Политика конфиденциальности

1. Общие положения 

1.1. Политика ООО «РОНА» в отношении обработки персональных данных (далее – Политика) составлена в соответствии с ч. 2 ст. 18.1 Федерального закона «О персональных данных» и действует в отношении персональных данных, которые ООО «РОНА» (ИНН: 6367650886, ОГРН: 1026303506767), Юридический адрес: 443096, г. Самара, Ленинский район, ул. Дачная, д. 15 (далее – Общество) может получить от субъектов персональных данных в том числе во время использования Сервисов Оператора: сайта vitaexpress.ru (далее - Сайта) или мобильного приложения «Аптека Вита» (далее - Приложение).
Настоящая Политика подлежит размещению на официальном сайте Общества www.vitaexpress.ru для ознакомления неограниченным кругом лиц. Общество обеспечивает защиту обрабатываемых Персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Общество вправе вносить изменения в настоящую Политику.

1.2. Основные понятия, используемые в Политике:

• персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• хранение персональных данных - комплекс мероприятий, направленных на обеспечение сохранности полноты и целостности сформированных массивов персональных данных с последующим их накоплением или без такового, создание и поддержание надлежащих условий для их использования;
• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
• информационная система персональных данных (ИСПДн) - информационная система, включающая в себя совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
• третьи лица - любые лица (как физические, так и юридические), не являющиеся стороной индивидуального трудового договора, договора гражданско-правового характера, заключенного с пенсионным фондом России;
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.3. Права и обязанности оператора и субъекта (ов): оператор, в обязанности которого входит обработка персональных данных субъектов, обязан:

• предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных».
• разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
• принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе «О персональных данных», возлагается на оператора.
Субъект персональных данных имеет право:

• требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
• на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  1. подтверждение факта обработки персональных данных оператором;
  2. правовые основания и цели обработки персональных данных;
  3. цели и применяемые оператором способы обработки персональных данных;
  4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  6. сроки обработки персональных данных, в том числе сроки их хранения;
  7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  10. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
• обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.4. Обработка персональных данных в Обществе основана на следующих принципах:

• осуществления на законной и справедливой основе;
• соответствия целей обработки персональных данных полномочиям Общества;
• соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных;
• достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
• ограничения обработки персональных данных при достижении конкретных и законных целей, запретом обработки персональных данных, несовместимых с целями сбора персональных данных;
• запрета объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

1.5. В соответствии с принципами обработки персональных данных определены цели обработки персональных данных клиентов и сотрудников организации:

1.5.1. Цель обработки персональных данных клиентов Общества:
Продвижение товаров, работ, услуг на рынке.
Правовым основанием обработки персональных данных клиентов Общества является: Устав Общества и согласие субъекта персональных данных на обработку его персональных данных (Приложение 1), Гражданский Кодекс РФ.
К категориям персональных данных могут быть отнесены следующие данные, которые обрабатывает Общество: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, пол, адрес, город пребывания, адрес электронной почты, номер телефона, данные, передающиеся автоматически при использовании Сервисов: ip-адрес, cookie, данные о геопозиции, информация о браузере, продолжительности пребывания на Сайте, адрес Сайта, с которого был осуществлен переход и т.п. данные, обрабатывающиеся обезличено с помощью систем аналитики.
В качестве субъекта выступают контрагенты, посетители сайта, клиенты Общества.
Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а также осуществление любых иных действий с персональными данными субъекта с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с использованием баз данных, находящихся на территории РФ.
Общество осуществляет трансграничную передачу данных, собираемых посредством метрической программы Google Analytics, предназначенной для сбора статистики о посетителях и последующего анализа полученных данных, для улучшения пользовательского опыта использования сайта и предоставления качественного сервиса при заказе и получении товаров, реализуемых на сайте vitaexpress.ru.
Общество не размещает ПДн Клиентов в общедоступных источниках.
Субъект вправе отозвать свое согласие об обработке персональных данных посредством составления письменного документа, который может быть направлен им в адрес Общества почтовым отправлением с уведомлением о вручении, либо вручен лично под расписку представителю Общества по адресу: ООО «РОНА», Россия, 43096, г. Самара, ул. Дачная, д.15, либо электронным письмом по адресу pd@vitaexpress.ru.
Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект. По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено Федеральным законом.
Согласие на обработку ПДн считается предоставленным клиентом посредством совершения им следующих конклюдентных действий в совокупности: путём проставления специального знака – «галочки», нажатии кнопки или иной «веб-метки» в специальном поле на Сайте или мобильном приложении в случаях, указанных в пункте 1.5.3.

