Политика конфиденциальности и принципы обработки персональных данных

1.1 Данный документ регламентирует политику обработки персональных данных (далее – ПДн) м-на Питстоп (далее – Компания).
1.2 Данный документ был создан в соответствии с действующим законодательством Российской Федерации о персональных данных.
1.3 Сфера деятельности, на которую распространяется данный документ: все действия, производимые в процессе сбора, записи, систематизации, накопления, хранения, уточнения, извлечения, использования, передачи, распространения, предоставления, доступа, блокирования, удаления, обезличивания, уничтожения ПДн. Данные операции могут производиться как автоматизированно, так и вручную.
2 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Процессы обработки персональных данных необходимо производить, руководствуясь такими принципами:

1. Процессы обработки ПДн происходят на справедливой основе и ориентируясь на текущее законодательство.
2. Обработка ПДн происходят в границах, предусмотренными заранее определенными и законными целями. Выход обработки персональных данных за данные границы недопустим.
3. Запрещено объединение нескольких хранилищ информации, в которых находится персональная информация, если их обработка подразумевает использование разных механизмов, а цели обработки не пересекаются.
4. Доступной к обработке считается только та персональная информация, которая отвечает цели их обработки.
5. Объем и содержание персональных данных, подвергаемых обработке, соответствуют обозначенным целям. Объем информации, которая является избыточной по отношению к таким целям, обработке не подвергается.
6. В процессе работы с данными контролируется их достоверность, достаточность и, в некоторых случаях - актуальность в соответствии с заявленными целями.
7. Хранение персональной информации происходит в форме, которая позволяет определить ее субъекта на срок, не превышающий требуемый для достижения поставленных целей, если данный срок не установлен ФЗ или договором, одной из сторон которого, выгодоприобретателем или поручителем по которому является данный субъект.
8. Деятельность Компании основывается на уверенности, что субъект предоставляет свои личные данные в актуальной и точной форме и информирует представителей Компании в случаях, когда эти данные претерпевают изменения для своевременной актуализации персональных данных.

3 ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Компания производит обработку персональных данных клиентов (также и клиентов-посетителей Интернет-магазина Компании). Этим категориям субъектов присвоены определенные цели обработки их персональных данных.
3.2 Компания выполняет обработку таких персональных данных: данные, которые посетители указывают в регистрационной форме Сайта - фамилия, имя, отчество, номер телефона, адрес доставки, адрес электронной почты.
3.3 Запрещено каким-либо образом использовать или разглашать данные о пользователях информации. Работать с такими данными могут только лица, которые специально уполномочены для этого вида деятельности и проинформированные об ответственности, которая наступает за преднамеренное или непреднамеренное распространение такой информации.
3.4 Компанией не выполняется использование адресов электронной почты клиентов и данных об их личных страницах в интернете как адресатов рекламных и других видов рассылок. На Сайте не размещаются гиперссылки или другие форматы данных о личных интернет-страницах пользователей.

4 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Все процессы обработки персональных данных выполняются в полном соответствии с принципами и правилами, установленными Федеральным законом «О персональных данных». Их обработка является допустимой в следующих случаях:

1. Данный процесс начинается только после получения согласия субъекта персональных данных на обработку его персональных данных.
2. Данная обработка персональной информации необходима для достижения целей, которые утверждены международным договором Российской Федерации или законом, с целью осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3. Обработка персональных данных предписана для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, которые обязательны к исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
4. Обработка персональных данных необходима для исполнения договора, одной из сторон которого, выгодоприобретателем или поручителем, по которому является данный субъект, а также для подписания договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
5. Если получение согласия субъекта персональных данных невозможно, но их обработка обязательна для защиты жизненно важных интересов субъекта, таких как здоровье или жизнь.
6. Если их обработка предполагает осуществление прав и интересов оператора или других лиц, соответствующих текущему законодательству, либо для достижения важных для общества целей при условии, что при этом не будут нарушены права и свободы субъекта персональных данных, предписанные законодательством.
7. Если обработка этой информации производится в исследовательских целях (например, статистических). При этом личные данные в обязательном порядке должны быть обезличены. Исключением является обработка такой информации с целью продвижения товаров, работ, услуг на рынке путем достижения прямого контакта с потенциальным покупателем при помощи средств связи, а также с целью проведения политической агитации.
8. Если доступ неограниченного круга лиц к персональным данным предоставлен их субъектом, либо работниками Компании по просьбе клиента (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
9. Производится обработка персональных данных, которые обязательны к опубликованию или обязательному раскрытию в соответствии с ФЗ.

