Политика конфиденциальности и обработки персональных данных

1. Информация о документе

2. Ответственность и область применения

Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:

3. Определение терминов

4. Принципы обработки персональных данных

4.1. Общество осуществляет обработку персональных данных, руководствуясь следующими принципами:

4.1.1. осуществление обработки персональных данных на законной и справедливой основе;

4.1.2. ограничение обработки персональных данных достижением заранее определенных и законных целей, а также недопустимость обработки персональных данных, несовместимой с целями сбора персональных данных;

4.1.3. недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4.1.4. осуществление обработки исключительно тех персональных данных, которые отвечают целям их обработки;

4.1.5. обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, а также недопустимость обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

4.1.6. обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям их обработки;

4.1.7. осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

4.1.8. уничтожение или обеспечение уничтожения персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

5. Перечень целей обработки персональных данных

5.1. Во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных») Общество разрабатывает и публикует в составе Политики перечень целей обработки персональных данных (Приложение 1).

5.2. Перечень целей обработки персональных данных актуализируется Обществом при необходимости и по мере изменений бизнес-процессов в Обществе.

6. Порядок и условия обработки персональных данных

6.1. Общество обрабатывает персональные данные исключительно при наличии правовых оснований, предусмотренных Законом «О персональных данных».

6.2. Персональные данные могут обрабатываться как на основании договора, заключенного с субъектом персональных данных, в том числе на условиях Публичной оферты, так и на основании согласия на обработку персональных данных, выражаемого путем самостоятельного введения своих персональных данных при заполнении формы «Регистрация», авторизации на Сайте Общества или заполнении формы «Товар под заказ» после нажатия на Сайте кнопки «Запросить информацию» рядом с текстом вида: «Я согласен на обработку персональных данных и ознакомлен с условиями Политики конфиденциальности и обработки персональных данных».

6.3. Применительно к каждой цели Общество определяет категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных.

7. Порядок уничтожения персональных данных

7.1. Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в перечне целей обработки персональных данных (Приложение 1), производится в случаях:

7.1.1. достижения цели обработки персональных данных;

7.1.2. утраты необходимости в достижении цели обработки персональных данных;

7.1.3. выявления факта неправомерной обработки персональных данных и невозможности обеспечения ее правомерности;

7.1.4. отзыва Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено Законом «О персональных данных»;

7.1.5. предъявления Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено Законом «О персональных данных».

7.2. Если нет возможности уничтожить персональные данные в сроки, установленные Законом «О персональных данных», Общество осуществляет их блокирование, после чего уничтожает в срок не более 6 месяцев, если иной срок не установлен законодательством РФ.

7.3. Если персональные данные невозможно уничтожить без повреждения их материального носителя, то уничтожению подлежат и персональные данные, и их материальный носитель.

7.4. Подтверждение факта уничтожения персональных данных осуществляется в соответствии с требованиями законодательства РФ.

8. Получение, передача, поручение обработки персональных данных. Конфиденциальность персональных данных

8.1. Общество размещает на своем сайте ссылку на текст Политики, для того чтобы Субъект персональных данных имел возможность ознакомиться с содержанием Политики перед отправкой своих персональных данных.

8.2. Субъект персональных данных должен подтвердить свое согласие на обработку персональных данных на сайте https://lvtrade.ru либо путем заполнения специальных форм перед отправкой своих персональных данных (п. 6.2. Политики), либо самим фактом отправки данных, если специальное поле отсутствует.

8.3. Общество, получившее доступ к персональным данным, не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8.4. Оператор не проверяет достоверность информации, предоставляемой Субъектом персональных данных, и исходит из того, что Субъект персональных данных в порядке принципа добросовестности и требований ст. 19 Гражданского кодекса Российской Федерации предоставляет достоверную и достаточную информацию, заботится о своевременности внесения изменений в ранее предоставленную информацию, актуализирует информацию.

8.5. Общество для достижения целей, предусмотренных в перечне целей обработки персональных данных, вправе с согласия Субъекта персональных данных поручить обработку персональных данных третьему лицу если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, требования к их обработке и защите обрабатываемых персональных данных, предусмотренные Законом «О персональных данных».

