Политика конфиденциальности и обработки персональных данных в ООО «м2м» город Москва
- Общие положения
- Настоящий документ (далее – «Положение») определяет Политику обработки персональных данных в ООО «М2М» (далее – «Оператор») в отношении обработки персональных данных и реализации требований к защите персональных данных в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Положение и изменения к нему утверждаются приказом Генерального директора Оператора и обязательно для исполнения сотрудниками Оператора, имеющими доступ к персональным данным.
- Положение распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по гражданско-правовым договорам) и все структурные подразделения Оператора, включая обособленные подразделения, а также на аффилированные лица: ИП Крыгина Е.А., ООО «КРЫГИНА КОСМЕТИКС», ИП Несторов А.А. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
- Действие Положения распространяется на все персональные данные субъектов персональных данных, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
- Положение является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных, и подлежит опубликованию на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет») по адресу: www.krygina.com (далее – «сайт Оператор»).
- Основные понятия
В настоящем Положении используются следующие понятия, термины и сокращения:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Оператор – Общество с ограниченной ответственностью «М2М» (адрес местонахождения: 119019, г. Москва, Нащокинский пер., д. 14, ОГРН 1157746120586, ИНН 7704305805, КПП 770401001). Оператор является юридическим лицом, самостоятельно организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Работник - физическое лицо, вступившее в трудовые отношения с Оператором;
- Пользователь - физическое лицо, посетитель сайта Оператора, имеющий намерение заказать или приобрести либо заказывающий, приобретающий товары у Оператора исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности
3. Правовые основания обработки персональных данных
Правовыми основания для обработки персональных данных являются:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
Иные законы и подзаконные акты, устанавливающими требования к обработке Персональных данных;
Устав Оператора;
Согласие на обработку персональных данных субъектов персональных данных.
Принципы и условия обработки Персональных данных
Обработка Персональных данных осуществляется только в целях, указанных в настоящем Положении. Обработке подлежат только те Персональные данные и только в том объеме, которые отвечают целям их обработки, определенным в настоящем Положении. Не допускается обработка Персональных данных, несовместимая с указанными целями.
- При обработке Персональных данных обеспечивается точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
- Оператор не проверяет достоверность персональной информации, предоставляемой Пользователем, и не имеет возможности оценивать его дееспособность. Оператор и Пользователь исходят из того, что Пользователь предоставляет достоверную и достаточную персональную информацию и поддерживает эту информацию в актуальном состоянии.
- Хранение Персональных данных осуществляется в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен федеральным законом. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Цели обработки Персональных данных
5.1. Обработка Персональных данных осуществляется Оператором в следующих целях:
5.1.1. Для осуществления хозяйственной деятельности, направленной на извлечение прибыли (включая, но не ограничиваясь: розничной торговлей, осуществляемой непосредственно при помощи информационно-коммуникационной сети Интернет и другими видами деятельности, указанными в Уставе).
5.1.2. Для заключения и исполнения договоров, одной из сторон которых является субъект персональных данных либо выгодоприобретателем по которым является субъект персональных данных.
5.1.3. Для аналитики действий физического лица на Сайте и для функционирования Сайта.
5.1.4. Для продвижения услуг, в том числе, но не ограничиваясь, для проведения рекламных и новостных рассылок посредством email- и СМС-рассылок, телефонных звонков, для реализация бонусных программ и иных программ лояльности, опроса Покупателей, таргетирования рекламных материалов.
5.1.5. Для осуществления обратной связи с Субъектом персональных данных.
5.1.6. Для создания личного кабинета и предоставления возможности пользоваться персонализированными покупками на Сайте.
5.1.7. Для исчисления и уплаты налоговых платежей, представления законодательно установленной отчетности в отношении физических лиц в налоговые органы и внебюджетные фонды.
5.2. Обработка Персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта Персональных данных.
6. Состав Персональных данных, обрабатываемых Оператором, и порядок их получения
- Для регистрации на Сайте и создания личного кабинета Пользователь передает Оператору следующие Персональные данные: фамилию, имя, номер телефона и адрес электронной почты, логин и пароль для доступа на Сайт. Обязательная для предоставления информация помечена специальным образом. Иные сведения Покупатель вправе указать в своем личном кабинете на Сайте по своему желанию, в том числе, почтовый адрес, дату рождения, пол, фотоизображение, возраст, тип кожи (нормальная, комбинированная, сухая, жирная, возрастная, проблемная, чувствительная), тон кожи (очень светлый, средний, смуглый, темный), статус (бьютиголик, профессионал), цвет волос (блондинка, брюнетка, шатенка, русый, медный), тип волос (нормальные, жирные, сухие, кудрявые, окрашенные), цвет глаз (голубые, карие, зеленые, серые, черные). Данные сведения не преследует цели определения (идентификации) конкретного Покупателя и обрабатываются исключительно в целях осуществления персонализированного шопинга на Сайте.
