Политика конфиденциальности ООО «СФЕРА»
в отношении обработки персональных данных
Редакция от 20.09.2023 г.
1. Назначение и область действия документа
1.1. Политика ООО "СФЕРА" (ОГРН 1215000033302) (далее по тексту - "Общество") в отношении
обработки персональных данных (далее по тексту - "Политика") определяет позицию и намерения Общества
в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод субъекта
персональных данных, в особенности таких, как право на неприкосновенность частной жизни, личную и
семейную тайну, защиту чести и достоинства.
1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных
подразделений, филиалов и представительств Общества.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в
Обществе с применением средств автоматизации и без применения таких средств.
1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с
использованием сети Интернет.
1.5. По мере необходимости Общество актуализирует настоящую Политику и вправе в одностороннем
порядке в любой момент изменять ее условия, поэтому Общество рекомендует регулярно проверять
содержание настоящей Политики на предмет ее возможных изменений.
Если иное не предусмотрено Политикой, все вносимые в нее изменения вступают в силу с даты, указанной
в Политике.
1.6. Во всем ином, что не предусмотрено настоящей Политикой, Общество руководствуется положениями
действующего законодательства Российской Федерации.
2. Термины
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности,
относятся: Ф.И.О., год, месяц, дата и место рождения, адрес, сведения о семейном, социальном,
имущественном положении, сведения об образовании, профессии, доходах, а также иная информация,
позволяющая по совокупности определить (идентифицировать) субъекта указанных персональных данных.
2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение, предоставление,
доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
2.3. Субъект персональных данных - физическое лицо, чьи персональные данные обрабатываются.
2.4. Оператор - лицо, самостоятельно или совместно с иными лицами организующее и (или)
осуществляющее обработку персональных данных, а также определяющие цели обработки персональных
данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с
персональными данными. Для целей настоящей Политики Общество, обрабатывая персональные данные,
является оператором, если иное прямо не указано в Политике.
2.5. Обработчик - любое лицо, которое на основании договора с оператором осуществляет обработку
персональных данных по поручению оператора, действуя от имени и (или) в интересах последнего при
обработке персональных данных. Оператор несет ответственность перед субъектом персональных данных за
действия или бездействия обработчика, а обработчик несет ответственность перед оператором.
2.6. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми
действующим законодательством Российской Федерации, если иное прямо не указано в Политике.
3. Порядок и условия обработки персональных данных
3.1. Под безопасностью персональных данных Общество понимает защищенность персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных и необходимые правовые, организационные и технические меры,
необходимые для обеспечения безопасности персональных данных.
3.2. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в
соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ "О
персональных данных", и иных правовых актов, таких как законы Российской Федерации, руководящие и
методические документы Правительства Российской Федерации, Минцифры России, Роскомнадзора, ФСТЭК
России и ФСБ России, определяющих порядок обработки персональных данных.
3.3. При обработке персональных данных Общество руководствуется следующими принципами:
- законности и справедливости;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных
целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых
осуществляется в целях, несовместимых между собой;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям
обработки;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности
по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению
неполных или неточных данных;
- прозрачности обработки персональных данных: возможность субъекта персональных данных ознакомиться
с информацией, касающейся обработки его персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных
данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.4. Общество обрабатывает персональные данные на следующих условиях:
| Цель обработки персональных данных |
Категории субъектов персональных данных |
Категории и перечень персональных данных |
|
Заключение и исполнение договоров купли-продажи, в т.ч. дистанционным способом, с лицами,
указанными в п. 3.6. настоящей политики;
Предоставление скидок и иных преференций участникам программы лояльности для покупателей,
Осуществление прямых контактов с помощью средств связи с целью продвижения товаров, работ,
услуг,
Повышение качества оказываемых услуг, исправления ошибок и сбора статистических данных
|
Лица, заключившие и исполнившие договор купли-продажи, в т.ч. дистанционным способом, с одним
или несколькими из лиц, указанных в п. 3.6. настоящей политики
|
ФИО,
Пол,
Дата рождения,
Адрес доставки товара,
Контактная информация (номер телефона, адрес электронной почты, почтовый адрес);
ИНН,
иные данные, самостоятельно предоставленные такими пользователями Обществу,
сведения о приобретенных товарах (услугах), в том числе у третьих лиц.
