Политика обработки персональных данных

ПОЛИТИКА

в отношении обработки персональных данных

Оператором программы лояльности «Татнефть - Клуб Чемпионов»

 

1        Общие положения

 

1.1.           Настоящий документ «Политика в отношении обработки и защиты персональных данных программы лояльности Клуб чемпионов» (далее – Политика) определяет общие подходы к обработке персональных данных физических лиц, цели и правовое основание обработки персональных данных, категории персональных данных, обрабатываемых в Балтийском филиале ООО «Татнефть-АЗС-Запад» (далее – Общество-оператор). 

1.2.           Настоящая Политика Оператора разработана в целях обеспечения реализации требований законодательства в области обработки персональных данных с учетом требований Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), других законодательных и нормативных правовых актов Российской Федерации в области персональных данных.

1.3.           Настоящая Политика определяет основные права и обязанности Общества -оператора и субъектов персональных данных, цели обработки персональных данных, правовые основания обработки персональных данных, категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке, применяемые Обществом - оператором.

1.4.           Для целей настоящей Политики используются следующие основные понятия:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных) (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»).

Клиент – физическое дееспособное лицо, достигшее 18 лет, являющееся участником Программ(-ы) лояльности или маркетинговых(-ой) акций (-и), подтвердившее свое согласие на участие в Программах (-е) лояльности или в маркетинговых (-ой) акциях(ии) согласно условиям Программ(-ы) лояльности или маркетинговых(-ой) акций(-и). 

Контрагент – юридическое лицо или физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица, зарегистрированное в соответствии с законодательством РФ или законодательством иностранного государства, сотрудничество Оператора с которым не противоречит действующим нормам законодательства РФ.

Программа лояльности – маркетинговая программа Оператора, направленная на повышение лояльности Клиентов и, как следствие, увеличение объемов продаж партнеров Программы лояльности посредством реализации комплекса маркетинговых мероприятий в соответствии с правилами Программы лояльности.

Субъект персональных данных – любое физическое лицо, в том числе, которое прямо или косвенно определено, или определяемо с помощью Персональных данных. 

 

2  Цели сбора и обработки персональных данных

 

2.1. Целью настоящей Политики является поддержание деловой репутации Общества- оператора, обеспечение и выполнение требований законодательства Российской Федерации в области обработки и защиты персональных данных, состоящих из комплекса правовых, организационных и технических мер, направленных на обеспечение защиты прав и свобод субъектов при обработке их персональных данных.

 

2.2. Цели обработки персональных данных субъектов в Обществе-операторе:

 

·      Заключение и исполнение договоров с Клиентами/Контрагентами и (или) реализации совместных проектов; 

·      Реализация участия клиентов в Программах лояльности, маркетинговых акциях, а также для маркетинговых коммуникаций с ними посредством: SMS сообщений, push уведомлений, сообщений электронной почты, почтовой и телефонной связи;

·      Передача Обществом-оператором персональных данных или поручения их обработки третьим лицам в соответствии с действующим законодательством РФ;

·      Предоставление сведений уведомительного или маркетингового характера, в том числе о новых продуктах, услугах, проводимых маркетинговых акциях и мероприятиях (по которым имеется предварительное согласие субъекта персональных данных на их получение);

·      Осуществление функций, полномочий и обязанностей, возложенных на Общество-оператора действующим законодательством РФ.

 

2.1. Допускаются иные цели обработки персональных данных Субъекта персональных данных в случае, если указанные действия не противоречат действующему законодательству РФ, деятельности Общества-оператора, и на проведение указанной обработки получено письменное согласие Субъекта персональных данных.

2.2. Объем и характер обрабатываемых персональных данных, способы обработки персональных данных соответствуют целям обработки персональных данных Субъектов персональных данных.

2.3. Обработка и хранение Персональных данных осуществляется не дольше, чем этого требуют цели их обработки.

