Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») является документом, определяющим общие принципы, цели, правовые основания обработки персональных данных, основные права и обязанности ООО «Отдохни - 77» (ОГРН 1087746635294, ИНН 7737531091, адрес: 115372, город Москва, улица Бирюлёвская, дом 38) (далее – «Компания») и субъектов персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных в Компании, а также меры по обеспечению безопасности персональных данных при их обработке, и разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Политика распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств (а также с использованием смешенных способов обработки персональных данных), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение, деперсонализацию, анализ персональных данных.

1.3. Настоящая Политика действует в отношении Компании и распространяется на всех сотрудников Компании, лиц, с которыми заключены договоры гражданско-правового характера, а также на всех третьих лиц в случае их участия в обработке персональных данных Компании в порядке, установленном законодательством РФ. Требования Политики учитываются в отношениях с третьими лицами при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им персональных данных в установленном порядке в рамках заключаемых соглашений или требований действующего законодательства Российской Федерации.

1.4. Компания обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или их утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.5. Неограниченный доступ к Политике обеспечивается посредством публикации на сайте Компании www.coolclever.ru (далее – «Сайт») и в мобильном приложении «КуулКлевер. Доставка натуральных продуктов» (далее - «МП»), а также путем размещения в иных местах, определенных Компанией.

1.6. Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в действующем законодательстве Российской Федерации о персональных данных или в фактических процессах обработки персональных данных в Компании, а также в иных случаях на усмотрение Компании.

1.7. Действующая редакция Политики распространяется на персональные данные, полученные как до, так и после вступления ее в силу Политики.

1.8. Настоящая Политика является договором присоединения, согласно статье 428 ГК РФ. Использование субъектом Сайта и/или МП любым способом и в любой форме в пределах их функциональных возможностей, в том числе просмотр размещённых на Сайте / в МП материалов, является акцептом условий настоящей Политики, в соответствии со статьей 438 ГК РФ.

Воспользовавшись возможностью использования Сайта / МП, субъект персональных данных:

• подтверждает ознакомление с условиями настоящей Политики в полном объёме до начала использования Сайта / МП;

• принимает все условия настоящей Политики в полном объеме без каких-либо изъятий и ограничений и обязуется их соблюдать или прекратить использование Сайта / МП.

2. Основные права и обязанности Компании и субъектов персональных данных

2.1. Компания обязана:

2.1.1. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с действующим законодательством Российской Федерации;

2.1.2. при сборе персональных данных обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных - граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;

2.1.3. взаимодействовать с Центром Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в порядке, предусмотренном Приказом ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»;

2.1.4. исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации

2.2. Субъект персональных данных вправе:

2.2.1. получать от Компании информацию, касающуюся обработки его персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

2.2.2. требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для достижения заявленных целей обработки;

2.2.3. принимать меры по защите своих прав, предусмотренные действующим законодательством Российской Федерации;

2.2.4. отзывать свое согласие на обработку персональных данных.

2.3. Компания вправе:

2.3.1. обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;

2.3.2. требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных действующим законодательством Российской Федерации о персональных данных;

2.3.3. обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, на основании отдельного согласия;

2.3.4. поручать обработку персональных данных другому лицу с согласия субъекта персональных данных и в иных случаях, когда это предусмотрено действующим законодательством Российской Федерации;

2.3.5. предоставлять персональные данные третьим лицам, если это предусмотрено действующим законодательством Российской Федерации;

2.3.6. отстаивать свои интересы в суде;

2.3.7. осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.

3. Цели и правовые основания обработки персональных данных

Персональные данные обрабатываются в Компании в целях:

3.1. Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, выполнения функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации, регулирующими отношения, связанные с деятельностью Компании, в том числе:

• Конституция Российской Федерации;

• Трудовой кодекс Российской Федерации;

• Гражданский кодекс Российской Федерации;

• Налоговый кодекс Российской Федерации;

• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

• Федеральный закон от 01.04. 1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

• Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;

• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;

• Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»;

• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

• Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;

• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

• Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;

• Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;

• иные нормативные правовые акты Российской Федерации, субъектов Российской Федерации и органов местного самоуправления.