|
|
Осуществление прямых контактов с помощью средств связи с целью продвижения товаров, работ, услуг
|
Лица, предоставившие свои персональные данные при регистрации на веб-сайте Общества, но не
заключившие или не исполнившие заключенный договор купли-продажи
|
ФИО,
Пол,
Дата рождения,
Адрес доставки товара,
Контактная информация (номер телефона, адрес электронной почты, почтовый адрес);
ИНН,
иные данные, самостоятельно предоставленные Обществу.
|
|
Заключение и исполнение трудовых и гражданско-правовых договоров
|
Работники Общества,
Близкие родственники работников Общества,
Бывшие работники Общества,
Кандидаты на замещение вакантных должностей Общества,
Работники по гражданско-правовым договорам,
Иные субъекты персональных данных, каким-либо образом взаимодействующие с
Обществом в рамках заявленной цели.
|
Гражданство;
ФИО;
Пол;
Дата и место рождения;
Данные документов, удостоверяющих личность;
Сведения, содержащиеся в документах миграционного учета;
Адрес регистрации по месту жительства и адрес фактического проживания;
Контактная информация (номер телефона, адрес электронной почты, почтовый адрес)
Данные документов об образовании, квалификации, профессиональной подготовке, сведения о
повышении квалификации и иные аналогичные данные;
Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться
Обществу, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных
трудовым и налоговым законодательством РФ;
Сведения о воинском учете и сведения, содержащиеся в документах воинского учета;
Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы,
доходах с предыдущих мест работы;
ИНН, СНИЛС;
Банковские реквизиты;
Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности
работника у Общества;
Сведения о доходах у Общества;
Сведения о деловых и иных личных качествах, носящие оценочный характер;
Биографические сведения;
Сведения о временной нетрудоспособности и о состоянии здоровья;
Фото- и видеоизображения
|
|
Обеспечение корректности работы веб-сайта и мобильного приложения и удобства их использования
пользователем
|
Пользователи веб-сайта и мобильного приложения
|
Регистрационные и авторизационные данные (логин, пароль и т.д.), технические сведения о
пользовательских устройствах и идентификаторы, в т.ч. IP-адрес, файлы cookies, веб-маяки,
информация о пользовательском местоположении,
и т.п.
|
|
Для соблюдения и исполнения требований действующего законодательства Российской Федерации
|
Покупатели товаров и услуг, в том числе у третьих лиц,
Работники Общества,
Близкие родственники работников Общества,
Бывшие работники Общества,
Кандидаты на замещение вакантных должностей Общества,
Работники по гражданско-правовым договорам,
Иные субъекты персональных данных, каким-либо образом взаимодействовавшие и предоставившие свои
персональные данные,
Пользователи сайта
|
Гражданство;
ФИО;
Пол;
Дата и место рождения;
Данные документов, удостоверяющих личность;
Сведения, содержащиеся в документах миграционного учета;
Адрес регистрации по месту жительства и адрес фактического проживания;
Контактная информация (номер телефона, адрес электронной почты, почтовый адрес);
Данные документов об образовании, квалификации, профессиональной подготовке, сведения о
повышении квалификации и иные аналогичные данные;
Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться
Обществу, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных
трудовым и налоговым законодательством РФ;
Сведения о воинском учете и сведения, содержащиеся в документах воинского учета;
Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы,
доходах с предыдущих мест работы;
ИНН, СНИЛС;
Банковские реквизиты;
Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности
работника у Общества;
Сведения о доходах у Общества;
Сведения о деловых и иных личных качествах, носящие оценочный характер;
Биографические сведения;
Сведения о временной нетрудоспособности и о состоянии здоровья;
Фото- и видеоизображения,
Регистрационные и авторизационные данные (логин, пароль и т.д.), технические сведения о
пользовательских устройствах и идентификаторы, в
т.ч. файлы cookies, информация о пользовательском местоположении, сведения о приобретенных
товарах (услугах), в том числе у третьих лиц, иные данные, самостоятельно предоставленные такими
пользователями Обществу.
