Политика обработки персональных данных

1. Термины и определения

В рамках настоящего Соглашения применяются следующие термины и определения:

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Предмет соглашения

2.1. Заказчик поручает, а Исполнитель принимает на себя обязательство осуществлять обработку нижеуказанных персональных данных Заказчика в соответствии с условиями настоящего Соглашения:

2.1.1. Цель обработки персональных данных:

• регистрация на сайте www.sbershop.ru (далее – Сайт);

• оформление и доставка заказа/сертификатов;

• направление обращения посредством формы обратной связи на сайте;

• оформление подписки на рассылку;

• отправка отзывов;

• ведение статистики и анализа работы сайта.

2.1.2. Перечень персональных данных:

• фамилия, имя, отчество;

• номер телефона;

• адрес электронной почты;

• адрес доставки;

• иная информация, которую Пользователь решил предоставить при заполнении форм на сайте.

2.1.3. Категории субъектов персональных данных:

• физические лица;

• юридические лица.

2.1.4. Перечень действий с персональными данными:

сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

2.2. Передача персональных данных между Заказчиком и Исполнителем осуществляется:

2.2.1. В электронном виде по электронным каналам связи с принятием мер, исключающих несанкционированный доступ к передаваемым персональным данным (в том числе с использованием средств шифрования).

2.2.2. На материальных носителях (бумажных и машинных носителях информации):

• почтой – в соответствие с правилами оказания услуг почтовой связи, установленными уполномоченным органом государственной власти;

• курьером – в закрытом виде, без возможности просмотра (доступа) содержимого по акту приема-передачи (накладной), с принятием мер контроля несанкционированного вскрытия (если применимо к упаковке).

При передаче документов на бумажном носителе документы заверяются подписью уполномоченного представителя и печатью (при наличии) передающей Стороны.

2.3. Исполнителю запрещено осуществлять передачу персональных данных третьим лицам без предварительного письменного разрешения Заказчика и согласий субъектов персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации. После получения соответствующего письменного разрешения Заказчика Исполнитель может привлекать третье лицо и осуществлять ему передачу персональных данных Заказчика только при условии подписания с данным лицом соответствующего договора, в котором на третье лицо возлагаются обязанности по соблюдению конфиденциальности персональных данных, по обеспечению безопасности при обработке персональных данных, какие предусмотрены настоящим Соглашением.

2.4. Исполнитель обязуется до момента начала обработки персональных данных ознакомить лиц, допущенных Исполнителем к обработке персональных данных без использования средств автоматизации, о факте обработки указанными лицами персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки персональных данных, установленных применимыми нормативными правовыми актами путем ознакомления таких лиц с соответствующими локальными нормативными актами Исполнителя.

3. Обязанности Сторон при обработке персональных данных

3.1. Заказчик обязуется:

3.1.1. Обеспечить соответствие целей обработки персональных данных, передаваемых в рамках настоящего Соглашения, целям сбора персональных данных.

3.1.2. Обеспечить наличие правовых оснований для обработки персональных данных и поручения обработки персональных данных Исполнителю.

3.1.3. Незамедлительно довести до Исполнителя информацию об утрате правовых оснований для обработки персональных данных (в т. ч. в случае отзыва субъектом персональных данных согласия на их обработку).

3.2. Исполнитель обязуется:

3.2.1. Соблюдать принципы и правила обработки персональных данных, установленные законодательством о персональных данных.

3.2.2. Ограничить обработку персональных данных достижением целей, определенных в настоящем Соглашении, и не допускать обработку персональных данных, несовместимую с указанными в Соглашении целями обработки персональных данных.

3.2.3. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.2.4. Не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.2.5. Не допускать накопления избыточных персональных данных.

3.2.6. Обеспечить точность, актуальность и достаточность персональных данных при осуществлении их обработки.

3.2.7. Вести учет действий (операций), осуществляемых в отношении персональных данных Заказчика. По требованию Заказчика незамедлительно после получения соответствующего запроса предоставить Заказчику информацию о таких действиях (операциях) с персональными данными.

3.2.8. Передавать персональные данные на архивное хранение только Заказчику, если иное не согласовано Сторонами отдельно в письменной форме.

3.2.9. При получении информации от Заказчика о достижении цели обработки персональных данных и/или об утрате необходимости в достижении целей обработки персональных данных, об отзыве субъектом персональных данных согласия на обработку его персональных данных, а также в любом ином случае по запросу Заказчика, уничтожить персональные данные, обрабатываемые по поручению, в срок, определенный в запросе Заказчиком или законодательством Российской Федерации (в случае отсутствия срока, установленного Заказчиком).

3.2.10. Возвратить персональные данные Заказчику по истечении действия настоящего Соглашения или его досрочного прекращения, а также по иным основаниям, в порядке и в сроки, указанные в письменном запросе Заказчика, при условии последующего уничтожения персональных данных, обрабатываемых Исполнителем по поручению Заказчика.

3.2.11. В течение 5 (пяти) рабочих дней с даты уничтожения персональных данных предоставить Заказчику письменные доказательства произведенного уничтожения по форме, установленной Заказчиком или законодательством Российской Федерации.

3.2.12. Уведомить Заказчика в случае установления Исполнителем факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (далее – инцидент). Уведомление должно включать в себя информацию о времени выявления и характере инцидента (включая информацию о категориях субъектов персональных данных и их приблизительном количестве, предполагаемых причинах инцидента, затрагиваемых категориях персональных данных и их приблизительном количестве), о причинах и возможных последствиях инцидента, о мерах, принимаемых или планируемых Исполнителем для устранения последствий инцидента, предполагаемом вреде, который может быть причинен правам субъектов персональных данных, а также контактные данные лица, которое может предоставить Заказчику детальную информацию об инциденте.