1.5.2. Cookie и использование метрических программ.

Файлы cookie – это небольшие файлы, загружаемые на устройство Пользователя, когда он обращается к сайту. Coоkie помогают сайту «запомнить» Пользователя и при последующих посещениях настраивать под него сессию. Cookie используются для улучшения клиентского опыта пользования сервисами и для сбора аналитики метрическими программами в обезличенном виде.

Сервисы используют следующие метрические программы (сервисы веб-аналитики): Яндекс.Метрика, GoogleAnalytics, AppMetrica. Отказаться от обработки cookie-файлов Пользователь может с помощью соответствующих настроек своего браузера, подробнее по ссылкам:

• Google Chrome,
• Яндекс.Браузер,
• Mozilla Firefox,
• Microsoft Edge,
• Safari.

1.5.3. Общество осуществляет обработку Персональных данных в следующих случаях:

1.5.3.1. Оформление заказов (в том числе оплата и доставка заказов), а также отслеживание статуса заказа для выполнения своих обязательств перед Пользователем.

1.5.3.2. Регистрация и идентификация Пользователя.

1.5.3.3. Отправка заявок по вакансиям, размещенным на Сайте

1.5.3.4. Отправка сообщений Пользователем через форму обратной связи

1.5.3.5. Проведение маркетинговых, статистических и иных исследований на основе обезличенных данных.

1.5.3.6. Участие Пользователя в программе лояльности аптек Вита.

1.5.3.7. Информирование Пользователя об акциях, скидках и специальных предложениях посредством электронных и СМС-рассылок.

1.5.3.8. Анализ покупательских особенностей Пользователя и предоставление Персональных рекомендаций.

1.5.3.9. Отправка заявки Пользователем для сотрудничества в сфере аренды

1.5.4. Оператор обрабатывает следующие категории персональных данных субъектов персональных данных:

1.5.4.1. Фамилия, Имя, Отчество - для целей, указанных в п.п.: 1.5.3.1, 1.5.3.3, 1.5.3.4, 1.5.3.6, 1.5.3.9.

1.5.4.2. Дата рождения - для целей, указанных в п.п.: 1.5.3.3, 1.5.3.6.

1.5.4.3. Город пребывания - для целей, указанных в п.п.: 1.5.3.1, 1.5.3.3, 1.5.3.4, 1.5.3.9.

1.5.4.4. Адрес - для цели, указанной в п.п.: 1.5.3.1, 1.5.3.9.

1.5.4.5. Адрес электронной почты - для целей, указанных в п.п.: 1.5.3.1, 1.5.3.3, 1.5.3.4, 1.5.3.7, 1.5.3.9.

1.5.4.6. Номер телефона - для целей, указанных в п.п.: 1.5.3.1, 1.5.3.2, 1.5.3.4, 1.5.3.6, 1.5.3.9.

1.5.4.7. Данные, передающиеся автоматически при использовании Сервисов: ip-адрес, cookie, данные о геопозиции, информация о браузере, продолжительности пребывания на Сайте, адрес Сайта, с которого был осуществлен переход и т.п. данные, обрабатывающиеся обезличено с помощью систем аналитики - для целей, указанных в п.п.:1.5.3.5, 1.5.3.8.

1.5.5. Цели обработки персональных данных, относящиеся к сотрудникам организации:
1) Ведение кадрового и бухгалтерского учета.
Правовым основанием обработки персональных данных являются:
Трудовой кодекс РФ, Гражданский кодекс РФ, Налоговый кодекс РФ, Устав Общества, согласие субъекта персональных данных на обработку его персональных данных (Приложение 2).
К категориям персональных данных могут быть отнесены следующие данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
В качестве субъекта выступают работники Общества, уволенные сотрудники.
Субъект дает свое согласие на автоматизированную обработку персональных данных, а также без использования средств автоматизации.
Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование; передачу (предоставление, доступ); обезличивание, блокирование, удаление, уничтожение персональных данных, а также осуществление любых иных действий с персональными данными субъекта с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект. По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено Федеральным законом.
2) Подбор персонала (соискателей) на вакантные должности оператора.
Правовым основанием обработки персональных данных являются:
Трудовой кодекс РФ, Гражданский кодекс РФ, Устав Общества, согласие субъекта персональных данных на обработку его персональных данных (Приложение 3).
К категориям персональных данных могут быть отнесены следующие данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, номер телефона, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
В качестве субъекта выступают соискатели на вакантные должности Общества.
Субъект дает свое согласие на автоматизированную обработку персональных данных, а также без использования средств автоматизации.
Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование; передачу (предоставление, доступ); обезличивание, блокирование, удаление, уничтожение персональных данных, а также осуществление любых иных действий с персональными данными субъекта с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект. По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено Федеральным законом.