К третьим лицам могут относиться:

8.5.1. банковские организации, осуществляющие выпуск и обслуживание банковских карт для последующего начисления заработной платы и иных выплат работнику;

8.5.2. операторы систем электронного документооборота, обеспечивающие юридически значимый электронный документооборот;

8.5.3. операторы связи, оказывающие услуги связи;

8.5.4. аудиторы, проводящие аудиторские проверки и формирующие заключения;

8.5.5. организации, привлекаемые для оказания услуг доставки и автотранспортного обслуживания;

8.5.6. сервисные компании (оказывающие услуги информационно-технологического обеспечения и т. д.);

8.5.7. лица, обладающие правом в предусмотренных законодательством РФ случаях на получение персональных данных в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;

8.5.8. иные контрагенты, с которыми Общество взаимодействует для достижения целей, предусмотренных в перечне целей обработки персональных данных.

8.6. Фактический состав привлекаемых Обществом третьих лиц к обработке персональных данных определяется в соответствии с положениями законодательства РФ, договоров между Обществом и Субъектом персональных данных, согласия(ий) Субъекта персональных данных на обработку персональных данных, договоров между Обществом и контрагентом, являющимся оператором персональных данных.

8.7. Получение, передача, и (или) поручение обработки персональных данных осуществляется исключительно при наличии правовых оснований, предусмотренных Законом «О персональных данных».

8.8. Общество может осуществлять трансграничную передачу персональных данных в случаях, когда это необходимо для осуществления уставной деятельности Общества, с учетом условий и ограничений, установленных Законом «О персональных данных».

9. Порядок рассмотрения обращений и запросов Субъектов персональных данных

9.1. Общество в целях соблюдения прав и законных интересов Субъектов персональных данных осуществляет прием и обработку их обращений и запросов, а также контроль обеспечения такого приема и обработки.

9.2. При рассмотрении обращений и запросов Субъектов персональных данных Общество руководствуется положениями Закона «О персональных данных», устанавливающими требования к их содержанию.

9.3. Предоставление информации и принятие иных мер в связи с поступлением обращений и запросов Субъектов персональных данных производится Обществом в объеме и сроки, предусмотренные Законом «О персональных данных». Срок ответа Субъекту персональных данных на обращение или запрос может быть продлен при условии направления в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления.

9.4. Общество, получив обращение или запрос Субъекта персональных данных и убедившись в его законности:

9.4.1. предоставляет Субъекту персональных данных или его Представителю сведения, указанные в обращении или запросе, в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе;

9.4.2. принимает иные меры в зависимости от специфики обращения и запроса.

9.5. Предоставляемые Обществом сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

9.6. Общество при наличии оснований, предусмотренных законодательством РФ, вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении или запросе, путем направления Субъекту персональных данных мотивированного отказа.

10. Права Субъекта персональных данных

10.1. Получать сведения об обработке персональных данных Обществом за исключением случаев, когда такое право может быть ограничено в соответствии с Законом «О персональных данных», в том числе, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

10.2. Требовать уточнения, блокирования или уничтожения обрабатываемых персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Отозвать согласие на обработку персональных данных полностью или в какой-либо части или обратиться к Обществу с требованием о прекращении обработки персональных данных.

10.4. Обратиться к Обществу любым удобным и возможным способом для реализации и защиты своих прав и законных интересов.

10.5. Обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

10.6. Защищать свои права и законные интересы.

11. Обязанности Общества

11.1. Назначить лицо, ответственное за организацию обработки персональных данных.

11.2. Утвердить Политику конфиденциальности и обработки персональных данных, включающую положения, в которых для каждой цели обработки персональных данных определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

11.3. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Закона «О персональных данных» и внутренним нормативным документам Общества по вопросам обработки персональных данных.

11.4. Ознакомить лиц, привлеченных (допущенных) Обществом к обработке персональных данных, с требованиями законодательства РФ, в том числе требованиями к защите персональных данных, документами, определяющими Политику конфиденциальности и обработки персональных данных, внутренними нормативными документами Общества по вопросам обработки персональных данных.

