Политика компании, входящих в службу доставки DIMEX, в отношение обработки персональных данных
Настоящий документ определяет действия в группе компаний, входящих в службу доставки DIMEX (далее – DIMEX) в отношение обработки персональных данных физических лиц, в том числе – контрагентов и соискателей вакантных должностей, а также работников, представителей юридических лиц – контрагентов, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений, связанных с обработкой персональных данных.
Политика разработана с целью обеспечения защиты прав и свобод физических лиц и работников, представителей юридических лиц при обработке их персональных данных, а также с целью установления ответственности работников DIMEX,имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку персональных данных.
Действие настоящего документа не распространяется на отношения, на которые действие Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») не распространяется (п.2 ст.1 ФЗ «О персональных данных»).
1.1. В настоящем документе используются следующие термины и определения.
Персональные данные – любая конфиденциальная информация ограниченного доступа, не составляющая государственную тайну, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, или работнику, представителю юридического лица.
Субъект персональных данных – физическое лицо или работник, представитель юридического лица, носитель персональных дынных, чьи персональные данные переданы DIMEX для обработки.
Интернет-сайт – совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ, и сети Интернет.
Сайт – официальный интернет-сайт DIMEX, который в настоящее время находится в сети Интернет по адресу: https://www.dimex.ws, а также другие интернет-сайты в этом домене.
Пользователь – физическое лицо или работник, представитель юридического лица, действующее в своих интересах или в интересах других лиц, акцептовавшее Пользовательское соглашение, размещенное на сайте, имеющее доступ к сайту и использующее его, независимо от факта регистрации на сайте.
Cookies – текстовые файлы, автоматически создаваемые при посещении пользователями сайта и хранимые на технических устройствах, которые пользователи используют для посещения сайта. Как правило, Cookies содержат данные о технических устройствах, которые пользователи используют для посещения сайта, и о действиях пользователей на сайте.
Администрация сайта – работники, уполномоченные на управление сайтом, действующие от имени DIMEX, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, имеющих законное право на это.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Использование персональных данных – действия с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, или других лиц, либо иными образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – обязательное для соблюдения DIMEX или иным получившим доступ к персональным данным лицами требование не допускать их распространение без согласия субъекта персональных данных или наличия законного основания.
1.2. Политика DIMEX в отношение обработки персональных данных (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в DIMEX персональных данных, функции DIMEX при обработке персональных данных, права субъектов персональных данных, а также реализуемые в DIMEX требования к защите персональных данных.
1.3. Настоящая Политика определяет действия DIMEX в отношении обработки персональных данных субъектов, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений, связанных с обработкой персональных данных.
1.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе (форма согласия приведена в Приложении №1).
1.5. Субъект персональных данных обязан:
1.5.1. передавать DIMEX достоверные персональные данные;
1.5.2. своевременно сообщать DIMEX об изменении своих персональных данных.
1.6. Субъект персональных данных имеет право:
1.6.1. на получение информации, касающейся обработки его персональных данных, в частности:
- подтверждения факта обработки персональных данных DIMEX;
- правовых оснований и целей обработки персональных данных;
- применяемых DIMEX способов обработки персональных данных;
- наименования и местонахождение DIMEX, сведений о лицах (за исключением работников DIMEX), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с DIMEX или на основании федерального закона;
- обрабатываемых персональных данных, источниках их получения;
- сроках обработки персональных данных и сроках их хранения;
- порядке осуществления субъектом персональных данных своих прав;
- наименовании или фамилии, имени, отчестве и адресе лиц, осуществляющих обработку персональных данных по поручению DIMEX, если обработка поручена или будет поручена таким лицам;
- иных сведениях, предусмотренных федеральным законом;
1.6.2. требовать от DIMEX уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
1.6.3. требовать от DIMEX извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях и дополнениях;
1.6.4. отозвать свое согласие на обработку персональных данных путем подачи письменного заявления;
1.6.5. на свободное безвозмездное ознакомление со своими персональными данными посредством личного обращения по месту расположения DIMEX в рабочее время либо направления запроса (форма запроса приведена в Приложении №2), при этом сведения о персональных данных предоставляются в доступной форме, исключая персональные данные, относящиеся к другим субъектам персональных данных, в соответствии с п.8.1;
1.6.6. обжаловать действия или бездействие DIMEX в уполномоченный орган или в судебном порядке.
