Политика в отношении обработки
персональных данных в торговой сети
«Натуральные продукты»

1. Определения, термины и сокращения

2. Цель

Политика разработана с целью реализации положений Федерального Закона от 27.07.2006 г.№152-ФЗ «О персональных данных» и других законодательных и нормативно правовых актов, определяющих порядок работы с персональными данными и требования к обеспечению их безопасности.

3. Область распространения и порядок ознакомления

3.1. Политика обязательна для исполнения всеми работниками Компании, задействованными в процессе обработки персональных данных.

3.2. Действие настоящей Политики распространяется на персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.

4. Общие положения

4.1. Политика в отношении обработки персональных данных в Компании (далее – Политика) устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, и единый порядок организации процесса обработки персональных данных в Компании.

4.2. Документ разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами.

4.3. Настоящая Политика размещается на общедоступном ресурсе - в сети интернет на официальном сайте Компании (https://medovoe.market/politic/), а также на корпоративном портале (https://medovoe.market/politic/).

4.4. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, но не реже одного раза в три года.

5. Категории субъектов, персональные данные которых обрабатываются в Компании и цели их обработки

5.1. В компании обрабатываются персональные данные следующих субъектов:

а) клиентов в целях:

• повышения качества обслуживания и лояльности клиентов;
• реализации бонусных программ;
• предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
• сбора и обработки статистической информации и проведения маркетинговых и иных исследований;
• доставки заказанных/согласованных товаров и предоставления услуг;

б) работников Компании в целях:

• соблюдения обязательных требований законодательства Российской Федерации в области обязательного медицинского, пенсионного страхования, налогового законодательства, охраны труда, воинского учета;
• выполнения обязательств, предусмотренных трудовым договором между работником и Компанией, таких как обеспечение справочной поддержки, обучение и продвижение по службе, обеспечение личной безопасности, начисление заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов, контроль количества и качества выполняемой работником работы и обеспечение сохранности имущества Компании;
• оказание материальной помощи;

в) посетителей сайта Компании в целях:

• улучшения качества обслуживания клиентов;

г) соискателей в целях:

• содействия в трудоустройстве;
• ведения кадрового резерва соискателей;

д) уполномоченных представителей сторонних организаций/индивидуальных предпринимателей (контрагентов, подрядчиков, поставщиков) в целях:

• выполнения обязательств, предусмотренных договором между Компанией и контрагентом/подрядчиком/поставщиком;
• выполнения требований законодательства РФ;

е) физических лиц, с которыми Компания заключает договоры гражданско-правового характера в целях:

• выполнения обязательств, предусмотренных договором гражданско-правового характера между работником и Компанией, таких как обеспечение справочной поддержки, обеспечение личной безопасности, расчет и перечисление налогов и страховых взносов, контроль количества и качества выполняемой работником работы и обеспечение сохранности имущества Компании;
• иные, связанные с осуществлением деятельности Компании, цели.

5.2. Персональные данные вне Компании могут представляться в государственные и негосударственные функциональные структуры:

• налоговые инспекции;
• правоохранительные органы;
• органы статистики;
• страховые агентства;
• военкоматы;
• органы социального страхования;
• пенсионные фонды;
• подразделения муниципальных органов управления.

6. Условия и принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных.

6.2. Обработка персональных данных в Компании осуществляется с учетом следующих принципов:

• обработка персональных данных должна осуществляться на законной и справедливой основе;
• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных;
• хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

6.3. В целях информационного обеспечения Оператор может включать персональные данные субъектов в общедоступные источники (справочники) персональных данных, при этом Компания осуществляет сбор письменных согласий субъекта на обработку его персональных данных.

6.4. Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

6.5. Не допускается получение и обработка персональных данных субъектов ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

6.6. Оператор обрабатывает персональные данные о состоянии здоровья только в объеме, необходимом для соблюдения законодательства Российской Федерации.

6.7. Лица, получающие доступ к персональным данным субъектов, обязаны обеспечить конфиденциальность персональных данных.

6.8. Обеспечения конфиденциальности персональных данных не требуется в отношении общедоступных персональных данных.

6.9. Защита персональных данных субъектов от неправомерного их использования или утраты обеспечиваются Оператором за счет собственных средств в порядке, установленном Трудовым кодексом Российской Федерации или иными федеральными законами.

6.10. Обработка персональных данных субъектов осуществляется как с использованием средств автоматизации, так и без использования таких средств.

6.11. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

6.12. Обработка персональных данных субъектов ПДн включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.13. В случае возникновения необходимости получения персональных данных субъекта ПДн у третьей стороны следует известить об этом субъекта ПДн заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

6.14. Персональные данные соискателей поступают в отдел кадров в виде резюме, размещенных на открытых интернет-ресурсах или лично при собеседовании.

6.15. Персональные данные соискателей подлежат уничтожению в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных (прием/отказ в приеме на работу).

6.16. Хранение персональных данных осуществляется в форме, позволяющей определить персональные данные конкретного субъекта, не дольше, чем того требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении целей обработки.

6.17. Уничтожение бумажных носителей, содержащих персональные данные, осуществляется механическим способом (путём измельчения на мелкие части (или иным способом), исключающим возможность последующего восстановления информации). Акт об уничтожении не составляется

6.18. Хранение бумажных носителей с персональными данными субъектов, осуществляется в оборудованных для этих целей прочных, запираемых на замки местах (в том числе шкафах, тумбах, сейфах или помещениях с ограниченным доступом), а также в иных местах, обеспечивающих защиту от несанкционированного доступа.