Первоначальное уведомление направляется Заказчику не позднее 12 часов с момента выявления инцидента. Первоначальное уведомление должно содержать информацию о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также сведения о лице, уполномоченном на взаимодействие с Заказчиком, связанным с выявленным инцидентом.

Дополнительная информация об инциденте, предоставляется Заказчику в максимально короткие сроки, но не позднее 24 часов с момента первоначального уведомления об инциденте. Дополнительная информация должна содержать результаты внутреннего расследования выявленного инцидента, а также сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Исполнитель незамедлительно принимает все необходимые меры для устранения угроз безопасности, целостности и конфиденциальности персональных данных, минимизации ущерба, а также для предотвращения любых возможных негативных последствий для субъектов персональных данных, Заказчика или максимально возможного сокращения негативных воздействий. По требованию Заказчика Исполнитель оказывает Заказчику необходимую поддержку по минимизации последствий инцидента. Если Заказчик устанавливает, что организационные и технические меры Исполнителя на момент инцидента не соответствовали требованиям, установленным Федеральным законом Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных» или настоящим Соглашением, Исполнитель за свой счет принимает технические и организационные меры, которые, по мнению Заказчика, являются необходимыми в целях защиты персональных данных.

3.2.13. В случае выявления неправомерной обработки, включая неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, незамедлительно уведомить об этом Заказчика и прекратить обработку неправомерно обрабатываемых данных до получения дальнейших инструкций от Заказчика.

3.2.14. Содействовать Заказчику при осуществлении государственного контроля (надзора) за деятельностью Заказчика по обработке персональных данных. При этом Исполнитель обеспечивает предоставление необходимой для осуществления государственного контроля информации в срок, установленный соответствующим запросом Заказчика или лица, уполномоченного на осуществление такого контроля (надзора).

3.2.15. Предоставлять по запросу Заказчика до начала обработки персональных данных по настоящему Соглашению, а также по запросу Заказчика в течение срока действия настоящего Соглашения, в течение 5 (пяти) рабочих дней с даты получения такого запроса, если иной срок не установлен в запросе, документы и информацию, подтверждающие принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных пунктами 2 – 5 настоящего Соглашения.

4. Конфиденциальность

4.1. Исполнитель при выполнении настоящего Соглашения обязуется обеспечить конфиденциальность персональных данных, обрабатываемых по поручению Заказчика. Обязательство по обеспечению конфиденциальности персональных данных продолжает действовать в течение 5 лет с момента истечения срока действия настоящего Соглашения и / или его досрочного прекращения.

4.2. Исполнитель обязуется раскрывать информацию о персональных данных Заказчика своим работникам и иным лицам, привлекаемым к обработке персональных данных, только в тех пределах, которые необходимы для достижения целей обработки персональных данных, определенных в настоящем Соглашении.

4.3. Исполнитель гарантирует, что его работники и иные лица, привлекаемые Исполнителем к обработке персональных данных, приняли обязательства по соблюдению конфиденциальности персональных данных. Исполнитель по запросу Заказчика обязан представить доказательства принятия указанными лицами обязательств по соблюдению конфиденциальности персональных данных.

4.4. Исполнитель обязуется не раскрывать информацию о персональных данных, обрабатываемых по поручению Заказчика, любым третьим лицам за исключением случаев, предусмотренных законодательством Российской Федерации или настоящим Соглашением.

5. Требования к защите обрабатываемых персональных данных

5.1. Исполнитель обязан принимать меры, необходимые и достаточные для обеспечения выполнения Исполнителем обязанностей, предусмотренных законодательством Российской Федерации, включая:

• назначение лица, ответственного за организацию обработки персональных данных;

• издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

• осуществление внутреннего контроля (аудита) соответствия обработки персональных данных Федеральному закону Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;

• проведение оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;

• ознакомление работников, непосредственно осуществляющих обработку персональных данных, а также и иных лиц, уполномоченных на обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

5.3. Исполнитель обязан обеспечить безопасность персональных данных в соответствии с требованиями нормативных правовых актов Российской Федерации, предъявляемыми к защите персональных данных, включая:

• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

• учет машинных носителей персональных данных;

• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6. Порядок взаимодействия Заказчика и Исполнителя при обработке обращений и запросов

6.1. В случае обращения к Исполнителю субъекта персональных данных Заказчика с запросом на получение информации, касающейся обработки его персональных данных, обрабатываемых Исполнителем по поручению Заказчика, Исполнитель обязан незамедлительно информировать о полученном запросе Заказчика.

6.2. Обязанность по предоставлению сведений по запросу субъекта персональных данных Заказчика на получение информации, касающейся обработки его персональных данных в рамках настоящего Соглашения, возлагается на Заказчика.

6.3. Исполнитель содействует Заказчику в выполнении его обязанности реагировать на требования по реализации прав субъекта персональных данных, а также на требования уполномоченного органа по защите прав субъектов персональных данных.

7. Ответственность Сторон

7.1. Заказчик несет ответственность перед субъектом персональных данных за действия, осуществляемые Исполнителем при обработке персональных данных.

7.2. Исполнитель несет ответственность перед Заказчиком за действия, осуществляемые при обработке персональных данных по поручению Заказчика, в том числе за действия привлекаемых Исполнителем третьих лиц.

7.3. Сторона, не исполнившая или ненадлежащим образом исполнившая обязательства по настоящему Соглашению, обязана возместить другой Стороне любые расходы и / или убытки, возникшие у другой Стороны, в связи с указанным неисполнением или ненадлежащим исполнением обязательств по настоящему Соглашению.