Политика Общества с ограниченной ответственностью
«Тридцать первое» в отношении обработки персональных данных


1. Общие положения

1.1. Настоящая политика в области обработки и защиты персональных данных Агрегатора (далее - Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых Агрегатором, цели, способы и принципы обработки, права и обязанности Агрегатора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Агрегатора при обработке персональных данных.

1.2. Настоящая Политика разработана на основании: статей Конституции Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

1.3. Настоящей Политикой определяется порядок обращения с персональными данными клиентов (субъектов персональных данных), Общества с ограниченной ответственностью «Тридцать первое» (далее и ранее – Общество, Агрегатор).

1.4. В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.

1.5. Защита персональных данных клиента от неправомерного их использования или утраты должна быть обеспечена Агрегатором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации.

1.6. Политика является обязательным для исполнения всеми работниками Общества, имеющими доступ к персональным данным.

1.7. Целями сбора персональных данных в Обществе являются: - заключение договоров с контрагентами, выполнение обязательств по этим договорам; - исполнение налогового законодательства, ведение бухгалтерского учета; - осуществление пропускного режима; - организация предоставления услуг Обществом в порядке, установленном действующим законодательством Российской Федерации, в том числе обеспечение оказания услуг через электронный сервис в сети Интернет по адресу: kenguruexpress.ru.

1.8. Правовыми основами для обработки персональных данных является совокупность правовых актов в области обработки персональных данных, во исполнение которых Общество ведет обработку персональных данных, включая, но не ограничиваясь: - федеральными законами и принятыми на их основе нормативными актами, регулирующими отношения, связанные с деятельностью Общества как Агрегатора по обработке персональных данных; - уставом Общества; - договорами заключаемыми между Обществом и субъектом персональных данных; - согласием на обработку ПД (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Агрегатора); - настоящей Политикой и иными локальными актами по вопросам обработки персональных данных, действующими в Обществе.

1.9. Агрегатор не осуществляет обработку биометрических персональных данных (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, и не производит трансграничную передачу персональных данных на территорию иностранного государства.

1.10. Категории субъектов персональных данных клиенты и контрагенты Аператора (физические лица).

1.11. Настоящая Политика не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации, а также обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.12. В случаях, не указанных в настоящей Политике, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.

2. Основные понятия персональных данных

2.1. Для целей настоящей Политики используются следующие основные понятия:

2.1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.1.2. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

2.1.2. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

2.1.4. Информация – сведения (сообщения, данные) независимо от формы их представления;

2.1.5. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.1.6. Конфиденциальность персональных данных – обязательное для соблюдения Агрегатором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

2.1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.8. Обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.9. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

2.1.10. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.1.11. Агрегатор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.1.12. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.13. Клиент – физическое лицо (субъект), использующее сайт в сети интернет по адресу: kenguruexpress.ru (далее – сайт, сервис), с целью получения услуг, иным способом осуществляющее гражданско-правовые отношения с Обществом, в том числе действующее как представитель (работник) другого юридического лица, с которым у Общества заключен договор об оказании услуг.

2.1.14. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.15. Персональные данные клиента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН) и пр.; Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1.16. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.17. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

3. Персональные данные клиентов

3.1. В состав персональных данных клиентов входит информация о паспортных данных, а также иные сведения, сопровождающие оказание услуг через электронный сервис в сети интернет по адресу: kenguruexpress.ru.

3.2. Получение персональных данных клиента осуществляется путем представления клиентом согласия на обработку персональных данных через сайт, за исключением случаев, прямо предусмотренных действующим законодательством РФ. В случае недееспособности клиента или не достижения им возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.

3.3. Клиент, как субъект персональных данных, в том числе специальной категории персональных данных, имеет право на получение сведений: - об Агрегаторе, о месте нахождения Агрегатора, - о наличии у него персональных данных, относящихся к соответствующему субъекту персональных данных, - на подтверждение факта обработки персональных данных Агрегатором, а также цели такой обработки; - о способах обработки персональных данных, применяемые Агрегатором; - о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - о перечне обрабатываемых персональных данных и источник их получения; - о сроках обработки персональных данных, в том числе сроки их хранения; - о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных; - на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.