1.6.7. Субъект персональных данных имеет иные права, предусмотренные действующим законодательством.
1.7. DIMEX обязан:
1.7.1. обеспечивать конфиденциальность персональных данных: DIMEX и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом;
1.7.2. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, сведениям о реализуемых требованиях к защите персональных данных;
1.7.3. принимать необходимые правовые, организационные и технические меры (или обеспечивать их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
1.7.4. предоставлять ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
1.7.5. DIMEX имеет иные обязанности, предусмотренные действующим законодательством.
1.8. DIMEX имеет право проверять достоверность предоставленных персональных данных в порядке, не противоречащем законодательству Российской Федерации, однако исходит из того, что субъект персональных данных предоставляет достоверные и достаточные персональные данные для осуществления целей обработки персональных данных, и поддерживает эту информацию в актуальном состоянии.
2.1. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. DIMEX осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей, связанных с фактически осуществляемой DIMEX деятельностью, и бизнес-процессами в информационной системе персональных данных DIMEX:
2.1.1. идентификации пользователя, зарегистрированного на сайте, для оформления заявки на услугу или соискание вакантной должности;
2.1.2. предоставление доступа к персонализированным ресурсам сайта;
2.1.3. обеспечение возможности обмена между пользователем и сайтом информацией, связанной с оказанием услуг;
2.1.4. предоставления пользователю доступа к информационным ресурсам и сервисам партнеров сайта, в соответствии с пользовательским соглашением;
2.1.5. осуществления деятельности по администрированию сайта и обеспечению его функциональности;
2.1.6. ведения статистического учета, проведение статистических и иных исследований на основе обезличенных данных;
2.1.7. заключения договоров с пользователями сайта, касающихся использования сайта, в том числе договоров на предоставление курьерских услуг, оказание пользователям дополнительных услуг;
2.1.8. оказания услуг субъектам персональных данных, не являющимся пользователями;
2.1.9. ведения деятельности DIMEX в части заключения, учета и исполнения договоров с контрагентами (в частности – заказчиками, исполнителями).
2.1.10. Возможна обработка персональных данных в иных целях, не противоречащих действующему законодательству Российской Федерации и условиям соглашений между DIMEX и субъектами персональных данных.
Правовыми основаниями обработки персональных данных являются совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми DIMEX осуществляет обработку персональных данных, в том числе:
3.1. Гражданский кодекс РФ (гл.39 ГК РФ);
3.2. Налоговый кодекс РФ;
3.3. Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
3.4. Учредительные документы DIMEX;
3.5. Договор возмездного оказания курьерских услуг, заключенный между DIMEX и субъектом персональных данных (оферта) и иные гражданско-правовые договоры;
3.6. Пользовательское соглашение, размещенное на сайте;
3.7. Согласие субъекта персональных данных на их обработку.
4.1. Физическое лицо – пользователь сайта:
- Фамилия, Имя, Отчество;
- адрес (страна, город, улица, номер дома, номер квартиры);
- номер телефона (домашний, мобильный);
- адреса электронной почты и мессенджеров;
- данные документа, удостоверяющего личность;
- сведения об используемом браузере;
- IP-адрес, местоположение;
- запрашиваемые интернет-страницы;
- источник захода на сайт.
4.2. Физическое лицо, не являющееся пользователем сайта, чьи персональные данные стали известны DIMEX в связи с заключением и исполнением договора оказания курьерских услуг (в том числе – физические лица, чьи персональные данные и согласие на их обработку получены контрагентом, который передал персональные данные DIMEX в рамках договора гражданско-правового характера):
- Фамилия, Имя, Отчество;
- адрес (страна, город, улица, номер дома, номер квартиры);
- номер телефона (домашний, мобильный);
- адреса электронной почты и мессенджеров;
- данные документа, удостоверяющего личность.