11.5. Опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Обществу сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, Политику конфиденциальности и обработки персональных данных. Обеспечивать доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

11.6. В случае, если предоставление персональных данных и (или) согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и (или) предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку.

11.7. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъекта персональных данных с использованием баз данных, находящихся на территории РФ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет».

11.8. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.9. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, уведомить об указанном факте уполномоченный орган по защите прав субъектов персональных данных в порядке и сроки, предусмотренные законодательством РФ.

12. Реализуемые Обществом требования к защите персональных данных

12.1. Определение угроз безопасности персональных данных, которые могут возникнуть при их обработке в ИСПДн.

12.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных.

12.3. Определение мест хранения материальных (в том числе машинных) носителей персональных данных, обеспечение учета и сохранности носителей персональных данных, исключение несанкционированного доступа к носителям персональных данных, а также раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

12.4. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них.

12.5. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

12.6. Установление правил доступа к персональным данным, обрабатываемым в ИСПДн.

12.7. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

12.8. Организация режима безопасности помещений, в которых осуществляется обработка персональных данных и (или) размещены программно-аппаратные средства, используемые для обработки персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

12.9. Установление и утверждение перечня лиц (должностей), привлеченных (допущенных) Обществом к автоматизированной и (или) неавтоматизированной обработке персональных данных.

12.10. Для хранения персональных данных мы используем базы данных, которые находятся в РФ.

13. Правила обработки cookie-файлов

13.1. На сайте Общества могут использоваться cookie-файлы следующих типов:

13.1.1. технические — строго необходимые для правильной работы и отображения сайта на устройстве пользователя;

13.1.2. статистические (аналитические) — позволяют подсчитать количество посещений веб-сайта, отдельных страниц веб-сайта и иную статистику;

13.1.3. функциональные — облегчают использование веб-сайта, запоминая предпочтения пользователя (язык, местонахождение, пароль и т. д.);

13.1.4. рекламные — позволяют отображать рекламу, которая может заинтересовать пользователя;

13.1.5. иные — cookie-файлы, не перечисленные в данном перечне.

13.2. Срок хранения cookie-файлов может различаться в зависимости от их типа, но в любом случае он ограничен периодом, необходимым для достижения цели использования конкретного cookie-файла.

13.3. Общество не использует cookie-файлы для:

13.3.1. прямого или косвенного определения Субъектов персональных данных с использованием технической информации или иных сведений;

13.3.2. сопоставления (сравнение), объединения (связывание) информации из cookie-файлов с иными находящимися в распоряжении сведениями.

13.4. При первом попадании на веб-сайт пользователь информируется об обработке cookie-файлов. Ему предлагается выразить согласие на такую обработку, либо отказаться посредством изменения настроек браузера. Продолжая пользоваться сайтом Общества, то есть самим фактом пользования сайтом Общества, Пользователь соглашается с обработкой сookie-файлов.

14. Нормативные ссылки

14.1. Внешние нормативные документы

15. Приложения

Приложение 1 «Перечень целей обработки персональных данных»

1. Оказание услуг по продаже, доставке товаров, в том числе на условиях публичной оферты, включая:

• заключение, исполнение и прекращение договоров с клиентами, контрагентами Общества, в том числе на условиях публичной оферты;
• предоставление Субъектам персональных данных возможности самостоятельного введения своих персональных данных при регистрации, авторизации на сайте https://lvtrade.ru и/или его использовании для заказа товаров, услуг, оплаты товаров, услуг;
• предоставление справочной информации;
• предоставление Субъектам персональных данных товаров, услуг;
• осуществление доставки товаров;
• осуществление сервисных услуг;
• формирование клиентской базы данных о покупателях товаров, получателях услуг и их информирование по вопросам работы и/или пользования приобретенными товарами;
• распространение информационных и рекламных сообщений (по sms, электронной почте, телефону, иным средствам связи), получение обратной связи.

