Мейтленд

Политика ООО «Флорист.ру-Онлайн» в отношении обработки и защиты персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Сбор, обработка и защита персональных данных в ООО «Флорист.ру-Онлайн» осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (далее — Закон), подзаконных актов, других определяющих особенности сбора, обработки персональных данных законов Российской Федерации, руководящих и методических документов Роскомнадзора РФ, Устава ООО «Флорист.ру-онлайн» и Политики в отношении сбора, обработки и защиты персональных данных.

1.2. Настоящий Документ (далее по тексту - «Политика») разработан ООО «Флорист.ру-Онлайн» (далее по тексту - «Оператор»), которое самостоятельно или совместно с третьими лицами организует и осуществляет сбор, обработку и защиту персональных данных в процессе осуществления своей предпринимательской и хозяйственной деятельности в соответствии с требованиями действующего законодательства Российской Федерации о персональных данных и их защите.

1.3. На территории Российской Федерации Оператор является официальным Администратором Маркетплейса «Флорист.ру», действующего на электронной торговой площадке (далее по тексту «Торговая площадка» или «Маркетплейс»), расположенной на официальном интернет ресурсе Маркетплейса - сайте https://www.florist.ru (далее по тексту «Официальный сайт») и в официальном мобильном приложении (далее по тексту «Мобильное приложение»).

2. ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); распространение; обезличивание; блокирование; удаление; уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становитсяневозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

Субъекты персональных данных - физические лица, к которым относятся персональные данные. Оператор собирает, обрабатывает и защищает персональные данные: Клиентов Оператора, использующих функционал Маркетплейса для выбора и приобретения цветов и подарков (далее по тексту «Заказы») с доставкой своим Получателям (далее по тексту - «Получатели заказов») и для проведения оплаты Заказов, включая пользователей официального интернет-ресурса и мобильного приложения https://www.florist.ru, принадлежащих ООО «Флорист.ру-Диджитал» - собственнику базы, содержащей персональные данные(далее по тексту - «Собственник») и используемых Оператором на законных основаниях; представителей и сотрудников контрагентов Оператора - Поставщиков товаров и услуг (далее по тексту - «Поставщики»), использующих функционал Торговой площадки для продажи цветов и подарков Покупателям, для выполнения Заказов и проведения расчётов с Маркетплейсом; действующих и бывших работников, а также кандидатов на работу в компании Оператора; физические лица, выполняющих работы и услуги для Оператора в рамках гражданско-правовых отношений (договоров).

3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

3.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

3.7. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.

3.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.

3.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.

3.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

3.13. Цели обработки персональных данных:

3.13.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.13.2. Обработка Оператором персональных данных осуществляется в следующих целях:
- обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
- осуществление своей деятельности в соответствии с уставом ООО «Флорист.ру-Онлайн»;
- ведение кадрового делопроизводства;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
- привлечение и отбор кандидатов на работу у Оператора;
- организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- осуществление гражданско-правовых отношений;
- ведение бухгалтерского учета;
- осуществление пропускного режима;
- организация участия Пользователей в бонусных программах лояльности;
- направление Пользователю материалов рекламного характера;
- информирование Пользователя о ходе выполнения Заказа и согласование деталей исполнения Заказа;
- передача Персональных данных Пользователя/Получателя третьим лицам, в целях осуществления доставки Товара Пользователю/Получателю;
- урегулирование претензий Пользователя;
- в иных целях, предусмотренных нормативными и правовыми актами Российской Федерации.

3.14.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3.15. Категории субъектов персональных данных.Обрабатываются ПД следующих субъектов ПД:
- физические лица, состоящие с ООО «Флорист.ру-Онлайн» в трудовых отношениях;
- физические лица, уволившиеся из ООО «Флорист.ру-Онлайн»;
- физические лица, являющиеся кандидатами на работу;
- физические лица, состоящие с ООО «Флорист.ру-Онлайн» в гражданско-правовых отношениях.