3.4. Клиент имеет право: - требовать от Агрегатора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - доступа к своим Персональным данным при личном обращении к представителю Агрегатора при наличии паспорта; - доступа к своим Персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта Персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта Персональных данных; - оформить доверенность на право доступа к его персональным данным; - принимать предусмотренные законом меры по защите своих прав.

3.5. Хранение персональных данных клиентов осуществляется в течение срока действия заключенных с ними договоров, а также в течение 3 (трех) лет после истечения срока действия таких договоров.

3.6. Условием прекращения обработки персональных данных является достижение целей их обработки, истечение срока согласия субъекта персональных данных на обработку его персональных данных, отзыв согласия на обработку персональных данных, а также выявление неправомерной обработки.

4. Сбор, обработка и хранение персональных данных

4.1. Все персональные данные субъекта следует получать у него самого. Информация о персональных данных субъекта предоставляется Агрегатору субъектом устно, либо письменно. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении Агрегатор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

4.2. Общество не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.

4.3. Обработка персональных данных должна осуществляться на основе принципов: - обработка персональных данных должна осуществляться на законной и справедливой основе; - обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; - не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; - обработке подлежат только персональные данные, которые отвечают целям их обработки; - содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; - при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. - хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.4. Согласие субъекта персональных данных не требуется в случаях, определенных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11, в том числе: - обработка персональных данных осуществляется на основании федерального закона, устанавливающего цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Общества;

4.5. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя: - фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; - наименование и адрес Общества, получающего согласие субъекта персональных данных; - цель обработки персональных данных; - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; - наименование и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка будет поручена такому лицу; - перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Агрегатором способов обработки персональных данных; - срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом; - подпись.

4.6. Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в Обществе. Для этого используются специально оборудованные шкафы и сейфы.

4.7. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.

4.8. Персональные данные клиентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а также на бумажных носителях.

4.9. Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных клиентов между структурными подразделениями с использованием учтенных съемных носителей или по внутренней сети Общества с использованием технических и программных средств защиты информации, с доступом только для работников Общества и его партнеров, допущенных к работе с персональными данными и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.

4.10. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

4.11. При получении сведений, составляющих персональные данные субъектов заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.

5. Передача персональных данных субъектов персональных данных

5.1. При передаче персональных данных субъектов работники Общества, имеющие доступ к персональным данным, должны соблюдать следующие требования:

5.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия работника субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

5.1.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.

5.1.3. Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.1.4. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.

5.1.5. Все сведения о передаче персональных данных субъекта должны регистрироваться в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.

6. Защита персональных данных

6.1. Защита персональных данных в Обществе представляет собой принятие правовых, организационных и технических мер, направленных на: - обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; - соблюдение конфиденциальности информации ограниченного доступа; - реализацию права на доступ к информации.

6.2. В целях обеспечения безопасности персональных данных при их обработке в электронных базах данных Общества: - установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ; - обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях; - обеспечивать пропускной режим в соответствии с утвержденными документами по охране и осуществлению пропускного режима – в случаях, предусмотренных действующим законодательством Российской Федерации; - помещения, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц; - доступ к информации в электронном виде должен осуществляться с использованием парольной защиты, а в информационных системах персональных данных - с использованием средств автоматизации в соответствии с нормативными документами; - электронные носители информации, содержащие персональные данные, учитывают в журнале учета электронных носителей персональных данных.

6.3. Обеспечение безопасности персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.

6.4. Мероприятия по обеспечению безопасности персональных данных проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21. 7.5 Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых Обществом угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. №1119.

6.5. Выбранные и реализованные, методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе системы защиты персональных данных.

