Политика защиты и обработки персональных данных
ООО «Тема Ритейл Ру»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее также –
«Политика») составлена в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее также –
«Закон о персональных данных»), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее также –
«Данные»), которые Организация (далее также –
«Оператор», «Компания», «Общество») может получить, в частности, от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее также –
«Работник»).
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.
1.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается номер и дата последней действующей редакции. Новая редакция Политики вступает в силу с момента ее размещения на Интернет-сайте http://www.lcwaikiki.ru (далее также – «
Сайт LCWAIKIKI. RU»), если иное не предусмотрено новой редакцией Политики.
2. Термины и принятые сокращения
Персональные данные (ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является
общество с ограниченной ответственностью «Тема Ритейл Ру» (ОГРН 1117746398659, ИНН 7715867370), расположенное по адресу: 105066, г. Москва, ул. Нижняя Красносельская, д. 35, стр. 64.
Резервное копирование – процесс создания копии данных на машинном носителе и/или в облачном хранилище данных, предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.
Система резервного копирования – совокупность программного и аппаратного обеспечения, выполняющая задачу резервного копирования информации.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Обработка персональных данных
3.1. Получение персональных данных
3.1.1. Все персональные данные следует получать от самого субъекта персональных данных. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.1.2. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.3. Документы, содержащие персональные данные, создаются путем:
· копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
· внесения сведений в учетные формы (включая, но не ограничиваясь заполнением субъектом персональных данных форм Сайте LCWAIKIKI.RU);
· получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.1.4. Персональные данные подлежат хранению в сроки, предусмотренные п. 3.3.6 настоящей Политики.
3.2. Обработка персональных данных
3.2.1. Обработка персональных данных осуществляется:
· с согласия субъекта персональных данных на обработку его персональных данных;
· в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
· в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных).
3.2.2. Правовым основанием для обработки персональных данных является:
· Гражданский кодекс РФ, Трудовой кодекс РФ и иные действующие федеральные законы РФ;
· настоящая Политика и локальные нормативные акты Компании в сфере защиты персональных данных;
· гражданско-правовые и трудовые договоры, заключаемые с субъектами персональных данных;
· согласие субъекта персональных данных на обработку персональных данных.
3.2.3. Цели обработки персональных данных:
· осуществление трудовых отношений с кандидатами на работу в Компании, работниками Компании и бывшими работниками Компании;
· осуществление гражданско-правовых отношений с клиентами Компании – физическими лицами, контрагентами Компании – юридическими лицами и их сотрудниками.
3.2.4. Категории субъектов персональных данных. Обрабатываются персональные данные следующих субъектов персональных данных:
· физические лица, состоящие с Обществом в трудовых отношениях;
· родственники физических лиц, состоящих с Обществом в трудовых отношениях;
· физические лица, уволившиеся из Общества;
· физические лица, являющиеся кандидатами на вакантные должности Общества;
· физические лица, состоящие с Обществом в гражданско-правовых отношениях;
· контрагенты Общества и их сотрудники.
3.2.5. Оператор обрабатывает персональные данные, полученные:
· при осуществлении трудовых отношений;
· для осуществления отбора кандидатов на вакантные должности;
· при осуществлении гражданско-правовых отношений.
3.2.6. Конкретный перечень обрабатываемых Компанией персональных данных Покупателей/Пользователей Сайта LCWAIKIKI.RU устанавливается Приложением № 1 к настоящей Политике, а в отношении иных категорий субъектов персональных данных – локальными нормативными актами Компании и соответствующим согласием субъекта персональных данных.
3.2.7. Обработка персональных данных ведется:
· с использованием средств автоматизации;
· без использования средств автоматизации.
3.3. Хранение и учет персональных данных и их носителей
3.3.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа. Перечень работников Общества, имеющих право доступа к вышеперечисленным местам хранения персональных данных, определяется отдельным приказом единоличного исполнительного органа Общества.
3.3.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, обрабатываются в соответствии с действующим законодательством Российской Федерации.
3.3.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в открытых (общедоступных) ИСПДн.
3.3.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется в сроки, предусмотренные п. 3.3.6 настоящей Политики.
3.3.6. Условием прекращения хранения персональных данных может являться:
· отзыв согласия на обработку персональных данных;
· выявление фактов неправомерной обработки персональных данных.
