Политика ООО «Стая» в отношении обработки персональных данных

1. Общие положения

  1. 1.1. Общество с ограниченной ответственностью «Стая» (далее — Общество), выполняя требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», публикует в свободном доступе настоящую политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.
  2. 1.2. Основные понятия.
    • персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных.
    • оператор персональных данных (Общество), самостоятельно или совместно с другими лицами организующее или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
    • обработка персональных данных — любое действие, операция или совокупность действий, операций с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение, обновление или изменение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
    • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
    • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
    • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
    • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
    • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
    • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  3. 1.3. Применение и сфера действия Политики.
    1. 1.3.1. Настоящая Политика применяется к Персональным Данным, которые Оператор обрабатывает в связи c:
      • текущей хозяйственной деятельностью Общества в соответствии с законодательством РФ;
      • использованием сайта интернет-магазина «Стая» www.staya/dog, сайтов dognate.ru и dgn.dog, в том числе в случае создания их поддоменов (далее — «Сайт»), а также любых сервисов, служб, продуктов, web-форм, размещенных на Сайте (далее — «Сервисы»). Термин «Сайт» распространяется также на мобильные приложения, правообладателем/пользователем которых является Общество, доступные для загрузки на Сайте или внешних ресурсах, а также интерфейсы прикладного программирования (API), используемые для реализации правоотношений между Обществом и Субъектом ПД. При этом под Использованием понимаются любые действия Субъекта ПД по получению доступа к Сайту/Сервисам или отдельным его частям, функциям, интерфейсам как с помощью аутентификационных данных (логина и пароля), так и без них; воспроизведение, распространение, доведение до всеобщего сведения, сообщение по кабелю и в эфир, импорт, прокат, публичное исполнение, перевод и другая переработка материалов, информации (в полном объеме или частично), размещенных на Сайте и/или в Сервисах; любые другие способы использования, независимо от того, совершаются ли соответствующие действия в целях извлечения прибыли или без такой цели;
      • получением Обществом персональных данных в ходе благотворительных акций, маркетинговых компаний, конкурсов, розыгрышей, исследований (опросов), либо получаемые через web-формы Сайта и/или Сервисов, API, а также через приложения, API и страницы Общества на интернет-платформах, сайтах, принадлежащих третьим лицам, в том числе Партнерам. Под Партнерами Оператора понимаются организации и индивидуальные предприниматели, действующие от своего имени или от имени Оператора и продвигающие Услуги/Сервисы Оператора на основании заключенных с ним посреднических договоров, договоров оказания услуг по привлечению клиентов и других договоров/соглашений;
      • получением Обществом персональных данных от Партнеров.
  4. 1.4. Использование Сайта и/или Сервисов означает ознакомление и полное безоговорочное согласие субъекта ПД с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия (полного либо частичного) с этими условиями субъект ПД должен воздержаться от использования Сайта и/или Сервисов.
  5. 1.5. Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Общество не контролирует такие сторонние веб-сайты или информацию, размещенную на таких веб-сайтах. Общество не несет ответственности за защиту и конфиденциальность любой информации, предоставленной субъектом ПД на веб-сайтах третьих лиц, после того как он покинул Сайт.

2. Цели обработки персональных данных.

  1. 2.1. Персональные данные обрабатываются Обществом в следующих целях:
    1. 2.1.1. Осуществление и выполнение возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей, в частности:
      • выполнение требований законодательства в сфере труда и налогообложения;
      • ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
      • выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами Общества (далее — субъекты персональных данных).
    2. 2.1.2. Осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей.
    3. 2.1.3. При организации дистанционной торговли (в рамках работы интернет-магазина «Стая»), а также на сайтах dognate.ru и dgn.dog Общество обрабатывает ПД в следующих целях:
        • идентификация стороны в рамках Сервисов, соглашений и договоров, заключенных Обществом;
        • оказание Услуг, предоставление Сервисов в ходе исполнения Обществом соглашений и договоров, заключенных с самим субъектом ПД или с юридическим лицом, от имени которого субъект ПД заключил и исполняет указанные соглашения и договоры;
        • связь с субъектом ПД, в том числе направление уведомлений, сообщений, запросов и информации, касающихся оказания услуг и/или использования Сервисов, исполнения соглашений и договоров, а также обработка запросов и заявок от субъекта ПД;
        • улучшение качества оказываемых услуг, предоставляемых Сервисов, удобства их использования, разработка новых Сервисов;
        • направление субъекту ПД информационных и/или рекламных сообщений (в том числе таргетированных рекламных материалов) об услугах, Сервисах, о событиях в деятельности Общества, о мероприятиях, организуемых Обществом и/или Партнерами для клиентов и/или потенциальных клиентов (в том числе благотворительных и других акциях, семинарах, конференциях, вебинарах, розыгрышах), а также товарах, работах Общества, товарах, работах, услугах Партнеров и третьих лиц;
        • проведение статистических и иных исследований на основе обезличенных данных.
    4. 2.1.4. Предупреждение или пресечение незаконных и/или несанкционированных действий третьих лиц, обеспечение соблюдения требований действующего законодательства Российской Федерации.
    5. 2.1.5. В иных законных целях.
  2. 2.2. Любые сведения личного характера (о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д.) Общество обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по закону и локальным нормативным актам Общества.