4.3. Физическое лицо – контрагент, с которым заключен договор гражданско-правового характера:
- Фамилия, Имя, Отчество;
- адрес (страна, город, улица, номер дома, номер квартиры);
- номер телефона (домашний, мобильный);
- адреса электронной почты и мессенджеров;
- данные расчетного счета;
- СНИЛС;
- ИНН;
- данные документа, удостоверяющего личность.
4.4. Работники, представители юридических лиц – контрагентов и клиентов:
- наименование соответствующего юридического лица;
- Фамилия, Имя, Отчество;
- служебный адрес (страна, город, улица, номер дома, номер офиса, кабинета);
- номер телефона (рабочий, домашний, мобильный);
- адреса электронной почты и мессенджеров;
- данные документа, удостоверяющего личность;
- данные документа, удостоверяющего связь с соответствующим юридическим лицом.
4.5. Соискатели вакантных должностей DIMEX:
- Фамилия, Имя, Отчество;
- дата рождения;
- данные о характере, времени и месте получения образования, предшествующей работы;
- адрес (страна, город, улица, номер дома, номер квартиры);
- номер телефона (домашний, мобильный);
- адреса электронной почты и мессенджеров;
- данные расчетного счета;
- СНИЛС;
- ИНН;
- данные документа, удостоверяющего личность.
5.1. Обработка персональных данных в DIMEX осуществляется с соблюдением принципов и условий, предусмотренных действующим законодательством Российской Федерации о персональных данных.
5.2. Работники DIMEX, получившие доступ к персональным данным, имеют обязательства не раскрывать их третьим лицам или неопределенному кругу лиц и не распространять иным образом без получения на то согласия соответствующих субъектов персональных данных, если иное прямо не предусмотрено действующим законодательством Российской Федерации.
5.3. Обработка персональных данных осуществляется DIMEX с момента предоставления субъектом персональных данных соответствующего согласия на их обработку. Обработка персональных данных прекращается по истечение срока действия согласия, или в случае отзыва согласия на обработку персональных данных соответствующим субъектом, или в случае выявления неправомерной обработки персональных данных.
5.4. Обработка персональных данных может осуществляться в статистических или иных исследовательских целях, за исключением целей, указанных в ст.15 ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных.
5.5. DIMEX вправе поручить обработку персональных данных другому лицу с согласия соответствующих субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации. Лица, осуществляющие обработку персональных данных по поручению DIMEX, обязуются соблюдать требования ФЗ «О персональных данных» и данной Политики.
5.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется в период их обработки. В соответствии с ч.5 ст.18 ФЗ «О персональных данных», при осуществлении хранения персональных данных DIMEX обязан использовать (и обеспечивать использование контрагентами) базы данных, находящиеся на территории Российской Федерации.
5.7. Если оказание услуг требует трансграничной передачи персональных данных, она осуществляется с обеспечением выполнения требований пп.5.1-5.6.
6.1. DIMEX осуществляет обработку персональных данных субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
6.2. DIMEX получает персональные данные:
6.2.1. путем личной передачи субъектом персональных данных при внесении данных на сайте;
6.2.2. путем личной передачи субъектом в рамках гражданско-правовых отношений;
6.2.3. от третьих лиц (клиентов, контрагентов);
6.2.4. из общедоступных источников.
6.3. Получение DIMEX персональных данных от других лиц, а равно поручение обработки персональных данных другим лицам осуществляется на основании договора, содержащего условия порядка обработки и сохранения конфиденциальности полученных персональных данных.
6.4. В случае, если DIMEX поручает обработку персональных данных другим лицам, не являющимся его сотрудниками, при заключении соответствующих договоров должно быть предусмотрено, что другие лица обязуются соблюдать требования ФЗ «О персональных данных» и данной Политики. DIMEX передает персональные данные для обработки другим лицам только после момента подписания с ними соответствующих договоров.
6.5. В целях собственного информационного обеспечения DIMEX может создавать общедоступные источники персональных данных, в том числе справочники и адресные книги, в которые персональные данные могут включаться только после проверки их подлинности и только с письменного согласия соответствующего субъекта. Персональные данные должны быть исключены из общедоступных источников DIMEX в течение трех рабочих дней после получения требования соответствующего субъекта, либо решения суда, либо требования иных уполномоченных государственных органов.
6.6. Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения DIMEX.