- Для оформления Заказа, заключения договора и последующего его исполнения Пользователь предоставляет Оператору следующие Персональные данные: фамилия, имя, номер телефона, адрес электронной̆ почты, почтовый адрес (если требуется доставка по указанному адресу).
- Для заключения договора с Контрагентом и последующего его исполнения контрагент-физическое лицо предоставляет Оператору следующие персональные данные: фамилия, имя, отчество, паспортные данные, номер телефона, адрес электронной̆ почты, почтовый адрес.
- Для осуществления обратной связи Субъект персональных данных передает фамилию, имя, отчество, адрес электронной почты, номер телефона, в случае необходимости, по Запросу Оператора иные данные, предусмотренные локальными нормативными актами.
- Для рассмотрения резюме на вакантную должность и заключения договора с работником Пользователь предоставляет следующие персональные данные: ФИО; год, месяц, дата рождения; пол; гражданство; место рождения; адрес; семейное положение; сведения об образовании (наименования оконченных учебных заведений, факультет, специальность, год окончания, информация о дополнительном образовании, повышении квалификации, аттестации); профессия; специальность; предыдущий опыт работы (сведения о предыдущих местах работы, занимаемых должностях, выполняемых обязанностях, о периоде работы); уровень владения иностранными языками; профессиональные навыки; номер телефона, адрес электронной почты, иные сведения, предусмотренные типовыми формами и локальными нормативными актами Оператора.
- Для заключения договора с работником Пользователь предоставляет дополнительно: паспортные данные; ИНН; номер страхового свидетельства государственного пенсионного страхования; сведения о трудовом и общем стаже; сведения о детях (количество, возраст); социальные льготы; сведения о воинском учете.
- Вышеуказанные персональные данные Оператор обрабатывает также в других целях, указанных в п. 5.1 настоящего Положения.
- Для аналитики действий физического лица на Сайте, для функционирования Сайта и отслеживания исполнения Заказа Оператор использует инструменты Google Аналитики, Яндекс-метрики, файлы cookie, веб-маяки и идентификаторы мобильных устройств. Данная информация собирается в обезличенном виде, однако, часть этой информации может быть связана с Пользователем. Эта информация помогает Сайту работать правильно и поддерживает маркетинговые и аналитические усилия Оператора - усилия по пониманию потребностей Покупателей и предоставлению информации о товарах и услугах Оператора. Файлы cookie — это текстовые файлы небольшого объема, сохраняемые Сайтом на устройстве Пользователя (компьютере, планшете или мобильном телефоне). Они не являются вредоносными для устройства или его безопасности. При посещении Сайта файлы cookie позволяют Сайту «запоминать» Пользователя и его предпочтения, предоставлять Пользователю соответствующую информацию по мере использования им или возврата на Сайт с целью обеспечения непрерывного и более персонализированного шоппинга, для анализа предпочтений Пользователей Сайта, их привычек и потребительского выбора, для отправки персонализированных сообщений и коммерческих предложений, а также, для проведения общего анализа в целях стратегического планирования. Веб-маяки позволяют Оператору узнать, была ли посещена определенная страница, было ли открыто электронное письмо или были ли эффективны рекламные баннеры на Сайте. Оператор может собирать и обрабатывать следующие пользовательские данные, получаемые в процессе пользования Сайтом, включая, но не ограничиваясь: сетевой адрес пользовательского устройства, сведения о факте, дате, времени посещения сетевых адресов, сведения о факте, дате, времени посещения Сайта и (или) страниц Сайта, сведения о способе попадания пользователя на страницу Сайта, сведения о переходе пользователя по гиперссылке со страницы Сайта на страницу другого Сайта, сведения о факте и количестве загрузок пользователем файлов с сайта, а также о наименовании и типе загруженных файлов, продолжительность пользовательской сессии, наименование интернет-провайдера пользователя, сведения об объеме потребленного сетевого трафика, выданный пользователю идентификатор файла cookie, сведения о веб-браузере пользователя, сведения о пользовательском устройстве (тип и модель устройства, уникальный идентификатор устройства, наименование операционной системы и языки ее интерфейса, разрешение и глубину цвета экрана), поисковые запросы пользователя, географический адрес точки подключения пользователя. Нажатие кнопки «Ок» на всплывающем сообщении об использовании файлов сookie и продолжение пользования Сайтом означает, что пользователь Сайта дал согласие на обработку данных, указанных в п. 6.8. настоящего Положения. Пользователь Сайта вправе не давать свое согласие на обработку этих данных. В этом случае он должен покинуть Сайт либо изменить в настройках браузера возможность собирать Сайтом файлы сookie. Однако обращаем Ваше внимание на то, что, если Пользователь решит ограничить Сайт от использования файлов cookie, Пользователь не сможете использовать функции Сайта в полном объеме. Более подробную информацию о файлах cookie можно найти в Интернете или пройдя по ссылке http://www.aboutcookies.org.
