Политика обработки персональных данных

1. Общие положения:

Настоящая Политика в отношении обработки персональных данных (далее – Политика) Общества с ограниченной ответственностью «ЗНАК» юридический адрес: 119048, г. Москва, ул. Ефремова, д. 8, этаж 12, пом.I, комн. 1, ИНН 5024182912 (далее – «Оператор», «Общество») определяет общие принципы, цели и порядок обработки персональных данных, а также сведения о реализуемых мерах защиты персональных данных (далее – ПДн). Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.

Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон №152- ФЗ). Общество, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов, требований к защите и условий обработки ПДн физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации. Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу. Настоящая Политика вступает в силу со дня ее утверждения и действует бессрочно, до замены ее новой Политикой.

2. Основные термины и определения:

В настоящей Политике используются следующие термины:

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Пользователь сайта - любое лицо, посещающее сайт и использующее информацию, материалы и сервисы сайта.

Сайт - совокупность связанных между собой веб-страниц, размещённых в сети Интернет по уникальному адресу (URL), а также его субдоменах, размещен по адресу https://uralsib.ru/merch.

Cookie - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

IP-адрес - уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на сайт.

Субъект персональных данных - физическое лицо, которое прямо или косвенно определенное с помощью персональных данных. В рамках настоящей Политики:

Ответственное лицо - работник Общества, назначенный ответственным в части выполнения бизнес- или функциональным подразделением Общества локальных актов Общества по вопросам обработки персональных данных.

Работник - физическое лицо, заключившее с Обществом трудовой договор или приравненное к нему соглашение.

Роскомнадзор - уполномоченный орган по защите прав Субъектов ПДн - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РКН).

Цель обработки персональных данных - конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.

Покупатель – физическое лицо, заключившее договор на приобретение товара на Сайте.

Получатель – физическое лицо, указанное Покупателем при оформлении заказа на Сайте в качестве лица, уполномоченного принять товар.

Товар – объект материального мира (вещь), представленный к продаже на Сайте и реализуемый от имени Общества.

3. Нормативные ссылки

Обработка персональных данных посредством сайта осуществляется в соответствии с действующими нормативно-правовыми актами Российской Федерации, а именно:

  • Гражданский кодекс Российской Федерации;

  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

  • Закон РФ от 07.02.1992 N 2300-1 "О защите прав потребителей";

  • Постановление Правительства РФ от 31.12.2020 N 2463 "Об утверждении Правил продажи товаров по договору розничной купли-продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства Российской Федерации";

  • Иные правовые акты, принятые в соответствии с вышеуказанными нормативно- правовыми актами.

4. Цели обработки, категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки

4.1. Посредством сайта осуществляется обработка персональных данных следующих категорий субъектов персональных данных применительно к каждой из целей, указанных в пункте 4.2 Политики

4.1.1. Пользователи сайта.

4.1.2. Покупатель (в том числе, потенциальный Покупатель);

4.1.3. Получатель (в том числе, Потенциальный Получатель);

4.1.4. Представители либо сотрудники юридических лиц, сведения о которых юридические лица передают в Общество;

4.2. Цели обработки персональных данных:

  • оформление и доставка заказа;

  • направление обращения посредством формы обратной связи на Сайте;

  • ведения статистики и анализа работы Сайта;

  • предоставление Субъекту персональных данных информации реализуемых Товарах, а также об оценке качества обслуживания Покупателей;

  • обработка запросов Субъектов персональных данных (в рамках действующего законодательства);

  • передача Обществом персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством Российской Федерации и установленным в Обществе порядком;

  • исполнение требований Федеральных законов и подзаконных актов РФ;

4.3. Категории обрабатываемых персональных данных Пользователей сайта и Лиц, указанных в качестве получателей заказа: иные персональные данные, не относящиеся к специальным категориям, биометрическим, общедоступным персональным данным.

4.4. Перечень обрабатываемых персональных данных, которые обрабатываются применительно к каждой из целей, указанных в пункте 4.2 Политики:

фамилия, имя, отчество;

номер телефона;

адрес электронной почты;

адрес доставки;

фамилия, имя, отчество;

контактные данные (телефон, адрес электронной почты, почтовый адрес);

сведения о посетителях сайта, cookie – файлы;

IP-адрес в сети Интернет, используемый Субъектом для взаимодействия с Обществом, а также время осуществления взаимодействия;

параметры устройства доступа к сервисам Общества (цифровые отпечатки программы просмотра страниц сайта Общества, идентификатор мобильного телефона/сим-карты);

информация о местонахождении Субъекта, передаваемая сервисом геолокации;

4.5. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных.

