1. Термины и определения
Компания – ООО «ЭВОТОР», оператор персональных данных: ОГРН 5157746008107, ИНН 9715225506, адрес местонахождения и адрес для корреспонденции: 119021, г. Москва, ул. Тимура Фрунзе, д. 24, эт. 6.
Сервис – совокупность программно-технической базы и ее обновлений, размещенная в сети Интернет по адресам evotor.ru, napolke.ru
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Пользователь – для целей настоящей Политики: право- и дееспособный субъект персональных данных, использующий Сервис.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных – действие по использованию, уточнению (обновлению, изменению), распространению или уничтожению персональных данных, осуществляемые при непосредственном участии человека.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2. Назначение
2.1. Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных физических лиц, а также меры по обеспечению безопасности персональных данных физических лиц.
3. Нормативные ссылки
- Конституция Российской Федерации от 12.12.1993;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4. Обработка персональных данных
4.1. Компания обрабатывает персональные данные с согласия субъектов персональных данных. Согласие на обработку персональных данных выражается субъектом в любой форме, позволяющей подтвердить факт получения такого согласия.
4.2. Обработка персональных данных может осуществляться без согласия субъекта при наличии условий, допускающих такую обработку в соответствии со ст. 6 Федерального закона РФ № 152-ФЗ от 27.07.2006 «О персональных данных».
4.3. Персональные данные могут быть получены Компанией одним из следующих способов:
- предоставлены субъектами персональных данных при использовании Сервиса, в том числе путем заполнения соответствующих форм, посредством направления корреспонденции или электронных писем на адреса электронной почты Компании;
- предоставлены субъектами персональных данных иными способами.
4.4. Компания вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Договор с таким лицом будет содержать обязательство последнего по обеспечению мер по защите Персональных данных, указанных в Политике.
4.5. Компания осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. Способы обработки персональных данных:
- сбор персональных данных;
- запись, накопление и хранение персональных данных;
- уточнение (обновление, изменение) персональных данных;
- использование и передача (предоставление, доступ) персональных данных;
- систематизация персональных данных;
- обезличивание персональных данных;
- использование обезличенных персональных данных в статистических целях;
- блокирование персональных данных;
- уничтожение персональных данных.
4.6. Компания не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
4.7. Перечень подразделений и должностей, допущенных к обработке персональных данных, устанавливается приказом Генерального директора Компании.
4.8. На лиц, допущенных к обработке персональных данных в соответствии с приказом Генерального директора Компании, на ряду с основной трудовой функцией и в пределах должностных обязанностей возлагаются следующие обязанности:
- обработка персональных данных в соответствии с требованиями внутренних нормативных документов Компании;
- обеспечение точности обработки персональных данных;
- обеспечение режима хранения персональных данных в специально отведенных местах, обеспечивающих их сохранность и недопущение несанкционированного доступа к ним;
- обеспечение уничтожения материальных носителей персональных данных, не требующихся для дальнейшей обработки и хранения, в том числе чернового материала, образующегося в процессе повседневной деятельности, содержащего персональные данные, с использованием средств уничтожения, обеспечивающих невозможность последующего восстановления персональных данных;
- обеспечение конфиденциальности и защиты информации, содержащей персональные данные.
5. Цели обработки и состав персональных данных
5.1. Цели обработки
Персональные данные обрабатываются в целях:
- Обеспечения соблюдения нормативных правовых и подзаконных актов Российской Федерации;
- Использования Сервиса пользователем или в его интересах – поверенным (представителем);
- Оказания услуг по выдаче электронной подписи;
- Оформления и исполнения договоров, заключенных с Компанией;
- Урегулирования споров с Компанией;
- Направления материалов рекламного характера;
- Организации участия в программах лояльности;
- Отбора потенциальных работников Компании, оформления трудовых отношений;
- Проведения аудита и исследований с целью повышения качества Сервиса Компании;
- Обеспечения соблюдения пропускного и объектового режима в помещениях Компании;
- Обеспечения архивного хранения документов;
- Предоставления гарантий и компенсаций, установленных законодательством Российской Федерации и внутренними нормативными актами Компании;
- Обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Компанией;
- В иных целях, предусмотренных нормативными правовыми актами Российской Федерации.
