Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена в соответствии в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом РФ, Уголовным кодексом Российской Федерации, Кодексом об административных правонарушениях Российской Федерации, Федеральным законом от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных», Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказом ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», иными федеральными законами и нормативно-правовыми актами. Настоящая Политика и определяет правовую позицию ООО «Смарт Бэттериз» (далее – Оператор) в области обработки и защиты персональных данных (далее – Персональные данные), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну. В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме Оператор определяет порядок и считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Вступление в силу документа
Настоящая Политика вступает в силу с момента её утверждения Генеральным директором Оператора и действует бессрочно. В случае изменения действующего законодательства РФ внесения изменений в нормативные документы по защите персональных данных, настоящая Политика действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими. Действие настоящей Политики может быть отменено в связи с утратой актуальности, либо по иным причинам. Оператор проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также: - при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных у Оператора; - при создании новых или внесении изменений в существующие процессы обработки персональных данных. Все изменения настоящей Политики утверждаются Генеральным директором Оператора.
1.3. Область применения
Настоящая Политика распространяется на Персональные данные, полученные как до, так и после ввода в действие настоящей Политики. Понимая важность и ценность Персональных данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации и граждан других государств, Оператор обеспечивает надежную защиту Персональных данных.
1.4. Определения
Под Персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину), т.е. к такой информации, в частности, относятся: ФИО, номер телефона, адрес электронной почты для связи, а также другая информация. Под обработкой Персональных данных понимается любое действие (операция) или совокупность действий (операций) с Персональными данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных. Под безопасностью Персональных данных понимается защищенность Персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.
1.5. Сведения об Операторе
1. Полное наименование: Общество с ограниченной ответственностью «Смарт Бэттериз». 2. Адрес местонахождения: 125284, г. Москва, Хорошевское шоссе, дом 32А, эт. 4, пом. VIA, оф. №415/2. 3. ОГРН 1197746509234 4. Телефон: 8 (495) 145-85-85. 5. E-mail: sales@energon.ru 6. Сайт: auto.delta-batt.com
1.6. Правовые основания обработки персональных данных
Обработка и обеспечение безопасности Персональных данных Оператором осуществляется в соответствии с требованиями, в том числе, но не ограничиваясь, Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью», Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Федерального закона от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Устава Оператора, Договорами, заключаемыми между Оператором со своими контрагентами и субъектами персональных данных, Согласиями субъектов персональных данных на обработку их персональных данных, Федерального закона от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федерального закона от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования», Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Постановления Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона «Об электронной подписи» от 06.04.2011 N 63-ФЗ, других определяющих случаи и особенности обработки Персональных данных федеральных законов и иных нормативных правовых актов Российской Федерации.
1.7. Субъекты персональных данных и категории обрабатываемых персональных данных
1.7.1. Субъектами Персональных данных, обрабатываемых Оператором, являются: 1) клиенты, в том числе посетители сайта, принадлежащего Оператору: auto.delta-batt.com (далее – Сайт), в том числе с целью оформления заказа на Сайте с последующей доставкой клиенту, получатели услуг по доставке, наладке, установке товара Оператора (далее – Пользователи сайта); 2) анонимные посетители Сайта Оператора, в отношении которых обрабатывается информация, содержащаяся в файлах cookie и сведения об IP-адресах (далее — Посетители сайта);
1.7.2. Категории обрабатываемых Персональных данных в отношении категории субъектов, указанных в подп. 1 п. 1.7.1. настоящей Политики: фамилия, имя, отчество; контактный телефон; сведения о стране, откуда звонит клиент, сведения о посещениях; электронная почта; сведения о месте работы; сведения о должности.
1.7.3. На сайте Оператора происходит сбор и обработка обезличенных данных о Посетителях сайта (в т.ч. файлов cookie) с помощью сервисов интернет-статистики (Яндекс.Метрика, Google Analytics и других). Сайт защищает данные, которые автоматически передаются при посещении страниц: - IP адрес; - информация из cookies; - информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы); - время доступа; - адрес страницы, на которой расположен рекламный блок; - реферер (адрес предыдущей страницы). Сайт осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.
