ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

 

Порядок обработки персональных данных в группе компаний

Sunlight – зарегистрированный товарный знак, под которым осуществляет деятельность группа компаний, которые предоставляют вам соответствующие Сервисы.

В частности, если иное прямо не предусмотрено пользовательским соглашением или иным юридическим документом, регламентирующим порядок предоставления соответствующего Сервиса, то в качестве Оператора обрабатывающих ваших персональные данные (ПДн) выступают следующие компании:

 

Наименование сервисаОператор ПДнСсылки на документы, регламентирующие деятельность сервиса
«SUNLIGHT ЗНАКОМСТВА»ООО «ГРИ» ИНН 9710089137SUNLIGHT Знакомства
«SUNLIGHT ЛОМБАРД»ООО «Мой ломбард» ИНН 7702377882SUNLIGHT Ломбард
Интернет-магазин «SUNLIGHT»ООО «Солнечный свет» ИНН 7731316845SUNLIGHT Интернет-магазин

 

В случае, если вы являетесь пользователем нескольких ресурсов, то ваши персональные данные будут обрабатываться каждым Оператором, в объеме, предоставленном соответствующему Сервису.

В части необходимой для поддержания надлежащего функционирования Сервисов, ваши данные могут передаваться в рамках группы компаний, с соблюдением строгой конфиденциальности в отношении передаваемых данных.

Обращаем Ваше внимание, на то, что вышеуказанные компании являются самостоятельными по отношению друг к другу Операторами — это значит, что если вы направляете какие-либо требования в области персональных данных, то вы должны уточнить, какому именно из Операторов адресованы такие требования.

В частности, если ваши персональные данные обрабатывают несколько Операторов и вы направляете соответствующее требование в адрес только одного Оператора, то другие Операторы не будут осуществлять каких-либо действий в соответствии с таким требованием, поскольку не являются его адресатами. Если вы хотите, чтобы сразу несколько Операторов выполнили ваши требования, необходимо обращаться с такими требованиями к каждому Оператору отдельно.

 

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ГРИ»

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение политики

1.1.1. Настоящая Политика в отношении обработки персональных данных в ООО «ГРИ» (ИНН 9710089137, юридический адрес: Российская Федерация, 125047, город Москва, вн.тер.г. муниципальный округ Тверской, ул. 1-я Тверская-Ямская, дом 25, строение 1, помещ. 2/4) (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.1.2. Политика вступает в силу с момента ее утверждения Генеральным директором.

1.1.3. Настоящая Политика может быть пересмотрена Обществом в одностороннем порядке. Общество рекомендует регулярно проверять содержание настоящей Политики на предмет ее возможных изменений.

1.1.4. Если иное не предусмотрено Политикой, все вносимые в нее изменения вступают в силу с даты, указанной в Политике.

1.1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.1.6. Настоящей Политикой должны руководствоваться все сотрудники Общества, осуществляющие обработку персональных данных или имеющие к ним доступ.

1.2. Цели политики

1.2.1. Целью настоящей Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Обществом.

1.3. Основные понятия

1.3.1. Для целей Политики используются следующие понятия:

- персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

- оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;

- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3.2. Прочие понятия используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Российской Федерации, если иное прямо не указано в Политике.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных осуществляется Обществом в следующих целях:

- Осуществление Обществом предпринимательской деятельности;

- Заключение и исполнение гражданско-правовых договоров с участием субъектов ПДн в качестве сторон, выгодоприобретателей или поручителей по таким договорам;

- Предоставление сервисов Общества для использования субъектами ПДн;

- Реализация маркетинговых и рекламных программ Общества с целью продвижения товаров и услуг;

- Взаимодействие с субъектами персональных данных, контрагентами и третьими лицами, в соответствии с действующим законодательством РФ, уставом Общества, внутренними документами и локальными нормативными актами Общества;

- Установление делового сотрудничества (преддоговорные отношения);

