1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая политика АО «ПАРФЮМ» в отношении обработки персональных данных (далее – Политика) утверждена в соответствии с требованиями положений Федерального закона «О персональных данных» и действует в отношении всех персональных данных, которые АО «ПАРФЮМ» (далее – Оператор) может получить от субъекта персональных данных. Политика определяет порядок обработки и защиты информации о субъектах персональных данных (далее субъект ПД), пользующихся интернет-Сайтом www.parfum.ru (далее – Сайт) и его сервисов.
1.1. Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 Закона о персональных данных. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика является общедоступным документом и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных при их обработке.
1.2. Политика неукоснительно исполняется работниками всех структурных и обособленных подразделений Оператора.
1.3. Основные понятия, используемые в Политике:
- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
- оператор персональных данных (оператор) — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
- автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- информационные сообщения — сообщения технического и информационного характера в отношении аккаунта Субъекта ПД на Сайте, а также связанные с заказами Субъекта ПД;
- cookies — файлы с данными, которые размещаются (хранятся) на устройстве посетителя Сайта при использовании Сайта. Cookie-файлы позволяют Сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с интерфейсом Сайта.
- заключение click-wrap-соглашений — подписание документа при согласии Покупателя путем проставления Субъектом ПД галочки в специальном поле-квадрате на сайте; проставление галочки означает полное согласие со всеми условиями соглашений, правил, политик, договоров, предоставленных для ознакомления до проставления галочки.
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
2.1.Оператор – Акционерное общество «ПАРФЮМ» (ИНН 7808031651, ОГРН 1027807970520). Оператор ведет свою деятельность по адресу: 188300, Ленинградская область, Гатчинский район, г. Гатчина, проспект 25 Октября, дом 42, офис 106; тел. 8 (812) 640-39-39; адрес эл. почты: parfum_spb@parfum.ru.
2.2.Адрес обособленного подразделения АО «ПАРФЮМ»: 192102, г. Санкт-Петербург, ул. Салова, д. 50.
2.3.База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: 192102, г. Санкт-Петербург, ул. Салова, д. 50.
3. ПРИНЦИПЫ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. cookies
3.1. Принципы обработки персональных данных:
- обработка ПДн осуществляется на законной и справедливой основе;
- ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, а также для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
- определение конкретных законных целей до начала обработки (в т.ч. сбора) ПДн;
- ведется сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
- объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
- обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
3.2. Оператор обрабатывает персональные данные на основании:
3.2.1.положений нормативно-правовых актов РФ, в том числе:
- Конституции РФ;
- Гражданского кодекса РФ;
- Налогового кодекса РФ;
- Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- иных нормативных правовых актов;
3.2.2.договора, заключаемого между Обществом и субъектом ПД либо третьим лицом, по которому субъект ПД является выгодоприобретателем или поручителем;
3.2.3.согласия субъекта персональных данных на обработку персональных данных;
3.2.4.законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта ПД.
3.3. Оператор обрабатывает персональные данные следующих категорий субъектов ПД — пользователей Сайта:
- посетители Сайта – физические лица, в том числе зарегистрированные в установленном порядке в качестве ИП;
- представители (работники) контрагентов Оператора (юридических лиц).
3.4. Оператор обрабатывает персональные данные соответствующих категорий субъектов ПД для следующих целей обработки персональных данных:
| Цели обработки персональных данных | Категории субъектов ПД | Обрабатываемые персональные данные | Срок обработки | Порядок уничтожения |
|---|---|---|---|---|
| Обеспечение работы сайта | пользователи Сайта | cookie-файлы | до окончания работы сайта | удаление из ИСПДн |
| Обработка заявки, обращения, ответа на звонок и предоставления ответа | посетители Сайта | ФИО, номер телефона, адрес электронной почты, место работы (если применимо) | не более 1 года с даты предоставления ответа | удаление из ИСПДн |
| Обработка заявки, обращения, ответа на звонок и предоставления ответа | представители (работники) юридических лиц | ФИО, номер телефона, адрес электронной почты, место работы | не более 1 года с даты предоставления ответа | удаление из ИСПДн |
3.4.1. В случае отзыва субъектом ПД согласия на обработку его персональных данных Оператор обязуется прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством РФ и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
3.4.2. Для проверки благонадежности лиц, с которыми Общество намеревается установить деловые отношения (например, заключить гражданско-правовой договор) в рамках проверки Оператор также может запросить иные необходимые сведения. Основанием обработки предоставленных в рамках проверки персональных данных являются требования налогового законодательства РФ, в т.ч. о должной осмотрительности, а также законный интерес Общества. Срок обработки – до принятия решения о сотрудничестве или в течение 5 лет после окончания переговоров.