2. Цели обработки персональных данных
2.1. Обработка персональных данных вышеперечисленных субъектов Персональных данных осуществляется Оператором в следующих целях:
2.1.1. В отношении Пользователей сайта: · информирование и распространение информации о товарах Оператора, предоставление возможности приобрести товары Оператора, участвовать в проводимых/организуемых Оператором мероприятиях; · анализ запросов и обращений Пользователей сайтов, обеспечение/получение обратной связи с Оператором; · установление деловых контактов; · обслуживание контрагентов, выполнение заказов, предоставление ответов на запросы и заявки контрагентов, пользователей сайта; · сбор информации о потребителях товара Оператора, мнении о товаре, в частности о его качестве.
2.1.2. В отношении Посетителей сайта: · информирование о деятельности Оператора и предоставляемых им решениях, производимой продукции, анализ активности на Сайте.
2.2. Обезличенные данные Посетителей сайта, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Посетителей сайта на Сайте Оператора, улучшения качества сайта и его содержания.
3. Принципы обработки персональных данных
3.1. Обработка Персональных данных Оператором осуществляется на основе следующих принципов: - осуществляется на законной и справедливой основе; - ограничивается достижением конкретных, заранее определённых и законных целей; - обработке подлежат только Персональные данные, которые отвечают целям их обработки; - содержание и объем обрабатываемых Персональных данных должны соответствовать заявленным целям обработки; - обрабатываемые Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; - при обработке Персональных данных должны быть обеспечены точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; - хранение Персональных данных осуществляется в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели их обработки; - Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. - недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.2. Хранение Персональных данных осуществляется Оператором в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Персональных данных. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Права и обязанности субъектов персональных данных, а также Оператора в части обработки персональных данных
4.1. Субъект, Персональные данные которого обрабатываются Оператором, имеет право: - получать от Оператора: · подтверждение факта обработки Персональных данных и сведения о наличии Персональных данных, относящихся к соответствующему субъекту Персональных данных; · сведения о правовых основаниях и целях обработки Персональных данных; · сведения о применяемых Оператором способах обработки Персональных данных; · сведения о наименовании и местонахождении Оператора; · сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании федерального закона; · перечень обрабатываемых Персональных данных, относящихся к субъекту Персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких Персональных данных не предусмотрен федеральным законом; · сведения о сроках обработки Персональных данных, в том числе о сроках их хранения; · наименование (Ф.И.О.) и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора; · иные сведения, предусмотренные Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) или другими нормативно-правовыми актами Российской Федерации; - требовать от Оператора уточнения своих Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отозвать свое согласие на обработку Персональных данных в любой момент; требовать устранения неправомерных действий Оператора в отношении его Персональных данных; обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект Персональных данных считает, что Оператор осуществляет обработку его Персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы; на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.
4.2. Оператор перед и в процессе обработки Персональных данных обязан: - получить согласие от субъекта на обработку Персональных данных в соответствии с требованиями Закона; - предоставлять субъекту Персональных данных по его запросу информацию, касающуюся обработки его Персональных данных, либо на законных основаниях предоставить отказ в течение 10 рабочих дней с даты получения запроса субъекта Персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации; - при сборе персональных данных посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона; - принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами; опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к настоящей Политике как к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных; принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных; - обеспечить конфиденциальность Персональных данных; предоставить субъектам Персональных данных и/или их представителям безвозмездно возможность ознакомления с их Персональными данными при обращении с соответствующим запросом в течение 10 рабочих дней с даты получения подобного запроса; осуществить блокирование неправомерно обрабатываемых Персональных данных, относящихся к субъекту Персональных данных, или обеспечить их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки Персональных данных при обращении субъекта Персональных данных или его представителя либо по запросу субъекту Персональных данных или его представителя либо уполномоченного органа по защите прав субъектов Персональных данных; прекратить неправомерную обработку Персональных данных или обеспечить прекращение неправомерной обработки Персональных данных лицом, действующим по поручению Оператора, в случае выявления неправомерной обработки Персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором; прекратить обработку Персональных данных или обеспечить ее прекращение (если обработка Персональных данных осуществляется другим лицом, действующим по договору с Оператором) и уничтожить Персональные данные или обеспечить их уничтожение (если обработка Персональных данных осуществляется другим лицом, действующим по договору с Оператором) по достижения цели обработки Персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных, в случае достижения цели обработки Персональных данных; прекратить обработку Персональных данных или обеспечить ее прекращение и уничтожить Персональных данных или обеспечить их уничтожение в случае отзыва субъектом Персональных данных согласия на обработку Персональных данных, если Оператор не вправе осуществлять обработку Персональных данных без согласия субъекта Персональных данных; - до начала обработки Персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Закона; - в случае изменения сведений, указанных в уведомлении, направленном в уполномоченный орган по защите прав субъектов персональных данных, Оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки Персональных данных Оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты прекращения обработки Персональных данных; - назначить лицо, ответственное за организацию обработку Персональных данных; вести журнал учета обращений субъектов Персональных данных, в котором должны фиксироваться запросы субъектов Персональных данных на получение Персональных данных, а также факты предоставления Персональных данных по этим запросам.