2.  Особенности обработки персональных данных и их передачи третьим лицам

2.1. При обработке персональных данных Общество руководствуется Федеральным законом «О персональных данных», настоящей Политикой и другими нормативными документами в области обработки и защиты персональных данных.

2.2. Общество вправе передать персональные данные третьим лицам в следующих случаях:

• субъект персональных данных выразил свое согласие на такие действия (Приложение 4);
• передача предусмотрена федеральным законодательством в рамках установленной процедуры.

2.3. Субъект персональных данных обладает правами предусмотренными Федеральным законом «О персональных данных».

2.4. Обработка персональных данных в Обществе осуществляется следующими способами:

• обработка персональных данных без использования средств автоматизации;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

2.5. При обработке персональных данных без использования средств автоматизации сотрудники Общества:

• обособляют персональные данные, обрабатываемые без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
• обеспечивают раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях;
• осуществляют хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
• осуществляют хранение документов, содержащих персональные данные, при неавтоматизированной обработке (документы на бумажных носителях) в специально оборудованных помещениях, в сейфах или металлических шкафах с замками.

Порядок и правила обработки персональных данных, осуществляемой без использования средств автоматизации, установлены внутренними документами Общества.

3. Меры, применяемые для защиты персональных данных

Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных. К таким мерам, в частности, относятся:

• назначение сотрудника, ответственного за организацию обработки персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных»;
• ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных и иными документами по вопросам обработки персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
• осуществление учета машинных носителей персональных данных;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• разработка локальных документов по вопросам обработки персональных данных.

4. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

4.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка должна быть прекращена, соответственно. (Ст. 21 Федерального закона «О персональных данных»).

4.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
• иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Порядок и правила уничтожения персональных данных установлены внутренними документами Общества.

Общество прекращает обработку персональных данных и уничтожает их в случаях:

• ликвидации общества;
• реорганизации общества, влекущей прекращение его деятельности;
• прекращения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных;
• отзыва согласия субъекта персональных данных на обработку персональных данных.

Пользователь сайта и мобильного приложения вправе в любой момент самостоятельно отредактировать в своем Личном кабинете предоставленные им при регистрации или авторизации Персональные данные. Пользователь вправе в любой момент отозвать свое Согласие на обработку Персональных данных, путем направления соответствующего уведомления на электронный адрес: pd@vitaexpress.ru. В целях повышения качества работы сайта и приложения Оператор вправе хранить лог-файлы о действиях, совершенных Пользователем в рамках использования Сервисов, в течение 5 (пяти) лет. 

4.3. Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. (Ст. 20 Федерального закона «О персональных данных»)

Порядок и правила взаимодействия с субъектами персональных данных установлены внутренними документами Общества.

5. Ответственность

5.1. Работники Общества, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные.

5.2. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

Регламент взаимодействия ООО «РОНА» с субъектами персональных данных

1. Назначение

Настоящий «Регламент взаимодействия ООО «РОНА» с субъектами персональных данных» (далее – Регламент) определяет порядок взаимодействия ООО «РОНА» как оператора с субъектами, чьи персональные данные обрабатываются в ООО «РОНА» (далее - субъекты).

2. Нормативные ссылки

Настоящий Регламент разработан в соответствии с действующим законодательством РФ:
Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Трудовым кодексом Российской Федерации (от 30.12.2001 № 197-ФЗ);
Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

3. Определения, обозначения, сокращения

В настоящем Регламенте используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных - обязательное для выполнения оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4. Общие положения

4.1. Обработка персональных данных осуществляется на основании принципов достаточности для достижения конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. ООО «РОНА» может обрабатывать персональные данные в следующих целях:

• Продвижение товаров, работ, услуг на рынке;
• Ведение кадрового и бухгалтерского учета;
• Подбор персонала (соискателей) на вакантные должности оператора.

