Политика обработки персональных данных

1. Термины и определения

В рамках настоящего Соглашения применяются следующие термины и определения:

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Предмет соглашения

2.1. Заказчик поручает, а Исполнитель принимает на себя обязательство осуществлять обработку нижеуказанных персональных данных Заказчика в соответствии с условиями настоящего Соглашения:

2.1.1. Цель обработки персональных данных:

2.1.2. Перечень персональных данных:

2.1.3. Категории субъектов персональных данных:

2.1.4. Перечень действий с персональными данными:

сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

2.2. Передача персональных данных между Заказчиком и Исполнителем осуществляется:

2.2.1. В электронном виде по электронным каналам связи с принятием мер, исключающих несанкционированный доступ к передаваемым персональным данным (в том числе с использованием средств шифрования).

2.2.2. На материальных носителях (бумажных и машинных носителях информации):

При передаче документов на бумажном носителе документы заверяются подписью уполномоченного представителя и печатью (при наличии) передающей Стороны.

2.3. Исполнителю запрещено осуществлять передачу персональных данных третьим лицам без предварительного письменного разрешения Заказчика и согласий субъектов персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации. После получения соответствующего письменного разрешения Заказчика Исполнитель может привлекать третье лицо и осуществлять ему передачу персональных данных Заказчика только при условии подписания с данным лицом соответствующего договора, в котором на третье лицо возлагаются обязанности по соблюдению конфиденциальности персональных данных, по обеспечению безопасности при обработке персональных данных, какие предусмотрены настоящим Соглашением.

2.4. Исполнитель обязуется до момента начала обработки персональных данных ознакомить лиц, допущенных Исполнителем к обработке персональных данных без использования средств автоматизации, о факте обработки указанными лицами персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки персональных данных, установленных применимыми нормативными правовыми актами путем ознакомления таких лиц с соответствующими локальными нормативными актами Исполнителя.

3. Обязанности Сторон при обработке персональных данных

3.1. Заказчик обязуется:

3.1.1. Обеспечить соответствие целей обработки персональных данных, передаваемых в рамках настоящего Соглашения, целям сбора персональных данных.

3.1.2. Обеспечить наличие правовых оснований для обработки персональных данных и поручения обработки персональных данных Исполнителю.

3.1.3. Незамедлительно довести до Исполнителя информацию об утрате правовых оснований для обработки персональных данных (в т. ч. в случае отзыва субъектом персональных данных согласия на их обработку).

3.2. Исполнитель обязуется:

3.2.1. Соблюдать принципы и правила обработки персональных данных, установленные законодательством о персональных данных.

3.2.2. Ограничить обработку персональных данных достижением целей, определенных в настоящем Соглашении, и не допускать обработку персональных данных, несовместимую с указанными в Соглашении целями обработки персональных данных.

3.2.3. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.2.4. Не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.2.5. Не допускать накопления избыточных персональных данных.

3.2.6. Обеспечить точность, актуальность и достаточность персональных данных при осуществлении их обработки.

3.2.7. Вести учет действий (операций), осуществляемых в отношении персональных данных Заказчика. По требованию Заказчика незамедлительно после получения соответствующего запроса предоставить Заказчику информацию о таких действиях (операциях) с персональными данными.

3.2.8. Передавать персональные данные на архивное хранение только Заказчику, если иное не согласовано Сторонами отдельно в письменной форме.

3.2.9. При получении информации от Заказчика о достижении цели обработки персональных данных и/или об утрате необходимости в достижении целей обработки персональных данных, об отзыве субъектом персональных данных согласия на обработку его персональных данных, а также в любом ином случае по запросу Заказчика, уничтожить персональные данные, обрабатываемые по поручению, в срок, определенный в запросе Заказчиком или законодательством Российской Федерации (в случае отсутствия срока, установленного Заказчиком).

3.2.10. Возвратить персональные данные Заказчику по истечении действия настоящего Соглашения или его досрочного прекращения, а также по иным основаниям, в порядке и в сроки, указанные в письменном запросе Заказчика, при условии последующего уничтожения персональных данных, обрабатываемых Исполнителем по поручению Заказчика.

3.2.11. В течение 5 (пяти) рабочих дней с даты уничтожения персональных данных предоставить Заказчику письменные доказательства произведенного уничтожения по форме, установленной Заказчиком или законодательством Российской Федерации.

3.2.12. Уведомить Заказчика в случае установления Исполнителем факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (далее – инцидент). Уведомление должно включать в себя информацию о времени выявления и характере инцидента (включая информацию о категориях субъектов персональных данных и их приблизительном количестве, предполагаемых причинах инцидента, затрагиваемых категориях персональных данных и их приблизительном количестве), о причинах и возможных последствиях инцидента, о мерах, принимаемых или планируемых Исполнителем для устранения последствий инцидента, предполагаемом вреде, который может быть причинен правам субъектов персональных данных, а также контактные данные лица, которое может предоставить Заказчику детальную информацию об инциденте.

Первоначальное уведомление направляется Заказчику не позднее 12 часов с момента выявления инцидента. Первоначальное уведомление должно содержать информацию о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также сведения о лице, уполномоченном на взаимодействие с Заказчиком, связанным с выявленным инцидентом.