 

3  Задачи

 

Задачами настоящей Политики являются:

 

·      Определение правового обоснования обработки персональных данных субъектов;

·      Определение целей обработки персональных данных;

·      Определение общих принципов, используемых при обработке персональных данных 

·      Определение обязательных условий, необходимых для осуществления обработки персональных данных;

·      Закрепление обязанностей Общества-оператора персональных данных;

·      Закрепление ответственности за нарушение требований настоящей Политики;

·      Предоставление справочной информации. 

 

 

 

4  Правовые основания обработки персональных данных

 

4.1.  Правовым основанием обработки персональных данных субъектов в Обществе-операторе являются:

 

4.1.1. Осуществление возложенных на Общество-оператора законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, федеральными законами и иными нормативными правовыми актами России, в том числе: 

·      Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,

·      Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

·      Постановлением Правительства РФ № 1119 от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

·      Согласием субъектов персональных данных на осуществление обработки персональных данных;

·      Уставом Общества.

 

 

5  Принципы обработки персональных данных

 

5.1. Обработка Персональных данных в Обществе-операторе осуществляется на основе следующих принципов:

·      законности и справедливости целей и способов Обработки персональных данных;

·       соответствия целей Обработки персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Общества;

·      соответствия содержания и объема обрабатываемых Персональных данных, способов Обработки персональных данных заявленным целям Обработки персональных данных;

·      обеспечения точности, актуальности и достаточности Персональных данных по отношению к целям их обработки, недопустимости избыточности обрабатываемых Персональных данных по отношению к заявленным целям их обработки. Общество-оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;

·      недопустимости объединения баз данных Персональных данных, обработка которых осуществляется в целях, несовместимых между собой;

·      обеспечения уничтожения либо обезличивания Персональных данных по достижению целей их обработки или в случае утраты необходимости в достижении целей.

 

5.2. При определении состава обрабатываемых Персональных данных Субъектов персональных данных Общество-оператор руководствуется минимально необходимым составом Персональных данных для достижения целей их получения.

5.3. Хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных. 

5.4. Обрабатываемые в Обществе Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, за исключением случаев, предусмотренных действующим законодательством РФ.

5.5. Вышеуказанные принципы применяются ко всем видам Обработки персональных данных – как с использованием средств автоматизации, так и без использования таких средств.

 

6  Условия обработки персональных данных

 

6.1. Обработка персональных данных осуществляется в случае, если выполняется одно из следующих условий:

 6.1.1. Обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его Персональных данных.

6.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Общество-оператора функций, полномочий и обязанностей.

6.1.3. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания Персональных данных, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с Клиентом с помощью средств связи, обработка персональных данных при которых допускается только при условии предварительного согласия Субъекта персональных данных. 

 

7  Категории персональных данных

 

7.1. В Обществе обрабатываются следующие категории Персональных данных:

 

·      фамилия;

·      имя;

·      отчество;

·      год рождения;

·      месяц рождения;

·      дата рождения;

·      адрес;

·      телефон;

·      e-mail.

 

8  Порядок обработки персональных данных

 

8.1. Обработка персональных данных осуществляется работниками, уполномоченными на то должностными инструкциями, иными внутренними нормативными и руководящими документами. При этом указанные Работники имеют право доступа только к тем персональным данным Субъектов персональных данных, которые необходимы им для выполнения конкретных должностных обязанностей. 

8.2. Общество-оператор вправе поручить Обработку персональных данных третьей стороне с согласия Субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством РФ, на основании заключаемого с этой стороной договора. Третья сторона, осуществляющая Обработку персональных данных по договору, обязана соблюдать принципы и правила Обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», обеспечивая при обработке их конфиденциальность, целостность и доступность.

8.3. Обработка персональных данных в Обществе-операторе проводиться как с использованием средств автоматизации (информационных систем), так и без таковых с учетом требований законодательства РФ. Конкретный способ Обработки персональных данных определяется на основании процедур использования данных, определенных внутренними нормативными документами.

 8.4. Исключительно автоматизированная Обработка персональных данных в Обществе не осуществляется. Во всех процессах Обработки персональных данных с использование автоматизации принимают участие работники Общества-оператора.