1.1. Перечень персональных данных:

• фамилия, имя, отчество
• дата рождения
• сведения о месте жительства и (или) пребывания
• контактные (коммуникационные) данные (номер телефона, e-mail)
• финансово-платежные сведения
• данные об истории посещений сайта Общества
• пользовательские данные (IP-адрес, cookie-файлы и др.)

1.2. Категории субъектов персональных данных:

• клиенты, контрагенты Общества, выгодоприобретатели по договорам
• пользователи сайта https://lvtrade.ru
• Способы обработки персональных данных:
• Смешанный способ (с использованием средств автоматизации и без использования таких средств)

1.3. Перечень действий с персональными данными:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), получение, использование, передача (предоставление, доступ), удаление, уничтожение

1.4. Сроки обработки персональных данных:

До 10 лет, если иное не предусмотрено законодательством или согласием Субъекта персональных данных

1.5. Правовые основания обработки персональных данных

• согласие на обработку персональных данных

1.6. Порядок уничтожения:

Порядок уничтожения персональных данных определен в разделе 7 Политики

2. Управление персоналом и сопровождение деятельности¹

2.1. Перечень персональных данных:

• фамилия, имя, отчество
• дата рождения и (или) возраст
• место рождения
• половая принадлежность
• сведения о документе, удостоверяющем личность
• сведения о месте жительства и (или) пребывания
• сведения о месте осуществления деятельности
• контактные (коммуникационные) данные
• сведения об образовании и обучении
• сведения о профессии и трудовой/профессиональной квалификации
• сведения о профессиональном и личностном развитии
• сведения о должности, структурном подразделении и текущем месте трудоустройства
• сведения о текущей трудовой (служебной) деятельности
• сведения о предшествующей трудовой (служебной) деятельности
• изображение субъекта персональных данных
• идентификационный номер налогоплательщика (ИНН)
• сведения об обязательном медицинском, пенсионном и социальном страховании (СНИЛС)
• сведения о доходах, расходах и удержаниях, связанных с трудовой (служебной) деятельностью
• финансово-платежные сведения
• сведения об отношении к воинской обязанности и о воинском учете
• сведения об использовании и эксплуатации программных и аппаратных средств, информационных систем, вычислительных и коммуникационных сетей
• cookie-файлы (включающие в себя сведения о посещении и использовании сайтов в сети «Интернет» и т. д.)

2.2. Категории субъектов персональных данных:

• работники (действующие и уволенные) Общества
• близкие и иные родственники работников Общества
• владельцы Общества — физические лица
• получатели выплат, связанных с работниками Общества

2.3. Способы обработки персональных данных:

Смешанный способ (с использованием средств автоматизации и без использования таких средств).

2.4. Перечень действий с персональными данными

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, поиск, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение

2.5. Сроки обработки персональных данных:

До 10 лет после прекращения правоотношений сторон, если иное не предусмотрено законодательством или соглашением сторон

2.6. Правовые основания обработки персональных данных

• согласие на обработку персональных данных
• обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве

2.7. Порядок уничтожения:

Порядок уничтожения персональных данных определен в разделе 7 Политики

¹ Цель «Управление персоналом и сопровождение деятельности» включает:

• Осуществление кадрового делопроизводства (подписание трудового договора с работниками; адаптация работника на рабочем месте; ведение личного дела работника; принятие решений о повышении, переводе на новое место работы, увольнении; оформление отпусков, больничных, отгулов и т. д.).
• Осуществление бухгалтерского учета (выплата заработных плат, иные выплаты).
• Осуществление организационного обеспечения деятельности (управление документами; административно-хозяйственное обеспечение; материально-техническое обеспечение; работа с контрагентами, клиентами, посетителями сайта Общества; прием и отправка корреспонденции и т. д.).
• Осуществление правовой работы (договорно-правовая работа; защита и управление имущественными и неимущественными правами и интересами; участие в судебных спорах, включая досудебный порядок, и т. д.).
• Организация служебных поездок (бронирование отелей, покупка авиабилетов, заказ служебных автомобилей/такси и т. д.).
• Осуществление воинского учета.