3.3.7. Персональные данные работников, уволившихся из Компании, хранятся в сроки, предусмотренные действующим законодательством РФ.
3.3.8. При наличии условий для прекращения хранения персональных данных они подлежат уничтожению в порядке, предусмотренном п. 3.4 настоящей Политики.
3.4. Уничтожение персональных данных и их носителей
3.4.1. Для уничтожения бумажных документов применяются технические средства (шредера).
3.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.5. Передача персональных данных
3.5.1. Оператор передает персональные данные третьим лицам в следующих случаях:
· субъект персональных данных выразил свое согласие на такие действия;
· передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3.5.2. Компания в соответствии с действующим законодательством РФ может передать персональные данные субъектов персональных данных следующим государственным органам:
· Пенсионный фонд РФ (на законных основаниях);
· налоговые органы РФ (на законных основаниях);
· Фонд социального страхования РФ (на законных основаниях);
· территориальный фонд обязательного медицинского страхования (на законных основаниях);
· страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
· банки для начисления заработной платы (на основании договора);
· органы МВД России в случаях, установленных законодательством;
· иным государственным органам, передача персональных данных которым предусмотрена действующим законодательством РФ.
3.5.3. Компания, исключительно в целях исполнения условий Публичной оферты и Пользовательского соглашения, размещенных на Сайте LCWAIKIKI.RU, вправе на основании гражданско-правовых договоров передавать персональные данные субъектов персональных данных (предоставление, доступ, включая трансграничную передачу в Турецкую Республику), согласившихся с условиями Публичной оферты и Пользовательского соглашения, третьим лицам в целях предоставления физическим лицам доступа к использованию функционала Сайта LCWAIKIKI.RU, в том числе в целях проверки, исследования и анализа данных, позволяющих поддерживать и улучшать функционал и разделы Сайта LCWAIKIKI.RU, а также разрабатывать новый функционал и разделы Сайта LCWAIKIKI.RU, для целей проведения опросов посредством рассылки электронных сообщений всем субъектам персональных данных, кто связывался с колл-центром, обслуживающим Общество, и кто совершал покупки на сайте LCWAIKIKI.RU, при условии, что данные лица дали соответствующее согласие.
Компания принимает все необходимые меры для защиты персональных данных физических лиц от неправомерного доступа, изменения, раскрытия или уничтожения. Компания предоставляет доступ к персональным данным физических лиц только тем третьим лицам, которым эта информация необходима для обеспечения функционирования Сайта LCWAIKIKI.RU и предоставления физическому лицу доступа к его использованию, а также для целей обеспечения возможности исполнения условий Публичной оферты, в том числе для целей исполнения заказов, оформленных на Сайта LCWAIKIKI.RU.
3.5.4. Передача (предоставление, доступ, включая трансграничную передачу в Турецкую Республику и в Республику Казахстан) персональных данных работников Компании, кандидатов на работу в Компании, а также персональных данных сотрудников контрагентов Компании – юридических лиц в пользу третьих лиц, с которыми Компанией заключены соответствующие гражданско-правовые договоры, допускается лишь с письменного согласия соответствующих субъектов персональных данных, если иное не предусмотрено действующим законодательством РФ.
4. Положение о защите персональных данных
4.1. В соответствии с требованиями, предусмотренными действующим законодательством, Оператором и его работниками, допущенными к обработке персональных данных, соблюдается режим конфиденциальности персональных данных. С целью соблюдения режима конфиденциальности персональных данных Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс локальных нормативных актов Компании, обеспечивающих создание, функционирование и совершенствование СЗПД, а также настоящую Политику.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных. Перечень средств, входящих в комплекс технической защиты, определяется отдельным локальным актом Компании.
