Положение об обработке и защите персональных данных

  1. 1. Общие положения.

    1.1. Настоящее положение об обработке и защите персональных данных (далее — Положение) подготовлена в соответствии со ст. 18.1 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 года (далее - «Закон») и определяет позицию ООО «АВТОРУСЬ РИТЕЙЛ» (далее - «Компания») в области обработки и защиты персональных данных (далее - «Данные»).
    Положение Компания в отношении обработки Данных действует в отношении всей информации, которую Компания, может получить о Покупателе /Потребителе/ Пользователе во время заказа/ приобретения товара/услуги в магазинах Компании в розницу либо в Интернет-магазине, размещенном на сайте https://www.autorus.ru/ (далее - Сайт) или в мобильном приложении (далее по тексту- «программа лояльности»).

    1.2. Заказ/приобретение товара, пользование Сайтом Компании означает безоговорочное согласие Покупателя/Потребителя/Пользователя (далее по тексу именуются «Покупатель») с настоящим Положением и указанными в нем условиями обработки его персональной информации; в случае несогласия с этими условиями Покупатель должен воздержаться от заказа/приобретения товара/услуги либо пользования Сайтом.

    1.3. Настоящее Положение распространяется на Данные, полученные как до, так и после ввода в действие настоящего Положения.

    1.4. Понимая важность и ценность Данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации и граждан других государств, Компания обеспечивает надежную защиту Данных.

  2. 2. Персональные данные, которые обрабатывает Компания.

    2.1. В рамках настоящего Положения под «Персональными данными» понимаются:

    1. 2.1.1. персональные данные (далее – информация либо данные) - любая информация, относящаяся прямо или косвенно к Покупателю, который предоставляет их при заказе, покупке, регистрации (создании учётной записи) на Сайте или в процессе использования сервисов, программ, служб Сайта, программы Лояльности. Обязательная для предоставления информация на Сайте помечена символом «*». Иная информация предоставляется Покупателем на его усмотрение;
    2. 2.1.2. данные, которые автоматически аккумулируются/передаются Сайтом Компании в процессе его использования с помощью установленного на устройстве Покупателя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Покупателя (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых Покупателем, дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация;
    3. 2.1.3. иная информация о Покупателе, предоставленная Покупателем;
    4. 2.1.4. компания не контролирует и не несет ответственность за обработку информации сайтами третьих лиц, на которые Покупатель может перейти по ссылкам, размещенным на сайте Компании, в том числе в результатах поиска. Покупатель обязан самостоятельно ознакомиться с положением об обработке с персональными данными на этих ресурсах;
    5. 2.1.5. компания не проверяет достоверность персональной информации, предоставляемой Покупателем, и не имеет возможности оценивать его дееспособность. Однако Компания исходит из того, что Покупатель предоставляет достоверную и достаточную персональную информацию и поддерживает эту информацию в актуальном состоянии. Ответственность за предоставление недостоверной или недостаточной информации несет Покупатель.
  3. 3. Цели обработки персональной информации Пользователей.

    3.1. Компания собирает и хранит только ту персональную информацию, которая необходима ей для исполнения соглашений и договоров с Покупателем и предоставления товаров, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.

    3.2. Персональную информацию Покупателя Компания обрабатывает в следующих целях:

    1. 3.2.1. для идентификации стороны в рамках договоров с Компанией;
    2. 3.2.2. для предоставления Покупателю товаров и исполнение соглашений и договоров;
    3. 3.2.3. для проведения акционных мероприятий (направление информационных материалов) в том числе посредством средств связи, такие как телефон, e-mail и т.п.;
    4. 3.2.4. для связи с Покупателем, в том числе направлением уведомлений, запросов и информации во исполнение соглашений и договоров с Покупателем, а также в целях обработки запросов и заявок, поступивших от Покупателя;
    5. 3.2.5. для улучшения качества оказываемых услуг, удобства их использования, введение новых услуг, сервисов и т.п.;
    6. 3.2.6. для участников программ лояльности в целях:
      • предоставления информации по товарам, партнерам, проходящим акциям, состоянию лицевого счета и т.п.;
      • идентификация участника в программе лояльности;
      • обеспечение процедуры обработки транзакционной активности с целью расчета уровня предоставляемых привилегий и персональных предложений, а также учета накопления и использования бонусов;
      • исполнения Компанией иных обязательств по программе лояльности;
      • коммуникации и информирования о проводимых акциях и мероприятиях.
    7. 3.2.7. проведение статистических и иных исследований, на основе обезличенных данных.
  4. 4. Условия обработки персональной информации Покупателя и её передачи третьим лицам.

