Политика
в отношении обработки персональных данных
ООО «СК ЛЕССОР»
(далее по тексту – «Политика»)
- ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика ООО «СК ЛЕССОР» (далее по тексту – «Оператор») определяет основные принципы, цели, порядок и условия обработки персональных данных (далее по тексту – «ПД»), объем и категории обрабатываемых Оператором ПД.
- Положения Политики распространяют своё действие на всю информацию, которую Оператор может получить от физических лиц (субъектов ПД).
- Политика является основой для организации обработки и защиты ПД Оператором, и определяет:
- правовые основания обработки ПД;
- принципы обработки ПД;
- цели обработки ПД, категории и перечень обрабатываемых ПД, категории субъектов ПД, ПД которых обрабатываются, способы, сроки обработки и хранения ПД, порядок их уничтожения;
- порядок и условия обработки ПД;
- меры обеспечения конфиденциальности и безопасности ПД;
- порядок рассмотрения обращений субъектов ПД по вопросам обработки ПД;
- права субъектов ПД.
- ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПД
- Оператор осуществляет обработку ПД на основании:
- Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее по тексту – «Закон о ПД от 27.07.2006»);
- Постановления Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119;
- настоящей Политики;
- договоров, стороной которых либо выгодоприобретателем или поручителем по которым являются субъекты ПД;
- согласий на обработку ПД, получаемых от субъектов ПД;
- локальных документов Оператора;
- иных оснований, предусмотренных законодательством РФ.
- Оператор также осуществляет обработку ПД на основании согласий на обработку ПД, предоставляемых пользователями сайта Оператора, расположенного в информационно-телекоммуникационной сети «Интернет» по веб-адресу: https://spb-rio.ru , для программы лояльности по адресу: https://www.riocampaign.ru посредством
- прохождения пользователем сайта процедуры регистрации на сайте (в указанном случае пользователь сайта подтверждает предоставление согласия на обработку ПД посредством проставления галочки в чек-бокс с соответствующим текстом);
- заполнения форм, содержащихся в различных разделах сайта, в том числе, доступных пользователям сайта после прохождения
процедуры регистрации (в указанном случае пользователь сайта подтверждает предоставление согласия на обработку
ПД посредством проставления галочки в чек-бокс с соответствующим текстом);
- использования функционала и возможностей сайта. Оператор собирает информацию о посещении сайта пользователями
сайта автоматически, без предоставления соответствующей информации пользователями сайта. Данные могут быть получены
Оператором с помощью методов, средств и инструментов, веб-протоколов, настроек, файлов cookies. При осуществлении входа на сайт
пользователь сайта посредством всплывающего окна (баннера) информируется об обработке Оператором перечня данных,
получаемых автоматически. В случае несогласия с обработкой указанных данных, пользователь Сайта должен прекратить
использование сайта. В этом случае Оператор не сможет обеспечить пользователю сайта использование сайта. Пользователь сайта
вправе самостоятельно изменить настройки своего интернет-браузера и отказаться от сохранения файлов cookies. В
указанном случае пользователь сайта подтверждает предоставление согласия на обработку ПД посредством продолжения
пользования сайтом (конклюдентные действия).
- Политика разработана в целях исполнения требований законодательства Российской Федерации в области ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при организации и / или осуществлении обработки его ПД Оператором, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, информирование субъектов ПД о действиях Оператора по обработке и защите их ПД.
- ПРИНЦИПЫ ОБРАБОТКИ ПД
- Обработка ПД Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
- Обработка ПД осуществляется Оператором с учетом следующих принципов
- обработки ПД на законной и справедливой основе;
- ограничения обработки ПД заранее определенными и законными целями;
- недопущения обработки ПД, несовместимой с целями их сбора (получения);
- обработки исключительно тех ПД, которые отвечают целям обработки;
- недопущения объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
- обеспечения соответствия содержания и объема обрабатываемых ПД заявленным целям обработки, в том числе недопущения обработки ПД, избыточных по отношению к заявленным целям их обработки;
- обеспечения точности ПД, их достаточности и в необходимых случаях актуальности по отношению к целям их обработки;
- хранения ПД в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели их обработки, если иной срок хранения ПД не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД;
- уничтожения ПД по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
- КАТЕГОРИИ ПД И ЦЕЛИ ИХ ОБРАБОТКИ
- ПД обрабатываются Оператором в целях, указанных в Политике. Обработка ПД, избыточных по отношению к установленным целям обработки, не допускается.
- Категории и перечень ПД, обрабатываемые Оператором, категории субъектов ПД, чьи ПД обрабатываются Оператором, способ обработки ПД, а также цель их обработки указаны в Таблице № 1 Приложения № 1 к Политике.