|
3.5. Общество обрабатывает персональные данные только при наличии хотя бы одного из условий ниже в
течение следующих сроков:
|
Правовое основание обработки персональных данных
|
Срок обработки и хранения персональных данных
|
|
С согласия субъекта персональных данных на обработку его персональных данных
|
В течение двадцати лет с даты предоставления согласия на обработку персональных данных
|
|
Для достижения целей, предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных законодательством Российской
Федерации на оператора функций, полномочий и обязанностей
|
В течение срока, установленного соответствующими международными договорами или законами
|
|
При необходимости обработки персональных данных, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом
|
В течение срока, установленного соответствующими законами
|
|
Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих
исполнению в соответствии с законодательством Российской Федерации об исполнительном
производстве
|
В течение срока, необходимо для исполнения соответствующего акта
|
|
В связи с участием лица в конституционном, гражданском, административном, уголовном
судопроизводстве, судопроизводстве в арбитражных судах
|
В течение срока участия в соответствующем судопроизводстве, включая сроки обжалования
(оспаривания) судебных актов, кроме случаев, когда более длительный срок обработки
персональных данных установлен действующим законодательством Российской Федерации
|
|
Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по
которому является субъект персональных данных, а также для заключения договора по
инициативе субъекта персональных данных или договора, по которому субъект персональных
данных будет являться выгодоприобретателем или поручителем
|
В течение срока действия такого договора, кроме случаев, когда более длительный срок
обработки персональных данных установлен действующим законодательством Российской
Федерации
|
|
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных
данных, если получение согласия субъекта персональных данных невозможно
|
До момента, когда получение согласия субъекта персональных данных станет возможным или
когда соответствующие основания, угрожающие жизни, здоровью или иным жизненно важным
интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше)
|
|
Для осуществления прав и законных интересов оператора или третьих лиц при условии, что
при этом не нарушаются права и свободы субъекта персональных данных
|
В течение срока, необходимого для осуществления прав и обеспечения законных интересов
Конкретный срок определяется Обществом с учетом положений настоящей Политики, внутренних
документов и локальных нормативных актов Общества, а также принципов обработки
персональных данных и требований действующего законодательства Российской Федерации, в
том числе в части прекращения обработки персональных данных при достижении конкретных,
заранее определенных и законных целей такой обработки
|
3.6. Обработка Обществом персональных данных субъекта, заключившего и исполнившего договор
купли-продажи, в т.ч. дистанционным способом, с одним или несколькими из следующих лиц: АО
"Бизнес-Контакт" (ОГРН 1045005518018), АО "Декор-Лайн" (ОГРН 1095075002406), АО "Универсал-ГОЛД" (ОГРН
1047796946999), ЗАО "ОДЕОН-СТИЛЬ"¶
(ОГРН 1095034003690), ООО "Ренис" (ОГРН 1135031000818), ООО "Смартвэй"¶
(ОГРН 1135031000884), ООО "ТРЕЙД-ЛАЙН" (ОГРН 1185074014729), ООО "Фэшн Плюс" (ОГРН 1137746485447), и
согласившегося присоединиться к Программе лояльности покупателей к продавцу, предусматривает передачу
персональных данных такого субъекта указанным лицам для целей предоставления ими такому субъекту скидок
на товар и иных преференций указанными лицами.
3.7. Общество вправе поручить обработку персональных данных третьим лицам - обработчикам - на
основании заключаемых с такими лицами договоров. К обработчикам, в частности, относятся поставщики
услуг, которые помогают Обществу в его деятельности: поставщики услуг хостинга, контактного центра
по работе с клиентами и т.д. Обработчики также будут обязаны соблюдать принципы и правила обработки
персональных данных, предусмотренные Федеральным законом № 152-ФЗ "О персональных данных" (включая
ст. 18.1 и ч. 5 ст. 18), иными законами и подзаконными актами. Для каждого обработчика договором
будут определены:
- перечень обрабатываемых персональных данных;
- цели их обработки;
- перечень действий (операций), которые обработчик будет вправе совершать с персональными данными;
- обязанности по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их
обработке, а также перечень обязательных для принятия обработчиком мер по обеспечению защиты
обрабатываемых им персональных данных, включая требование об уведомлении Общества об инцидентах с
персональными данными;
- обязанность предоставления по запросу Общества документов и иной информации, подтверждающих
принятие и соблюдение обработчиком мер в целях исполнения требований, установленных Федеральным
законом № 152-ФЗ "О персональных данных".
Обработчик не обязан получать согласие субъекта персональных данных на обработку его персональных
данных, поскольку по договору с Обществом если для обработки персональных данных необходимо
получение согласия субъекта персональных данных, то такое согласие обязано получить непосредственно
Общество.
3.8. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять
передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки
персональных данных.
