2. Основные понятия, используемые в Политике:

• персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

• оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

• обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение,

• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

• трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели обработки персональных данных

Сбор и обработка персональных данных осуществляется Компанией в целях:

• информирования клиентов о новых товарах и услугах, продвигаемых Компанией (рассылки каталогов, направления клиентам информации и рекламных материалов, относящихся к потребительским товарам);

• для индивидуального учета клиентских заказов в целях исполнения договоров с клиентами;

• оформления работников Компании в соответствии с требованиями¹ законодательства Российской Федерации;

4. Правовые основания обработки персональных данных

Совокупность правовых актов и иных документов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных:

• Гражданский кодекс РФ;

• Трудовой кодекс РФ;

• Закон РФ от 07.02.1992г. №2300-1 "О защите прав потребителей";

• Федеральный закон от 13.03.2006г. №38-ФЗ "О рекламе";

• Постановление Правительства РФ от 27.09.2007г. №612 "Об утверждении Правил продажи товаров дистанционным способом";

• Устав Компании;

• Договоры розничной купли-продажи, заключаемые дистанционным способом между Компанией и клиентами (субъектами персональных данных);

• Согласия на обработку персональных данных, предоставляемые субъектами персональных данных в письменной и иной форме Компании.

• Иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Компания подтверждает, что содержание и объем обрабатываемых персональных данных полностью соответствует целям обработки, предусмотренным разделом 3 настоящей Политики. Компания не запрашивает избыточные персональные данные, которые не требуются для заявленных целей обработки.

Категории персональных данных работников: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, телефон, паспортные данные и данные иных документов, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация необходимая для выполнения требований трудового законодательства РФ.

Категории персональных данных клиентов: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, почтовый адрес, электронный адрес, телефон, паспортные данные (если требуются в соответствии с законодательством РФ), иная информация необходимая для исполнения договора розничной купли-продажи дистанционным способом.

6. Срок обработки

Срок прекращения обработки персональных данных – ликвидация (реорганизация) Компании, если ранее субъект персональных данных не отозвал свое согласие в соответствии с п.9.3. настоящей Политики либо не подтвердил неправомерность получения его персональных данных Компанией.

7. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

Действия, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных осуществляется путем: смешанной обработки (автоматизированная и неавтоматизированная) с передачей по внутренней сети Компании.

8. Положения Политики

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Компания обеспечивает надежную защиту их персональных данных.

Обработка и обеспечение безопасности персональных данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона №152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов, руководящих и методических документов ФСТЭК России и ФСБ России.

При обработке персональных данных Компания придерживается следующих принципов:

• Компания осуществляет обработку персональных данных только на законной и справедливой основе;

• Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);

• Компания определяет конкретные законные цели до начала обработки (в т.ч. сбора) персональных данных;

• Компания собирает только те персональные данные, которые являются необходимыми и достаточными для заявленной цели обработки;

• обработка персональных данных в Компании ограничивается достижением конкретных, заранее определенных и законных целей²;

• Компания уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости в достижении целей.

• В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу персональных данных граждан.

Компания вправе поручить обработку персональных данных (с согласия гражданина³) третьим лицам, на основании заключаемого с этими лицами договора (поручения).

Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных данных». Для каждого третьего лица в договоре (поручении) определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, также указываются требования к защите обрабатываемых персональных данных.

Передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в части обработки и защиты персональных данных.

9. Права субъектов персональных данных в части обработки их персональных данных

9.1. Субъект персональных данных имеет право получать от Компании:

• подтверждение факта обработки персональных данных Компанией;

• сведения о правовых основаниях и целях обработки персональных данных;

• сведения о применяемых Компанией способах обработки персональных данных;

• сведения о наименовании и местонахождении Компании;

• сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;

• перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

• сведения о сроках обработки персональных данных, в том числе сроках их хранения;

• информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;

• наименование (ФИО) и адрес лица, осуществляющего обработку персональных данных по поручению Компании;

• сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» №152-ФЗ;

• иные сведения, предусмотренные Федеральным законом «О персональных данных» №152-ФЗ или другими федеральными законами;

9.2. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

9.3. Отозвать свое согласие на обработку персональных данных и требовать прекращения обработки своих персональных данных;

9.4. Требовать устранения неправомерных действий Компании в отношении его персональных данных;

9.5. Обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;

9.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

10. Обязанности Компании / Оператора в части обработки их персональных данных

10.1. При сборе персональных данных Компания обязана предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.