3.5. Оператором не осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), за исключением случаев, предусмотренных законодательством РФ.
3.6. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
3.7. Оператор использует технологию cookies.
Данные, собираемые с помощью cookie-файлов, не относятся к специальным категориям или биометрическим и обрабатываются автоматизированным способом.
По достижении указанных сроков обработки персональные данные уничтожаются путем удаления из информационных систем.
Субъект ПД может запретить обработку cookie-файлов в настройках браузера. При отказе от использования cookie-файлов некоторые части (функции) Сайта могут быть недоступны для использования.
Cookies собирают:
- запоминание выбранных пользователем настроек (всплывающие баннеры, согласия, разрешения);
- техническую информацию для удобства использования сайта.
IP-адреса пользователей Сайта не собираются и не хранятся Оператором.
4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
4.1. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных Законом о персональных данных.
4.2. Оператор обязан:
- предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
- организовывать обработку персональных данных в порядке, установленном законодательством РФ;
- отвечать на обращения субъектов ПД;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней;
- публиковать или иным образом обеспечивать неограниченный доступ к Политике;
- принимать меры защиты;
- прекращать передачу/обработку и уничтожать ПДн;;
- исполнять иные обязанности.
5. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПД
5.1. Права субъектов ПД:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
- требовать уточнения, блокировки или уничтожения персональных данных, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки;
- на отзыв согласия на обработку персональных данных, а также на направление требования о прекращении обработки персональных данных;
- обжаловать неправомерные действия или бездействие Оператора.
5.2. Обязанности субъектов ПД:
- предоставлять Оператору достоверные данные о себе;
- обновлять, дополнять предоставленную информацию о персональных данных в случае изменения.
5.3.Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПЕРЕДАЧА ТРЕТЬИМ ЛИЦАМ
6.1.На любые персональные данные Субъекта ПД, которая собирается и обрабатывается Оператором на Сайте распространяется режим конфиденциальности.
6.2.Персональные данные обрабатываются без использования средств автоматизации и/или с использованием таких средств с получением и (или) передачей полученной информации по информационно-телекоммуникационным сетям или без таковой следующими способами: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
6.3.Оператор обрабатывает персональные данные субъекта ПД только в случае их заполнения и/или отправки Покупателем самостоятельно через специальные формы, расположенные на Сайте, посредством звонка по номеру Оператора или направления письма на адрес электронной почты Оператора.
6.4.Для целей выполнения соглашений с Субъектом ПД, в случаях, когда последний является прямо или косвенно выгодоприобретателем, либо поручителем, обработка персональных данных может производиться без согласия Субъекта ПД по тем персональным данным, которые были получены от Субъекта ПД в добровольном порядке, в том числе по соглашениям/договорам.
6.5.Оператор, не имея на это объективной возможности и правовых оснований, не осуществляет проверку достоверности Персональной информации, предоставляемой Субъектами ПД. Оператор исходит из того, что Субъект ПД предоставляет актуальные и достоверные персональные данные, а также обладает всеми необходимыми правами (дееспособностью, правоспособностью, включая возможность приобретения товаров и услуг, имеющих возрастные ограничения, либо требующих наличия специальных разрешений у Покупателя), позволяющими ему использовать Сайт.
Если у Вас есть основания полагать, что лицо, не достигшее возраста 18 лет, предоставило Оператору свои персональные данные через формы сбора данных, просим Вас сообщить об этом по электронной почте или иному адресу, указанному в разделе 2 Политики.
6.6.Оператор вправе передать персональные данные субъекта ПД третьим лицам в следующих случаях:
- Субъект персональных данных явно выразил свое согласие на такие действия.
- Передача предусмотрена действующим законодательством Российской Федерации в рамках установленной процедуры.
6.7.Трансграничная передача of personal data не осуществляется.
7. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Условия прекращения обработки персональных данных:
- достижение целей обработки (в т.ч. истечение сроков хранения);
- получение сведений, подтверждающих незаконность или ненужность ПД для заявленной цели обработки;
- выявление неправомерной обработки (при невозможности обеспечить правомерность);
- истечение срока согласия Субъекта ПД или его отзыв при отсутствии иных правовых оснований;
- утрата правовых оснований; ликвидация/реорганизация; указание уполномоченного органа; запрет отдельных видов обработки; потеря актуальности целей.
- ликвидация/реорганизация;
- указание уполномоченного органа;
- запрет отдельных видов обработки;
- потеря актуальности целей.
7.2.В случае отзыва субъектом ПД согласия на обработку его персональных данных Оператор обязан в срок, не превышающий тридцати дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 ст. 6 и п 3,6-7.1,10 части 2 ст. 10 Закона о персональных данных.
7.2.1.В случае обращения субъекта ПД к Оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных.
7.3.Документы на материальных носителях, содержащие персональные данные, уничтожаются путем измельчения/дробления, в т.ч. с применением шредера. Факт уничтожения персональных данных подтверждается актом об уничтожении персональных данных.
7.4.Документы в электронном виде, содержащие персональные данные, уничтожаются из ИСПДн путем стирания или форматирования носителя. Факт уничтожения персональных данных подтверждается актом об уничтожении персональных данных с электронных носителей.
7.4.1.Другие способы уничтожения персональных данных могут быть предусмотрены локальными нормативными актами Оператора.
8. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.Важнейшим условием реализации целей деятельности Оператора является обеспечение безопасности информационных систем персональных данных, соблюдения конфиденциальности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.
8.2.Оператор использует современные технологии шифрования, обеспечивающие защиту персональных данных в определенных областях Сайта Оператора во время передачи через Интернет. На наличие шифрования указывает https в URL браузера или изображение закрытого замка или сплошного ключа в окне браузера. Эти указания могут отсутствовать в мобильных сервисах, использующих технологии шифрования.
8.3.Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
8.4.Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
- принятие локальных актов по вопросам обработки персональных данных;
- назначение лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничение состава лиц, допущенных к обработке персональных данных;
- ознакомление сотрудников с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
- организация учета, хранения и обращения носителей, содержащих информацию с персональных данных;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- проверка готовности и эффективности использования средств защиты информации;
- разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
- регистрация и учет действий пользователей ИСПДн;
- использование антивирусных средств и средств восстановления системы защиты персональных данных;
- применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
- организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
8.5.Технические мероприятия по обеспечению безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий при их обработке в ИСПДн включают:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- защиту машинных носителей персональных данных;
- регистрацию событий безопасности;
- антивирусную защиту;
- контроль защищенности персональных данных;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных;
- управление конфигурацией информационной системы;
- дополнительные защитные меры, необходимые для нейтрализации актуальных угроз.
8.6.Доступ к информационным системам персональных данных обеспечивается 2-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.
8.7.Доступ работников Оператора к персональным данным осуществляется на основании приказа Генерального директора. Приказом Генерального директора определяется перечень лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей.
8.8.Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
- определены места хранения персональных данных (материальных носителей);
- обеспечено раздельное хранение персональных данных (материальных носителей); обработка которых осуществляется в различных целях;
- обеспечен учет материальных носителей;
- с целью обеспечения физической сохранности документов, содержащих персональные данные, предотвращения хищения документов, а также с целью недопущения разглашения содержащихся в них сведений документы хранятся в шкафах или ящиках, запираемых на ключ, либо в помещениях, режим доступа в которые исключает неконтролируемое пребывание посторонних лиц.
8.9.Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации в области ПДн, а также внутренним нормативным документам.
8.9.1.К периодическим мероприятиям внутреннего контроля относятся, в частности следующие:
- контроль за применяемыми мерами по обеспечению безопасности персональных данных и уровнями защищенности ИСПДн;
- оценка эффективности применяемых мер по обеспечению безопасности персональных данных.
9. АКТУАЛИЗАЦИЯ И УТВЕРЖДЕНИЕ ПОЛИТИКИ
9.1.Политика утверждается и вводится в действие распорядительным документом, подписываемым руководителем Оператора.
9.2.Оператор вправе вносить изменения и дополнения в настоящую Политику в любое время без предварительного уведомления субъектов ПД.
9.3.Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Политики, и действует бессрочно до её замены следующей редакцией.
