1.1. Назначение документа. Настоящая политика обработки персональных данных субъектов персональных данных (далее – Политика) является основополагающим внутренним документом, регулирующим вопросы обработки персональных данных субъектов персональных данных в Обществе с ограниченной ответственностью «1000 ЗАПЧАСТЕЙ» на сайте https://tz25.ru (далее – Общество/Оператор, Сайт соответственно). Настоящая Политика подготовлена в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее – «Закон») и определяет принципы Общества в области обработки и защиты персональных данных (далее – персональные данные) при работе с Сайтом и Обществом, в отношении соблюдения прав и свобод, описывает особенности сбора, хранения, использования и передачи персональных данных, реализуемые требования к их защите, а также раскрывает информацию о правах лиц, к которым относятся соответствующие персональные данные, с целью соблюдения и защиты прав и свобод каждого человека и гражданина и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Настоящая Политика определяет порядок и условия осуществления обработки и защиты персональных данных, устанавливает процедуры, направленные на обеспечение безопасности персональных данных и предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений.
Общество осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных.
Положения настоящей Политики являются основой для разработки внутренних документов Общества, регламентирующих вопросы обработки и защиты персональных данных.
Сайт является Оператором персональных данных в соответствии с Законом.
1.2. Доступ к настоящей Политике обеспечивается для всех и каждого субъекта персональных данных, путем ее размещения на Сайте.
1.3. Мероприятия, связанные с работой с персональными данными, являются неотъемлемой частью деятельности Сайта и Общества.
1.4. Основные термины и определения:
1.4.1. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных). Соответственно, к такой информации, в частности, можно отнести: ФИО, паспортные данные, включая прописку, телефонный номер, адрес электронной почты, а также другую информацию, позволяющую по совокупности определить, идентифицировать субъекта персональных данных).
1.4.2. Под обработкой персональных данных по тексту настоящей Политики, понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и/или без использования таких средств с персональными данными, включая, сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4.3. Под безопасностью персональных данных понимается защищенность персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.4.4. Под Конфиденциальностью персональных данных понимается обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4.5. Под Субъектом персональных данных понимается физическое лицо, носитель персональных данных, чьи персональные данные переданы Сайту/Обществу для обработки (также по тексту — Пользователь). Применительно к настоящей Политике к субъектам персональных данных относятся: любое физическое лицо, осуществляющее навигацию на Сайте как без осуществления Заказа так и с осуществлением Заказа; физическое лицо, зарегистрированное в личном кабинете на Сайте; иные физические лица, обращающиеся к Сайту с заявлениями о предполагаемом нарушении их прав или прав третьих лиц, а также обращениями или требованиями, работники, бывшие работники, родственники работников, контрагенты Общества, субъекты, с которыми заключены договоры гражданско-правового характера.
1.4.6. Под Трансграничной передачей персональных данных понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. Порядок обработки персональных данных. Согласия.
1.5.1. Политика распространяет свое действие на все действия, связанные с обработкой персональных данных на Платформе, сайте https://tz25.ru. Все термины, определения, используемые в настоящем документе, в том числе не установленные настоящим разделом Политики, имеют значение, используемые в Договоре, размещенном на Сайте по адресу: https://tz25.ru/upload/oferta.docx
1.5.2. Оформляя Поручение (Заказ) и/или регистрируясь на Сайте (создавая Учетную запись), взаимодействуя с Контакт-центром или чатом Сайта, Пользователь посредством соответствующего функционала Сайта предоставляет согласие на обработку своих персональных данных, в порядке, объеме, на условиях и для целей, предусмотренных Согласием, настоящей Политикой и действующим законодательством. Использование Сайта или Контакт-центра Пользователем, в том числе без совершения Заказа непосредственно в момент такого использования или оформления регистрации, также означает безоговорочное согласие Пользователя с правилами Политики и указанными в ней целями и условиями обработки персональных данных, в том числе на трансграничную передачу персональных данных. Если Пользователь не согласен с условиями настоящей Политики, Пользователю следует воздержаться от использования Сайта и Контакт-центра/чата.
1.5.3. Общество получает персональные данные Субъектов персональных данных:
а) путем личного сообщения Пользователем своих данных при обращении в Контакт-центр или чат, либо посредством направления заявлений, запросов, жалоб на электронную почту Оператора: zakaz@tz25.ru
б) путем введения своих персональных данных Пользователем путем заполнения специальных форм/граф на Сайте;
1.5.4. Оператор получает и начинает обработку персональных данных субъекта персональных данных с момента получения его согласия. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий. В случае заполнения Субъектом персональных данных маркетинговых листовок, ставя подпись, Субъект персональных данных выражает свое согласие на принятие условий Публичной оферты, размещенной на сайте https://tz25.ru/upload/oferta.docx, что означает в том числе и согласие на обработку персональных данных. В случае получения персональных данных от третьих лиц (Пользователей, контрагентов) обязанность по получению согласий на обработку и передачу таких персональных данных лежит на этих третьих лицах.
1.5.5. В случае внесения Субъектом персональных данных своих данных на Сайте, согласие на обработку персональных данных для всех целей, предусмотренных настоящей Политикой, в том числе на передачу и обработку персональных данных третьим лицам и трансграничную передачу персональных данных, считается предоставленным Субъектом персональных данных посредством совершения им следующих конклюдентных действий: путем проставления специального знака – «галочки» или «веб-метки» в специальном поле на Сайте при обращении в форме обратной связи; при регистрации в личном кабинете; при оформлении Заказа и т.п.; и нажатие соответствующей кнопки расценивается однозначно, как принятие условий Пользовательского соглашения, настоящей Политики и предоставление согласия на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в настоящей политикой и Пользовательским соглашением, предлагаемыми перед проставлением специального знака для ознакомления в виде ссылки, на соответствующие документы, размещенные на Сайте.