3.16. ПД, обрабатываемые Оператором:
- данные, полученные при осуществлении трудовых отношений;
- данные, полученные для осуществления отбора кандидатов на работу;
- данные, полученные при осуществлении гражданско-правовых отношений.

3.17. Хранение ПД.

3.17.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.17.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.17.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.17.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.17.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.17. Уничтожение ПД.

3.17.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.17.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.17.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

4. ПОРЯДОК СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. При посещении Пользователями официального сайта или при использовании ими мобильного приложения и сервисов Маркетплейса для обеспечения работоспособности сервисов «Флорист.ру» и повышения качества оказываемых услуг, а также для исправления ошибок и улучшения работы сервисов, Оператор без цели идентифицировать конкретного пользователя осуществляет сбор и обработку нижеследующей технической информации:

4.1.1. IP-адрес;

4.1.2. Тип используемого мобильного устройства;

4.1.3. Операционная система устройства и тип браузера;

4.1.4. Уникальный идентификатор устройства;

4.1.5. Адрес ссылающихся веб-сайтов;

4.1.6. Путь, по которому пользователь проходит через официальный сайт;

4.1.7. Иная техническая информация, необходимая для достижения целей, указанных в п. 4.1. настоящей Политики.

4.2. При сборе и обработки технической информации, указанной в п. 4.1. настоящей Политики, Оператор использует нижеследующие технологии:

4.2.1. Файлы cookie, позволяющие Оператору предоставлять пользователям соответствующую информацию по мере использования ими официального сайта и мобильного приложения «Флорист.ру», в том числе при открытии и загрузке соответствующих страниц сервисов;

4.2.2. Веб-маяки, позволяющие Оператору получать информацию о посещении определённой страницы сервисов, о том, было ли открыто электронное письмо или оценить эффективность рекламных баннеров;

4.2.3. Идентификаторы мобильных устройств Пользователей.

4.3. Оператор принимает все необходимые и достаточные правовые, организационные и технические меры для обеспечения исполнения требований законодательства Российской Федерации и локальных правовых актов Оператора в области сбора, обработки и защиты персональных данных и для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:

4.3.1. Назначает лицо, ответственное за организацию и осуществление сбора, обработки и защиты персональных данных;

4.3.2. Утверждает локальные правовые акты, определяющие политику, цели, условия и все другие необходимые вопросы, регулирующие сбор, обработку и защиту персональных данных;

4.3.3. Все работники Оператора, осуществляющие сбор и обработку персональных данных, в обязательном порядке проходят соответствующее обучение и ознакомление с настоящей Политикой и локальными правовыми актами Оператора, а также с требованиями законодательства Российской Федерации в области о сборе, обработке и защите персональных данных;

4.3.4. Размещает полный текст настоящей Политики на официальном сайте и в мобильном приложении Маркетплейса «Флорист.ру», и обеспечивает доступ к данному документу для любого субъекта персональных данных;

4.3.5. Прекращает обработку персональных данных и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

4.3.6. Определяет угрозы безопасности персональных данных при их сборе и обработке в базе Маркетплейса «Флорист.ру» и информационной базе Оператора.

4.3.7. Осуществляет необходимую техническую и криптографическую защиту персональных данных;

4.3.8. Проводит оценку эффективности мер, принимаемых для обеспечения безопасности персональных данных до момента ввода в эксплуатацию информационной базы персональных данных;

4.3.9. Принимает все необходимые меры защиты при обнаружении фактов несанкционированного доступа к персональным данным;

4.3.10. Восстанавливает персональные данные в случае их модификации или уничтожения вследствие несанкционированного доступа;

4.3.11. Устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе (базе) персональных данных;

4.3.12. Обеспечивает регистрацию и учёт всех действий, совершаемых с персональными данными в информационной базе персональных данных;

4.3.13. Обеспечивает контроль за мерами, принимаемыми для безопасности персональных данных и уровня защищенности информационных баз персональных данных;

4.3.14. Проводит учёт машинных носителей персональных данных;

4.3.15. Проводит мониторинг действий пользователей;

4.3.16. Проводит служебные расследования по всем фактам нарушения требований безопасности персональных данных;

4.3.17. Совершает иные необходимые действия, предусмотренные законодательством Российской Федерации в области персональных данных.