6.19. Обработка персональных данных категорий субъектов персональных данных, указанных в пункте 5.1 настоящей Политики, осуществляется таким образом, чтобы в отношении каждой категории субъектов персональных данных можно было установить места хранения персональных данных.

6.20. Передача (распространение, предоставление) и использование персональных данных субъектов осуществляется только в случаях и порядке, предусмотренных законодательством Российской Федерации.

6.21. Передача персональных данных субъекта не допускается без его письменного согласия, за исключением случаев, установленных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» и другими принятыми в соответствии с ним нормативными правовыми актами, передачи организациям, указанным в приложении № 1 к настоящей Политике. В случае если лицо, обратившееся с запросом на получение персональных данных субъекта, не обладает соответствующими полномочиями, либо отсутствует письменное согласие субъекта ПДн на передачу его персональных данных, Оператор вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.

6.22. При передаче персональных данных третьим лицам необходимо в соглашениях, определяющих необходимость передачи, указывать требования к защите переданных персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

6.23. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

6.24. Согласно статье 6 пункту 4 Федерального закона «О персональных данных», лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

6.25. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

6.26. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:

• получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
• требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц, если субъект персональных данных считает, что осуществляется обработка его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушаются его права и свободы.

7. Сроки обработки персональных данных

7.1. ПДн содержащиеся в документах, обрабатываются в сроки, обусловленные заявленными целями их обработки в соответствии с законодательством РФ.

7.2. После увольнения работника документы, содержащие его персональные данные, подлежат хранению в отделе кадров в течение 3 лет, с последующим формированием и передачей указанных документов в архив Компании в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение срока, установленного законодательством Российской Федерации.

8. Меры по обеспечению безопасности персональных данных при их обработке

8.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2. Обеспечение безопасности персональных данных достигается, в частности:

• назначением лица, ответственного за организацию обработки ПДн;
• разработкой и утверждением локальных актов по вопросам обработки и защиты ПДн;
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных;
• соблюдением условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;
• ознакомлением работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн.

9. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

9.1. В случае достижения цели обработки персональных данных Оператор обязан:

• прекратить обработку персональных данных или обеспечить ее прекращение (в случае, если обработка персональных данных осуществляется третьим лицом, действующим по поручению Компании);
• уничтожить персональные данные или обеспечить их уничтожение (в случае, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законами Российской Федерации.

9.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Компания, обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законами Российской Федерации.

9.3. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных.

10. Рассмотрение запросов субъектов персональных данных или их представителей

10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• применяемые способы обработки персональных данных;
• сведения о наименовании и месте нахождении Компании;
• сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации в области персональных данных;
• сроки обработки персональных данных, в том числе сроки их хранения в Компании;
• порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
• информацию об осуществленной или предполагаемой трансграничной передаче данных;
• наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такой организации или лицу;
• иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

10.2. Субъект персональных данных в соответствии с частью 1 статьи 14 Федерального закона «О персональных данных» вправе обращаться в Компанию с требованием об уточнении его персональных данных, о блокировании или уничтожении персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Сведения, касающиеся обработки персональных данных, предоставляются в доступной форме. В таких сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.4. Сведения, касающиеся обработки персональных данных, предоставляются по письменному запросу субъекта персональных данных или его представителя. Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Компании,
• подпись субъекта персональных данных или его уполномоченного представителя.

10.5. Запрос может быть направлен в форме электронного документа и подписан квалифицированной электронной подписью в соответствии с законодательством Российской Федерации.

10.6. Обращение субъекта персональных данных или его законного представителя должно осуществляться при помощи запроса, составленного в соответствии с Федеральным законом «О персональных данных».

10.7. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Компанию или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.8. Субъект персональных данных вправе обратиться повторно в Компанию или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

10.9. В случае отказа в предоставлении информации дается мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения заинтересованного субъекта персональных данных или его представителя либо с даты получения запроса.

10.10. Лица, персональные данные которых обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих персональных данных (в том числе отозвать свое согласие на обработку персональных данных), направив соответствующий письменный запрос по адресу местонахождения центрального офиса Компании, расположенному по адресу: 188653, Ленинградская обл, Всеволожский р-н, Скотное массив, дом № 1, комната 99

11. Ответственность

11.1. Настоящая Политика является локальным нормативным актом Компании.

11.2. Работники Компании и иные лица, состоящие с Компанией в договорных отношениях, виновные в нарушении норм законодательства о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

11.3. Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки персональных данных Компании.

11.4. Обработка персональных данных посетителей сайта Компании осуществляется при получении согласия посетителя сайта на обработку его персональных данных, обрабатываемых с использованием интернет-сервисов, путем указания признака согласия на электронных формах сайтов.

11.5. На официальном сайте Компании осуществляется сбор некоторых сведений об используемом компьютерном оборудовании и программном обеспечении. Информация такого рода может включать в себя IP-адрес пользователя, тип обозревателя, количество предыдущих посещений и адрес сайта, с которого пользователь осуществил переход на наш сайт. Данная информация используется для повышения качества предоставляемых услуг, а также для подготовки обобщенных статистических данных, характеризующих использование сайта.

11.6. На сайте Компании используются файлы «cookie» для сбора сведений о том, какие ссылки на сайте выбираются посетителями. Эти сведения помогают определять, какая информация представляет для них наибольший интерес. Сбор этих данных осуществляется в обобщенном виде и никогда не соотносится с личными сведениями пользователей.

11.7. Пользователь может отключить в браузере прием файлов «cookie» с сайта Компании, при этом он сможет просматривать текст на веб-страницах, однако возможности индивидуальной настройки на службы сайта будут недоступны.

Компания вправе передавать на обработку ваши персональные данные третьим лицам только в целях, заявленных в Политике в отношении обработки персональных данных.