- Заключение и исполнение договоров, необходимых для осуществления Обществом предпринимательской деятельности;

- Выполнение требований трудового законодательства Российской Федерации, оформление и регулирование трудовых отношений, осуществление расчета заработной платы, иных выплат и удержаний;

- Ведение бухгалтерского, кадрового и воинского учета;

- Привлечение и отбор кандидатов на вакантные должности Общества, организация кадрового резерва;

- Выполнения требований законодательных актов, иных нормативных документов;

- Организация пропускного режима для сотрудников и посетителей Общества;

- Ведение электронного документооборота (ЭДО).

2.2. Указанные в п. 2.1. цели обработки ПДн не являются исчерпывающими. Общество вправе обрабатывать персональные данные в иных целях, предусмотренных действующим законодательством, Уставом Общества и иными локально-нормативными актами Общества.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные могут обрабатываться Обществом, при наличии хотя бы одного из оснований:

3.1.1. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

3.1.2. С согласия субъекта персональных данных на обработку его персональных данных.

3.1.3. При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.1.4. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

3.1.5. В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

3.1.6. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

3.1.7. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

3.1.8. Для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сведения о категориях субъектов, персональные данные которых обрабатываются Обществом, категориях и перечне обрабатываемых персональных данных, способах, сроках их обработки и хранения представлены в Приложении № 1 и № 2 к настоящей Политике.

4.2. Приложение № 1 подлежит опубликованию на сайте Общества и в мобильных приложениях Общества, доступных для скачивания и использованиям клиентами Общества.

4.2. Приложение № 2 опубликованию на сайте и в мобильных приложениях не подлежит и доводится до сведения контрагентов и работников Общества иными способами, предусмотренными действующим законодательством в т.ч. путем ознакомления под подпись, размещение в офисе Общества и т.п.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Принципы обработки персональных данных

Обработка персональных данных осуществляется Обществом в соответствии со следующими принципами:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Условия обработки персональных данных

5.2.1. Условия обработки специальных категорий персональных данных

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Обществом не производится.

5.2.2. Условия обработки биометрических персональных данных

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности субъекта персональных данных, Обществом не обрабатываются.

5.2.3. Поручение обработки персональных данных

5.2.3.1. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных» и настоящей Политикой.

5.2.4. Передача персональных данных

5.2.4.1. Общество может передавать персональные данные внутри группы компании, в адрес аффилированных лиц (со списком можно ознакомиться по ссылке), а также в адрес контрагентов, в случае если такая передача необходима для целей исполнения обязательств возникших между Обществом и субъектом ПДн.

5.3. Конфиденциальность персональных данных

5.3.1. Сотрудники Общества, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.4. Общедоступные источники персональных данных

5.4.1. Общество не создает общедоступные источники персональных данных.

5.5. Согласие субъекта персональных данных на обработку его персональных данных

5.5.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.

5.5.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

5.5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления соответствующего заявления по юридическому адресу Общества с указанием: - ФИО субъекта ПДн; - контактного номера телефона; - адреса электронной почты; - цели и способа предоставления согласия на обработку ПДн.

5.5.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии иных оснований, предусмотренных действующим законодательством.

5.5.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

5.6. Трансграничная передача персональных данных

5.6.1. Трансграничная передача персональных данных Обществом не осуществляется.

6. ПРАВА И ОБЯЗАННОСТИ СТОРОН

6.1. Права субъектов персональных данных

6.1.1. Право субъекта персональных данных на доступ к его персональным данным

6.1.1.1. Субъект персональных данных имеет право на получение информации касающейся обработки его персональных данных (далее также – запрос о предоставлении информации). Такой запрос может быть направлен по юридическому адресу Общества, указанному в п. 1.1.1 настоящей Политики.

6.1.1.2. Запрос о предоставлении информации должен содержать: - номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; - сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом; - подпись субъекта персональных данных или его представителя.