6.7. Сотрудник DIMEX, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей, обеспечивает исключение доступ к персональным данным третьих лиц.
6.8. Обработка персональных данных прекращается в связи с:
6.8.1. достижением цели обработки персональных данных или утратой необходимости в достижении цели обработки персональных данных – в течение тридцати календарных дней, если иное не предусмотрено договором;
6.8.2. отзывом согласия субъектом персональных данных – в течение трех рабочих дней после достижения цели обработки персональных данных или утратой необходимости в достижении цели обработки персональных данных;
6.8.3. истечением срока действия согласия субъекта персональных данных – в течение десяти рабочих дней;
6.8.4. выявлением неправомерной обработки персональных данных – в течение трех рабочих дней с даты выявления;
6.8.5. невозможностью обеспечения правомерной обработки персональных данных – в течение десяти рабочих дней.
6.9. После окончания обработки персональных данных они подлежат уничтожению либо обезличиванию.
6.10. Не допускается хранение персональных данных в Cookies. Содержащаяся в Cookies информация может использоваться исключительно при осуществлении целей, предусмотренных п.2.1.6.
7.1. Безопасность персональных данных, обработка которых осуществляется DIMEX, обеспечивается посредством применения правовых, организационных, технических и программных мер, необходимых и достаточных для соблюдения требований действующего законодательства Российской Федерации о персональных данных.
7.2. Перечень конкретных мер, принимаемых DIMEX в целях обеспечения безопасности персональных данных, определяется DIMEX самостоятельно и может включать в себя, в частности:
- ограничение состава работников DIMEX, имеющих доступ к персональным данным;
- назначение ответственных за организацию обработки персональных данных в подразделениях DIMEX;
- ознакомление сотрудников DIMEX с требованиями действующего законодательства Российской Федерации о персональных данных и данным Положением;
- реализация разрешительной системы доступа пользователей сайта к информационным ресурсам сайта, содержащим персональные данные;
- регистрация и учет действий пользователей сайта;
- осуществление антивирусного контроля программного обеспечения;
- использование средств защиты информации, отвечающих требованиям действующего законодательства Российской Федерации;
- иные меры, соответствующие требованиям, предъявляемым действующим законодательством Российской Федерации к защите персональных данных.
7.3. Мероприятия по защите персональных данных регламентируются Положениями, Приказами, Инструкциями и другими локальными актами DIMEX.
8.1. DIMEX обязан безвозмездно предоставить возможность ознакомления с персональными данными соответствующему субъекту или его представителю в день личного обращения или ответить на направленный запрос в течение трех рабочих дней с момента его получения. В случае предоставления сведений о неполноте, неточности или неактуальности персональных данных соответствующим субъектом или его представителем, DIMEX обязан внести в них необходимые изменения в течение трех рабочих дней. В случае предоставления сведений о незаконном получении или несоответствии заявленной цели обработки персональных данных соответствующим субъектом или его представителем, DIMEX обязан уничтожить их в течение семи рабочих дней. О внесенных изменениях и предпринятых действиях DIMEX информирует субъекта персональных данных или его представителя.
8.2. Если обработка персональных данных осуществляется другим лицом, действующим по поручению, DIMEX организует осуществление необходимых действий, при этом сроки, указанные в п.8.1, увеличиваются на два рабочих дня.
8.3. По запросу уполномоченного органа по защите прав субъектов персональных данных DIMEX сообщает необходимую информацию в течение тридцати календарных дней с момента получения такого запроса.
9.1. Данная Политика подлежит изменениям в случаях внесения соответствующих изменений или дополнений в действующее законодательство Российской Федерации о персональных данных, а также может быть изменена в любое время по усмотрению DIMEX.
9.2. Действующая редакция Политики размещается для просмотра неограниченным кругом лиц на сайте.
9.3. Все отношения с участием DIMEX, касающиеся обработки и защиты персональных данных и не получившие непосредственного регулирования в данной Политике, регулируются другими локальными актами DIMEX и положениями действующего законодательства Российской Федерации о персональных данных.
9.4. Все сотрудники DIMEX, допущенные к работе с персональными данными, должны быть ознакомлены с данной Политикой до начала работы с персональными данными.