5. Условия обработки персональных данных
5.1. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных с использованием баз данных, находящихся на территории Оператора и в дата-центрах на территории Российской Федерации (облачных вычислительных инфраструктурах, вычислительные мощности которых находятся на территории Российской Федерации).
5.2. Обработка персональных данных Оператором допускается в случаях, предусмотренных действующим законодательством РФ. Оператор обрабатывает Персональные данные только в случае их заполнения и/или отправки субъектом Персональных данных самостоятельно через специальные формы обратной связи, расположенные на Сайте.
5.3. Оператор не раскрывает третьим лицам и не распространяет Персональные данные без согласия субъекта Персональных данных, если иное не предусмотрено законодательством, договором с субъектом Персональных данных, не указано в полученном от него соответствующим оператором согласии на обработку персональных данных или Персональные данные не сделаны субъектом общедоступными самостоятельно.
5.4. Оператор не размещает Персональные данные субъекта Персональных данных в общедоступных источниках без его предварительного согласия.
5.5. Оператор не обрабатывает Персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, о членстве субъектов персональных данных в общественных объединениях или их профсоюзной деятельности, за исключением сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения Работником трудовой функции и необходимых для целей, определенных пенсионным законодательством, законодательством о социальном страховании.
5.6. Оператор не осуществляет трансграничную передачу Персональных данных. В случае осуществления трансграничной передачи Персональных данных, Оператор до начала осуществления деятельности по трансграничной передаче Персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Закона. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать сведения, предусмотренные частью 4 статьи 12 Закона. Оператор до подачи уведомления обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведения, предусмотренные частью 5 статьи 12 Закона. Оператор по запросу уполномоченного органа по защите прав субъектов персональных данных в целях оценки достоверности сведений, содержащихся в уведомлении Оператора о своем намерении осуществлять трансграничную передачу персональных данных, обязан в течение десяти рабочих дней с даты получения такого запроса предоставить сведения, предусмотренные пунктами 1-3 части 5 статьи 12 Закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. После направления уведомления Оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в предусмотренный частью 2 статьи 12 Закона перечень, до принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан по результатам рассмотрения уведомления Оператора. После направления уведомления Оператор до истечения сроков, указанных в части 9 статьи 12 Закона, не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 статьи 12 Закона перечень, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных в течение 5 рабочих дней с даты поступления соответствующего представления. Порядок принятия такого решения и порядок информирования операторов о принятом решении устанавливаются Правительством Российской Федерации (Постановление Правительства РФ от 10.01.2023 N 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении»). В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан, Оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных. В случае, если Оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Оператор и лицо, осуществляющее обработку персональных данных по поручению Оператора.
5.7. Обработка Персональных данных Оператором: смешанная; с передачей по внутренней сети Оператора; с передачей по сети Интернет.
5.8. Оператор обрабатывает обезличенные данные о субъекте Персональных данных в случае, если это разрешено в настройках браузера субъекта Персональных данных (включено сохранение файлов cookie и использование технологии JavaScript).
5.9. В случае продажи Сайта к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученной им персональной информации.
6. Способы обработки персональных данных
6.1. Оператор осуществляет обработку Персональных данных как с использованием средств автоматизации, так и без использования таких средств.
6.2. Политика распространяется в полном объеме на обработку Персональных данных с использованием средств автоматизации, а при обработке Персональных данных без использования средств автоматизации — на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с Персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
6.3. Под обработкой Персональных данных, осуществляемой без использования средств автоматизации, понимается обработка Персональных данных, зафиксированных на бумажных и других материальных носителях.
6.4. Персональные данные при их обработке на бумажных носителях фиксируются на отдельных бумажных носителях в специальных разделах или на полях типовых форм (бланков).
7. Сроки обработки (хранения) персональных данных
7.1. Сроки (обработки) хранения Персональных данных определяются исходя из целей обработки Персональных данных, за исключением случаев, когда более длительный период хранения данных и информации необходим в соответствии с законодательством Российской Федерации либо разрешен им.
7.2. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение Персональных данных после прекращения их обработки допускается только после их обезличивания.
8. Конфиденциальность персональных данных
8.1. Персональные данные являются конфиденциальной информацией, доступ к которой, а также их обработка ограничены в соответствии с Законом. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Работниками Оператора, получившими доступ к Персональным данным, должна быть обеспечена конфиденциальность таких данных, за исключением сведений, в отношении которых субъектами даны согласия на их распространение.
8.2. Оператор вправе разместить свои информационные системы персональных данных в дата-центре (облачной вычислительной инфраструктуре). В этом случае в договор с дата- центром (провайдером облачных услуг) в качестве существенного условия включается требование о запрете доступа персонала дата-центра к информационным системам персональных данных Оператора, размещаемых в дата-центре (облачной инфраструктуре), а данное размещение не рассматривается Оператором как поручение обработки персональных данных дата-центру (провайдеру облачных услуг) и не требует согласия субъектов персональных данных на такое размещение.
8.3. Организация внутреннего доступа работников Оператора к обрабатываемым Оператором персональным данным.
8.3.1. В рамках данной Политики под внутренним доступом понимается доступ к персональным данным, предоставляемый работникам Оператора.
8.3.2. Доступ к Персональным данным предоставляется только тем работникам Оператора, которым Персональные данные необходимы для исполнения их непосредственных трудовых функций.
8.3.3. Работники Оператора допускаются к обработке Персональных данных только после: - ознакомления с настоящей Политикой и локальным нормативным актом Оператора, регламентирующим порядок работы с конфиденциальной информацией (к которой относятся Персональные данные); - предоставления письменного обязательства о неразглашении конфиденциальной информации.
8.3.4. При обработке Персональных данных работники Оператора обязаны соблюдать установленные настоящей Политикой и другими внутренними нормативными документами Оператора требования.
8.4. Настоящая Политика конфиденциальности применяется только к Сайту. Сайт не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.
9. Согласие субъекта персональных данных на обработку своих персональных данных
9.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным, и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством. Использование сервисов Сайта означает безоговорочное согласие субъекта Персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями субъект Персональных данных должен воздержаться от использования сервисов. Оператор обрабатывает Персональные данные субъекта Персональных данных только в случае их заполнения и/или отправки субъектом Персональных данных самостоятельно через специальные формы обратной связи, расположенные на Сайте. Заполняя соответствующие формы и/или отправляя свои Персональные данные Оператору, субъект Персональных данных свободно, своей волей и в своем интересе дает согласие на обработку его персональных данных согласно условиям настоящей Политики.
9.2. Согласие Пользователей сайта на обработку их Персональных данных дается путем простановки соответствующей отметки («галочки») в предлагаемом на Сайте чек-боксе интерактивной веб-формы на Сайте при заполнении ее персональными данными.
9.3. Согласие Посетителей сайта на обработку их Персональных данных, получаемых Оператором при использовании файлов cookie, дается путем принятия условий «Политики в отношении файлов cookie и простановки соответствующей отметки («галочки») в чек-боксе на Сайте, информирующем об обработке файлов cookie, или закрытия баннера.
9.4. Согласие субъектов на предоставление их Персональных данных не требуется при получении Оператором, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
9.5. В случае поступления запросов от организаций, не обладающих соответствующими полномочиями, Оператор обязан получить от субъекта согласие на предоставление его Персональных данных и предупредить лиц, получающих Персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что указанное правило будет (было) соблюдено.
9.6. Согласие на обработку Персональных данных может быть отозвано субъектом Персональных данных в любой момент. Оператор уничтожает такие Персональные данные, в отношении которых отзывается согласие на обработку, и обеспечивает их уничтожение контрагентами, которым были переданы такие данные, в течение 30 дней с даты получения отзыва согласия субъекта на обработку его Персональных данных.
10.1. Лица, чьи Персональные данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих Персональных данных, обратившись лично к Оператору или направив соответствующий письменный запрос на юридический адрес Оператора: 125284, г. Москва, Хорошевское шоссе, дом 32А, эт.4, пом. VIA, оф. № 415/2 или направив электронное сообщение по адресу электронной почты: sales@energon.ru.
10.2. В случае направления официального запроса Оператору в тексте запроса необходимо указать: фамилию, имя, отчество субъекта Персональных данных или его представителя; номер основного документа, удостоверяющего личность субъекта Персональных данных или его представителя, - сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие наличие у субъекта Персональных данных отношений с Оператором; информацию для обратной связи с целью направления Оператором ответа на запрос; подпись субъекта Персональных данных (или его представителя). Запрос субъекта Персональных данных оформляется в письменном виде. Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.3. Работа с обращениями субъектов Персональных данных, проверка полноты и корректности запроса или обращения, иные права и обязанности субъекта Персональных данных и Оператора осуществляются и регулируются в соответствии с действующим законодательством РФ в области обработки и защиты персональных данных.
10.4. Оператор не имеет право отвечать на вопросы, связанные с передачей или разглашением Персональных данных по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
10.5. Особенности обработки и защиты персональных данных, собираемых Оператором с использованием сети Интернет:
10.5.1. Оператор обрабатывает и защищает Персональные данные, поступающие от пользователей Сайта, а также поступающие на адреса корпоративной почты Оператора, заканчивающиеся на доменное имя @energon.ru.
10.5.2. Существуют два основных способа, с помощью которых Оператор получает Персональные данные с помощью сети Интернет:
1) Предоставление Персональных данных Предоставление Персональных данных субъектами Персональных данных путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Оператора.
2) Автоматически собираемая информация Оператор может собирать и обрабатывать сведения, не являющимися персональными данными: информацию об интересах Пользователей сайта на основе запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Оператором с целью предоставления актуальной информации клиентам Оператора при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются спросом у клиентов Оператора; обработка и хранение поисковых запросов Пользователей сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта. Оператор автоматически получает некоторые виды информации, получаемой в процессе взаимодействия Пользователей с Сайтом, переписки по электронной почте и т.п. Речь идет о технологиях и сервисах, таких как веб-протоколы, cookie, веб-отметки, а также приложения и инструменты указанной третьей стороны. При этом веб-отметки, cookie и другие мониторинговые технологии не дают возможность автоматически получать Персональные данные. Если пользователь Сайта по своему усмотрению предоставляет свои Персональные данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и/или для совершенствования взаимодействия с пользователями.
10.5.3. Использование Персональных данных
Оператор вправе пользоваться предоставленными Персональными данными в соответствии с заявленными целями их сбора при наличии согласия субъекта Персональных данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области персональных данных. Полученные Персональные данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей в товарах, реализуемых Оператором и улучшения качества обслуживания.
10.5.4. Передача Персональных данных Оператор может поручать обработку Персональных данных третьим лицам исключительно с согласия субъекта Персональных данных. Также Персональные данные могут передаваться третьим лицам в следующих случаях: - в качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр. - персональные данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта Персональных данных.
10.5.5. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для Пользователей сайта информация. При этом действие настоящей Политики не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с политиками об обработке персональных данных, размещенными на таких сайтах.
10.5.6. Пользователь сайта может в любое время отозвать свое согласие на обработку Персональных данных, направив электронное сообщение по адресу электронной почты: sales@energon.ru с пометкой «Отзыв согласия на обработку персональных данных», либо направив письменное уведомление на юридический адрес Оператора: 125284, г. Москва, Хорошевское шоссе, дом 32А, эт.4, пом. VIA, оф. № 415/2. Форма уведомления Оператора об отзыве согласия на обработку Персональных данных приведена в Приложении № 1 к настоящей Политике. После получения такого сообщения обработка Персональных данных пользователя будет прекращена, а его Персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством. 10.5.7.Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы обратной связи, расположенные на Сайте.
11. Сведения о реализуемых требованиях к защите персональных данных
11.1. Безопасность Персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых и достаточных для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
11.2. Оператор обеспечивает сохранность Персональных данных и принимает все возможные меры, исключающие доступ к Персональным данным неуполномоченных лиц.
11.3. Руководство Оператора осознает важность и необходимость обеспечения безопасности Персональных данных и поощряет постоянное совершенствование системы защиты Персональных данных, обрабатываемых в рамках выполнения основной деятельности Оператора.
11.4. Правовые меры, принимаемые Оператором, включают: · разработку документов, локальных актов Оператора, реализующих требования законодательства, в том числе — Политики Общества в отношении обработки персональных данных; · отказ от любых способов обработки Персональных данных, не соответствующих определенным в Политике целям и требованиям законодательства.
11.5. Организационные меры, принимаемые Оператором, включают: · назначение лица, ответственного за организацию обработки Персональных данных; · назначение лица, ответственного за обеспечение безопасности Персональных данных в информационных системах персональных данных; · ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Оператора по вопросам обработки персональных данных; · обучение всех категорий работников Оператора, непосредственно осуществляющих обработку Персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных; · ограничение состава работников Общества, имеющих доступ к Персональным данным, и организацию разрешительной системы доступа к ним; · осуществление внутреннего контроля соответствия обработки Персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам; · оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных (Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"), который может быть причинен субъектам персональных данных в случае нарушения законодательства Российского Федерации о персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения требований законодательства Российской Федерации о персональных данных; · опубликование документа, определяющего политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных и обеспечение доступа к указанному документу с использованием средств сайта Оператора; · организацию учета материальных носителей Персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения; · обеспечивается восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; · определение типа угроз безопасности Персональных данных, актуальных для информационных систем персональных данных, с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных; · определение угроз безопасности Персональных данных при их обработке в информационных системах, формирование на их основе частной модели (моделей) актуальных угроз; · размещение технических средств обработки Персональных данных в пределах охраняемой территории; · обеспечение сохранности носителей Персональных данных и средств защиты информации; · ограничение допуска посторонних лиц в помещения Оператора, исключение возможности неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с Персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Оператора.
11.6. Технические меры, принимаемые Оператором, включают: · разработку на основе частной модели актуальных угроз системы защиты персональных данных для установленных Правительством Российской Федерации типов угроз и уровней защищенности персональных данных при их обработке в информационных системах; · использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия; · оценку эффективности принимаемых мер по обеспечению безопасности Персональных данных; · реализацию разрешительной системы доступа работников к Персональным данным, обрабатываемым в информационных системах, и к программно-аппаратным и программным средствам защиты информации; · регистрацию и учёт действий c Персональными данными пользователей информационных систем, где обрабатываются Персональные данные; · ограничение программной среды; · выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора, обеспечивающих соответствующую техническую возможность; · идентификацию и проверку подлинности пользователя при входе в информационную систему по паролю; · контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации; · обнаружение фактов несанкционированного доступа к Персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; · защиту среды виртуализации; · защиту сетевых устройств и каналов связи, по которым осуществляется передача Персональных данных; · восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных);
11.7. Средства обеспечения безопасности: электронная цифровая подпись, использование антивирусных средств защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных; периодическое обновление паролей.
12. Заключительные положения
12.1. Настоящая Политика является локальным нормативным актом Оператора. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте Оператора.
12.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев: при изменении законодательства Российской Федерации в области обработки и защиты персональных данных; в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики; по решению руководства Оператора; при изменении целей и сроков обработки Персональных данных; при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых); при применении новых технологий обработки и защиты Персональных данных (в т.ч. передачи, хранения); при появлении необходимости в изменении процесса обработки Персональных данных, связанной с деятельностью Оператора.
12.3. В случае неисполнения положений настоящей Политики Оператор и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.
12.4. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки Персональных данных Оператора, а также за безопасность персональны