3.9. Если иное не предусмотрено законодательством Российской Федерации, Общество прекращает
обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в
случаях:
- ликвидации Общества;
- реорганизации Общества, влекущей прекращение его деятельности;
- отпадения правовых оснований обработки персональных данных и/или достижения целей обработки
персональных данных.
Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в
том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах
персональных данных, определяются Обществом в его внутренних документах и локальных нормативных
актах.
3.10. Веб-сайт, посещаемый субъектом персональных данных, и мобильное приложение, используемое
субъектом персональных данных, могут собирать техническую информацию о субъекте персональных данных,
такую как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип
браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому
проходит пользователь веб-сайта или мобильного приложения. Веб-сайт, посещаемый субъектом
персональных данных, и мобильное приложение, используемое субъектом персональных данных, также могут
собирать и использовать файлы cookie, веб-маяки и идентификаторы мобильных устройств для обеспечения
работоспособности веб-сайта и мобильного приложения, повышения качества оказываемых с их помощью
услуг, исправления ошибок и сбора статистических данных, при этом Общество не преследует цели
идентифицировать конкретного пользователя веб-сайта или мобильного приложения.
3.11. Общество при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства
Российской Федерации, внутренних документов и локальных нормативных актов Общества в области
персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
- издает внутренние документы, определяющие политику Общества в отношении обработки персональных
данных, локальные акты по вопросам обработки персональных данных, а также локальные акты,
устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства
Российской Федерации, устранение последствий таких нарушений;
- осуществляет ознакомление работников Общества, его филиалов, представительств и структурных
подразделений, непосредственно осуществляющих обработку персональных данных, с положениями
законодательства Российской Федерации, внутренних документов и локальных нормативных актов Общества
в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение
указанных работников;
- проводит регулярные обязательные тренинги для своих работников по вопросам персональных данных;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных
требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным
правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним
документам и локальным нормативным актам Общества в области персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных
законодательством Российской Федерации;
совершает иные действия, предусмотренные законодательством Российской Федерации в области
персональных данных.
4. Права субъекта персональных данных
Лицо, персональные данные которого обрабатываются Обществом, имеет:
- право на отзыв ранее данного им согласия на обработку персональных данных, однако, согласно ч. 2
ст. 9, ч. 4 и 5 ст. 21 Федерального закона № 152-ФЗ "О персональных данных" Общество вправе продолжить
обработку персональных данных при наличии иных правовых оснований;
- право на получение информации, касающейся обработки персональных данных;
- право требовать уточнения своих персональных данных, их блокирования или уничтожения, если
персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не
являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки
персональных данных, если цель такой обработки достигнута Обществом.
Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен
соответствующим документом между ними (например, договором или текстом согласия на обработку
персональных данных), для реализации указанных выше прав субъекту персональных данных необходимо
направить Обществу заявление:
- в письменной форме и подписанное собственноручной подписью по адресу: 144001, Московская область, г.о.
Электросталь, г. Электросталь, ул. Карла Маркса, д. 4, корп. 151, комн. 332
либо
либо
- в виде электронного документа и подписанное электронной подписью на адрес электронной почты:
href="mailto: sferaorg.ooo@gmail.com"> sferaorg.ooo@gmail.com.
Такое заявление может быть составлено в произвольной форме, но должно в обязательном порядке
содержать описание требований субъекта персональных данных, а также следующие сведения:
- Ф.И.О. субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его
представителя, сведения о дате выдачи указанного документа и выдавшем его органе либо иные данные,
позволяющие однозначно идентифицировать субъекта персональных данных;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо
сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества,
нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав
субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством
Российской Федерации.
5. Сведения о реализуемых требованиях к защите персональных данных
Общество при обработке персональных данных принимает необходимые правовые, организационные и
технические меры для защиты персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных
данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно
пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности
обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних
документах и локальных нормативных актах Общества. К таким мерам, в частности, относятся:
- разработка моделей угроз;
- определение угроз безопасности персональных данных при их обработке в информационных системах
персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных, необходимых для выполнения требований к
защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни
защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты
информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе
персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с
персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня
защищенности информационных систем персональных данных;
учет машинных носителей персональных данных;
- организация пропускного и внутриобъектового режимов на территории Общества;
размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения
требований безопасности персональных данных.
***