6.1.1.3. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Обществом в течение 10 рабочих дней с момента получения Обществом запроса от субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней.

6.1.1.4. В случае если запрашиваемая субъектом информация была предоставлена по его запросу, субъект персональных данных вправе обратиться повторно в Общество не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен действующим законодательством.

6.1.2. Право субъекта на уточнение его персональных данных

6.1.2.1. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.1.3. Право на обжалование действий или бездействия Общества

6.1.3.1. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.2. Обязанности Общества

6.2.1. Обязанности Общества при сборе персональных данных

6.2.1.1. При сборе персональных данных Общество предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных».

6.2.1.2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

6.2.1.3. Общество не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных Обществом;

2) персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных»;

4) Общество осуществляет обработку персональных данных для статистических или иных исследовательских целей, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

6.2.2. Меры, направленные на обеспечение выполнения Обществом своих обязанностей

6.2.2.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами.

6.2.3. Меры по обеспечению безопасности персональных данных при их обработке

6.2.3.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2.3.2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Если иное не предусмотрено законодательством Российской Федерации, Общество прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:

- ликвидации Общества;

- реорганизации Общества, влекущей прекращение его деятельности;

- отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.

7.2. Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.

 

 

ПРИЛОЖЕНИЕ №1

к Политике в отношении обработки

персональных данных в ООО «ГРИ»

Сведения о персональных данных, обрабатываемых в ООО «ГРИ» пользователей сайта и мобильного приложения.

Цель обработки ПДн:

- Осуществление Обществом предпринимательской деятельности;

- Заключение и исполнение гражданско-правовых договоров с участием субъектов ПДн в качестве сторон, выгодоприобретателей или поручителей по таким договорам;

- Предоставление сервисов Общества для использования субъектами ПДн;

- Реализация маркетинговых и рекламных программ Общества с целью продвижения товаров и услуг, в том числе участие субъектов ПДн в программе лояльности Общества.

Перечень субъектов ПДн:

- Стороны, выгодоприобретатели или поручители по договорам, включая, но не ограничиваясь, пользователей сервисов и продуктов Общества, физических лиц, оказывающих услуги Обществу, участников конкурсов, акций, иных маркетинговых активностей и т.д.;

- Пользователи веб-сайтов и иных онлайн-сервисов Общества;

- Участники программы лояльности Общества.

Срок хранения ПДн

В соответствии со сроками, установленными Приказом Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», иными нормативно-правовыми актами, регламентирующими сроки хранения документов.

 

Перечень обрабатываемых ПДн*Способы обработки ПДнСрок обработки ПДн
- ФИО;
- дата рождения;
- пол;
- контактный номер телефона;
- адрес электронной почты;
- адрес регистрации.
АвтоматизированнаяДо момента расторжения договора на основании которого осуществляется обработка ПДн, если более продолжительный срок не предусмотрен договором, отдельными его положениями или соответствующем нормативно-правовым актом.

 

Цель обработки ПДн:

Продвижение и предоставление для использования функционала мобильного приложения Sunlight Знакомства

Перечень субъектов ПДн:

Физические лица – пользователи мобильного приложения Sunlight Знакомства

Срок хранения ПДн:

В соответствии со сроками, установленными Приказом Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», иными нормативно-правовыми актами, регламентирующими сроки хранения документов.

 

Перечень обрабатываемых ПДн*Способы обработки ПДнСрок обработки ПДн
- ФИО;
- номер телефона;
- пол;
- дата рождения;
- город местонахождения;
- фотографии и видео, размещаемые пользователем в своем профиле;
- интересы;
- хобби.
АвтоматизированнаяДо момента расторжения пользовательского соглашения на основании которого осуществляется обработка ПДн или удаления аккаунта в мобильном приложении, если более продолжительный срок не предусмотрен договором, отдельными его положениями или соответствующем нормативно-правовым актом.

 

наверх