4.4. Оператор уничтожает или обезличивает персональные данные при достижении целей сбора и обработки, а также в случае, когда необходимость достижения целей сбора и обработки Оператором утрачена.

4.5. Сбор и обработка персональных данных на бумажных носителях без использования средств автоматизации осуществляется Оператором в следующем порядке:

4.5.1. Определяется место хранения персональных данных для каждой категории субъектов;

4.5.2. Устанавливается перечень лиц, имеющих доступ к персональным данным и осуществляющих их обработку;

4.5.3. Обеспечивается раздельное хранение бумажных носителей персональных данных с различными целями обработки;

4.5.4. Соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В случаях, когда это прямо не запрещено законодательством Российской Федерации, Оператор вправе передавать персональные данные третьим лицам: поставщикам услуг хостинга, поставщикам заказов Маркетплейса, поставщикам товаров и услуг доставки, поставщикам услуг по выставлению счетов и возврату средств, банкам, платежным системам, процессорам платежных карт, сотрудникам контактных центров по работе с покупателями, поставщикам и разработчикам IT- услуг, и другим лицам на основании заключённых с Оператором договоров при соблюдении условий, указанных в настоящей Политике и в соответствии с действующим законодательствам Российской Федерации.

5.2. Третьи лица, указанные в п.5.1. настоящей политики, соблюдают принципы и правила сбора, обработки и защиты персональных данных, предусмотренные Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации. Для каждого третьего лица, получающего персональные данные, в заключаемом с ними Оператором договоре определяются цели обработки персональных данных, перечень действий, которые будут совершаться третьим лицом с персональными данными, обязанности по соблюдению конфиденциальности персональных данных и меры по обеспечению защиты персональных данных.

5.3. В случаях, установленных законодательством Российской Федерации, Оператор вправе осуществлять трансграничную передачу персональных данных.

6.ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъекты, персональные данные которых обрабатываются в Компании, имеют право получить информацию относительно персональных данных, обрабатываемых Компании, в объеме, предусмотренном №152-ФЗ РФ «О персональных данных», а также:
- получать полную информацию о своих персональных данных;
- иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и они не должны содержать персональных данных, относящиеся к другим субъектам персональных данных. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю при личном обращении, либо при получении соответствующего запроса;
- требовать уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки персональных данных, а также принимать предусмотренные законом меры по защите своих прав;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, о всех произведенных в них исключениях, исправлениях или дополнениях;полностью или частично отозвать данное согласие на обработку персональных данных;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.

6.2. Субъект вправе направить собственноручно подписанное соответствующее заявление Оператору в письменной форме по адресу: 42000, Республики Татарстан, город Казань, ул. Петербургская, дом 50 или в электронной форме, подписанное электронной цифровой подписью и направленное в адрес электронной почты [email protected].

7.ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Все вопросы непредусмотренные и неурегулированные в настоящей Политике, разрешаются в соответствии с действующим законодательством Российской Федерации.

7.2. Настоящая Политика вступает в силу с момента подписания приказа о введении в действие настоящей политики и распространяется на все персональные данные субъектов, собираемые и обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.

7.3. Настоящая Политика, размещённая на официальном сайте Оператора, является общедоступным документом для любого субъекта персональных данных.

7.4. Оператор вправе в одностороннем порядке вносить изменения и дополнения в условия настоящей Политики, размещенной на официальном сайте или утверждать и размещать новую редакцию Политики в отношении сбора, обработки и защиты персональных данных. Если иное не предусматривается Политикой, все вносимые в её текст изменения и дополнения вступают в силу с даты, указанной в настоящем документе при его размещении для общего доступа.

7.5. Субъекты персональных данных обязаны самостоятельно ознакомиться с текстом настоящей Политики, в той актуальной редакции, которая размещена на момент действующих или предполагаемых взаимоотношений с Оператором и использования официального сайта.