4.6. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств. Общество не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных, или при условии наличия согласия в письменной форме Субъекта ПДн.

4.7. При определении сроков обработки персональных данных Оператор исходит из срока, необходимого для достижения целей обработки персональных данных, либо до момента отзыва согласия на обработку персональных данных. При определении сроков хранения персональных данных Оператор исходит из срока, установленного в согласии на обработку персональных данных, а также положений действующего законодательства Российской Федерации.

5. Актуализация, исправление, удаление и уничтожение персональных данных

5.1. Субъект персональных данных имеет право требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.2. В случае реализации Субъектом персональных данных своего права требования в части уточнения своих персональных данных блокирования или уничтожения персональных данных на основании того, что персональные данные являются неполными, неточными или неактуальными Общество в срок, не превышающий 7 (семи) рабочих дней, обязан внести в них необходимые изменения.

5.3. В случае если Субъект ПДн или его представитель предоставил сведения, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн в срок, не превышающий 7 (семи) рабочих дней.

5.4. Оператор обязан уведомить Субъекта ПДн (или его представителя) о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн указанного Субъекта были переданы.

5.5. В случае выявления неправомерной обработки ПДн при обращении/по запросу Субъекта ПДн (или его представителя) либо Роскомнадзора Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к указанному Субъекту ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

5.6. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных Субъектом ПДн или представителем Субъекта ПДн либо Роскомнадзором, обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

5.7. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (трёх) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить Субъекта ПДн или его представителя, а в случае, если обращение было направлено Роскомнадзором, то также и Роскомнадзор.

5.8. Субъекты ПДн несут ответственность за предоставление Оператору недостоверных сведений, а также за несвоевременное обновление предоставленных данных в случае каких-либо изменений.

5.9. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Оператором и Субъектом ПДн, договором, выгодоприобретателем или поручителем по которому является Субъект ПДн или федеральным законом:

достижение целей обработки ПДн, в том числе истечение срока хранения ПДн, определяемого в соответствии с законодательством Российской Федерации и внутренними нормативными документами Общества;

  • в случае утраты необходимости в достижении целей обработки ПДн;

  • истечение срока действия согласия или отзыв согласия Субъектом ПДн;

  • выявление неправомерной обработки ПДн, в том числе на основании обращения Субъекта ПДн, предписания Роскомнадзора, правоохранительных органов или решения суда.

5.10. В случае достижения цели обработки ПДн Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) календарных дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн, либо если Оператор вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом №152-ФЗ или другими федеральными законами.

5.11. В случае отзыва Субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить обработку ПДн или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн, либо если Оператор вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом №152-ФЗ или иными федеральными законами.

5.12. В случае обращения Субъекта ПДн к Оператору с требованием о прекращении обработки ПДн Оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Банком соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона №152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.13. В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в частях 3 - 5.1 ст.21 Федерального закона №152-ФЗ, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен действующим законодательством Российской Федерации.

5.14. Порядок уничтожения (обезличивания) обрабатываемых ПДн утверждается приказом исполнительного органа Общества.

6. Использование метрических сервисов

6.1. Для ведения статистики и анализа работы сайта Оператор обрабатывает данные о Пользователе с использованием метрических сервисов Яндекс Метрика и Google Аналитика, размещенных по ссылке, в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов Cookie). Осуществляется обработка следующих персональных данных Пользователя сайта:

  • IP-адрес;

  • информация о браузере;

  • данные из файлов Cookie;

  • время доступа;

  • реферер (адрес предыдущей страницы).

6.2. Соглашаясь с обработкой пользовательских данных, пользователь соглашается с тем, что для используемых Оператором файлов cookie максимальный срок хранения установлен равным одному календарному году с даты посещения сайта.

6.3. В случае отказа от обработки файлов Cookie, Пользователю сайта необходимо прекратить использование сайта или отключить использование файлов Cookie в настройках браузера, при этом некоторые функции сайта могут стать недоступны.

7. Порядок и условия обработки персональных данных

7.1. Обработка ПДн осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

7.2. Обработка ПДн осуществляется в соответствии с целями, заранее определенными и заявленными при сборе ПДн, а также полномочиями Оператора, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Оператора.

7.3. Хранение ПДн в Обществе осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем/залогодателем по которому является Субъект ПДн.

7.4. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации обеспечивается Обществом с использованием баз данных, находящихся на территории Российской Федерации.

7.5. Хранение биометрических ПДн Обществом не осуществляется. Общество предоставляет сервис по регистрации биометрических ПДн клиентов – физических лиц в Единой биометрической системе. 7.6. Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации №1119, нормативных и методических документов ФСТЭК и ФСБ России по защите информации.

7.7. Обработка ПДн, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

7.8. Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе работники Общества или лица, осуществляющие такую обработку по договору с Обществом), проинформированы о факте обработки ими ПДн, обработка которых осуществляется Обществом без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти Субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

8. Передача персональных данных третьим лицам

8.1. В рамках достижения целей обработки персональных данных, изложенных в разделе 4 и 5 настоящей Политики, Оператор может передавать персональные данные третьему лицу, а именно ПАО «Банк Уралсиб» (юридический адрес: ул. Ефремова, 8, г. Москва, Россия, 119048).

8.2. Передача персональных данных вышеуказанному лицу осуществляется на основании положений договора (оферты), согласия на обработку персональных данных и заключаемого с этим лицом договора (поручения/передачи).

8.3. Лицо, осуществляющее обработку персональных данных на основании заключаемого договора (поручения/передачи), обязуется соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные 152-ФЗ. Для данного лица в договоре определяется перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, устанавливается обязанность данного лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, указываются требования к защите обрабатываемых персональных данных в соответствии с 152-ФЗ.

8.4. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

9. Меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке

9.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства Российской Федерации.

9.2. Оператором предпринимаются следующие меры для обеспечения безопасности персональных данных:

  • назначение ответственных лиц за организацию обработки и за обеспечение безопасности персональных данных;

  • определение перечня работников, имеющих доступ к персональным данным;

  • разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки персональных данных;

  • определение уровня защищенности персональных данных при обработке в информационных системах персональных данных;

  • установление правил разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных и обеспечение регистрации и учета всех действий, совершаемых с персональными данными;

  • ограничение доступа в помещения, где размещены основные технические средства и системы информационных систем персональных данных и осуществляется неавтоматизированная обработка персональных данных;

  • организация резервирования и восстановления работоспособности информационных систем персональных данных и персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установление требований к сложности паролей для доступа к информационным системам персональных данных;

  • осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

  • организация своевременного обновления программного обеспечения, используемого в информационных системах персональных данных и средств защиты информации;

  • проведение регулярной оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по установлению причин и устранению возможных последствий;

  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

10. Права и обязанности субъектов персональных данных

10.1. Пользователь сайта имеет право на получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;

  • правовые основания и цели обработки персональных данных;

  • цели и применяемые Оператором способы обработки персональных данных;

  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  • сроки обработки персональных данных, в том числе сроки их хранения;

  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

10.2. Пользователь сайта вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Пользователь сайта вправе запросить в структурированном, универсальном и машиночитаемом формате перечень своих персональных данных, предоставленных Оператору для обработки, и поручить Оператору передать свои персональные третьему лицу при наличии соответствующей технической возможности. В данном случае Оператор не несет ответственности за действия третьего лица, совершенные в дальнейшем с персональными данными.

10.4. Пользователь сайта обязан предоставлять Оператору достоверные данные о себе, сообщать об уточнении (обновлении, изменении) своих персональных данных.

10.5. Все вопросы касательно обработки персональных данных следует сообщать по адресу: shop@uralsib.ru

Заключительные положения

11.1. Политика является общедоступным документом и подлежит размещению на web- сайте Оператора https://uralsib.ru/merch. 11.2. Оператор имеет право вносить изменения в настоящую Политику в одностороннем порядке в следующих случаях:

  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

  • в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;

  • по решению руководства Оператора;

  • при изменении целей обработки персональных данных;

  • при применении технологий обработки персональных данных;

  • при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора.

11.3. Контроль исполнения требований настоящей Политики осуществляется ответственным лицом за организацию обработки персональных данных.

11.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных, несут материальную, дисциплинарную, административную, гражданско- правовую или уголовную ответственность в порядке, определенном законодательством Российской Федерации.

Оплата Банковской картой online

По окончании оформления заказа Покупатель получит на электронную почту ссылку и QR-код для оплаты. Использовать для оплаты разрешается только вашу личную банковскую карту. Все действия с персональными данными осуществляются при помощи защищенного канала на сервере платежной системы. В случае, если осуществить платеж не удается, свяжитесь, пожалуйста, с представителем вашего банка для выяснения причины отказа в платеже.

  • Для платежа используйте только вашу карту. Платежи выполненные при помощи банковской карты не принадлежащей вам приняты не будут.

  • Для оплаты заказов могут быть использованы карты VISA, MASTERCARD, МИР Российских банков. Платежи c карт, эмитированных зарубежными банками не принимаются.