Политика конфиденциальности

Политика

«Об обработке персональных данных субъектов»

1. Общие положения

1.1. Настоящей Политикой определяются основные принципы, цели порядок и условия обработки, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, меры, реализуемые для обеспечения безопасности персональных данных при их обработке. А также определяется порядок сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления, уничтожения содержащих сведений, отнесенные к персональным данным субъектов в ООО «ХАЙЛАЙТ» (ИНН 6670255020 / КПП 667101001 / ОГРН 1096670013703) (далее – Оператор). Под Субъектом персональных данных – предполагается физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.

- Политика разработана в соответствии со следующими нормативно-правовыми документами:

- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Кодекс об Административных Правонарушениях Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Уголовный кодекс Российской Федерации;

- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 года № 149-ФЗ;

- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;

- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;

- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;

- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119;

Оператор осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов и юридически значимых документов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных субъекта:

- Гл. 14 Трудового кодекс Российской Федерации;

- Статьи 150-152.2 Гражданского кодекса Российской Федерации;

- Статьи 84-85 Налогового кодекса Российской Федерации;

- Статья 18 Федерального закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ;

- Договоры, заключаемые между Оператором и субъектом персональных данных;

- Договоры, заключаемые между Оператором и другими лицами, в рамках которых предполагается обработка персональных данных;

- Согласие на обработку персональных данных и другие. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных. Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Оператор и лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных»). Режим конфиденциальности в отношении персональных данных снимается:

- обезличивания персональных данных;

- включения персональных данных в общедоступные базы данных;

- по истечении 50-ти лет срока их хранения;

- в других случаях, предусмотренных законодательством о порядке хранения, передачи и обработки персональных данных.

2. Субъекты персональных данных

2.1. Оператор обрабатывает персональные данные следующих категорий субъектов с учетом целей обработки:

- Работники;

- Родственники работников;

- Соискатели;

- Бывшие работники;

- Контрагенты;

- Представители контрагентов;

- Клиенты;

- Пользователи сайта.

3. Состав персональных данных субъектов. Основные понятия. Особые условия

3.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу:

- фамилия, имя, отчество;

- пол, возраст;

- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

- гражданство;

- документ, удостоверяющий личность;

- идентификационный номер налогоплательщика;

- номер страхового свидетельства государственного пенсионного страхования;

- адрес фактического места проживания и регистрации по месту жительства,

- почтовый и электронный адрес;

- номер телефона;

- семейное положение, наличие детей;

- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе, в том числе занимаемые должности, существенные условия труда, сведения об аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени);

- финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады);

- деловые и личные качества, которые носят оценочный характер;

- сведения, которые могут идентифицировать человека, а также сведения о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг), заключаемых при исполнении трудового договора. Из указанного списка Оператор вправе получать и использовать только те сведения, которые характеризуют субъекта, как сторону договора в связи с целью обработки персональных данных.

3.2. Основные термины:

- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

- Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

- Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- Обезличивание персональных данных - в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

- Безопасность персональных данных - защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принятие необходимых правовых, организационных и технических мер для защиты персональных данных.

- сайт Оператора – расположенный по адресу:https://hilight.space , а также любой веб-сайт, продукт или сервис, принадлежащий Оператору.

- сайт Партнера ООО «Хайлайт.стор» (ИНН 6671297431/ КПП 667101001/ ОГРН 1096671013207) – расположенный по адресу: https://hilight.store, а также любой веб-сайт, продукт или сервис, принадлежащий Партнеру.

- Пользователь (субъект персональных данных) – физическое лицо, дающее Оператору согласие на обработку своих персональных данных, в том числе любой субъект, указанный в настоящей Политике;

- Согласие на обработку специальных категорий персональных данных – это Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Согласие на обработку биометрических персональных данных – это Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Согласие на обработку персональных данных работника, включающую передачу его персональных данных в адрес третьих лиц происходит на основании ст. 88 Трудового кодекса Российской Федерации.

- Особенности согласия на обработку персональных данных, разрешенных субъектом для распространения указаны в ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Термины, не определенные выше, имеют значение, определенное законодательством Российской Федерации.

3.3. Оператор собирает, использует, обрабатывает и хранит персональные данные субъекта только с согласия субъекта и/или с согласия законного представителя, путем подписания письменного согласия на обработку персональных данных и/или совершения конклюдентных действий при использовании веб-сайтов Оператора, в том числе в процессе передачи информации при совершении любых операций и/или использования платформ, программ, приложений при оплате товара в Торговой галереи на кассе, оформления заказов, регистрации в личном кабинете.

3.4. Пользователь обязан полностью ознакомиться с настоящей Политикой до момента регистрации и начала использования Сервисов. Нажимая кнопку «Получить проект договора» на сайте https://hilight.space, Пользователь соглашается c условиями Положений о программе лояльности, Политикой об обработке персональных данных субъектов, согласия об обработке персональных данных. Пользователь, нажимая кнопку «Получить проект договора» даёт свое согласие Оператору на обработку своих персональных данных, а также обязывается удостовериться в согласии иного субъекта, указанного им в форме отправке данных, на обработку персональных данных этого субъекта Оператором, а также выражает явное и безоговорочное согласие с настоящей Политикой. Персональные данные, полученные через Сайт https://hilight.space, разрешённые к обработке в рамках настоящей Политике, передаются Оператору:

- пользователем этого Сайта путём заполнения форм отправки данных на Сайте (для использования некоторых функций Пользователю может потребоваться предоставить дополнительную информацию);

- сайтом через файлы cookies, с помощью которых собирается информация об IPадресе, типе и языке браузера, информации о поставщике Интернет-услуг, странице отсылки и выхода, операционной системе, дате и времени посещения. Пользователь Сайта имеет возможность запретить сохранение файлов cookies в настройках своего браузера. Персональные данные полученные Оператором хранятся в Базах находятся на Серверах полностью в пределах территории Российской Федерации.

3.5. Оператор обрабатывает персональные данные субъектов, полученные в результате выполнения
процесса:

- заключения трудовых договоров с физическими лицами, в том числе исполнение функциональных обязанностей юридического лица, как работодателя;

- заключения договоров на оказание услуг с физическими лицами;

- обеспечения финансово-хозяйственной деятельности Оператора;

- продвижения Товаров в Торговой галерее;

4. Цели обработки персональных данных. Общие цели

4.1. Ведение кадрового и бухгалтерского учета, обеспечение соблюдения налогового законодательства/пенсионного законодательства/страхового законодательства, подбора персонала (соискателей) на вакантные должности оператора.

4.1.1. Регулирование трудовых отношений с работниками Оператора (ведение кадрового делопроизводства, содействие в трудоустройстве, обучение и продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное обеспечение работников, обеспечение сохранности имущества, привлечение и отбор кандидатов на работу у Оператора, организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования, заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности, осуществление гражданско-правовых отношений, ведение кадрового и бухгалтерского учета и делопроизводства, прохождения медицинских осмотров, участия в корпоративных мероприятиях, предоставление налоговых вычетов, предоставление сведений в кредитные организации для оформления банковской карты и перечисления на нее заработной платы, организация внутри объектового и пропускного режима, начисления заработной платы работникам, наделение работников определенными полномочиями (оформление доверенностей);

4.2. Заключение и исполнение договоров купли-продажи.

4.2.1. Подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами, заключаемыми Оператором с контрагентами;

4.3. Информирование о товарах или проведении опросов и исследований.

4.3.1. Продвижения услуг (работ, товаров) Оператора;

4.3.2. Рассылки информационных сообщений о деятельности Оператора.

4.4. Участие в Программе лояльности, включая учет накопления и использования Бонусов, для предоставления наиболее выгодных персонализированных предложений.

4.4.1. Реклама, промо-акции, осуществление программы лояльности.

4.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки с обязательным соблюдением порядка их обработки, указанном в настоящей Политике.

5. Порядок и условия обработки персональных данных

5.1. Перечень действий с персональными данными субъектов, осуществляемых Оператором в рамках цели обработки «Ведение кадрового и бухгалтерского учета, обеспечение соблюдения налогового законодательства/пенсионного законодательства/страхового законодательства, подбора персонала (соискателей) на вакантные должности оператора».

5.1.1. Совершаются следующие действия: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), уничтожение.

5.1.2. Обработка персональных данных осуществляется путем автоматизированной обработки без передачи по внутренней сети юридического лица с передачей по сети Интернет.

5.2. Перечень действий с персональными данными субъектов, осуществляемых Оператором «Заключение и исполнение договоров купли-продажи», «Информирование о товарах или проведении опросов и исследований», «Участие в Программе лояльности, включая учет накопления и использования Бонусов, для предоставления наиболее выгодных персонализированных предложений».

5.2.1. Совершаются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.2.2. Обработка персональных данных осуществляется путем смешанной обработки с передачей по внутренней сети юридического лица с передачей по сети Интернет.

5.3. Источником информации обо всех персональных данных является непосредственно субъект персональный данных. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Оператор обязан сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа субъекта дать письменное согласие на их получение.

5.4. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Оператор вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия либо в случаях, указанных в ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.5. Обработка персональных данных Оператором возможна только с согласия субъекта. Без согласия субъекта обработка персональных данных допускается только в следующих случаях:

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта или договора, по которому субъект будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта;

- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.6. Оператор вправе обрабатывать персональные данные субъектов только с их письменного согласия в случаях, предусмотренных федеральным законом. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью, либо совершение конклюдентных действий на сайте Оператора/на сайте Партнера.

5.7. Письменное согласие субъекта (Приложение №1, Приложение №2 к настоящей Политике) на обработку персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта);

- наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъектом;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

- срок, в течение которого действует согласие субъекта, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта персональных данных.

5.8. Письменное согласие субъекта (Приложение №2.1 к настоящей Политике) на обработку персональных данных разрешенных субъектом персональных данных для распространения должно включать в себя:

- фамилия, имя, отчество; пол, возраст; документ, удостоверяющий личность; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; адрес фактического места проживания и регистрации по месту жительства, почтовый и электронный адрес; номер телефона;

- сведения об операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

- сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

- цель (цели) обработки персональных данных;

- условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);

- срок действия согласия.

5.9. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) Оператором не обрабатываются. Субъект представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений.

5.10. Подлежат уничтожению/обезличиванию Персональные данные в следующих случаях:

- достигнуты цели обработки или утрачена необходимость в их достижении;

- получен отзыв согласия субъекта персональных данных на обработку персональных данных;

- представление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- выявление неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных;

- требование субъекта персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для достижения заявленной цели.

6. Передача персональных данных

6.1. При передаче персональных данных субъекта Оператор должен соблюдать следующие требования:

6.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия самого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;

6.1.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта в целях продвижения работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

6.1.3. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Данная Политика не
распространяется на обмен персональными данными субъекта в порядке, установленном федеральными законами;

6.1.4. Осуществлять передачу персональных данных субъекта в пределах Оператора в соответствии с настоящей Политикой;

6.1.5. Разрешать доступ к персональным данным субъекта только специально уполномоченным лицам, п. 7.1 настоящей Политики, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;

6.1.6. Не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом трудовой функции;

6.1.7. Передавать персональные данные субъекта его законным, уполномоченным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

6.2. Персональные данные субъектов обрабатываются и хранятся ответственными лицами, указанными п.
6.3 в настоящей Политике и приказе от 01.08.2024 г.

6.4. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение в электронном виде (посредством локальной внутренней компьютерной сети) с соблюдением требований, установленных действующим законодательством о персональных данных (ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

6.5. При получении персональных данных не от субъекта (за исключением случаев, если персональные данные являются общедоступными) Оператор до начала обработки таких персональных данных обязан предоставить субъекту следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные федеральными законами права субъекта персональных данных.

7. Доступ к персональным данным субъектов

7.1. Право доступа к персональным данным субъектов имеют:

- руководитель Оператора (Управляющий – индивидуальный предприниматель);

- директор магазина;

- работники бухгалтерии (к тем данным, которые необходимы для выполнения конкретных функций);

- юрист; в случае отсутствия Директора магазина, работников бухгалтерии, юриста, ответственным лицом признается Руководитель Оператора. Должностное лицо, имеющее доступ к персональным данным субъектов в процессе трудовой деятельности, подписывает Обязательство о неразглашении персональных данных (Приложение № 3 к настоящей Политике).

7.2. К числу сторонних организаций, имеющих доступ к персональным данным субъекта, относятся:

- налоговые инспекции;

- правоохранительные органы;

- органы статистики;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления;

- государственные органы, муниципальные органы, которые в пределах своих полномочий, установленных в соответствии с федеральными законами, вправе запрашивать и обрабатывать персональные данные.

7.3. Доступ к персональным данным субъекта третьей стороне, а также родственникам и членам семей возможно только с дополнительного письменного согласия самого субъекта. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных»).

7.4. Оператором для обеспечения безопасности персональных данных осуществляются следующие действия: сотрудники Оператора проинструктированы и обучены в работе с персональными данными, проинформированы о факте обработки ими персональных данных, проинформированы об особенностях и правилах осуществления обработки, несанкционированный доступ к данным исключен, проникновение или (сведения об обеспечении безопасности персональных данных в соответствии пребывание посторонних лиц в помещениях, где ведется обработка данных, исключено.

7.5. Согласно положениями ст. 18.1 Федерального закона «О персональных данных» Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор принимает меры для обеспечения выполнения своих обязанностей. К таким мерам относиться:

- назначение Оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

- издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Результаты оценки вреда оформляются актом оценки вреда. Акт оценки вреда содержит следующую информацию: наименование или фамилию, имя, отчество (при наличии) и адрес оператора; дату издания акта оценки вреда; дату проведения оценки вреда; фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись; степень вреда, которая может быть причинена субъекту персональных данных в соответствии с требованиями;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

7.6. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (ч. 2 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Политика об обработки персональных данных субъектов расположена в сети «Интернет» на сайте https://hilight.space/ и в холле офиса, по адресу: 620014, Свердловская обл., г. Екатеринбург, ул. 8 Марта, стр. 46, пом. 159.

7.7. В силу ст. 19 Федерального закона «О персональных данных» Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.8. Обеспечение безопасности персональных данных достигается, в частности согласно ч. 2 ст. 19 Федерального закона «О персональных данных»:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.9. Согласно Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных», согласно которому утверждены требования к подтверждению уничтожения персональных данных, если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, выгрузка из журнала регистрации событий в информационной системе персональных данных, соответствующая требованиям.

7.10. Акт об уничтожении персональных данных содержит следующие данные:

- наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;

- наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);

- фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

- фамилию, имя, отчество (при наличии) должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

- перечень категорий, уничтоженных персональных данных субъекта (субъектов) персональных данных;

- наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

- наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

- способ уничтожения персональных данных;

- причину уничтожения персональных данных;

- дату уничтожения персональных данных.

7.11. Выгрузка из журнала регистрации событий в информационной системе персональных данных содержит следующую информацию:

- перечень категорий, уничтоженных персональных данных субъекта (субъектов) персональных данных;

- причину уничтожения персональных данных;

- дату уничтожения персональных данных.

8. Обязанности и права субъекта Персональных данных. Рекомендации

8.1. Субъект обязан:

8.1.1. Передавать Оператору или его представителю комплект достоверных персональных данных;

8.1.2. Уведомлять Оператора в трехдневный срок об изменении своих анкетных и паспортных данных.

8.2. Субъект имеет право:

8.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные;

8.2.2. Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми персональных данных;

8.2.3. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

8.2.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

8.3. Для безопасной работы субъект персональных данных должен следовать следующим рекомендациям:

- использовать исключительно лицензионное программное обеспечение;

- устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;

- устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;

- не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;

- не заходить в личный кабинет со случайных компьютеров;

- не передавать кому-либо токены для авторизации на Сайте, либо информацию для входа в личный кабинет, следить за сохранностью средств доступа.

9. Защита персональных данных

9.1. В целях обеспечения сохранности и конфиденциальности персональных данных субъектов все операции по оформлению, формированию, ведению хранению данной информации выполняются сотрудниками, назначенными руководителем Оператора, указанным в п. 7.1, а также Приказе, утвержденным Руководителем Оператора от 01.08.2024 г.

9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Оператора в том объеме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.

9.3. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.

9.4. Документы, содержащие персональные данные субъектов, хранятся в порядке, обеспечивающем их утрату и защиту от несанкционированного доступа.

9.5. Персональные компьютеры, в которых содержатся персональные данные субъектов, защищены индивидуальным логином и паролем, подключены во внутреннюю локальную компьютерную сеть.

9.6. Для безопасной работы сотрудники Оператора должны следовать следующим рекомендациям:

- использовать исключительно лицензионное программное обеспечение Оператора;

- не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;

- не передавать кому-либо логин и пароль от учетной записи, следить за сохранностью средств доступа;

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных

10. Ответственность за нарушение норм, регулирующих обработку персональных данных

10.1. Сотрудники Оператора, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

10.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных вышеуказанным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

11. Прочие условия

11.1. Ознакомление под роспись с Политикой «Об обработке персональных данных субъектов» является сознательным письменным согласием субъекта на:

- сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- видеозапись в кабинетах, коридорах офиса, служебных и производственных помещениях Оператора;

- во исполнение требований ч. 2 ст. 18.1 Федерального закона «О персональных данных» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайте Оператора;

- Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных. Новая Политика вступает в силу с момента ее размещения в сети Интернет на сайте Оператора, если иное не предусмотрено новой редакцией Политики;

- Субъект/Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты: adm@m73.ru;

- все предложения или вопросы по настоящей Политике контрагентам Оператора следует направлять посредством направления обращения по адресу Оператора: 620014, г. Екатеринбург, ул. 8 Марта, стр. 46, пом. 159.

- в случае если в настоящей Политике имеются противоречия с действующим законодательством РФ или иными документами Оператора, регулирующими обязательства по обработке персональных данных, применяются положения действующего законодательства РФ.

Приложение №1 к Политике «Об обработке персональных данных субъектов» ООО «ХАЙЛАЙТ»

Приложение №2 к Политике «Об обработке персональных данных субъектов» ООО «ХАЙЛАЙТ»

Приложение №2.1 к Политике «Об обработке персональных данных субъектов» ООО «ХАЙЛАЙТ»

Приложение №3 к Политике «Об обработке персональных данных субъектов» ООО «ХАЙЛАЙТ