- Персональные данные, указанные в пункте 6. настоящего Положения, могут быть переданы Оператору как на бумажных носителях, так и посредством заполнения электронной формы на Сайте, с использованием иных электронных средств связи.
7. Конфиденциальность персональных данных
- Сведения, содержащие Персональные данные, полученные Оператором, являются конфиденциальными. В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.
- Оператор вправе передавать Персональные данные поставщикам услуг, включая, но не ограничиваясь, поставщикам услуг доставки, банкам, платежным системам. Поставщики услуг несут те же обязательства в отношении Персональных данных, что и Оператор, что закрепляется с заключаемых с ними соглашениях. Поставщикам услуг запрещено использовать или передавать Персональные данные субъектов Пользователей для каких-либо целей, кроме предоставления услуг от имени Оператора или предоставления совместных фирменных продуктов или услуг. В случае слияния, продажи или реорганизации Оператора (включая переводы, сделанные в рамках процедуры банкротства), Персональные данные подлежат передаче правопреемнику.
- Все меры конфиденциальности при сборе, обработке и хранении Персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
- Обработка персональных данных на основании договоров и иных соглашений Оператора осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности: цели, условия, сроки обработки персональных данных; обязательства сторон, в том числе меры по обеспечению конфиденциальности; права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
- Оператор не контролирует и не несет ответственность за обработку информации сайтами третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.
- Оператор вправе поручить обработку Персональных данных третьему лицу только с согласия Субъекта персональных данных. При этом Оператор обязано на договорной основе обременить это третье лицо обязанностью соблюдать конфиденциальность Персональных данных, требований по защите Персональных данных, установленных Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» и настоящим Положением.
8. Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его Персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных"; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Пользователь может обновить свою личную информацию, включая контактную информацию или информацию об учетной записи через личный кабинет Сайта. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Прекращение обработки персональных данных
- Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию:
- Субъект персональных данных вправе отозвать согласие на обработку персональных данных путем направления письменного заявления Оператору по адресу: г. Москва, Нащокинский проезд, д. 10 либо по электронной почте info@krygina.com В случае направления заявления Оператору в тексте запроса необходимо указать: ФИО; номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие гражданина в отношениях с Оператором либо сведения, иным способом подтверждающие факт обработки персональных данных Оператором; подпись гражданина (или его законного представителя). Если заявление отправляется в электронном виде, то оно должно быть оформлено в виде электронного документа и подписано электронной подписью в соответствии с законодательством РФ.
1) при наступлении условий прекращения обработки персональных данных, максимальных сроков хранения; истечении сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных; при достижении целей обработки персональных данных либо утрате необходимости в их достижении - в течение 30 дней;
2) по требованию Субъекта персональных данных при предоставлении подтверждения того, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;
3) в случае отзыва Субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 дней;
4) в случае отзыва Субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг - в течение 2 дней;
5) в случае ликвидации Оператора без определения правопреемника.
10. Меры защиты персональных данных
- Защите подлежат как информация, содержащая Персональные данные, на бумажных носителях, так и информация, содержащая Персональные данные, на электронных носителях и на Сайте Оператора.
- Оператор в целях защиты Персональных данных принимает меры, предусмотренные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», иными нормативными актами в области защиты Персональных данных и настоящим Положением.