3. Правовые основания обработки персональных данных

  1. 3.1. Общество обрабатывает персональные данные в соответствии:
    1. 3.1.1. С Конституцией РФ, Трудовым кодексом РФ, другими федеральными законами и подзаконными нормативными правовыми актами РФ, нормативными документами уполномоченных органов государственной власти.
    2. 3.1.2. Уставом Общества.
    3. 3.1.3. Трудовыми договорами, договорами о материальной ответственности, иными договорами, которые Общество заключает с работниками.
    4. 3.1.4. Согласием на обработку персональных данных.
    5. 3.1.5. Локальными нормативными актами Общества в области обработки персональных данных и защиты информации.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

  1. 4.1. Общество обрабатывает персональные данные следующих субъектов персональных данных:
    1. 4.1.1. Работников, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников.
    2. 4.1.2. Клиентов и контрагентов — физических лиц.
    3. 4.1.3. Представителей или работников клиентов и контрагентов — юридических лиц.
    4. 4.1.4. Граждан, выполняющих работу по гражданским договорам.
    5. 4.1.5. Участников проводимых Обществом (по поручению заказчиков/Партнеров) промо-кампаний и мероприятий.
    6. 4.1.6. Клиентов заказчиков/Партнеров (по их поручению) Общества.
    7. 4.1.7. Физических лиц, обратившихся в Общество в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
  2. 4.2. Состав персональных данных каждой из перечисленных в п. 4.1 настоящей Политики категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящей Политики, а также нормативным документам Общества, изданным для обеспечения их исполнения.
  3. 4.3. К персональным данным, в части касающейся работы интернет-магазина «Стая», относится информация о субъекте ПД, которая предоставляется им в целях осуществления регистрации (создании учётной записи) на Сайте и в Сервисах, а также в процессе использования Сайта, Сервисов и оказания услуг на основании соответствующего договора или соглашения, заключенных с самим субъектом ПД или с юридическим лицом, от имени которого субъект ПД заключил и исполняет указанные соглашения и договоры. Такая информация носит личный характер и позволяет идентифицировать личность субъекта ПД, включая, но не ограничиваясь:
    • Фамилия, Имя, Отчество или псевдоним;
    • Дата рождения и возраст;
    • Контактный телефон;
    • Адрес электронной почты;
    • Почтовый адрес;
    • Адрес местонахождения, проживания и/или регистрации.
  4. 4.4. К персональным данным также относятся данные, которые передаются в процессе использования Сайта с помощью установленного на устройстве субъекта ПД программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых субъектом ПД, дата и время доступа к Сайту, дата и время акцепта размещенных на Сайте оферт, адреса запрашиваемых страниц и иная подобная информация.
  5. 4.5. Общество не проверяет достоверность персональных данных, предоставляемых субъектом ПД, и не имеет возможности оценивать его дееспособность. Однако Общество исходит из того, что субъект ПД предоставляет достоверные и достаточные персональные данные и поддерживает их в актуальном состоянии.
  6. 4.6. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе.
  7. 4.7. Общество обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
  8. 4.8. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
  9. 4.9. Обработка персональных данных несовершеннолетних лиц, в случаях, когда возможно достоверно установить возраст субъекта ПД, в Обществе осуществляется только на основании согласия законных представителей такого субъекта ПД.