Дополнительная информация об инциденте, предоставляется Заказчику в максимально короткие сроки, но не позднее 24 часов с момента первоначального уведомления об инциденте. Дополнительная информация должна содержать результаты внутреннего расследования выявленного инцидента, а также сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Исполнитель незамедлительно принимает все необходимые меры для устранения угроз безопасности, целостности и конфиденциальности персональных данных, минимизации ущерба, а также для предотвращения любых возможных негативных последствий для субъектов персональных данных, Заказчика или максимально возможного сокращения негативных воздействий. По требованию Заказчика Исполнитель оказывает Заказчику необходимую поддержку по минимизации последствий инцидента. Если Заказчик устанавливает, что организационные и технические меры Исполнителя на момент инцидента не соответствовали требованиям, установленным Федеральным законом Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных» или настоящим Соглашением, Исполнитель за свой счет принимает технические и организационные меры, которые, по мнению Заказчика, являются необходимыми в целях защиты персональных данных.

3.2.13. В случае выявления неправомерной обработки, включая неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, незамедлительно уведомить об этом Заказчика и прекратить обработку неправомерно обрабатываемых данных до получения дальнейших инструкций от Заказчика.

3.2.14. Содействовать Заказчику при осуществлении государственного контроля (надзора) за деятельностью Заказчика по обработке персональных данных. При этом Исполнитель обеспечивает предоставление необходимой для осуществления государственного контроля информации в срок, установленный соответствующим запросом Заказчика или лица, уполномоченного на осуществление такого контроля (надзора).

3.2.15. Предоставлять по запросу Заказчика до начала обработки персональных данных по настоящему Соглашению, а также по запросу Заказчика в течение срока действия настоящего Соглашения, в течение 5 (пяти) рабочих дней с даты получения такого запроса, если иной срок не установлен в запросе, документы и информацию, подтверждающие принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных пунктами 2 – 5 настоящего Соглашения.

4. Конфиденциальность

4.1. Исполнитель при выполнении настоящего Соглашения обязуется обеспечить конфиденциальность персональных данных, обрабатываемых по поручению Заказчика. Обязательство по обеспечению конфиденциальности персональных данных продолжает действовать в течение 5 лет с момента истечения срока действия настоящего Соглашения и / или его досрочного прекращения.

4.2. Исполнитель обязуется раскрывать информацию о персональных данных Заказчика своим работникам и иным лицам, привлекаемым к обработке персональных данных, только в тех пределах, которые необходимы для достижения целей обработки персональных данных, определенных в настоящем Соглашении.

4.3. Исполнитель гарантирует, что его работники и иные лица, привлекаемые Исполнителем к обработке персональных данных, приняли обязательства по соблюдению конфиденциальности персональных данных. Исполнитель по запросу Заказчика обязан представить доказательства принятия указанными лицами обязательств по соблюдению конфиденциальности персональных данных.

4.4. Исполнитель обязуется не раскрывать информацию о персональных данных, обрабатываемых по поручению Заказчика, любым третьим лицам за исключением случаев, предусмотренных законодательством Российской Федерации или настоящим Соглашением.

5. Требования к защите обрабатываемых персональных данных

5.1. Исполнитель обязан принимать меры, необходимые и достаточные для обеспечения выполнения Исполнителем обязанностей, предусмотренных законодательством Российской Федерации, включая:

5.3. Исполнитель обязан обеспечить безопасность персональных данных в соответствии с требованиями нормативных правовых актов Российской Федерации, предъявляемыми к защите персональных данных, включая:

6. Порядок взаимодействия Заказчика и Исполнителя при обработке обращений и запросов

6.1. В случае обращения к Исполнителю субъекта персональных данных Заказчика с запросом на получение информации, касающейся обработки его персональных данных, обрабатываемых Исполнителем по поручению Заказчика, Исполнитель обязан незамедлительно информировать о полученном запросе Заказчика.

6.2. Обязанность по предоставлению сведений по запросу субъекта персональных данных Заказчика на получение информации, касающейся обработки его персональных данных в рамках настоящего Соглашения, возлагается на Заказчика.

6.3. Исполнитель содействует Заказчику в выполнении его обязанности реагировать на требования по реализации прав субъекта персональных данных, а также на требования уполномоченного органа по защите прав субъектов персональных данных.

7. Ответственность Сторон

7.1. Заказчик несет ответственность перед субъектом персональных данных за действия, осуществляемые Исполнителем при обработке персональных данных.

7.2. Исполнитель несет ответственность перед Заказчиком за действия, осуществляемые при обработке персональных данных по поручению Заказчика, в том числе за действия привлекаемых Исполнителем третьих лиц.

7.3. Сторона, не исполнившая или ненадлежащим образом исполнившая обязательства по настоящему Соглашению, обязана возместить другой Стороне любые расходы и / или убытки, возникшие у другой Стороны, в связи с указанным неисполнением или ненадлежащим исполнением обязательств по настоящему Соглашению.

Обратный звонок

Оформление заказа

По-вопросам заказа брендированной продукции из ассортимента sbershop.ru, в случае закупки от юр.лица, вы можете обратиться к руководителю клиентской группы:

Руководитель клиентской группы
Екатерина Новикова
novikovaev@sbermarketing.ru +7(962) 131-53-23

Уважаемые клиенты!
Сборка заказов осуществляется в срок до 5 дней

С уважением,
ваш SberShop!