4.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
· Назначение лица, ответственного за организацию обработки персональных данных (менеджера по обработке персональных данных), а также лиц, допущенных к обработке персональных данных;
· Направление в уполномоченный орган по защите прав субъектов персональных данных уведомления об обработке персональных данных;
· Определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн и разработка мер и мероприятий по защите персональных данных;
· Использование технических средств защиты персональных данных, соответствующих требованиям действующего законодательства;
· Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.;
· Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· Использование сертифицированного антивирусного программного обеспечение с регулярно обновляемыми базами;
· Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
· Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
· Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по пресечению несанкционированного доступа к ним;
· Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· Обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи, в том числе информирование в письменном виде получателей документов, содержащих персональные данные, о необходимости соблюдения конфиденциальности получаемых персональных данных;
· Определение в договорах, заключаемых с третьими лицами, перечня действий с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных, цели обработки, обязанности такого лица соблюдать конфиденциальности персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных;
· Защита передаваемых по открытым каналам связи персональных данных, критичных к нарушению их конфиденциальности (персональные данные не являющиеся общедоступными или обезличенными), в том числе:
Ø Запрет передачи персональных данных на общие адреса электронной почты;
Ø Информирование принимающей стороны в сопроводительном письме или сообщении о том, что передаваемая информация содержит персональные данные, в отношении которых должны соблюдаться требования конфиденциальности;
Ø Шифрование передаваемых по открытым каналам связи персональных данных:
o содержащихся в документах, удостоверяющих личность (биометрические данные, число, месяц, год рождения, место рождения, место регистрации, серия и номер документа, удостоверяющего личность);
o персональных данных работников Компании, не связанные с осуществлением их профессиональной деятельности о номере телефона, адресе, семейном положении, о доходах, номере страхового свидетельства обязательного пенсионного страхования, об идентификационном номере налогоплательщика.
4.6. В случае возникновения инцидента информационной безопасности лицо, ответственное за обработку персональных данных, обязано принять меры по его устранению и предотвращению повторного возникновения инцидента подобного характера.
4.7. Лицо, ответственное за обработку персональных данных, обязано принимать меры по периодическому резервному копированию персональных данных в порядке, установленном Оператором.
5. Основные права субъекта персональных данных и обязанности Оператора
5.1. Основные права субъекта персональных данных
5.1.1. Субъект имеет право на доступ к его персональным данным в порядке, предусмотренном действующим законодательством Российской Федерации, в том числе:
· на получение сведений о наименовании и местонахождении Оператора, сведений о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
· на обращение к Оператору и направление ему запросов;
· иные права, предусмотренные действующим законодательством РФ.
5.2. Обязанности Оператора
5.2.1. Оператор обязан:
· обеспечить доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
· принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
· осуществлять иные обязанности, предусмотренные действующим законодательством РФ.
Приложение № 1
к Политике защиты и обработки
персональных данных
Перечень обрабатываемых ООО «Тема Ритейл Ру» персональных данных покупателей / пользователей Сайта LCWAIKIKI.RU
В целях надлежащего исполнения ООО «Тема Ритейл Ру» обязательств по договору купли-продажи на условиях публичной оферты, размещенной на Интернет-сайте http://www.lcwaikiki.ru (далее также – «
Сайт LCWAIKIKI.RU»),
покупатель/пользователь Сайта LCWAIKIKI.RU предоставляет посредством заполнения соответствующих полей в Личном кабинете следующую информацию:
- фамилия, имя, контактный телефон, адрес электронной почты, адрес доставки и условия заказа в случае его оформления;
- идентификатор (номер ID) обращения в колл-центр, обслуживающий Общество;
- в случае возврата товаров, приобретенных через Сайт LCWAIKIKI.RU, – реквизиты банковского счета;
- источник захода на Сайт LCWAIKIKI.RU и информация поискового или рекламного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- параметры сессии;
- данные о времени посещения;
- сведения об IP-адресах, с которых Пользователь/Покупатель открывает электронное письмо;
- идентификатор Пользователя/Покупателя, хранимый в cookie;
- сведения о версии мобильного приложения LC Waikiki, модель устройства, с помощью которого осуществляется навигация в мобильном приложении LC Waikiki;
- операционная система устройств, с помощью которых осуществляется навигация на Сайте LCWAIKIKI.RU и/или в мобильном приложении LC Waikiki;
- геолокация Пользователя/Покупателя (в случае использования служб геолокации).