5.2. Состав персональных данных
5.2.1. Состав персональных данных, собираемых Компанией, различается в зависимости от того, кем является субъект персональных данных по отношению к Компании и какими Сервисами или услугами пользуется субъект персональных данных в процессе взаимодействия с Компанией.
5.2.2. Персональные данные, собранные Компанией в отношении отдельно взятого субъекта персональных могут сопоставляться и связываться между собой в процессе использования Сервисов Компании или иного взаимодействия с Компанией, при условии законности и обоснованности таких действий.
5.3. Персональные данные пользователей, собираемые при регистрации и в процессе использования Сервиса:
- Номер мобильного телефона;
- Адрес электронной почты;
- Данные о созданном аккаунте (учетной записи);
- Дата и время доступа к Сервисам;
- История запрашиваемых страниц;
- Данные cookies-файлов;
- IP-адреса;
- Сведения о браузере и операционной системе;
- Технические характеристики оборудования и программного обеспечения;
- Иная информация, которую пользователь самостоятельно вносит при использовании Сервисов Компании или программного обеспечения партнёров Компании.
5.4. В случае оказания пользователю услуг по выдаче электронной подписи, состав персональных данных, собираемых дополнительно к указанным в пункте 5.3 Политики:
- Фамилия, имя, отчество;
- Пол;
- Дата рождения;
- Паспортные данные;
- Индивидуальный номер налогоплательщика (ИНН);
- Страховой номер индивидуального лицевого счета (СНИЛС);
- Фото;
- Сведения о месте работы (название организации, должность).
5.5. Если интересы субъекта персональных данных представляет поверенный (представитель), Компания, в целях защиты пользователя, собирает следующий состав данных о представителе:
- Фамилия, имя, отчество;
- Паспортные данные;
- Номер мобильного телефона;
- Адрес электронной почты;
- Должность;
- Иные персональные данные, сообщённые представителем.
5.6. Персональные данные кандидатов на замещение вакантной должности в Компании:
- Фамилия, имя, отчество;
- Дата рождения;
- Место жительства;
- Номер мобильного телефона;
- Адрес электронной почты;
- Сведения об образовании, квалификации, опыте работы;
- Иные персональные данные, сообщенные кандидатами в резюме или сопроводительных письмах.
5.7. Персональные данные работников и бывших работников Компании:
- Фамилия, имя, отчество;
- Пол;
- Дата рождения;
- Паспортные данные;
- Адрес регистрации и фактического места жительства;
- Номер мобильного телефона;
- Адрес электронной почты;
- Индивидуальный номер налогоплательщика (ИНН);
- Страховой номер индивидуального лицевого счета (СНИЛС);
- Семейное положение, наличие детей, родственные связи;
- Сведения о трудовой деятельности, в том числе наличие поощрений, награждений или дисциплинарных взысканий;
- Данные о регистрации брака;
- Сведения о воинском учете;
- Сведения об инвалидности;
- Сведения об удержании алиментов;
- Сведения о доходе с предыдущего места работы;
- Сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;
- Сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;
- Занимаемая должность и выполняемая работа;
- Сведения о заработной плате и иных доходах;
- Сведения о социальных гарантиях и льготах и основаниях их предоставления;
- Сведения о состоянии здоровья работника и членов его семьи;
- Сведения о судимости;
- Сведения об обязательном и дополнительном страховании работника и членов его семьи;
- Сведения наличии у работника иждивенцев;
- Сведения об усыновлении(удочерении);
- Сведения об иных фактах, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством Российской Федерации.
