1.1. Настоящая Политика о защите персональных данных сервиса выбора служб доставки Sendit.Ru (далее «Политика») направлена на сохранение конфиденциальности персональных данных клиентов, пользующихся услугами сервиса выбора служб доставки www.Sendit.Ru (далее «Сервис») в целях выбора оптимальных условий доставки груза и документов, размещения заявок и накладных на отправку груза и документов (далее «Клиенты), обеспечение безопасности персональных данных при их обработке, защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. При обработке персональных данных Клиентов используется третий уровень защищенности персональных данных согласно требованиям Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее «Закон о персональных данных») и Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика устанавливает перечень обрабатываемых персональных данных Клиентов, основные принципы, цели, способы, условия обработки персональных данных, функции и перечень действий Сервиса и его сотрудников, связанных с обработкой персональных данных Клиентов.
1.4. Обработка персональных данных Клиентов осуществляется Оператором Сервиса ООО «ОФФ-ПРАЙС» (РФ) самостоятельно, без привлечения третьих лиц.
1.5. Сервис может осуществлять обработку следующих персональных данных Клиентов: фамилия, имя, отчество, должность, место работы, юридический адрес компании, домашний адрес контактного лица, домашний/мобильный/корпоративный телефон, адрес фактического местонахождения, опись груза и документов, адрес личной/копоративной электронной почты, год рождения, паспортные данные, данные банковской карты.
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Оператор – компания ООО «ОФФ-ПРАЙС» (РФ), самостоятельно организующая и осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Иные термины и определения, встречающиеся в настоящей Политике, подлежат толкованию в соответствии с положениями Закона о персональных данных.
Политика обработки персональных данных Сервиса основана на положениях следующих нормативно-правовых актов:
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные правовые акты Российской Федерации и уполномоченных органов государственной власти, связанные с обработкой и защитой персональных данных.
Сервис обрабатывает персональные данные Клиентов в следующих целях:
а) Оформление заявок и накладных в системах служб доставки. Персональные данные используются для оформления и управления перемещением грузов и документов, совершенных он-лайн и/или посредством использования клиентского сервиса Sendit.Ru, в том числе для передачи данных о необходимости забрать, доставить груз/документы размещаемых посредством онлайн и других необходимых сервисов предоставляемых курьерскими службами.
б) Поддержка Клиентов. В случае необходимости Сервис оказывает Клиентам необходимую помощь, включая выбор необходимой службы доставки, оформления и отслеживания местонахождения груза и документов, решения проблемных ситуаций и ответов на иные вопросы.
в) Улучшение качества услуг. Сервис ориентирован на постоянное улучшение качества предоставляемых услуг и разработку новых удобных инструментов для осуществления размещения заявок, отслеживания.
г) Личное управление основными услугами и дополнительными предоставляемые курьерскими службами. Создавая личный аккаунт на Сервисе, Клиенты приобретают возможность управлять своими заявками и отправлениями груза и документов, использовать персональные предложения, участвовать в программах лояльности Сервиса, создавать закладки и сохранять необходимые параметры поиска.
Обработка персональных данных Клиентов осуществляется Сервисом с учетом необходимости обеспечения защиты прав и свобод Клиентов, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Сервис принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
• запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляется исключительно с использованием баз данных, находящихся на территории Российской Федерации;
• безопасность оплаты бронирования банковской картой на Сервисе обеспечивается соответствием Сервиса стандартам PCI DSS (Payment Card Industry Data Security Standard), иным требованиям международных платежных систем, а также защитой данных банковской карты при их пересылке средствами технологии SSL (Протокол Защищенных Сокетов).
При осуществлении обработки персональных данных Сервис:
• принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов в области персональных данных;
• принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• обеспечивает назначение Операторами лиц, ответственных за организацию обработки и обеспечения безопасности персональных данных Клиентов;
• обеспечивает издание Операторами локальных нормативных актов, определяющих политику и вопросы обработки и защиты персональных данных Клиентов;
• обеспечивает неограниченный доступ Клиентов к настоящей Политике;
• прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
• совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
7.1. Обработка персональных данных осуществляется Сервисом с согласия Клиента как с момента совершения им бронирования, так и непосредственно после регистрации Клиента на Сервисе.