    4.1. Компания хранит персональную информацию Покупателей в соответствии с действующим законодательством и с локальными нормативно-правовыми актами.

    4.2. В отношении персональной информации Покупателя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления Покупателем информации о себе для общего доступа неограниченному кругу лиц.

    4.3. Компания вправе передать персональную информацию Покупателя третьим лицам только с согласия Покупателя. Принимая условия настоящего Положения, Покупатель дает согласие на передачу информации третьим лицам.

    4.4. Передача информации третьим лицам производится в следующих случаях:

    4.5. При обработке персональных данных Покупателей Компания руководствуется Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными актами, имеющими отношение к области обработки и защиты персональных данных исходя из принципа законности и справедливости.

    4.6. Предоставляемая Покупателем персональная информация является конфиденциальной и не подлежит разглашению. Данные банковской (в т.ч. кредитной) карты передаются только в зашифрованном виде и не сохраняются на Web-сервере Компании. Данные банковской карты Компания не обрабатывает. При оплате банковской картой происходит переадресование с Сайта Компании на защищенные авторизованные страницы сайта банка.

    4.7. Компания не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

    1. 4.4.1. передача информации необходима для предоставления товаров и услуг Покупателю (в том числе передача информации транспортной компании, лицу, оказывающему такие услуги, курьеру, банку/банкам в случае оплаты банковской картой и т.п.);
    2. 4.4.2. передача необходима для пользования Покупателем Сайтом/мобильным приложением либо для исполнения определенного соглашения или договора с Пользователем, в частности, но не ограничиваясь
      • предоставлением информации по товарам/услугам, проходящим акциям и специальным предложениям, в том числе посредством средств связи (по e-mail, тел., иное);
      • анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
      • предоставлении информировании о статусе заказа;
      • исполнения договора купли-продажи, в т.ч. заключенного дистанционным способом на Сайте или в мобильном приложении, возмездного оказания услуг, а также учета оказанных потребителям услуг для осуществления взаиморасчетов;
      • доставки заказанного товара клиенту, совершившему заказ на Сайте или в мобильном приложении;
      • возврат товара.
    3. 4.4.3. передача предусмотрена действующим законодательством РФ;
    4. 4.4.4. в целях обеспечения возможности защиты прав и законных интересов Компании и/или третьих лиц в случаях, когда Покупатель нарушает условия приобретения товара и/или пользования сайтом Компании, настоящего Положения, либо иных соответствующих документов;
    5. 4.4.5. для связи с Покупателем, в том числе направлением уведомлений, запросов и информации во исполнение соглашений и договоров с Покупателем, а также в целях обработки запросов и заявок, поступивших от Покупателя.
  5. 5. Изменение и удаление персональной информации. Обязательное хранение данных.

    5.1. Покупатель может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, воспользовавшись функцией редактирования персональных данных личном кабинете или связаться с оператором по телефону указанному на Сайте Компании или в мобильном приложении.

    5.2. Покупатель также может удалить/отозвать предоставленную им персональную информацию, воспользовавшись функцией «Удалить аккаунт» на Сайте либо направив в Компанию электронное сообщение через обратную связь на сайте, обратившись в чат или, направив письменное уведомление по адресу Компании: 117647, г. Москва, Академика Капицы, дом 20.

    5.3. В случае отзыва согласия на обработку персональных данных Компания прекратит обработку персональных данных, уничтожит персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

    5.4. Права, предусмотренные пп. 5.1. и 5.2. настоящего Положения могут быть ограничены в соответствии с требованиями законодательства. В частности, такие ограничения могут предусматривать обязанность Компании сохранить измененную или удаленную Покупателем информацию на срок, установленный законодательством, и передать такую информацию в соответствии с законодательно установленной процедурой государственному органу.

    5.5. Предоставленное согласие Покупателя действует до отзыва им такой информации.

  6. 6. Права и обязанности субъектов Данных, а также Компании в части обработки Данных.