- УСЛОВИЯ ОБРАБОТКИ ПД
- Оператор при получении ПД и иной информации не проверяет её и исходит из следующего:
- лицо, предоставившее Оператору ПД и иную информацию, обладает полным объемом дееспособности;
- предоставленная информация является достоверной;
- лицо, предоставившее Оператору ПД и иную информацию, получило согласие третьего лица на передачу его ПД Оператору.
- В случае распространения Оператором ПД, он осуществляет указанное действие на основании согласия, полученного от субъекта ПД.
- В отношении предоставляемых ПД Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление третьим лицам, доступ), блокирование, обезличивание, удаление, уничтожение ПД с использованием и без использования средств автоматизации (вручную) в соответствии с целями, указанными в Разделе 4 Политики.
- Оператор не распространяет и не предоставляет ПД третьим лицам без соответствующего согласия субъекта ПД, за исключением следующих случаев, связанных с предупреждением, пресечением незаконных действий субъектов ПД, защиты интересов Оператора и третьих лиц, а также в случаях, установленных законодательством РФ.
- Для каждой указанной в Политике цели обработки ПД предусмотрены следующие способы обработки ПД: автоматизированная обработка ПД и неавтоматизированная обработка ПД, как с фиксацией ПД на материальных носителях, так и без такой фиксации.
- Передача (предоставление, доступ) ПД органам государственной власти, дознания и следствия, местного самоуправления, иным уполномоченным органам, а также получение Оператором ПД от таких органов допускается в случаях и на основаниях, предусмотренных законодательством РФ.
- Передача (предоставление, доступ) ПД третьему лицу, а также поручение обработки ПД такому лицу осуществляется только при наличии согласия субъекта ПД.
- При передаче ПД третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПД, Оператор ограничивает эту информацию только теми ПД, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
- Передача (предоставление, доступ) ПД между подразделениями Оператора осуществляется только между работниками, имеющими доступ к ПД субъектов. Доступ к обрабатываемым ПД предоставляются только тем работникам, которым он необходим для выполнения им конкретных функций в рамках выполнения должностных обязанностей.
- Трансграничная передача ПД Оператором не осуществляется.
- ХРАНЕНИЕ ПД
- ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем это требуют цели обработки, если срок хранения ПД не установлен законодательством РФ либо договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
- ПД Оператором осуществляется в информационных системах Оператора и на бумажных (материальных) носителях.
- осуществлении хранения ПД Оператор использует базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Закона о ПД от 27.07.2006.
- УНИЧТОЖЕНИЕ И ИЗМЕНЕНИЕ (ОБНОВЛЕНИЕ) ПД
- При обработке ПД Оператором обеспечивается их своевременное изменение (обновление, уточнение), которое осуществляется, в частности, в случае подтверждения факта неточности ПД, на основании:
- обращения субъекта ПД;
- установления Оператором расхождения между ранее полученными ПД и предоставляемыми субъектами ПД наряду с подтверждающими документами.
- Уничтожение ПД Оператором производится в случаях:
- выявления неправомерной обработки ПД, в том числе по обращению субъекта ПД или его представителя, либо запросу уполномоченного органа по защите прав субъектов ПД, если обеспечить правомерность обработки ПД невозможно;
- требования субъекта ПД, если его ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыва субъектом ПД согласия на обработку его ПД;
- достижения цели обработки ПД или утраты необходимости в достижении этих целей;
- истечения сроков хранения ПД, установленных законодательством РФ и/или Политикой;
- признания недостоверности ПД или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов ПД;
- ликвидации (прекращения деятельности) Оператора;
- в иных установленных законодательством РФ случаях.
- Уничтожение ПД Оператором производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и/или в результате которых уничтожаются материальные (бумажные) носители ПД. По результатам уничтожения формируются документы, предусмотренные требованиями законодательства РФ, подтверждающие уничтожение ПД.