7.2. Получение согласия Клиента на обработку его персональных данных является необходимым условием совершения Клиентом бронирования или регистрации на Сервисе. С содержанием документа «Согласие на обработку персональных данных» Клиент знакомится на последнем этапе оформления бронирования. Совершение бронирования или регистрация на Сервисе невозможна без получения согласия Клиента на обработку его персональных данных.
7.3. Сервис вправе передать персональные данные Клиента следующим лицам, в том числе в целях обработки персональных данных:
• Службе доставки. Данные о совершенной заявки на забор документов или груза, включая персональные данные Клиентов, передаются службе доставки, которую Клиент выбрал в качестве перевозчика, в том числе за границу.
• Компетентным органам. Сервис оставляет за собой право в случаях, предусмотренных федеральным законом, раскрыть персональные данные Клиентов соответствующим уполномоченным органам государственной и муниципальной власти.
• Иным лицам, в том числе организациям, которые в соответствии с заключенными договорами осуществляют страхование имущественных интересов физических и юридических лиц, связанных с финансовыми обязательствами и обязательствами по предоставлению услуг - страховым организациям; осуществляют списание денежных средств с банковской карты - кредитным организациям (банкам); инспекциям Федеральной налоговой службы; иным государственным органам, организациям – партнерам Сервиса, осуществляющим предпринимательскую деятельность, аффилированным лицам Операторов, а также иным третьим лицам в случаях и в порядке, предусмотренном соответствующими договорами и законодательством РФ. При этом при передаче персональных данных вышеперечисленным лицам Сервис не несет дальнейшей ответственности за законность дальнейшей обработки персональных данных, осуществляемой этими лицами.
7.4. Пользователь регистрируется и осуществляет иные действия на сайте исключительно для целей, предусмотренных пунктом 2 ст. 22 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных», а именно «получения оператором персональных данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».
8.1. Сервис осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, в том числе трансграничную (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
9.1. В соответствии с положениями законодательства о персональных данных субъекты персональных данных имеют право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
9.2. Сведения, указанные в п. 9.1., предоставляются субъекту персональных данных при обращении субъекта персональных данных. Обращение должно быть направлено по электронной почте [email protected]. Субъект персональных данных обязан предоставить Оператору доказательства принадлежности персональных данных, в отношении которых направляется запрос, именно данному субъекту.
9.3. В соответствии с п. 2 ст. 9 Закона о персональных данных субъект персональных данных имеет право на отзыв своего согласия на обработку персональных данных, а также на их удаление. Для реализации указанных выше прав субъект персональных данных должен направить соответствующее обращение по электронной почте [email protected]. Субъект персональных данных обязан предоставить Оператору доказательства принадлежности персональных данных, в отношении которых направляется запрос, именно данному субъекту. Сервис рассматривает поступившее обращение и обеспечивает прекращение обработки персональных данных субъекта, а также удаляет персональные данные субъекта в течение 9 (девяти) рабочих дней с момента поступления обращения субъекта персональных данных.
10.1. Операторы принимают следующие необходимые меры, необходимые для выполнения обязанностей оператора персональных данных, предусмотренных законодательством Российской Федерации:
• назначение лица, ответственного за организацию обработки и обеспечения безопасности персональных данных;
• принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• обеспечение сохранности носителей персональных данных;
• утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
10.2. Меры по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных устанавливаются, в том числе в соответствии с локальными нормативными актами Операторов, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке.
11.1. Контроль за соблюдением Операторами законодательства Российской Федерации и локальных нормативных актов в области персональных данных осуществляется с целью принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
11.2. Внутренний контроль за соблюдением структурными подразделениями Операторов законодательства Российской Федерации и локальных нормативных актов в области персональных данных осуществляется лицом, ответственным за организацию обработки и обеспечение безопасности персональных данных.