- Оператор принимает следующие меры, необходимые для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных»:
- Назначено лицо, ответственное за соблюдение законодательства о персональных данных;
- Изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, включая настоящее Положение;
- Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- Сотрудники Оператора ознакомлены под роспись с настоящим Положением, другими локальными актами Оператора, регулирующими обработку и защиту персональных данных, требованиями законодательства о персональных данных;
- Осуществляется внутренний контроль в сфере защиты персональных данных и оценка вреда, проверка эффективности принятых мер, реагирование на инциденты.
- Для всеобщего доступа на Сайте опубликовано настоящее Положение.
10.4. Меры по обеспечению безопасности персональных данных при их обработке:
- Определены угрозы безопасности персональных данных при их обработке в информационной системе персональных данных;
- Предприняты меры для хранения информации, содержащей Персональные данные, исключающие доступ к ним третьих лиц, кроме лиц, указанных в пункте 10.5 настоящего Положения;
- Получены от сотрудников Оператора письменные обязательства о соблюдении конфиденциальности Персональных данных, ставших им известными в связи с должностными обязанностями, и соблюдения правил обработки этих Персональных данных;
- Контролируется соблюдение сотрудниками Оператора требований настоящего Положения;
- Утвержден список лиц, имеющих право доступа в помещения, в которых хранятся персональные данные.
- Доступ к Персональным данным имеют только сотрудники Оператора, которым эти Персональные данные необходимы для выполнения их трудовых обязанностей. Доступ сотрудника к Персональным данным оформляется приказом Генерального директора Оператора.
- Сотрудники Оператора, имеющие доступ к Персональным данным в связи с исполнением своих трудовых обязанностей, обязаны: 1) обеспечить исключение возможности доступа посторонних лиц к информации, содержащей Персональные данные; 2) обеспечить исключение ситуаций, при которых во время отсутствия сотрудника на его рабочем месте или в его персональном рабочем компьютере остаются в свободном для третьих лиц доступе Персональные данные, в том числе установить пароль для входа.
- При увольнении сотрудника, имеющего доступ к Персональным данным, документы и иные носители, содержащие Персональные данные, передаются другому сотруднику по приказу Генерального директора Оператора или Генеральному директору Оператора.
- Документы и иные бумажные носители, содержащие Персональные данные, хранятся в запирающихся шкафах или сейфах, обеспечивающих защиту от несанкционированного доступа. Доступ к шкафу или сейфу имеют только сотрудники Оператора, допущенные к работе с Персональными данными в соответствии с приказом Генерального директора Оператора.
- В конце рабочего дня все бумажные носители, содержащие Персональные данные, помещаются в шкафы или сейфы, обеспечивающие защиту от несанкционированного доступа.
- Защита доступа к электронным носителям с Персональными данными обеспечивается, в том числе:
- организацией такого контроля доступа в помещение, в котором находятся электронные носители с Персональными данными, который исключает доступ к ним посторонних лиц;
- использованием лицензированных антивирусных программ, не допускающих несанкционированный доступ к персональным данным;
- разграничением прав доступа к файлам, содержащим Персональные данные, с использованием учетной записи, принадлежащей только сотрудникам, допущенным к работе с Персональными данными;
- установлением паролей на компьютерах;
- учётом и хранением съемных носителей информации (USB-флеш-накопителей, внешних жестких дисков и иных портативных запоминающих устройств), исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- резервным копированием информации для возможности восстановления.
11. Согласие на обработку персональных данных
Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 года свободно, своей волей и в своем интересе выражаю свое безусловное согласие на обработку моих персональных данных ООО "м2м" (ОГРН 1157746120586, ИНН 7704305805), зарегистрированным в соответствии с законодательством РФ по адресу: 119019, Москва, Нащокинский переулок, дом 10 (далее по тексту - Оператор).
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.
Настоящее Согласие выдано мною на обработку следующих персональных данных:
ФИО, email, телефон, адрес, дата рождения, фото и других
Согласие дано Оператору для совершения следующих действий с моими персональными данными с использованием средств автоматизации и/или без использования таких средств: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.
Данное согласие дается Оператору для обработки моих персональных данных в следующих целях:
- предоставление мне услуг/работ;
- направление в мой адрес уведомлений, касающихся предоставляемых услуг/работ;
- подготовка и направление ответов на мои запросы;
- направление в мой адрес информации, в том числе рекламной, о мероприятиях/товарах/услугах/работах Оператора.
Настоящее согласие действует до момента его отзыва путем направления соответствующего уведомления на электронный адрес order@krygina.com. В случае отзыва мною согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.06.2006 г.