10.2. Если персональные данные получены не отсубъекта персональных данных, Компания, за исключением случаев, предусмотренных частью 4 ст.18 Федерального закона №152-ФЗ «О персональных данных», обязана предоставить субъекту персональных информацию, предусмотренную частью 3 ст.18 указанного Федерального закона.

10.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

10.4. Компания обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ «О персональных данных», и принятыми в соответствии с ним нормативными правовыми актами. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных вышеуказанным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относятся меры, предусмотренные разделом 11 настоящей Политики.

10.5. Компания обязана сообщить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя.

10.6. Компания обязана внести необходимые изменения в персональные данные при получении достоверной информации от субъекта персональных данных или его представителя о том, что они являются неполными, неточными или неактуальными.

10.7. Компания обязана уничтожить незаконно полученные персональные данные при получении достоверных сведений об этом от субъекта персональных данных или его представителя.

10.8. Компания обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

10.9. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки.

10.10. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

10.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания обязана прекратить обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания обязана уничтожить такие персональные данные или обеспечить их уничтожение.

10.12. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение в срок, предусмотренный соглашением между Компанией и субъектом персональных данных.

10.13. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, предусмотренный соглашением между оператором и субъектом персональных данных.

10.14. В случае отсутствия возможности уничтожения персональных данных Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев.

11. Сведения о реализуемых требованиях к защите персональных данных

Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в соответствии ст.18.1 и 19 Федерального закона №152-ФЗ «О персональных данных», в частности, относятся:

• назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных;

• разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:

• oпределение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

• применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия:

• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

• осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону №152-ФЗ «О персональных данных», подзаконным нормативным актам и локальным актам Компании;

• оценка вреда, который может быть причинен гражданам в случае нарушения Федерального закона №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ «О персональных данных»;

• соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;

• ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Компании.

Заключительные положения

Настоящая Политика является общедоступным документом.

Пересмотр положений настоящей Политики проводится периодически не реже чем 1 раз в год, а также в следующих случаях:

• при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

• при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем (или введении новых);

• при применении новых технологий обработки персональных данных (в т.ч. передачи, хранения);

• при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Компании;

• по результатам контроля выполнения требований по обработке и защите персональных данных;

• по решению руководства Компании.

После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте Компании – kolibrii.ru

В случае неисполнения положений настоящей Политики Компания несет ответственность в соответствии действующим законодательством Российской Федерации.

ОБРАЩАЕМ ВАШЕ ВНИМАНИЕ!

Субъекты персональных данных, чьи персональные данные обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих персональных данных, направив официальный запрос по электронной почте , либо по Почте России по адресу:

В случае направления официального запроса в Компанию в тексте запроса необходимо указать:

• фамилию, имя, отчество гражданина или его представителя;

• номер основного документа, удостоверяющего личность гражданина (или его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

• сведения, подтверждающие участие в отношениях с Компанией (например, номер договора, номер клиента) либо сведения, иным способом подтверждающие факт обработки персональных данных Компанией;

• подпись гражданина (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

¹включая осуществление возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами Компании содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, добровольного страхования работников.

²Если иное не предусмотрено договором между Компанией и гражданином, иным соглашением между Компанией и гражданином либо если Компания не вправе осуществлять обработку персональных данных без согласия гражданина на основаниях, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» или другими федеральными законами.

³Если иное не предусмотрено федеральным законом.