5.8. Персональные данные контрагентов:
- Фамилия, имя, отчество;
- Дата рождения;
- Паспортные данные;
- Адрес места жительства;
- Номер мобильного телефона;
- Индивидуальный номер налогоплательщика (ИНН);
- Страховой номер индивидуального лицевого счета (СНИЛС);
- Адрес электронной почты;
- Платёжные реквизиты;
- Иная информация, которую контрагент самостоятельно передает Компании.
6. Принципы обработки персональных данных
6.1. При обработке персональных данных Компания придерживается следующих принципов:
- Законность обработки персональных данных;
- Конфиденциальность: персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных за исключением случаев, предусмотренных Политикой и законодательством Российской Федерации;
- Целевое использование: обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- Объединение баз данных, в том числе баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
- обрабатываемые персональные данные подлежат уничтожению или обезличиванию при отзыве согласия на их обработку субъектом персональных данных, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен нормативным правовым актом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
7. Права субъектов персональных данных
7.1. Субъекты, персональные данные которых обрабатываются в Компании, имеют право получить информацию относительно персональных данных, обрабатываемых Компании, в объеме, предусмотренном 152-ФЗ РФ «О персональных данных», а также:
- получать полную информацию о своих персональных данных;
- иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и они не должны содержать персональных данных, относящиеся к другим субъектам персональных данных. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю при личном обращении, либо при получении соответствующего запроса;
- требовать уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки персональных данных, а также принимать предусмотренные законом меры по защите своих прав;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, о всех произведенных в них исключениях, исправлениях или дополнениях;
- полностью или частично отозвать данное согласие на обработку персональных данных;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
8. Конфиденциальность и ответственность
8.1. Компания и иные лица, получившие доступ к персональным данным, обязаны соблюдать положения Политики, не раскрывать третьим лицам и не распространять персональные данные без законных на то оснований.
8.2. Лица, допущенные к обработке персональных данных или получившие доступ к персональным данным по каким-либо иным причинам, несут ответственность за нарушение положений Политики, режима конфиденциальности персональных данных в соответствии с законодательством Российской Федерации и положениями Политики.
8.3. Компания вправе предъявить требования о возмещении реального ущерба и упущенной выгоды к лицам, нарушившим положения Политики, а также применить иные способы защиты в соответствии с законодательством Российской Федерации.
9. Срок обработки персональных данных
9.1. Срок обработки персональных данных, определяется:
- организационно распорядительными документами Компании в соответствии с 152-ФЗ РФ «О персональных данных»;
- в соответствии со сроком действия договоров с субъектом персональных данных.
9.2. Персональные данные, срок обработки которых истек, должны быть уничтожены или обезличены, если иное не предусмотрено законодательством Российской Федерации.
10. Передача персональных данных третьим лицам
10.1. Компания вправе предоставлять персональные данные третьим лицам в соответствии с требованиями законодательства Российской Федерации, либо с согласия субъекта персональных данных:
- третьим лицам, оказывающим услуги по организации доставки товаров пользователю;
- третьим лицам для предоставления специализированных предложений для пользователя;
- третьим лицам в целях проведения аудита и / или исследований / опросов, необходимых для улучшения как отдельных составляющих Сервиса, так и Сервиса в целом;
- кредитным организациям, участвующим в проведении операций, в случае использования платежных карт при оплате товаров, услуг через Сервис в целях подтверждения по запросу кредитной организации осуществления таких операций указанными лицами;
- третьим лицам при оказании пользователю услуг по выдаче электронной подписи;
- третьим лицам для организации перевозки работников, проживания работников в период командировок;
- третьим лицам для предоставления услуг работникам Компании.
10.2. Пользователь подтверждает свое согласие также на получение Компанией персональной информации пользователя от третьих лиц, в целях предоставления пользователю функциональной возможности Сервиса по получению (в т.ч. по результатам поиска) релевантных интересам пользователя товарных предложений и информации. Используя веб-сервисы компании, пользователь подтверждает своё согласие на передачу внесённой информации в веб-сервисы Компании, третьем лицам. К таким третьим лицам могут относиться:
- Партнеры, такие как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляющие Компании услуги, связанные с размещением и отображением рекламы на сайтах, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими;
- Рекламодатели или другие Партнеры, которые отображают рекламу на Сайтах и/или на Сервисах Компании, а также такие Партнеры как поставщики информационных сервисов.