1.5.6. В случае получения персональных данных третьих лиц от Пользователя, обязанность по получению согласий на обработку и передачу таких персональных, в том числе на трансграничную передачу, данных лежит на Пользователе, предоставившем такие персональные данные. Предоставляя персональные данные третьих лиц (Получателей), Пользователь подтверждает наличие согласия Пользователя на передачу его персональных данных третьим лицам и обработку его персональных данных третьими лицами (как Обществом, так и третьими лицами, привлеченными Обществом для исполнения обязательств по договору, а также на трансграничную передачу, в том числе для целей, установленных настоящей Политикой). В случае получения персональных данных из общедоступных источников информации получение согласия субъектов персональных данных не требуется.
1.5.7. Согласие на обработку персональных данных, в том числе на передачу персональных данных третьим лицам, а также трансграничную передачу и их обработку третьими лицами в целях исполнения договора, стороной или выгодоприобретателем или поручителем по которому является субъект персональных данных, как это следует в том числе, но не ограничиваясь: по смыслу п. 4. ч. 4, ст. 12 Закона, а также в иных целяхконтрагентами Общества, осуществляющими свою деятельность в области курьерской доставки, международной перевозки, таможенного оформления, коммуникации с Субъектами персональных данных по вопросам исполнения вышеназванных договоров, проведения опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности Пользователя качеством исполнения договора, улучшения качества обслуживания, в области проведения статистических, маркетинговых и иных исследований, в области исполнения/сопровождения программ лояльности, проведения конкурсов, акций и иных подобных мероприятий, в области осуществления рекламныхи информационных рассылок, считается полученным с момента проставления Пользователем специального знака или веб-метки согласно п. 1.5.5. настоящей Политики, либо оформления Заказа на Сайте или иных действий, установленных п. 1.5.2. настоящей Политики и действует до момента направления Субъектом персональных данных соответствующего заявления о прекращении обработки персональных данных по месту нахождения Оператора или по электронному адресу: info@tz25.ru. В случае отсутствия согласия Субъекта на обработку его персональных данных, такая обработка не осуществляется.
1.5.8. Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), в том числе трансграничную передачу, обезличивание, удаление, уничтожение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Общество в ходе своей деятельности поручает обработку персональных данных третьим лицам с согласия субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку персональных данных по поручению Общества, принципов и правил обработки, а также обеспечения безопасности персональных данных, установленных законодательством Российской Федерации.
1.5.9. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) –юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3.1. Правовые основания обработки персональных данных. Сайт осуществляет обработку и обеспечивает безопасность персональных данных для осуществления возложенных на Сайт законодательством Российской Федерации функций, полномочий и обязанностей в том числе, но, не ограничиваясь, на основании Конституции Российской Федерации, федеральных законов, в частности Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», подзаконных актов, других определяющих случаи и особенности обработки указанных персональных данных федеральных законов Российской Федерации, руководящих и методических документов Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, а также Гражданского кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федеральным законом № 402-ФЗ от 6 декабря 2011 г. «О бухгалтерском учете», а также публичной оферте, заключенной между Обществом и Субъектом персональных данных, согласия Субъекта персональных данных на обработку персональных данных, Устава и локальных актов Оператора.
4.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
4.2. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
4.3. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
4.4. Обработка персональных данных осуществляется путем:
4.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.6. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
4.7. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
4.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
4.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
4.10. Цели обработки персональных данных:
4.10.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.10.2. Обработка Оператором персональных данных осуществляется в следующих целях:
4.10.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
4.11. Категории субъектов персональных данных.
Обрабатываются ПД следующих субъектов ПД:
– физические лица, состоящие с Обществом в трудовых отношениях;
– физические лица, уволившиеся из Общества;
– физические лица, являющиеся кандидатами на работу;
– физические лица, состоящие с Обществом в гражданско-правовых отношениях;
– представители (работники) клиентов и контрагентов Общества (юридических лиц).
4.12. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.13. ПД, обрабатываемые Оператором:
– данные, полученные при осуществлении трудовых отношений;
– данные, полученные для осуществления отбора кандидатов на работу;
– данные, полученные при осуществлении гражданско-правовых отношений.
4.14. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.15. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4.16. Хранение ПД.
4.16.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
4.16.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
4.16.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
4.16.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
4.16.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4.17. Уничтожение ПД.
4.17.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
4.17.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
4.17.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
5.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
5.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
5.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
5.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
5.4. Основными мерами защиты ПД, используемыми Оператором, являются:
5.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
5.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
5.5.3. Разработка политики в отношении обработки персональных данных.
5.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
5.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
5.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
5.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
5.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
5.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
5.5.12. Осуществление внутреннего контроля и аудита.
6.1. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
6.1.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
6.1.2. Требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; Субъект имеет право на доступ к его персональным данным и следующим сведениям:
– подтверждение факта обработки ПД Оператором;
– правовые основания и цели обработки ПД;
– цели и применяемые Оператором способы обработки ПД;
– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом «О персональных данных»;
– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– обращение к Оператору и направление ему запросов;
– обжалование действий или бездействия Оператора.
6.2. Оператор имеет право:
6.2.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
6.2.2. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
6.2.3. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
6.3. Обязанности Оператора.
Оператор обязан:
6.3.1. При сборе ПД предоставить информацию об обработке ПД;
6.3.2. В случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
6.3.3. При отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
6.3.4. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
6.3.5. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
6.3.6. Давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
6.3.7. Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
6.3.8. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.
6.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.