- МЕРЫ ОБЕСПЕЧЕНИЯ КОНЦФИДЕНЦИАЛЬНОСТИ И БЕЗОПАСНОСТИ ПД
- Для обеспечения конфиденциальности и безопасности ПД, их защиты от неправомерного или случайного
доступа к ним, уничтожения, изменения, копирования, предоставления, распространения, а также от иных
неправомерных действий в отношении ПД в соответствии с Законом о ПД от 27.07.2006 Оператором
принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие
(если обработка ПД осуществляется лицом, действующим по поручению Оператора). В частности, принимаются
следующие меры:
- назначен ответственный за организацию обработки ПД;
- разработаны и утверждены организационно-распорядительные документы, определяющие политику Оператора в отношении обработки и обеспечения безопасности ПД;
- работники оператора, допущенные к обработке ПД, ознакомлены с положениями законодательства РФ и локальных нормативных актов в отношении обработки и обеспечения безопасности ПД;
- проводится внутренний контроль соответствия обработки ПД требованиям действующего законодательства и локальным актам Оператора;
- проведена оценка вреда, который может быть причинен субъектам ПД в случае нарушения Закона о ПД от 27.07.2006;
- обеспечен неограниченный доступ к Политике оператора в отношении обработки ПД;
- определены угрозы безопасности ПД при их обработке в информационных системах ПД;
- ведется учет машинных носителей ПД;
- установлен порядок доступа к ПД, обрабатываемым в информационных системах ПД;
- осуществляется контроль и оценка эффективности применяемых мер обеспечения безопасности ПД, обнаружение фактов несанкционированного доступа к ПД, а также восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа;
- организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих прав доступа в эти помещения;
- обеспечивается сохранность носителей ПД;
- утвержден (при необходимости актуализируется) перечень лиц, доступ которых к ПД, обрабатываемых в информационной системе, необходим для выполнения ими трудовых обязанностей;
- назначено лицо (работник Оператора), ответственное за обеспечение безопасности ПД, обрабатываемых в информационной системе ПД;
- осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
- осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления.
- Оператор осуществляет ознакомление своих работников с Политикой, в том числе с изменениями Политики, под подпись. Условия Политики являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к ПД.
- ПРАВА СУБЪЕКТОВ ПД
- Субъект ПД вправе:
- предоставлять согласие на обработку ПД с учетом требований Закона о ПД от 27.07.2006 к форме и содержанию согласий на обработку ПД;
- направлять запросы и/или обращения Оператору, в том числе повторные, и получать информацию по вопросам обработки ПД, принадлежащих субъекту ПД, в порядке, форме, объеме и в сроки, установленные законодательством РФ;
- требовать от Оператора уточнения своих ПД, их уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав с учетом исключений, установленных Закона о ПД от 27.07.2006;
- обращаться к Оператору с требованием о прекращении обработки своих ПД, а также требованием об отзыве согласия на обработку ПД;
- обжаловать действия или бездействия Оператора в уполномоченный орган по правам субъектов ПД или в судебном порядке.
- ПОРЯДОК РАССМОТРЕНИЯ ОБРАЩЕНИЙ СУБЪЕКТОВ ПД
- Субъект ПД или его представитель вправе обратиться и/или направить запрос по вопросам обработки его ПД, в том числе требование об отзыве своего согласия на обработку ПД, по адресу электронной почты: info@spb-rio.ru.
- Запрос / обращение должен содержать следующую информацию:
- сведения о документе, удостоверяющем личность субъекта ПД;
- сведения, подтверждающие участие субъекта ПД в отношениях с Оператором: номер телефона, адрес электронной почты;
- данные представителя субъекта ПД и подтверждение его полномочий, в случае если обращается представитель.
- Оператор, получив обращение и/или запрос субъекта ПД и убедившись в его законности, предоставляет субъекту ПД сведения, указанные в запросе в течение 10 рабочих дней.
- Оператор вправе отказать субъекту ПД в удовлетворении требований, указанных в его обращении и / или запросе, путем направления субъекту ПД или его представителю мотивированного отказа, если у Оператора в соответствии с законодательством РФ имеются такие основания.
- ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- действует в отношении ПД, получаемых Оператором на сайте.
- может быть изменена в любой момент времени по усмотрению Оператора.
- не несет ответственность за действия третьих лиц, получивших доступ к ПД субъектов ПД не по вине Оператора.
- вступает в силу с момента ее утверждения единоличным исполнительным органом Оператора.
- действия настоящей Политики неограничен.
- целях исполнения требований п.2 ст. 18.1 Закона о ПД от 27.07.2006 Оператор публикует Политику на своем сайте в информационно-телекоммуникационной сети «Интернет» по веб-адресу: https://spb-rio.ru/privacy-policy (сайт ТРЦ «РИО»), для сайта программы лояльности по адресу: https://www.riocampaign.ru/privacy , а также иных информационных ресурсах Оператора, с использованием которых осуществляется сбор ПД.
- РЕКВИЗИТЫ ОПЕРАТОРА
ООО «СК ЛЕССОР»
ОГРН: 1077847345630;
ИНН: 7816413414;
Адрес: 199178, г.Санкт-Петербург, Малый пр., В.О., дом 57, корпус 4, литер Ж, пом.10-Н.
Почтовый адрес: 192102, г.Санкт-Петербург, ул.Фучика, д.2, лит.А.