6.6. Обеспечение безопасности персональных данных в информационных системах персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

6.7. Сотрудники Общества, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.

7. Ответственность

7.1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

8. Взаимодействие Агрегатора и субъекта персональных данных

8.1. Агрегатор обязан сообщать субъекту персональных данных или его представителю информацию об осуществляемой обработке личных данных такого субъекта по поступлении к Агрегатору соответствующих запросов от субъекта персональных данных и их представителей, а также уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия, доступа субъекта персональных данных к своим данным.

8.2. Запрос субъекта персональных данных может быть направлен на бумажном носителе, а также может быть подан через сайт.

8.3. Агрегатор обязан в сроки, предусмотренные действующим законодательством Российской Федерации, осуществить реагирование на поступивший запрос и сообщить субъекту персональных данных о результатах его рассмотрения.

8.4. Ответ на запрос может быть направлен субъекту тем же способом, которым был получен от него запрос, либо на бумажном носителе по месту его жительства (если оно известно Агрегатору).

9. Заключительные положения

9.1. Настоящая Политика вступает в силу с даты утверждения директором Общества и действует бессрочно.

9.2. Внесение изменений и дополнений в настоящую Политику осуществляется путем издания приказов, распоряжений директором Общества.

9.3. Ознакомление работников Общества с настоящей Политикой осуществляется на бумажном носителе под личную подпись.

9.4. Издание и раскрытие неограниченному кругу лиц настоящей Политики Агрегатора в области персональных данных осуществляется путем её опубликования на сайте Общества.

Согласие на обработку персональных данных


Пользователь, оставляя обращение на интернет-сайте kenguruexpress.ru, принимает настоящее Согласие на обработку персональных данных (далее – Согласие). Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных» и иными нормативно-правовыми актами Пользователь принял решение о предоставлении своих персональных данных (далее – «ПД») и дает согласие на их обработку ООО «31» (далее – «Агрегатор ПД»), на следующих условиях:

1. Настоящее согласие дается на обработку ПД как без использования средств автоматизации, так и с их использованием;

2. Согласие дается на обработку следующих персональных данных Пользователя: • фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, паспортные данные;
• номера контактных телефонов, адреса электронной почты;
• место работы и занимаемая должность;
• пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь, с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес).

3. Персональные данные не являются общедоступными.

4. Цель обработки ПД: обработка входящих запросов физических лиц с целью исполнения обязательств по формированию заказов и доставке отправлений, а также аналитики действий физического лица на веб-сайте и функционирования веб-сайта, проведения рекламных и новостных рассылок.

5. Основанием для обработки ПД являются: ст.24 Конституции Российской Федерации, ст.6 Федеральногозакона от 27.07.2006г. №152-ФЗ «О персональных данных», настоящее Согласие на обработку персональных данных.

6. В ходе обработки с ПД будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

7. ПД обрабатываются до отказа (отписки) физического лица от рекламных и новостных рассылок. Также обработка ПД может быть прекращена по запросу субъекта ПД. Хранение ПД, зафиксированных на бумажных носителях, осуществляется согласно Федеральному закону № 125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно-правовым актам в области архивного дела и архивного хранения. Согласие может быть отозвано субъектом ПД или его представителем путем направления Агрегатору ПД соответствующего письменного заявления по адресу: 656056, Алтайский край, г. Барнаул, пл. В.Н. Баварина, д. 2, офис 900.

8. В случае отзыва субъектом ПД или его представителем согласия на обработку персональных данных Агрегатор ПД вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, согласно пунктам 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федеральногозакона от 27.07.2006г. №152-ФЗ «О персональных данных».

9. Настоящее Согласие действует в течение срока действия договора на оказание услуг, заключенного между Агрегатором ПД и Пользователем, либо юридическим лицом, в интересах которого действует Пользователь, а также в течение трех лет после истечения срока действия указанного договора.