращений, заявлений, заявок и иных сообщений субъектов персональных данных;
• предоставления субъектам персональных данных доступа к использованию Интернет-сайта ООО «Гранж» и его функционала;
• реализации программ лояльности;
• продвижения товаров на рынке путем осуществления прямых контактов с субъектами персональных данных;
• проведения статистических и иных исследований на основе обезличенных персональных данных,

в ООО «Гранж» обрабатываются персональные данные покупателей:

• Фамилия, имя, отчество;
• Дата рождения;
• Адрес (для доставки заказа и/или возврата денежных средств);
• Сведения документа, удостоверяющего личность (при возврате/обмене товара);
• Контактные данные (номер телефона, адрес электронной почты);
• Файлы «Cookie» посетителей сайта.

Основанием для обработки персональных данных является согласие субъекта.

Обработка персональных данных осуществляется с использованием средств автоматизации или без их использования. Срок обработки персональных данных ограничивается достижением заявленной цели. В случае утраты необходимости в достижении цели персональные данные подлежат уничтожению в установленные законодательством сроки.

Сбор персональных данных

Сбор персональных данных осуществляется непосредственно у самого субъекта персональных данных. При этом субъекту разъясняются юридические последствия отказа в предоставлении данных или согласия на их обработку.

Получение персональных данных у иных лиц возможно только при наличии законных оснований. При сборе данных через Интернет обеспечивается запись, систематизация и хранение персональных данных на территории Российской Федерации.

Обработка персональных данных

При обработке персональных данных в ООО «Гранж» выполняются следующие действия:

• сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение);
• извлечение, использование, передача (распространение, предоставление, доступ);
• блокирование, удаление, уничтожение.

Обработка персональных данных может быть поручена третьему лицу с согласия субъекта или в случаях, предусмотренных законодательством.

Хранение персональных данных

Хранение персональных данных осуществляется не дольше, чем это необходимо для достижения целей обработки, если иное не предусмотрено законодательством Российской Федерации. По достижении целей обработки данные могут быть уничтожены, обезличены или переданы в архив.

Передача персональных данных

Передача персональных данных третьим лицам допускается только с согласия субъекта или в случаях, предусмотренных законодательством Российской Федерации. Трансграничная передача персональных данных на территорию иностранных государств не осуществляется.

Распространение персональных данных

Обработка персональных данных, разрешенных для распространения, осуществляется с учетом выполнения требований законодательства. Субъект персональных данных вправе установить ограничения на передачу данных третьим лицам или на их обработку.

Условия и порядок прекращения обработки персональных данных

В случае достижения цели обработки персональных данных обработка таких персональных данных должна быть прекращена, а персональные данные должны быть уничтожены в тридцатидневный срок с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных должна быть прекращена, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

В случае выявления неправомерной обработки персональных данных обработка таких персональных данных должна быть прекращена в течение трех рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение десяти рабочих дней с даты выявления неправомерной обработки.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10.1-10.3, должно быть обеспечено блокирование таких персональных данных и их уничтожение в срок не более шести месяцев, если иной срок не установлен законодательством Российской Федерации.

Доступ к персональным данным

Право доступа к персональным данным, обрабатываемым в ООО «Гранж», имеют:

• Генеральный директор ООО «Гранж»;
• Работники ООО «Гранж», для которых обработка персональных данных необходима в связи с исполнением их должностных обязанностей;
• Третьи лица, осуществляющие обработку персональных данных по поручению ООО «Гранж», на основании заключаемого с этим лицом договора (поручения).

Допуск работников ООО «Гранж» к персональным данным осуществляется руководством отдельным внутренним актом.

Порядок взаимодействия с субъектами персональных данных

Любой субъект, персональные данные которого обрабатываются в ООО «Гранж», имеет право доступа к своим персональным данным, в том числе к следующей информации:

• Подтверждение факта обработки персональных данных;
• Правовые основания и цели обработки персональных данных;
• Цели и применяемые способы обработки персональных данных;
• Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства Российской Федерации;
• Перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
• Сроки обработки персональных данных и сроки их хранения;
• Порядок осуществления субъектом прав, предусмотренных законодательством Российской Федерации;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• Наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу;
• Информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ «О персональных данных».

ООО «Гранж» предоставляет сведения, указанные в п.12.1, в течение десяти рабочих дней с момента получения запроса субъекта или его законного представителя в форме, в которой получен соответствующий запрос (если иное не указано в запросе). В ответе на запрос не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Срок ответа на запрос может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемых сведений.

Запрос субъекта или его представителя должен содержать:

• номер основного документа, удостоверяющего личность субъекта или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с ООО «Гранж» (номер договора, дата заключения договора или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ООО «Гранж»;
• подпись субъекта персональных данных или его представителя.

Субъект вправе повторно обратиться в ООО «Гранж» с запросом сведений, указанных в п.12.1, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

Субъект вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если обрабатываемые в ООО «Гранж» персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной ООО «Гранж» цели обработки.

Субъект вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес ООО «Гранж» и должен содержать сведения, указанные в п.12.3. В случае отзыва субъектом согласия на обработку персональных данных ООО «Гранж» вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Выполнение предусмотренных законодательством обязанностей

С целью выполнения ООО «Гранж» обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, принимаются следующие меры:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных требованиям законодательства Российской Федерации;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации;
• ознакомление работников ООО «Гранж» с положениями законодательства Российской Федерации и локальными актами ООО «Гранж».

В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, ООО «Гранж» уведомляет Роскомнадзор:

• в течение 24 часов с момента выявления о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, включая сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом;
• в течение 72 часов с момента выявления о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента (при наличии).

Защита персональных данных

При обработке персональных данных принимаются необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

С целью обеспечения безопасности персональных данных в ООО «Гранж» осуществляются следующие мероприятия:

• определение угроз безопасности персональных данных при их обработке в информационных системах;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, которые обеспечивают выполнение требований к установленным уровням защищенности;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и реагирование на данные инциденты;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
• регистрация и учет действий, совершаемых с персональными данными в информационных системах персональных данных;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных в соответствии с установленным уровнем защищенности персональных данных.

Ответственность

За нарушение требований, установленных законодательством Российской Федерации, Положением об обработке и защите персональных данных и другими локальными актами ООО «Гранж», работники и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с Федеральными законами Российской Федерации.

Заключительные положения

К настоящей политике обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.

Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно. Изменения в Политику вносятся отдельными актами ООО «Гранж». Актуальная редакция Политики размещается на Интернет-сайте ООО «Гранж».

Реквизиты и контактная информация

Наименование: Общество с ограниченной ответственностью «Гранж».

Сокращенное наименование: ООО «Гранж».

ИНН: 7703735467.

КПП: 770301001.

ОГРН: 1117746004617.

Юридический адрес: 119019, г. Москва, Никитский бульвар, д. 25, стр. 1.

Почтовый адрес: 119019, г. Москва, Никитский бульвар, д. 25, стр. 1.