Приложение № 2
к Политике защиты и обработки
персональных данных
Согласие посетителя сайта LCWAIKIKI.RU на обработку персональных данных
Физическое лицо (далее – «
Пользователь/Покупатель»), ставя галочку напротив текста «Я даю свое согласие на обработку моих персональных данных» и/или нажимая на кнопку отправки заполненной формы на Интернет-сайте https://www.lcwaikiki.ru (далее – «
Сайт LCWAIKIKI.RU»), обязуется принять настоящее Согласие на обработку персональных данных (далее – «
Согласие»). Принятием Согласия является простановка галочки напротив текста «Я даю свое согласие на обработку моих персональных данных» и/или нажатие на кнопку отправки заполненной формы на Сайте LCWAIKIKI.RU. Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, Пользователь/Покупатель дает свое согласие ООО «Тема Ритейл Ру» (место нахождения: 105066, Россия, Москва, ул. Нижняя Красносельская, д. 35, стр. 64, ОГРН 1117746398659; ИНН 7715867370, далее – «
Администратор»), которому принадлежит Сайт LCWAIKIKI.RU, на обработку своих персональных данных с использованием средств автоматизации и без использования средств автоматизации со следующими условиями:
1. Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
2. Согласие дается на обработку следующих персональных данных:
- фамилия, имя, контактный телефон, адрес электронной почты, адрес доставки и условия заказа в случае его оформления;
- в случае возврата товаров, приобретенных через Сайт LCWAIKIKI.RU, – реквизиты банковского счета;
- источник захода на Сайт LCWAIKIKI.RU и информация поискового или рекламного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- параметры сессии;
- данные о времени посещения;
- сведения об IP-адресах, с которых Пользователь/Покупатель открывает электронное письмо;
- идентификатор Пользователя/Покупателя, хранимый в cookie;
- сведения о версии мобильного приложения LC Waikiki, модель устройства, с помощью которого осуществляется навигация в мобильном приложении LC Waikiki;
- операционная система устройств, с помощью которых осуществляется навигация на Сайте LCWAIKIKI.RU и/или в мобильном приложении LC Waikiki;
- геолокация Пользователя/Покупателя (в случае использования пользователем служб геолокации).
3. Персональные данные Пользователя/Покупателя не являются общедоступными.
4. Цель обработки персональных данных Пользователя/Покупателя:
- идентификация Пользователя/Покупателя, зарегистрированного на Сайте LCWAIKIKI.RU;
- предоставление Пользователю/Покупателю доступа к персонализированным ресурсам Сайта LCWAIKIKI.RU, включая Личный кабинет;
- доставка товаров и продукции, приобретенной Пользователем/Покупателем посредством оформления заказа на Сайте LCWAIKIKI.RU;
- определение местонахождения Пользователя/Покупателя для обеспечения безопасности, предотвращения мошенничества;
- подтверждение достоверности и полноты персональных данных, предоставленных Пользователем/Покупателем;
- предоставление Пользователю/Покупателю клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта LCWAIKIKI.RU и / или оформлением (аннулированием) заказа на Сайте LCWAIKIKI.RU;
-связь с Пользователем/Покупателем, в том числе направление уведомлений, запросов и информации, касающихся оказываемых услуг, исполнения соглашений и договоров, предоставления информации о специальных акциях и персональных предложениях, а также обработка запросов и заявок от Пользователя/Покупателя;
- улучшение качества оказываемых услуг, удобства их использования, проведение аналитических исследований;
- возврат денежных средств Пользователю/Покупателю в случае отмены заказа на Сайте LCWAIKIKI.RU.
5. Администратор вправе осуществлять обработку персональных данных Пользователя/Покупателя следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
6. Пользователь/Покупатель также дает свое согласие на передачу (в том числе трансграничную передачу третьим лицам в Турецкую Республику) Администратором своих персональных данных как посетителя Сайта LCWAIKIKI.RU третьим лицам, с которыми Компанией заключены соответствующие гражданско-правовые договоры, исключительно в целях, предусмотренных п. 4 настоящего Согласия.
7. Согласие может быть отозвано Пользователем/Покупателем или его представителем путем направления письменного заявления Администратору по адресу 105066, Россия, Москва, ул. Нижняя Красносельская, д. 35, стр. 64.
8. В случае отзыва Пользователем/Покупателем или его представителем Согласия на обработку персональных данных Администратор вправе продолжить обработку персональных данных без согласия Пользователя/Покупателя при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9. Настоящее Согласие вступает в силу с момента простановки Пользователем/Покупателем галочки напротив текста «Я даю свое согласие на обработку моих персональных данных» и/или нажатия на кнопку отправки заполненной формы на Сайте LCWAIKIKI.RU и действует до момента соответствующего отзыва в письменной форме в соответствии с п. 7 настоящего Согласия.