ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «ШТАУФФ» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
2. Основные понятия, используемые в Политике
   1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
   2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
   3. Информационная система персональных данных — совокупность имеющихся персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
   4. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
   5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
   6. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
   7. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому субъекту персональных данных (работникам Оператора, клиентам и контрагентам Оператора, представителям/работникам клиентов и контрагентов Оператора и иным лицам);
   8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
   9. Пользователь – любой посетитель информационного портала Оператора.
   10. Распространение персональных данных –действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
   11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
   12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Принципы обработки персональных данных
   1. Обработка Персональных данных Оператором осуществляется в соответствии со следующими принципами:
      2. Законность и справедливая основа обработки Персональных данных. Оператор принимает все необходимые меры по выполнению требований Законодательства, не обрабатывает Персональные данные в случаях, когда это не допускается Законодательством, не использует Персональные данные во вред Пользователю.
      3. Обработка только тех Персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых Персональных данных заявленным целям обработки. Недопущение обработки Персональных данных, не совместимых с целями сбора Персональных данных, а также избыточных по отношению к заявленным целям их обработки.
      4. Обеспечение точности, достаточности и актуальности Персональных данных по отношению к целям обработки Персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых Персональных данных, включая, но не ограничиваясь реализацией права каждого Субъекта получать для ознакомления свои Персональные данные и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
4. Назначение и область действия
   1. Актуальная версия Политики в свободном доступе расположена на информационном портале Оператора (STAUFF.RU), а также направляется в электронном виде по запросу.
   2. Политика действует бессрочно после утверждения и до ее замены новой версией.
   3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных», а также термины и определения согласно разделу 2.
   4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
   5. Политика применяется ко всей информации, которую Оператор может получить о субъектах персональных данных.
   6. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
5. Правовые основания обработки персональных данных
   1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.
   2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
   3. Обработка персональных данных осуществляется Оператором на законной основе, правовыми основания для обработки являются:
      2. Конституция Российской Федерации;
      3. Трудовой кодекс Российской Федерации;
      4. Гражданский кодекс Российской Федерации;
      5. Федеральный закон от 27.07.2006 г. № 152 ФЗ «О персональных данных»;
      6. Федеральный закон от 29.12.2012 г. № 273 ФЗ «Об образовании в Российской Федерации»;
      7. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
      8. Устав ООО «ШТАУФФ».
   4. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки.
   5. Оператор обрабатывает Персональные данные в следующих целях:
      1. осуществления деятельности, предусмотренной, Уставом Общества, действующим законодательством РФ;
      2. выполнения обязательств Оператора перед Пользователем по продаже товаров, в том числе обработку платежей, доставку товаров;
      3. для связи с Пользователями в случае необходимости, в том числе для направления уведомлении, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок;
      4. для улучшения качества услуг, оказываемых Оператором;
      5. для продвижения услуг на рынке путем осуществления прямых контактов с Пользователями;
      6. для проведения статистических и иных исследований на основе обезличенных персональных данных.
   6. Обезличенные данные Пользователей, собираемые с помощью сервисов
      интернет-статистики (Яндекс Метрика, Гугл Аналитика и др.), служат для сбора информации о действиях Пользователей на информационном портале, улучшения качества информационного портала и его содержания.
   7. К основным категориям субъектов персональных данных чьи данные обрабатываются Оператором, относятся: контрагенты – физические лица, связанные с Оператором гражданско-правовыми отношениями; работники контрагента – физические лица, связанные с контрагентом трудовыми или гражданско-правовыми отношениями; пользователи информационного портала Оператора, в т.ч. представители дилеров, компаний, покупателей, случайные посетители и третьи лица; иные субъекты в связи с наличием с Оператором правоотношений, не противоречащих законодательству Российской Федерации.
   8. Для указанных категорий субъектов могут обрабатываться:
      1. Фамилия, имя, отчество;
      2. Адрес электронной почты;
      3. Номера телефонов;
      4. Год и дата рождения;
      5. Семейное положение;
      6. Профессия;
      7. IP адрес Пользователя;
      8. Тип браузера Пользователя;
      9. Адрес.
   9. Также на информационном портале происходит сбор и обработка обезличенных данных о посетителях (в т. ч. файлов «cookie») с помощью сервисов интернет-статистики.
   10. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
   11. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
       1. достижение целей обработки персональных данных - в течение 30 дней;
       2. утрата необходимости в достижении целей обработки персональных
          данных - в течение 30 дней;
       3. предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;
       4. невозможность обеспечения правомерности обработки персональных
          данных - в течение 10 дней;
       5. отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 дней;
       6. ликвидация (реорганизация) Оператора.

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных
   7. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
      1. назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
      2. издание локальных актов по вопросам обработки персональных данных, ознакомление с ними сотрудников;
      3. обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
      4. ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
      5. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
      6. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
      7. учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
      8. резервное копирование информации для возможности восстановления;
      9. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
   8. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
   9. При обработке персональных данных Оператор обязан соблюдать безопасность и конфиденциальность обрабатываемых персональных данных, а также выполнять иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.
   10. Работниками оператора, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных. Обеспечение конфиденциальности не требуется в отношении: - персональных данных после их обезличивания; - общедоступных персональных данных.

Порядок обеспечения конфиденциальности персональных данных Пользователей и других субъектов персональных данных определяется в Политике конфиденциальности ООО «ШТАУФФ», которая является неотъемлемой частью этой Политики в отношении обработки и защиты персональных данных Оператора.

6. 11. Персональные данные Пользователя, не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
   12. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора stauffrussia@ya.ru с пометкой «Актуализация персональных данных».
   13.  Срок обработки персональных данных является неограниченным.
7. Права субъектов персональных данных
   7. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора stauffrussia@ya.ru с пометкой «Отзыв согласия на обработку персональных данных».
   8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, путем обращения к Оператору с помощью электронной почты stauffrussia@ya.ru
   9. Информация, которая может быть получена субъектом персональных данных, может содержать в том числе:
      1. подтверждение факта обработки персональных данных Оператором;
      2. правовые основания и цели обработки персональных данных;
      3. цели и применяемые Оператором способы обработки персональных данных;
      4. наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
      5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
      6. сроки обработки персональных данных, в том числе сроки их хранения;
      7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
      8. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
      9. иные сведения, предусмотренные Федеральным законом
         «О персональных данных» или другими федеральными законами.
   10. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
   11. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.
   12. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Ответственность
   7. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.
   8. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в пределах его полномочий.
   9. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.
   10. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу stauffrussia@ya.ru. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.