4.3. За взаимодействие с субъектами персональных данных отвечает Ответственный за организацию обработки персональных данных ООО «РОНА», который назначается приказом руководителя.

4.4. Субъекты, персональные данные которых обрабатываются в ООО «РОНА», имеют право:

• получать доступ к своим персональным данным;
• требовать от ООО «РОНА» уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• получать от ООО «РОНА» следующую информацию:
• подтверждение факта обработки персональных данных;
• правовые основания обработки персональных данных;
• цели и применяемые ООО «РОНА» способы обработки персональных данных;
• наименование и место нахождения ООО «РОНА», сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «РОНА» или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «РОНА», если обработка поручена или будет поручена такому лицу;
• возражать ООО «РОНА» относительно принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы;
• отозвать согласие на обработку персональных данных ООО «РОНА»;
• обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ООО «РОНА» при обработке и защите его персональных данных.

4.5. Субъекты, персональные данные которых обрабатываются в ООО «РОНА», обязаны предоставлять достоверные сведения о себе и своевременно информировать об изменении своих персональных данных.

ООО «РОНА» имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у ООО «РОНА» документами.

4.6. Согласие на обработку персональных данных ООО «РОНА» дается субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Предпочтительной формой получения согласия является письменная форма.

4.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ООО «РОНА» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии следующих оснований:

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на ООО «РОНА» функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для исполнения договора, одной стороной которого является ООО «РОНА», а другой стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• обработка персональных данных необходима для заключения договора с ООО «РОНА» по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав и законных интересов ООО «РОНА» при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных.

5. Порядок взаимодействия с субъектами персональных данных

5.1. Выдача работникам ООО «РОНА» документов, связанных с их трудовой деятельностью (копий приказов о приеме на работу, переводах на другую работу, увольнении с работы; выписок из трудовой книжки, справок о месте работы, заработной плате, периоде работы в организации и др.), осуществляется соответствующим ответственным сотрудником по устному (либо письменному) требованию работника.

5.2. Письменные запросы субъекта или его представителя, поступающие в ООО «РОНА», фиксируются ответственным сотрудником ООО «РОНА» в Журнале учета обращений субъектов персональных данных.

5.3. В случае поступления запроса в письменной форме субъекта или его представителя о предоставлении информации из перечня, указанного в п. п. 4.4., (Приложение А) ответственный сотрудник ООО «РОНА» подготавливает согласно запросу субъекта или его представителя необходимый ответ в письменной форме. В случае требования предоставления иных, непредусмотренных законодательством сведений, сотрудник ООО «РОНА» подготавливает мотивированный ответ в письменной форме, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

5.4. В случае запроса в письменной форме субъекта персональных данных или его представителя об уточнении (или лицом, действующим по поручению ООО «РОНА») обработки неполных, устаревших, неточных персональных данных ответственный сотрудник ООО «РОНА» обязан:

• зафиксировать наличие запроса субъекта персональных данных или его представителя об уточнении обработки неполных, устаревших, неточных персональных данных в Журнале учета обращений субъектов персональных данных;
• осуществить блокирование указанных персональных данных с момента получения запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
• осуществить проверку фактов, изложенных в запросе, и подтверждающих факты документов, предоставляемых субъектом персональных данных или его представителем (Приложение Б);
• в случае подтверждения факта неточности персональных данных - произвести/обеспечить уточнение указанных персональных данных на основании представленных сведений в течение семи рабочих дней со дня представления таких сведений;
• осуществить снятие блокирования указанных персональных данных;
• в письменной форме уведомить субъекта персональных данных или его представителя об устранении допущенных нарушений (Приложение В).
• в случае не подтверждения факта неточности персональных данных - осуществить снятие блокирования указанных персональных данных;
• в письменной форме уведомить субъекта персональных данных или его представителя об отказе в уточнении персональных данных (Приложение В).
• обеспечить текущее хранение документов (запроса субъекта персональных данных или его представителя; копии документов, являющихся основанием для уточнения или отказа в уточнении обрабатываемых персональных данных; уведомления субъекта персональных данных или его представителя об уточнении или об отказе уточнения обрабатываемых персональных данных; иные документы и копии иных документов, непосредственно связанные с выполнением ООО «РОНА» своих обязанностей по рассмотрению запросов субъекта персональных данных или его представителя) в течение трех лет, а по истечении указанного срока – передать документы на архивное хранение.

