Политика в отношении обработки персональных данных

УТВЕРЖДАЮ
Генеральным директором
ООО «НЛ Континент»
В.В. Правдивым
«01» января 2021 г
ПОЛИТИКА ООО «НЛ Континент» в отношении персональных данных
Новосибирск
2021 г.

1.Общие положения

1.1. Политика ООО «НЛ Континент» в отношении персональных данных (далее – «Политика») является локальным нормативным актом ООО «НЛ Континент» (далее – «Оператор»), разработанным и утвержденным в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», регламентирующим обработку Оператором персональных данных.

1.2. Настоящая Политика является общедоступной и размещается на официальном сайте Оператора в сети «Интернет» по адресу: nlstar.com/ru/ "site").

1.3. В настоящей Политике используются следующие термины и определения:

1.3.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.3.2. Субъект персональных данных (Субъект) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

1.3.3. Оператор – ООО «НЛ Континент» (адрес: 630099, г. Новосибирск, ул. Ядринцевская, д. 53/1, оф. 1015), являющееся хозяйствующим субъектом, осуществляющим торговую деятельность, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1.3.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.3.5. ИСПДн – информационная система персональных данных, используемая Оператором;

1.3.6. Сайт – официальный сайт Оператора в сети «Интернет» по адресу: www.nlstar.com;

1.3.7. Значения иных терминов и определений, употребляемых в настоящей Политике, приведены в Гражданском кодексе РФ, Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о ПДн»), иных нормативных правовых актах РФ.

2. Цели сбора персональных данных, правовые основания их обработки, объем и категории обрабатываемых персональных данных

2.1. Обработка персональных данных осуществляется Оператором в целях:

2.2. Правовым основанием обработки Оператором персональных данных является согласия на обработку персональных данных, предоставленное Оператору Субъектом – клиентом Оператора при оформлении заказа на приобретение товара на Сайте.

2.3. Оператор осуществляет обработку следующих персональных данных Субъекта:

2.4. Оператор не осуществляет обработку специальных категорий персональных данных, а также трансграничную передачу персональных данных.

3. Порядок и условия обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных Субъектов – клиентов Оператора с использованием средств автоматизации путем записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования и передачи персональных данных в ИСПДн Оператора.

3.2. К обработке персональных данных допускаются только те работники Оператора, в чьи прямые обязанности входит обработка персональных данных, которые ознакомлены под роспись с положениями Закона о ПДн, в том числе требованиями к защите персональных данных, установленными Правительством РФ, настоящей Политикой, иными локальными актами Оператора по вопросам обеспечения безопасности обработки персональных данных и подписавшие обязательство о неразглашении персональных данных, перед получением доступа к персональным данным.

3.3. Сбор персональных данных осуществляется путем внесения Субъектом информации, содержащей персональные данные, при оформлении заказа на приобретение товара на Сайте. Субъект подтверждает достоверность сведений, указанных им при оформлении заказа на приобретение товара на Сайте.

3.4. Совершая конклюдентные действия при оформлении заказа на приобретение товара на Сайте, Субъект свободно, своей волей и в своем интересе выражает согласие в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» Оператору и третьим лицам (партнерам Оператора, осуществляющим доставку приобретенного Субъектом товара) на обработку персональных данных, указанных Субъектом, путем совершения с использованием средств автоматизации сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения таких персональных данных. Согласие на обработку персональных данных предоставляется Субъектом в целях, определенных п. 2.1. настоящей Политики. Согласие на обработку персональных данных предоставляется Субъектом на срок 5 (пять) лет, но не дольше, чем этого требуют цели обработки и может быть отозвано Субъектом посредством направления письменного уведомления об отзыве согласия на почтовый адрес Оператора.

3.5. Субъект в соответствии с Федеральным законом от 07.07.2003 г. № 126-ФЗ «О связи» выражает согласие Оператору, партнерам Оператора осуществлять взаимодействие с Субъектом посредством его информирования по телефону, рассылкой по сети подвижной радиотелефонной связи коротких текстовых сообщений, в том числе рекламного характера, на номер мобильного телефона, указанный Субъектом при оформлении заказа на приобретение товара на Сайте.

3.6. Оператор осуществляет передачу персональных данных третьим лицам (партнерам Оператора, осуществляющим доставку приобретенного Субъектом товара), а также поручает обработку персональных данных таким третьим лицам только с письменного согласия Субъекта и в тех случаях, когда это требуется для реализации целей сбора персональных данных.

3.7. Оператор вправе поручить обработку персональных данных другому лицу на основании соответствующего договора, заключенного оператором с таким лицом, при этом лица, осуществляющие обработку персональных данных по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о ПДн.

3.8. В случае поручения обработки персональных данных третьему лицу, такое поручение Оператора должно определять перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указывать требования к защите обрабатываемых персональных данных в соответствии Законом о ПДн.

3.9. Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

3.10. Носителями персональных данных при их обработке Оператором с использованием средств автоматизации являются жесткие диски серверного оборудования, на котором размещена ИСПДн Оператора. Оператор организует учет носителей персональных данных при их обработке Оператором с использованием средств автоматизации.

4. Права субъектов персональных данных

4.1. Субъект персональных данных обладает следующими правами:

4.1.1. получать информацию, определенную Законом о ПДн, касающуюся обработки его персональных данных;

4.1.2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4.1.3. требовать от Оператора разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;

4.1.4. обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

4.1.5. осуществлять иные действия, предусмотренные Законом о ПДн.

5. Обязанности Оператора

5.1. Оператор несет следующие обязанности:

5.1.1. предоставить субъекту персональных данных по его просьбе информацию, определенную Законом о ПДН, касающуюся обработки его персональных данных;

5.1.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;

5.1.3. предоставить (до начала обработки) субъекту персональных данных информацию, определенную Законом о ПДн, если персональные данные получены не от субъекта персональных данных;

5.1.4. обеспечивать конфиденциальность персональных данных, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

5.1.5. получать от субъекта персональных данных письменное согласие на обработку его персональных данных по форме, разработанной Оператором;

5.1.6. по требованию субъекта персональных данных разъяснить такому субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения и рассмотреть такое возражение в течение тридцати дней со дня его получения, уведомив субъекта персональных данных о результатах рассмотрения такого возражения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;

5.1.7. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, самостоятельно определяя состав и перечень таких мер;

5.1.8. принимать правовые, организационные и технические меры, необходимые для выполнения установленных Правительством РФ требований к защите персональных данных, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

5.1.9. сообщить в порядке, предусмотренном Законом о ПДн, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить безвозмездную возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;

5.1.10. в срок, не превышающий семи рабочих дней, внести необходимые изменения в персональные данные при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, а также уведомить субъекта персональных данных или его представителя о внесенных изменениях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;

5.1.11. в срок, не превышающий семи рабочих дней, уничтожить персональные данные при представлении субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомить субъекта персональных данных или его представителя о предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;

5.1.12. сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

5.1.13. осуществить блокирование или обеспечить блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) неправомерно обрабатываемых/неточных персональных данных при обращении субъекта таких персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, в случае выявления неправомерной обработки/неточных персональных данных;

5.1.14. в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные или обеспечить их уничтожение, а также уведомить лицо, обратившееся к Оператору, об устранении допущенных нарушений или об уничтожении персональных данных;

5.1.15. в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;

5.1.16. в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

5.1.17. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

5.1.18. в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.5.1.14., 5.1.16., 5.1.17. настоящей Политики, осуществить блокирование таких персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами;

5.1.19. уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (до начала обработки персональных данных);

5.1.20. осуществлять иные действия, предусмотренные Законом о ПДн.

6. Заключительные положения

6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с нормативными правовыми актами РФ. Работники Оператора, допустившие разглашение персональных данных, привлекаются к ответственности, предусмотренной действующим законодательством РФ.

6.2. По всем вопросам, не урегулированным настоящей Политикой, Оператор и лица, допущенные Оператором к обработке персональных данных, руководствуются требованиями Закона о ПДн и принятых в его исполнение нормативных правовых актов, а также действующими локальными актами Оператора по вопросам защиты персональных данных.

6.3. Настоящая Политика вступает в силу со дня его утверждения Генеральным директором Оператора и размещения на официальном сайте Оператора, является обязательным для исполнения всеми лицами, допущенными Оператором к обработке персональных данных, и действует до утверждения Оператором Политики в новой редакции.

6.4. Оператор вправе в одностороннем порядке вносить изменения и дополнения в настоящую Политику. Указанные изменения и дополнения вступают в силу с момента утверждения Оператором Политики в новой редакции и ее размещения на официальном сайте Оператора.

6.5. В случае изменения действующего законодательства РФ, если в результате такого изменения все или часть норм настоящей Политики вступают в противоречие с действующим законодательством РФ, Оператор до внесения изменений в настоящее Положение будет руководствоваться нормами действующего законодательства РФ.

Ваше местоположение