При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
11. Обеспечение безопасности персональных данных
11.1. Компания предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. Персональные данные, полученные Компанией в рамках законных целей, не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
В Компании реализуются следующие требования законодательством Российской Федерации в области персональных данных:
- требования о соблюдении конфиденциальности персональных данных;
- требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных» Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных.
11.2. Защита персональных данных достигается путем:
- Назначения ответственного за обработку и защиту персональных данных;
- Утверждения настоящей политики;
- Издания внутренних нормативных актов Компании по вопросам обработки персональных данных;
- Ознакомления работников, допущенных к обработке персональных данных, с требованиями, установленными законодательством Российской Федерации в области персональных данных, настоящей Политикой, а также внутренними нормативными актами Компании;
- Организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения персональных данных в информационных системах);
- Организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения/обезличивания персональных данных, обрабатываемых без средств автоматизации);
- Организации доступа работников к информации, содержащей персональные данные, в соответствии с их должностными (функциональными) обязанностями;
- Осуществления внутреннего контроля и аудита соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных.
12. Уничтожение и обезличивание персональных данных
12.1. Уничтожение и обезличивание персональных данных производится в следующих случаях:
- По достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий 3 (трех) лет с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации;
- В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, в срок, не превышающий 3 (трех) лет с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации;
- В случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством Российской Федерации и внутренними документами Компании;
- В случае предписания уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры России или решения суда.
12.2. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку данных отдельно от других зафиксированных на том же носителе персональных данных и при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование данных, подлежащих уничтожению или блокированию. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
13. Учёт и хранение машинных носителей информации
13.1. На каждом съёмном носителе персональных данных размещается этикетка с уникальным учётным номером.
13.2. Ответственный за обеспечение безопасности персональных данных, либо уполномоченный им работник, при выдаче, приёме, уничтожении съёмных носителей персональных данных вносит в журнал учета съёмных носителей персональных данных учётный номер, размещённый на этикетке на съёмном носителе персональных данных; — тип съёмного носителя (USB-накопитель, внешний жёсткий диск, CD/DVD диск); — серийный или инвентарный номер съёмного носителя; — место хранения (номер запираемого шкафа или сейфа, номер помещения); — дату и номер Акта уничтожения персональных данных в случае уничтожения съёмного носителя; — подпись. При получении либо сдаче съёмных носителей персональных данных в журнал учёта съёмных носителей персональных данных заносится фамилия, имя и отчество, дату и подпись лиц, получающих, сдающих и выдающих носители.
14. Заключительные положения
14.1. Настоящая Политика может быть изменена Компанией. Обновленная редакция Политики публикуется в сети Интернет по адресам evotor.ru, napolke.ru
14.2. Предложения и вопросы по поводу настоящей Политики, а также правомерные запросы: на уточнение, блокирование или уничтожение персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; на получение персональных данных, относящихся к субъекту, и информации, касающейся их обработки;
Пользователь вправе направлять в службу поддержки Компании по адресу электронной почты info@evotor.ru или адресу Компании.
14.3. Адреса размещения оферт для заключения договоров о использовании Сервиса Компании:
Публичная оферта об использовании программного обеспечения и сервисов Компании:
https://evotor.ru/legal/offer/
Оферта разработчикам магазина ЭВОТОР:
https://dev.evotor.ru/#/legal/offer/20200406
Пользовательское соглашение сервиса «на_полке» (napolke.ru):
https://img.napolke.ru/static/legal/site_usage.pdf
Оферта: договор об использовании сервиса «на_полке» (napolke.ru):
https://img.napolke.ru/static/legal/supplier/offer.pdf