8.5. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов или в электронном виде на бумажных или электронных носителях соответственно.

8.6. Общество-оператор получает Персональные данные от самого Субъекта персональных данных или от лица, не являющегося Субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в п.п. 1-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или основаниях, предусмотренных законодательством РФ.

8.7. Передача Персональных данных третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных действующим законодательством РФ, либо в случае наличия у Общества согласия Субъекта персональных данных на передачу его Персональных данных третьим лицам.

8.7.1. В случае, если обязанность Общества-оператора по предоставлению Персональных данных третьим лицам предусмотрена законодательством РФ, то Общество-оператор обязано предоставить Персональные данные в составе, виде и сроки, указанные в соответствующих нормативных правовых актах.

8.7.2. Любые запросы третьих лиц, не являющихся владельцами Персональных данных, на предоставление Персональных данных Субъектов персональных данных должны рассматриваться ответственными работниками Общества-оператора на предмет их обоснованности и правомерности. Указанный запрос принимается ответственным структурным подразделением Общества-оператора к исполнению только при наличии положительных резолюций работников Структурного подразделения Общества-оператора, осуществляющего правовое обеспечение бизнеса Общества.

8.8. Базы данных, используемые Обществом-оператором при осуществлении хранения персональных данных, находятся на территории Российской федерации, в соответствии с ч. 5. ст. 18 Федерального закона №152-ФЗ.

 

9  Права субъекта персональных данных

 

9.1. Субъект персональных данных вправе требовать от Общества-оператора уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются не полными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные действующим законодательством РФ меры.

9.2. Субъект Персональных данных имеет право на получение информации, касающейся обработки его Персональных данных, в том числе содержащей:

·           подтверждение факта обработки Персональных данных Обществом-оператором;

·           правовые основания и цели обработки Персональных данных;

·           цели и применяемые Обществом-оператором способы обработки Персональных данных;

·           перечень обрабатываемых Персональных данных, относящихся к соответствующему субъекту Персональных данных, от которого поступил запрос, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом «О персональных данных»;

·           сроки обработки Персональных данных, в том числе сроки их хранения;

·           порядок осуществления субъектом Персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

·           информацию о ранее осуществленной или о предполагаемой трансграничной передаче Персональных данных;

·           сведения о лице, осуществляющем обработку Персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

·           иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

9.3. Субъект персональных данных имеет право обжаловать действия или бездействие Общества-оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке в случае, если Субъект персональных данных считает, что Общество-оператор осуществляет обработку его Персональных данных с нарушением требований закона о персональных данных или иным образом нарушает его права и свободы.

9.4. Субъект персональных данных имеет также право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

9.5. Субъект персональных данных при обращении в Общество-оператору по вопросам обработки и защиты его Персональных данных может направить в адрес Общества письменный запрос.

9.6. Право Субъекта персональных данных на доступ к его Персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ Субъекта персональных данных к его Персональным данным нарушает права и законные интересы третьих лиц.

 

 

10  Обязанности Общества-оператора

 

10.1. Общество-оператор обработки персональных данных, несет обязанности, предусмотренные главой 4 Федерального закона «О персональных данных», а именно:

При сборе, обработке и защите Персональных данных Общество-оператор обязуется:

10.1.1. Предоставлять Персональные данные Субъекту в доступной форме, не содержащей Персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных. 

10.1.2. Предоставлять Персональные данные Субъекту или его представителю при обращении, в течение 30 (Тридцати) календарных дней с даты получения запроса Субъекта персональных данных или его представителя.

10.1.3. Разъяснять письменно Субъекту персональных данных юридические последствия отказа предоставить его Персональные данные, в случае если предоставление Персональных данных является обязательным в соответствии с федеральным законом. 

10.1.4. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

10.1.5. Разместить на интернет портале www.azs.tatneft.ru настоящую Политику и обеспечивать неограниченный доступ к ней.

10.1.6. Представлять документы, определяющие состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также подтверждать принятие соответствующих мер по запросу уполномоченного органа по защите прав Субъектов персональных данных.