3.2. Осуществления прав и обязанностей, возложенных действующим законодательством Российской Федерации на Компанию для обеспечения соблюдения трудового законодательства, законодательства о налогах и сборах, нормативных требований в части обязательного социального страхования, пенсионного учета, в том числе по предоставлению персональных данных в Федеральную налоговую службу РФ, Социальный фонд России, Фонд обязательного медицинского страхования, в различные ФГИС, в иные органы власти;

3.3. Осуществления подбора персонала (соискателей) на вакантные должности Компании;

3.4. Исполнения договоров, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключения договоров по инициативе субъектов персональных данных или договоров, по которым субъекты персональных данных будут являться выгодоприобретателем или поручителем;

3.5. Обеспечения клиентам (покупателям, пользователям / посетителям Сайта / МП, участникам программы «Клуб друзей КуулКлевер» (далее – «Программа»)) возможности пользования Сайтом / МП, применения карт участника Программы, в том числе регистрации субъекта персональных данных на Сайте / в МП и предоставление субъектам персональных данных доступа к товарам, услугам и сервисам, предлагаемым Компанией на Сайте / в МП;

3.6. Продвижения товаров и услуг на рынке путем осуществления прямых контактов Компании и клиентов с помощью средств связи (включая, но не ограничиваясь, использование сети электросвязи, направление SMS-сообщений и электронной почты), в том числе рассылки новостей, информации о специальных предложениях и акциях Компании, проведения маркетинговых мероприятий, в т.ч. акций, конкурсов, опросов среди клиентов / посетителей Сайта / МП, контроля результатов проведенных мероприятий.

3.7. Обработка обращений клиентов / посетителей Сайта / МП, направление индивидуальных ответов на обращения клиентов / посетителей Сайта / МП по вопросам исполнения заказов, пользования сервисами Компании, пожеланий и предложений в адрес Компании;

3.8. Обеспечения внешних коммуникаций с контрагентами (заключение, изменение, ведение, расторжение договоров и т.д.);

3.9. Обеспечения внутренних коммуникаций (публикация персональных и биометрических персональных данных работников Компании на внутренних информационных ресурсах Компании; создание корпоративной адресной книги; проведение конкурсов, розыгрышей, лотерей и т.д.);

3.10. Обеспечение пропускного режима на территории, в здания и помещения Компании, на которых Компанией организован пропускной режим;

3.11. Осуществления прав и законных интересов Компании или третьих лиц, если при этом не нарушаются права и свободы субъекта персональных данных, в т.ч. в соответствии с локальными нормативными актами и иными внутренними нормативными документами Компании;

3.12. Обеспечения участия лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.13. Исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с действующим законодательством Российской Федерации об исполнительном производстве;

3.14. Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением;

3.15. Защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

3.16. Обработки персональных данных по поручению третьих лиц, при которой третье лицо, самостоятельный оператор персональных данных обеспечивает надлежащее правовое основание для обработки персональных данных.

4. Категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей или при наступлении иных законных оснований

4.1. Перечень персональных данных, категории субъектов персональных данных, чьи персональные данные обрабатываются в Компании, объем обрабатываемых персональных данных, способы и сроки обработки, порядок уничтожения персональных данных определяются для каждой цели обработки в соответствии с действующим законодательством Российской Федерации, с учетом направления деятельности Компании и закреплены в Приложении №1 к настоящей Политике.

4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Компании не осуществляется.

4.3. Компания не принимает на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

4.4. Обработка биометрических персональных данных и специальных категорий персональных данных допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется на основании отдельного согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

4.6. Трансграничная передача данных Компанией не осуществляется. Компания допускает возможность трансграничной передачи персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» с обязательным уведомлением Роскомнадзора о намерении такой передачи.

5. Порядок, сроки и условия обработки персональных данных и их передачи третьим лицам

5.1. Компания осуществляет обработку персональных данных субъектов, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных следующими способами:

• неавтоматизированная обработка персональных данных;

• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка персональных данных.

5.2. Обработка персональных данных осуществляется:

5.2.1. с согласия субъекта персональных данных на обработку его персональных данных;

5.2.2. в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

5.2.3. в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;

5.2.4. в случаях, когда обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5.2.5. в случаях, когда субъект персональных данных предоставляет доступ к своим персональным данным неограниченному кругу лиц;

5.2.6. в иных случаях, предусмотренных законодательством Российской Федерации.

5.3. Компания вправе передавать данные и/или поручить обработку персональных данных другому лицу (в том числе, третьим лицам, список которых размещен на сайтах и/или в мобильных приложениях Компании) с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией за действия в отношении обработки персональных данных. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

5.4. Перечень третьих лиц, которым Компания поручает обработку, в частности передачу (предоставление, доступ) персональных данных субъектов персональных данных в целях, указанных в настоящей Политике, приведен в Приложении №2 к настоящей Политике.

5.5. Для достижения целей обработки данных, Компания может разрешать сторонним аналитическим сервисам самостоятельно осуществлять обработку данных, предоставляя Компании доступ к статистической информации, полученной в результате такой обработки. Сторонние аналитические сервисы несут ответственность за обработку данных самостоятельно, если иное не предусмотрено условиями использования аналитического сервиса.

5.6. По мотивированному запросу, исключительно в целях выполнения возложенных действующим законодательством Российской Федерации функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в органы государственной власти и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

5.7. Компания осуществляет обработку специальных категорий персональных данных, касающихся сведений о состоянии здоровья, в случае получения согласия от субъекта персональных данных на обработку таких персональных данных в письменной форме или в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.