5.5. В случае запроса в письменной форме субъекта персональных данных или его представителя о прекращении неправомерной обработки ООО «РОНА» (или лицом, действующим по поручению ООО «РОНА») персональных данных ответственный сотрудник ООО «РОНА» обязан:

• зафиксировать наличие запроса субъекта персональных данных или его представителя о прекращении неправомерной обработки персональных данных в Журнале учета обращений субъектов персональных данных;
• осуществить блокирование указанных персональных данных с момента получения запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
• осуществить проверку фактов, изложенных в запросе, и подтверждающих факты документов, предоставляемых субъектом персональных данных или его представителем (Приложение Б);
• в случае выявления неправомерной обработки персональных данных - произвести/обеспечить прекращение неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки персональных данных;
• если обеспечить правомерность обработки персональных данных невозможно - уничтожить такие персональные данные или обеспечить их уничтожение в срок, не превышающий десяти рабочих дней со дня выявления неправомерной обработки персональных данных;
• в письменной форме уведомить субъекта персональных данных или его представителя о прекращении неправомерной обработки персональных данных (Приложение В).
• в случае не подтверждения факта неправомерной обработки персональных данных - осуществить снятие блокирования указанных персональных данных;
• его представителя об отказе в прекращении обработки персональных данных (Приложение В).
• обеспечить текущее хранение документов (запроса субъекта персональных данных или его представителя; копии документов, являющихся основанием для прекращения неправомерной обработки персональных данных или отказа в прекращении обработки персональных данных; уведомления субъекта персональных данных или его представителя о прекращении неправомерной обработки персональных данных или отказе в прекращении обработки персональных данных; иные документы и копии иных документов, непосредственно связанные с выполнением ООО «РОНА» своих обязанностей по рассмотрению запросов субъекта персональных данных или его представителя) в течение трех лет, а по истечении указанного срока – передать документы на архивное хранение.

5.6. В случае отзыва субъектом персональных данных или его представителем согласия на обработку его персональных данных ООО «РОНА» (или лицом, действующим по поручению ООО «РОНА») персональных данных ответственный сотрудник ООО «РОНА» обязан:

• зафиксировать наличие отзыва субъектом персональных данных или его представителем согласия на обработку его персональных данных в Журнале учета обращений субъектов персональных данных;
• если обработка персональных данных осуществляется в целях, выходящих за рамки указанных в п. 4.7 Регламента - уведомить субъекта о последствиях отзыва им согласия;
• уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «РОНА») в срок, не превышающий тридцати дней со дня поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между ООО «РОНА» и субъектом;
• в письменной форме уведомить субъекта персональных данных или его представителя о прекращении обработки персональных данных (Приложение В).
• если обработка персональных данных осуществляется в целях, не выходящих за рамки, указанных в п. 4.7 Регламента - в письменной форме (содержащий ссылку на положения части 2 статьи 9 Федерального закона № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа) уведомить субъекта персональных данных или его представителя об отказе в прекращении обработки персональных данных (Приложение В).
• обеспечить текущее хранение документов (запроса субъекта персональных данных или его представителя; копии документов, являющихся основанием для отказа в прекращении обработки персональных данных; уведомления субъекта персональных данных или его представителя о прекращении обработки персональных данных или отказе в прекращении обработки персональных данных; иные документы и копии иных документов, непосредственно связанные с выполнением ООО «РОНА» своих обязанностей по рассмотрению запросов субъекта персональных данных или его представителя) в течение трех лет, а по истечении указанного срока
• передать документы на архивное хранение.

5.7. Представителю субъекта (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством. Информация передается при наличии одного из документов:

• нотариально удостоверенной доверенности представителя субъекта;
• письменного заявления субъекта, написанного в присутствии ответственного сотрудника ООО «РОНА» (если заявление написано субъектом не в присутствии сотрудника ООО «РОНА», то оно должно быть нотариально заверено).

5.8. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.

5.9. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность.