ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ РЕАЛИЗАЦИИ ПРОГРАММЫ ЛОЯЛЬНОСТИ «ДРУЗЬЯ SPAR»

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В процессе ведения бизнеса Организация обрабатывает персональные данные. Осуществляя эту обработку, Организация обеспечивает конфиденциальность персональных данных и соблюдение прав субъектов персональных данных, в том числе их прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая политика устанавливает общие стандарты в отношении обработки персональных данных.
1.2. Настоящая политика применима к случаям обработки персональных данных выполняемой Организацией или третьей стороной по поручению Организации при реализации Программы лояльности «Друзья SPAR». В отношении обработки персональных данных Организация руководствуется Федеральным Законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных» (далее Закон).
1.3. Настоящая Политика является внутренним нормативным документом Организации и является обязательной для исполнения всеми работниками Организации.
1.4. Настоящая политика публикуется на сайте Организации (адрес: www.spar-fareast.ru) в сети Интернет. Любой новый работник, во время первого вводного инструктажа, должен быть ознакомлен с настоящей Политикой.
1.5. В дополнение к настоящей Политике, Организация может выпустить дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных. Такие нормативные документы должны соответствовать требованиям настоящей Политики.
1.6. В случае если требования настоящей Политики являются более строгими по сравнению с требованиями закона, требования Политики имеют преимущество.
1.7. Настоящая политика не распространяется на обработку:
1.7.1. данных, не относящихся прямо или косвенно к определенному или определяемому физическому лицу (обезличенные данные);
1.7.2. данных, относящихся к юридическим лицам.
1.8. Настоящая политика утверждается генеральным директором Организации. Политика подлежит пересмотру по мере необходимости.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Если иное явно не указано в настоящей политике, то следующие термины используются в том значении, которое указано в данном разделе:
Организация — ООО «Спар ДВ».
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Политика — настоящая политика в отношении обработки персональных данных.
Обработка персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, (распространение, доступ, предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных.
Программа лояльности «Друзья SPAR» — комплекс взаимосвязанных действий и мероприятий, направленных на взаимодействие с клиентами Организации и Партнёров Программы лояльности «Друзья SPAR». Правила и термины Программы лояльности «Друзья SPAR» публикуются на её официальном сайте в сети «Интернет».

3. ПРАВОМЕРНОСТЬ ОБРАБОТКИ
3.1. Организация проводит обработку персональных данных на законной и справедливой основе. При обработке персональных данных Организация обеспечивает точность персональных данных, их достаточность и актуальность по отношению к целям обработки.
3.2. При реализации Программы лояльности «Друзья SPAR» Организация обрабатывает персональные данные физических лиц — клиентов (потенциальных клиентов, партнеров и контрагентов, потенциальных партнеров и контрагентов, подателей жалоб, заявлений и обращений, участников Программы лояльности «Друзья SPAR»).
3.3. Организация проводит обработку персональных данных в следующих целях:
3.3.1. Осуществления возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О несостоятельности (банкротстве) кредитных организаций», «О персональных данных», выполнения требований иных Федеральных законов.
3.3.2. Осуществления прав и законных интересов Организации или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.3.3. Поддержания отношений с клиентом.
3.3.4. Обеспечения безопасности операций, связанных с предоставлением поощрений в рамках Программы лояльности «Друзья SPAR», профилактики правонарушений в отношении Организации, его Клиентов и работников, повышения качества обслуживания Клиентов.
3.3.5. Администрирования ИТ-инфраструктуры.
3.3.6. Договорной деятельности с партнерами.
3.3.7. Обеспечения эксплуатации и реализации мероприятий Программы лояльности «Друзья SPAR».
3.3.8. Обработки обращений участников Программы лояльности «Друзья SPAR».
3.3.9. Предоставления доступа участников Программы лояльности «Друзья SPAR» к Личному кабинету, Мобильному приложению Программы лояльности «Друзья SPAR».
3.3.10. Предоставление/оформление Привилегий Программы лояльности «Друзья SPAR».
3.3.11. Обработка персональных данных Организации ограничивается достижением перечисленных в данном пункте целей, обработка персональных данных в иных целях не допускается.
3.4. Обработке подлежат персональные данные в объеме, соответствующем указанным выше целям обработки. Не подлежат сбору и обработке персональные данные несоответствующие характеру поставленных целей или избыточные по отношению к указанным выше целям обработки. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.5. Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.6. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться Организацией для установления личности субъекта персональных данных только при наличии его согласия в письменной форме.
3.7. До начала обработки, Организацией должны быть предприняты технические и организационные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Для обеспечения выполнения требований предусмотренных настоящей Политикой и законодательством в Организации назначается лицо, ответственное за организацию обработки персональных данных, введены в действие внутренние нормативные документы, устанавливающие процедуры обработки персональных данных, а также процедуры, направленные на предотвращение нарушений законодательства. Доступ к персональным данным будет предоставлен исключительно уполномоченным работникам, в тех случаях и тогда, когда это требуется для эффективного исполнения ими своих трудовых обязанностей. Работники, осуществляющие обработку персональных данных, обязаны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами, и соблюдать требования по обеспечению информационной безопасности. Работникам, осуществляющим обработку персональных данных, запрещено несанкционированное или нерегистрируемое копирование персональных данных, использование отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов).
3.8. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом и/или его участия в Программе лояльности «Друзья SPAR» персональных данных, сроками исковой давности, установленными законодательством сроками хранения документов, образующимися в процессе деятельности Организации, иными требованиями законодательства, а также сроком предоставленного субъектом согласия на обработку персональных данных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Исключением являются случаи, когда срок хранения персональных данных установлен федеральным законом либо договором, стороной которого, выгодоприобретателем или поручителем по которому, является субъект персональных данных.

4. СОБЛЮДЕНИЕ ПРИНЦИПОВ ОТКРЫТОСТИ И ПРОЗРАЧНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. При сборе персональных данных Организация предоставит субъекту персональных данных по его просьбе информацию о целях и условиях обработки, а также иную информацию, касающуюся обработки его персональных данных, указанную в п. 3.3 настоящей Политики. В случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, Организация разъяснит субъекту персональных данных юридические последствия отказа предоставить персональные данные.
4.2. При получении персональных данных не от субъекта персональных данных Организация, до начала их обработки, проинформирует об этом субъекта персональных данных и сообщит ему:
— наименование и адрес Организации;
— цель обработки персональных данных и ее правовое основание;
— источник получения персональных данных;
— информацию о предполагаемых пользователях персональных данных;
— установленные законом права субъекта персональных данных.
Исключением из этого правила являются случаи, когда:
— субъект персональных данных уже проинформирован о том факте, что Организация осуществляет обработку его персональных данных;
— персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
— предоставление вышеупомянутых сведений субъекту персональных данных нарушает права и законные интересы третьих лиц.
4.4. В тех случаях, когда Организация осуществляет сбор персональных данных через веб-сайт в сети Интернет, то информация об Организации, о целях и условиях обработки персональных данных, а также настоящая Политика будут размещены на том же веб-сайте.

5. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных Организацией осуществляется только случае, когда у Организации имеется явное и недвусмысленное согласие субъекта персональных данных на такую обработку.
5.2. Персональные данные должны быть удалены или обезличены:
— в случае отзыва субъектом персональных данных согласия на обработку его персональных данных при отсутствии у Организации оснований продолжить такую обработку без согласия субъекта;
— в случае выявления неправомерной обработки персональных данных.
5.3. Персональные данные не должны быть удалены:
— в случае если персональные данные необходимо сохранить для выполнения требований законодательства Российской Федерации;
— в случае если персональные данные необходимо сохранить для защиты законных интересов Организации при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
5.4. Организация будет поручать обработку персональных данных третьим лицам только в случае оправданной необходимости.
5.5. Организация предпримет все необходимые меры для обеспечения того, чтобы привлеченные к обработке персональных данных третьи лица действовали в соответствии с настоящей Политикой. Организация прекратит отношения с третьим лицом в случае:
— систематического нарушения третьим лицом требований настоящей Политики
— грубого непреднамеренного нарушения третьим лицом требований настоящей Политики.
5.6. В случае если Организация получает персональные данные от третьих лиц, то прежде чем приступить к их обработке, Организация удостоверится, что третье лицо имеет право передавать эти персональные данные Организации, а субъекты персональных данных уведомлены надлежащим образом о том, что их персональные данные будут переданы Организации.
5.7. Осуществление аудио- и видеозаписей будет производиться только при наличии обоснованной необходимости и только в целях, заявленных в данном разделе.
5.8. Организация будет осуществлять запись телефонных разговоров только при условии соблюдения требований законодательства и только в целях обеспечения доказательства совершения юридически значимых действий.
Организация в обязательном порядке будет информировать респондентов об осуществлении записи телефонного разговора.
5.9. Организация будет осуществлять видеозапись и видеонаблюдение только при условии соблюдения требований законодательства и только в следующих целях:
— для обеспечения безопасности помещений, оборудования и иных материальных ценностей;
— для защиты интересов Организации и обеспечения безопасности персонала, Клиентов и других физических лиц;
— для мониторинга, предотвращения и проведения разбирательства в случае нарушения правил внутреннего распорядка;
— для предоставления доказательств в случае судебного разбирательства.
Организация в обязательном порядке будет информировать физических лиц об осуществлении видеонаблюдения или видеозаписи.

6. СОГЛАСОВАНИЕ ПРОЦЕДУР ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных Организацией осуществляться в соответствии с требованиями настоящей Политики и действующего законодательства. Контроль за обеспечением такого соответствия осуществляется лицом, ответственным за организацию обработки персональных данных.
6.2. Лицо, ответственное за организацию обработки персональных данных в Организации, в обязательном порядке регистрирует все запросы, на согласование процедур обработки персональных данных, а также ответы на эти запросы (одобрения или возражения) и иную информацию, относящуюся к данной теме.
6.3. Предоставление персональных данных, обрабатываемых Организацией, по запросу третьих лиц, в том числе по запросу правоохранительных и судебных органов, контролируется лицом, ответственным за организацию обработки персональных данных в Организации.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
— на получение сведений о наименовании и месте нахождения Организации;
— получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
  • подтверждение факта обработки персональных данных Организацией, а также правовые основания и цели такой обработки;
  • способы обработки персональных данных, применяемые Организацией;
  • сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
  • обрабатываемые персональные данные и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
— требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются:
  • неполными, устаревшими, неточными;
  • незаконно полученными;
  • не являются необходимыми для заявленной цели обработки.
  • принимать предусмотренные законом меры по защите своих прав;
7.2. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
7.3. Организация сообщит субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставит возможность ознакомления с этими данными при обращении субъекта или его законного представителя в течение 30 (тридцати) дней с даты получения запроса.
7.4. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случаях, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма или если предоставление персональных данных нарушает права и законные интересы третьих лиц. В случае отказа в предоставлении информации субъекту персональных данных или его законному представителю Организация направит ему в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона, являющееся основанием для такого отказа. Ответ будет направлен в срок, не превышающий 30 (тридцати) рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
7.5. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация внесет в них соответствующие изменения.
7.6. В срок, не превышающий 7 (семи) рабочих дней со дня представления сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация уничтожит такие персональные данные.
7.7. Организация уведомит субъекта персональных данных о внесенных изменениях и предпринятых мерах и примет меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.8. Обработка обращений и запросов, касающихся защиты прав субъектов персональных данных, осуществляется в Организации под контролем лица, ответственного за организацию обработки персональных данных.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Контроль за соблюдением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Организации.
8.2. Руководство Организации предпримет все необходимые меры, чтобы работники Организации действовали в соответствии настоящей Политикой.

ПРИЛОЖЕНИЕ № 1. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для достижения целей, определенных в настоящей Политике, Организация осуществляет обработку следующих персональных данных
участников Программы лояльности «Друзья SPAR»:
1. Фамилия, имя, отчество
2. Дата рождения
3. Пол
4. Номера телефонов (мобильного и/или домашнего)
5. Адрес электронной почты
6. Семейное положение
7. Наличие детей
8. Адрес места жительства