5.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.

5.9. Компания прекращает обработку персональных данных при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также при выявлении неправомерной обработки персональных данных.

5.10. Компания уточняет или обеспечивает уточнение персональных данных субъекта персональных данных в течение 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

5.11. Компания прекращает или обеспечивает прекращение обработки персональных данных, в случае выявления неправомерной обработки персональных данных, в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления.

5.12. Компания уничтожает персональные данные субъекта персональных данных при наступлении следующих условий и в следующие сроки:

• достижение целей обработки персональных данных или максимальных сроков обработки - в течение 30 (тридцати) календарных дней;

• утрата необходимости в достижении целей обработки персональных данных - в течение 30 (тридцати) календарных дней;

• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленных целей обработки - в течение 7 (семи) рабочих дней;

• невозможность обеспечения правомерности обработки персональных данных - в течение 10 (десяти) рабочих дней;

• отзыв субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 (тридцати) календарных дней;

• требование субъекта персональных данных о прекращении обработки персональных данных - в течение 10 (десяти) рабочих дней с даты получения такого требования, если обработка осуществляется на основании согласия субъекта персональных данных. Указанный срок может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Компанией субъекту персональных данных мотивированного уведомления с указанием причин продления.

• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

• в отдельных случаях локальными актами Компании и договором с субъектом персональных данных могут быть предусмотрены иные сроки.

6. Меры, направленные на обеспечение безопасности при обработке персональных данных

6.1. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством Российской Федерации.

6.2. Компанией применяются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в области обработки персональных данных:

• назначение Компанией ответственного за организацию обработки персональных данных и установление правил доступа к персональным данным;

• назначение Компанией ответственного за обеспечение безопасности персональных данных, в том числе за обеспечение безопасности персональных данных в информационных системах персональных данных;

• утверждение Политики в отношении обработки персональных данных и иных локальных нормативных актов по вопросам обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений действующего законодательства Российской Федерации, устранение последствий таких нарушений;

• обеспечение неограниченного доступа к документу, определяющему Политику Компании в отношении обработки персональных данных;

• применение правовых, организационных и технических мер по обеспечению безопасности и защиты персональных данных;

• осуществление внутреннего контроля и аудита соответствия обработки персональных данных действующему законодательству Российской Федерации, требованиям к защите персональных данных, Политике Компании в отношении обработки персональных данных;

• осуществление оценки вреда, который может быть причинен субъектам персональных данных в случае неисполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношения указанного вреда и принимаемых Компанией мер;

• получение согласий субъектов персональных данных на обработку их персональных данных, если иное не предусмотрено действующим законодательством РФ;

• осуществление ознакомления работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой, внутренними нормативными документами по вопросам обработки персональных данных, и (или) обучение указанных работников;

• повышение осведомленности работников в вопросах информационной безопасности и обработки персональных данных, проведение регулярных обучений, курсов и лекций, контроль усвоения работниками изученных и пройденных материалов;

• разделение полномочий пользователей и их доступов в информационные системы персональных данных в зависимости от их должностных и функциональных обязанностей, регулярный пересмотр доступов в информационные системы на предмет их необходимости и актуальности;

• хранение персональных данных с соблюдением условий, предотвращающих несанкционированный доступ к ним, в том числе обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

• применение специализированного антивирусного программного обеспечения с регулярно обновляемыми базами;

• установление индивидуальных паролей доступа работников в информационную систему;

• прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

• осуществление иных мер, установленных законодательством РФ.

6.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента, Компания обязана уведомить Роскомнадзор в сроки, установленные действующим законодательством Российской Федерации.

7. Изменение Политики

7.1. Настоящая Политика является открытой и общедоступной. Политика размещена на Сайте и в в соответствующем разделе МП.

7.2. Политика может быть изменена Компанией в одностороннем порядке без какого-либо специального уведомления субъектов персональных данных. Компания информирует Пользователей об изменении Политики путем размещения новой редакции на Сайте и в соответствующем разделе МП. Продолжая использовать Сайт и МП после размещения новой редакции Политики, субъект персональных данных соглашается с новой редакцией Политики.

7.3. Новая редакция Политики вступает в силу с момента ее размещения на Сайте и в специальном разделе МП, если иное не предусмотрено новой редакцией Политики. Субъекты персональных данных обязуются периодически просматривать Политику на предмет любых изменений.

7.4. Действующая редакция хранится по фактическому месту нахождения Компании, электронная версия Политики – на сайте по адресу: www.coolclever.ru и в соответствующем разделе МП.

7.5. Условия настоящей Политики применяются к Сайту и МП вне зависимости от того, каким образом субъект персональных данных получает к ним доступ. Осуществляя доступ к Сайту / МП, субъект персональных данных соглашается с условиями настоящей Политики каждый раз, когда посещает Сай т / МП с какого бы то ни было устройства.