5. Порядок и условия обработки персональных данных

  1. 5.1. При обработке персональных данных Общество будет осуществлять следующие действия с ними: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  2. 5.2. В Обществе организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
  3. 5.3. Доступ к персональным данным в Обществе имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Сотрудники, получающие доступ к персональным данным, назначаются приказом генерального директора Общества. Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.
    Права, обязанности и ответственность сотрудников, обрабатывающих персональные данные в Обществе, закрепляются в их трудовых договорах, должностных инструкциях.
    За нарушение правил обработки и хранения персональных данных, ставших им известным по работе, сотрудники привлекаются к дисциплинарной ответственности вплоть до увольнения.
  4. 5.4. Все персональные данные Общество получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
  5. 5.5. В случаях, предусмотренных законом, Общество обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Общество предлагает субъекту оформить персональное и конкретное письменное согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
  6. 5.6. В случае необходимости взаимодействия с третьими лицами (заказчиками, контрагентами и т. д.) в рамках достижения целей обработки персональных данных условием передачи персональных данных в адрес/от третьих лиц может быть наличие договора поручения на обработку персональных данных или письменное поручение на совершение таких действий.
  7. 5.7. Общество хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
    При достижении целей обработки Общество уничтожает персональные данные. Исключения:
    • персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
    • кандидат на работу желает остаться в кадровом резерве.
  8. 5.8. Общество передает персональные данные в порядке, установленном законодательством. Персональные данные передаются (раскрываются) третьим лицам в следующих случаях:
    1. 5.8.1. Субъект ПД выразил согласие на такие действия.
    2. 5.8.2. Раскрытие необходимо для использования определенного Сервиса либо для исполнения определенного соглашения или договора с субъектом ПД или юридическим лицом, представителем которого выступает субъект ПД.
    3. 5.8.3. Раскрытие осуществляется на основании законных требований органов государственной власти, правоохранительных органов и других уполномоченных органов и организаций, либо раскрытие персональных данных предусмотрено действующим законодательством РФ в рамках установленной процедуры.
    4. 5.8.4. Раскрытие персональных данных происходит в рамках реорганизации, продажи или иной передачи бизнеса Общества (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.
    5. 5.8.5. В целях обеспечения возможности защиты прав и законных интересов Общества или третьих лиц в случаях, когда субъект ПД или юридическое лицо, представителем которого является субъект ПД, нарушает договоры и соглашения, заключенные с Обществом, настоящую Политику, либо документы, содержащие условия использования конкретных Сервисов, либо существует угроза такого нарушения.
  9. 5.9. Трансграничная передача персональных данных Обществом не осуществляется.
  10. 5.10. Общество вправе использовать файлы cookie в рекламных, статистических, исследовательских и других целях, не запрещенных действующим законодательством РФ.

6. Актуализация, исправление, удаление и уничтожение персональных данных

  1. 6.1. Общество при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
  2. 6.2. Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
  3. 6.3. В случае выявления неправомерной обработки персональных данных Общество в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку персональных данных.
  4. 6.4. В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
  5. 6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку в срок, не превышающий тридцати дней с даты поступления отзыва.
  6. 6.6. Общество хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату и неправомерное использование.

7. Обеспечение защиты персональных данных при их обработке

  1. 7.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  2. 7.2. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.
  3. 7.3. К мерам защиты персональных данных при их обработке относятся:
    • назначение Обществом ответственного за организацию обработки персональных данных;
    • издание Обществом документов, определяющих политику Общества в отношении обработки персональных данных, локальных нормативных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
    • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
    • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным нормативным актам Общества;
    • определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
    • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
  4. 7.4. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. Право субъекта персональных данных на доступ к его персональным данным

  1. 8.1. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  2. 8.2. Сведения предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса.
  3. 8.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
  4. 8.4. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
  5. 8.5. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
    • подтверждение факта обработки персональных данных Обществом;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Обществом способы обработки персональных данных;
    • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.
  6. 8.6. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
  7. 8.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Согласие субъекта ПД

  1. 9.1. Принимая условия настоящей Политики (п. 1.4. Политики), субъект ПД:
    1. 9.1.1. дает Обществу свое согласие на обработку и передачу персональных данных в целях и способами, предусмотренными настоящей Политикой, а также соглашается, что вся информация предоставляется им добровольно, по его усмотрению и в его интересах. В частности, согласие субъекта ПД распространяется на получение от Оющества информационных и/или рекламных сообщений (в том числе таргетированных рекламных материалов) об услугах, Сервисах, о событиях в деятельности Общества, о мероприятиях, организуемых Обществом и/или Партнерами для клиентов и/или потенциальных клиентов (в том числе семинарах, конференциях, вебинарах, розыгрышах, акциях), а также товарах, работах Общества (если применимо), товарах, работах, услугах Партнеров и третьих лиц;
    2. 9.1.2. соглашается на передачу его персональных данных Партнерам в целях продвижения товаров, работ, услуг Партнеров, в соответствии с условиями договоров и соглашений, заключенных Обществом с субъектом ПД или юридическим лицом, представителем которого является субъект ПД.

10. Заключительные положения

  1. 10.1. Общество имеет право вносить изменения в настоящую Политику. Требования настоящей Политики могут развиваться другими внутренними нормативными документами Общества, которые дополняют и уточняют ее.
  2. 10.2. Руководитель Общества обеспечивает неограниченный доступ к настоящему документу, в том числе — действующая редакция Политики постоянно доступна на Сайте по адресам: www.staya.dog, dognate.ru и dgn.dog в соответствующем разделе.

Дата размещения: 1 апреля 2021 г.