    6.1. Субъект, Данные которого обрабатываются Компанией, имеет право получать от Компании:

    • подтверждение факта обработки Данных и сведения о наличии Данных, относящихся к соответствующему субъекту Данных;
    • сведения о правовых основаниях и целях обработки Данных;
    • сведения о применяемых Компанией способах обработки Данных;
    • сведения о наименовании и местонахождении Компании;
    • сведения о лицах (за исключением работников Компании), которые имеют доступ к Данным или которым могут быть раскрыты Данные на основании договора с Компанией или на основании федерального закона;
    • перечень обрабатываемых Данных, относящихся к субъекту Данных, и информацию об источнике их получения, если иной порядок предоставления таких Данных не предусмотрен федеральным законом;
    • сведения о сроках обработки Данных, в том числе о сроках их хранения;
    • сведения о порядке осуществления субъектом Данных прав, предусмотренных Законом;
    • иные сведения, предусмотренные Законом или другими нормативно-правовыми актами Российской Федерации;
    • требовать от Компании уточнения своих Данных, их блокирования или уничтожения в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • отозвать свое согласие на обработку Данных в любой момент, уведомив Компанию в электронном виде через обратную связь на сайте, обратившись в чат или в письменном виде по адресу Компании: 117647, г. Москва, Академика Капицы, дом 20;
    • требовать устранения неправомерных действий Компании в отношении его Данных;
    • обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект Данных считает, что Компания осуществляет обработку его Данных с нарушением требований Закона или иным образом нарушает его права и свободы;
    • на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.

    6.2. Компания в процессе обработки Данных обязана:

    • предоставлять субъекту Данных по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта Данных или его представителя;
    • разъяснить субъекту Данных юридические последствия отказа предоставить Данные, если предоставление Данных является обязательным в соответствии с федеральным законом;
    • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;
    • опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его положение в отношении обработки Данных, к сведениям о реализуемых требованиях к защите Данных;
    • предоставить субъектам Данных и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
    • осуществить блокирование неправомерно обрабатываемых Данных, относящихся к субъекту Данных, или обеспечить их блокирование (если обработка Данных осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки Данных при обращении субъекта Данных или его представителя либо по запросу субъекту Данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;
    • уточнить Данные либо обеспечить их уточнение (если обработка Данных осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование Данных, в случае подтверждения факта неточности Данных на основании сведений, представленных субъектом Данных или его представителем;
    • прекратить неправомерную обработку Данных или обеспечить прекращение неправомерной обработки Данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки Данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
    • прекратить обработку Данных или обеспечить ее прекращение (если обработка Данных осуществляется другим лицом, действующим по договору с Компанией) и уничтожить Данные или обеспечить их уничтожение (если обработка Данных осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки Данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Данных, в случае достижения цели обработки Данных;
    • прекратить обработку Данных или обеспечить ее прекращение и уничтожить Данные или обеспечить их уничтожение в случае отзыва субъектом Данных согласия на обработку Данных, если Компания не вправе осуществлять обработку Данных без согласия субъекта Данных;
    • вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов Данных на получение Данных, а также факты предоставления Данных по этим запросам.
  7. 7. Меры, применяемые для защиты персональной информации Покупателя.

    7.1. Компания принимает необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональной информации Покупателя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

    7.2. Правовые, организационно-технические меры, реализуемые Компанией:

    • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
    • ограничение и регламентация состава работников, имеющих доступ к персональным данным;
    • ознакомление работников с требованиями действующего законодательства и локальных нормативно-правовых актов Компании по обработке и защите персональных данных;
    • обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
    • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
    • разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
    • проверка готовности и эффективности использования средств защиты информации;
    • реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
    • регистрация и учёт действий пользователей информационных систем персональных данных;
    • парольная защита доступа пользователей к информационной системе персональных данных;
    • применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
    • применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
    • осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
    • обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
    • централизованное управление системой защиты персональных данных.
    • резервное копирование информации;
    • обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
    • учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
    • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
    • применение защищенного соединения между сайтом Компании и оборудованием Покупателя (протокол https);
    • проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
    • размещение технических средств обработки персональных данных, в пределах охраняемой территории;
    • организация пропускного режима на территорию Компании;
    • поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
  8. 8. Заключительные положения.

    8.1. Настоящая Политика является локальным нормативным актом Компании. Настоящее Положение является общедоступной. Общедоступность настоящего Положения обеспечивается публикацией на Сайте Компании и в мобильном приложении.
    Настоящее Положение может быть пересмотрена в любом из следующих случаев:

    • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
    • в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Положения;
    • по решению руководства Компании;
    • при изменении целей и сроков обработки Данных;
    • при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
    • при применении новых технологий обработки и защиты Данных (в т. ч. передачи, хранения);
    • при появлении необходимости в изменении процесса обработки Данных, связанной с деятельностью Компании.