10.1.7. Принимать необходимые правовые, организационные и технические меры либо обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.1.8. В случае подтверждения факта неточности Персональных данных и на основании сведений, представленных Субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных уточнять Персональные данные Субъекта, либо обеспечить их уточнение (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование Персональных данных.

10.1.9. В случае выявления неправомерной обработки Персональных данных, осуществляемой Обществом-оператором или лицом, действующим по поручению Общества, в срок, не превышающий трех рабочих дней с даты этого выявления, Общество-оператор обязуется прекратить неправомерную обработку Персональных данных или обеспечить прекращение неправомерной обработки Персональных данных лицом, действующим по поручению Общества-оператора.

10.1.10. Назначить лиц, ответственных за организацию обработки персональных данных, в том числе и защиту персональных данных.

10.1.11. Не раскрывать третьим лицам и не распространять Персональные данные без письменного согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.

10.1.12. При передаче Персональных данных третьему лицу осуществлять её с письменного согласия Субъекта персональных данных. В том случае, если обработка Персональных данных поручена третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности Персональных данных и безопасности Персональных данных при их обработке.

10.1.13. Документировать информационные технологические процессы, в рамках которых обрабатываются Персональные данные в информационных системах персональных данных.

10.1.14. Информировать Работников, осуществляющих обработку Персональных данных в информационных системах персональных данных, о факте обработки ими Персональных данных, категориях обрабатываемых Персональных данных, а также знакомить под роспись со всей совокупностью требований по обработке и обеспечению безопасности Персональных данных в части, касающейся их должностных обязанностей.

 

11 Сведения о реализуемых Обществом-оператором требованиях к защите персональных данных

 

11.1. Меры по обеспечению безопасности Персональных данных при их обработке, применяемые Обществом, организовываются и реализуются в соответствии с требованиями, предусмотренными ст. 19 Федерального закона «О персональных данных».

11.2. Выбор требований к защите Персональных данных, обрабатываемых в информационных системах, осуществляется в соответствии с организационно распорядительными и методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, в зависимости от результатов классификации указанных систем.

11.3. Под защитой Персональных данных Субъекта понимается комплекс организационно-технических мер, направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных Субъектов, а также от иных неправомерных действий в отношении Персональных данных Субъекта. 

11.4. Общество-оператор при защите Персональных данных принимает все необходимые организационно- технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищённости персональных данных.

 

12  Ответственность за нарушение требований настоящей политики

 

12.1. Работники, обрабатывающие Персональные данные, и Контрагенты, которым Общество поручает обработку Персональных данных, несут гражданскую, уголовную, административную и иную предусмотренную законодательством РФ ответственность за нарушения режима защиты, обработки и порядка использования этих Персональных данных.

12.2. За неисполнение или ненадлежащие исполнение уполномоченными Работниками по их вине возложенных на них обязанностей по соблюдению установленного порядка работы с Персональными данными Субъектов, Общества-оператора вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания к виновным лицам.

12.4. Работники, получающие доступ к обрабатываемым Персональным данным, несут персональную ответственность за конфиденциальность полученной информации.

 

13    Заключительные положения

 

13.1.  Настоящая политика вступает в силу с момента публикации ее на сайте www.azs.tatneft.ru в разделе программа лояльности «Клуб Чемпионов».

13.2.  Изменение Политики возможно в целях повышения уровня защиты персональных данных. В случае изменения Политики, обновленная версия размещается на официальном сайте www.azs.tatneft.ru разделе программа лояльности «Клуб Чемпионов».

13.3.  По вопросам, касающимся настоящей политики в отношении обработки и защиты персональных данных, клиент может написать обращение на сайте www.azs.tatneft.ru в разделе «Обратная связь».

Для отзыва согласия на обработку персональных данных клиенту необходимо направить письменное заявление, содержащее личную подпись, в адрес Общества-оператора, заявление должно быть направлено посредством почтовой связи на адрес: Россия, 194156, Санкт-Петербург, пр. Пархоменко, дом 12.