4.2 При условии письменного подтверждения Клиентом того факта, что он согласен на обработку его персональных данных, Компания может вносить такие данные своих клиентов в общедоступные источники персональных данных.
4.3 Компания должна иметь письменное разрешение субъекта на обработку его персональных данных, после получения которого Компания может обрабатывать некоторые специальные категории персональных данных, которые касаются расовой, национальной принадлежности и состояния здоровья.
4.4 Компанией не могут обрабатываться биометрические данные (информация, которая определяет физиологические и биологические особенности человека и которые дают возможность определить его личность).
4.5 Компанией не принимаются решения на основании исключительно автоматизированной обработки личной информации, которые могут иметь юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и интересы, гарантированные законом.
4.6 Лицензия, регулирующая деятельность Компании, не содержит запрета на передачу персональных данных третьим лицам без письменного согласия данного субъекта.
4.7 Если отсутствует необходимость письменного подтверждения субъекта на обработку его персональных данных, такое согласие может быть дано субъектом персональных данных или его представителем любым удобным способом.
4.8 Если иное не предписано ФЗ, Компания может передать работу по обработке персональных данных другому лицу с согласия субъекта персональных данных на основании договора, который должен быть заключен с этим лицом (далее – поручение оператора). Согласно такому договору лицо - приемник обязанностей Компании по обработке личной информации обязано соблюдать принципы и правила обработки персональных данных, прописанные в ФЗ.
4.9 В случае поручения работы с персональными данными другому лицу, ответственность перед субъектом персональных данных за действия лица несет Компания. Лицо, которое выполняет работу с персональными данными, переданными Компанией, несет перед ней ответственность за свои действия.
4.10 Если иное не указано в ФЗ, Компания обязана и накладывает обязательства на иные лица, которые получили доступ к личной информации, не раскрывать другим лицам и не распространять ПДн без согласия субъекта.

5 ОБЯЗАННОСТИ КОМПАНИИ

Обязанностями Компании согласно Федерального закона № 152-ФЗ «О персональных данных» является:

• Передавать субъекту ПДн по его запросу информацию, которая касается работы с его личной информацией, или предоставить аргументированный отказ в письменной форме, содержащий ссылку на соответствующие пункты Федерального закона.
• По запросу субъекта персональных данных уточнять, какие персональные данные находятся в обработке, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или находятся за границами необходимой для заявленной цели информации.
• Информировать субъекта персональных данных о работе с его данными в том случае, если таковая информация была получена не от субъекта персональных данных. К исключениям относятся такие случаи:

1. Субъект ПДн был уведомлен о работе с его ПДн оператором Компании.
2. Компания получила сведения на основании ФЗ или согласно договору, одной из сторон которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн.
3. ПДн получены из общедоступного источника или перешли в категорию общедоступных в результате действий самого субъекта.
4. Работа с ПДн осуществляется работниками Компании в целях составления и анализа статистики или других типов исследовательских операций, а также с конечной целью осуществления деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и интересы субъекта ПДн, гарантируемые законом.
5. Предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПД нарушает права и законные интересы третьих лиц.

• Когда цель работы с персональными данными достигнута, все работы по их обработке должны быть незамедлительно прекращены. После этого необходимо уничтожить соответствующие персональные данные в срок, составляющий не более тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, одной из сторон которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, другим соглашением между Компанией и субъектом персональных данных, либо если Компания не имеет права осуществлять обработку персональных данных без соответствующего согласия субъекта персональных данных согласно №152-ФЗ «О персональных данных» или другими ФЗ.
• Если субъект ПДн отказывается от ранее данного согласия на обработку своих персональных данных - остановить любые работы с ПДн и выполнить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных. Компания обязана уведомить субъекта ПДн о том, что вся его личная информация уничтожена из баз данных Компании.
• В случае, если субъект требует прекратить работы с его персональными данными в целях продвижения товаров, работ, услуг на рынке - прекратить работу с его ПДн немедленно.
• Производить любые работы с ПДн клиентов только при наличии их письменного согласия на данные операции и в случаях, предусмотренных действующим законодательством.
• Объяснить субъекту персональных данных юридические последствия в случае отказа в предоставлении его персональных данных, если данная информация является обязательной в соответствии с действующим законодательством.
• Информировать субъекта ПДн или его представителя о любых изменениях, которые относятся к соответствующему субъекту ПДн.

6 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1 При работе с персональными данными Компания соглашается с необходимыми правовыми, организационными и техническими мерами для защиты ПДн от незаконного или случайного доступа к ним, их удаления, видоизменения, блокирования, копирования, предоставления, распространения информации, а также от других незаконных действий в отношении к данной информации.
6.2 Безопасность ПДн может быть достигнута следующими способами:

• обнаружением ситуаций, угрожающих безопасности ПДн при работе с ними посредством обработки информации в автоматизированных информационных системах;
• применением организационных и технических мер по обеспечению безопасности персональных данных при работе с ними в информационных системах ПДн, которые необходимы для осуществления требований к защите персональных данных, выполнение которых гарантирует установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением средств защиты, которые прошли в установленном порядке процедуру оценки соответствия информации;
• оценкой эффективности принимаемых мер, направленных на обеспечение безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей ПДн;
• нахождением и анализом фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением ПДн, которые претерпели видоизменение или были уничтожены вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, которые находятся в обработке в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за мерами, которые принимаются по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
• оценкой ущерба, причиняемого субъектам персональных данных в случае нарушения законодательства Российской Федерации в области персональных данных, выяснение соотношение указанного вреда и мер, которые предпринимаются и направленны на обеспечение выполнения законодательства Российской Федерации в области персональных данных.