ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных в ООО «СберЛогистика» (далее — Политика) определяет:
  • цели обработки ПДн;
  • классификацию и субъектов ПДн;
  • общие принципы обработки ПДн;
  • основных участников системы управления процессом обработки ПДн;
  • основные подходы к системе управления процессом обработки ПДн.

Настоящая Политика разработана в соответствии с требованиями законодательства Российской Федерации, определяющими случаи и особенности обработки персональных данных (далее — ПДн) и обеспечения безопасности и конфиденциальности такой информации (далее — Законодательство о персональных данных).
Политика разработана в целях реализации требований Законодательства о ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн.
Область применения. Положения настоящей Политики являются основой для организации работы по обработке ПДн в ООО «СберЛогистика» (далее — Общество), в том числе, для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки ПДн. Положения настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к ПДн.
Владелец процесса — Менеджер по защите персональных данных. Разработчик Положения — Менеджер по защите персональных данных.
Политика является общедоступной и подлежит размещению на официальном сайте Общества или иным образом обеспечивается неограниченный доступ к настоящему документу
Доведение сотрудникам Обществе положений настоящей Политики осуществляется с использованием системы электронного документооборота, применяемой в Обществе либо иным способом.

2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
Настоящая Политика разработана в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации:
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
  • Трудовой кодекс Российской Федерации;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

3. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
Основные термины и определения, используемые в локальных нормативных актах ООО «Сберлогистика», регламентирующих вопросы обработки персональных данных:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Информация — сведения (сообщения, данные) независимо от формы их представления.
ИСПДН (информационная система персональных данных) — информационная система Общества, содержащая персональные данные.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество осуществляет обработку ПДн в целях:
  • осуществление курьерской деятельности (прием, обработку, пересылку, доставку, логистику, а также иные действия с отправлениями);
  • подготовка, заключение и исполнение договоров (соглашений) с контрагентами и (или) представителями контрагентов;
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество по предоставлению ПДн клиентов Общества в ФОИВ в рамках исполнения законодательства;
  • регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и д.р.);
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество по предоставлению ПДн работников Общества в ФОИВ в рамках исполнения трудового законодательства;
  • подбор персонала (поиск и рассмотрение кандидатов на трудоустройство), включая получение и рассмотрение резюме и другой необходимой информации о кандидате, проведение необходимых проверок, а также формирование и ведение внешнего кадрового резерва;
  • формирования справочных материалов, статистической отчетности для внутреннего информационного обеспечения деятельности Общества, его филиалов и представительств, ПАО «Сбербанк», в том числе для его, дочерних обществ и организаций;
  • осуществления Обществом административно-хозяйственной деятельности;
  • осуществления маркетинговых мероприятий, предоставление информации о программах лояльности, акциях, рекламной и иной информации партнёров.

5. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
К ПДн относится любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту ПДн, обрабатываемая Обществом для достижения целей, определенных в разделе 4 настоящей Политики.
Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
Не осуществляет трансграничную передачу ПДн.
Общество не осуществляет обработку биометрических ПДн.
Общество не осуществляет прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке.
Обработка ПДн субъекта в Обществе осуществляется с согласия субъекта на обработку его ПДн, если иное не предусмотрено законодательством Российской Федерации в области ПДн.
Общество осуществляет обработку ПДн следующих категорий Субъектов:
  • клиенты Общества;
  • работники, близкие родственники работников;
  • кандидаты на трудоустройство;
  • контрагенты и (или) представители контрагентов;
  • физические лица, не относящиеся к клиентам Общества, заключившие или намеревающиеся заключить с Обществом договорные отношения в связи с осуществлением Обществом Административно-хозяйственной деятельности при условии, что их ПДн включены в автоматизированные системы Обществе и обрабатываются в соответствии с законодательством о персональных данных;
  • иные физические лица, выразившие согласие на обработку Обществом их ПДн или физические лица, обработка ПДн, которых необходима Обществе для достижения целей, предусмотренных разделом 4 настоящей Политики.

6. ОБЩИЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество является оператором ПДн, осуществляет обработку ПДн с учетом необходимости обеспечения защиты неприкосновенность частной жизни, личной и семейной тайны, на основе следующих принципов:
  • законности заранее определенных конкретных целей и способов обработки ПДн;
  • прекращение обработки ПДн Субъектов при достижении целей;
  • недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • недопустимости обработки ПДн Субъектов несовместимых с целями обработки;
  • соответствия содержания, состава и способов обработки ПДн целям обработки;
  • достоверности ПДн, их достаточности, и актуальности для целей обработки;
  • недопустимости избыточности при обработке ПДн;
  • хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем, по которым являются Субъекты ПДн;
  • обеспечения надлежащей защиты и конфиденциальности при обработке ПДн.

7. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка ПДн в Обществе осуществляется исключительно при наличии правового основания.
Общество не раскрывает третьим лицам и не распространяет ПДн без надлежащего правового основания.
Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора.
Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
В целях внутреннего информационного обеспечения Общество может создавать внутренние справочники, адресные книги и другие источники, в которые с письменного согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации могут включаться его персональные данные.
Доступ к обрабатываемым ПДн предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности и конфиденциальности (под конфиденциальностью понимается обязанность не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта, если иное не предусмотрено законодательством Российской Федерации).
Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта на обработку его ПДн.
Общество осуществляет передачу ПДн государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
Обеспечение безопасности обрабатываемых ПДн осуществляется Обществом в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований законодательства о ПДн, принятых в соответствии с ним нормативных правовых актов.
Общество, а также его работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн субъекта, а также за разглашение или незаконное использование ПДн в соответствии с законодательством Российской Федерации.

8. ДЕЙСТВИЯ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Для каждой, указанной в Приложении 1 к настоящей Политике цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных. Обработка персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений локальных правовых актов Общества, регламентирующих вопросы обработки и защиты персональных данных.

9. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Сроки обработки и хранения персональных данных для каждой указанной в Приложении 1 к настоящей Политике цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.
Сроки обработки в Обществе ПДн Субъектов определяются Общества с учетом:
  • установленных целей обработки ПДн;
  • сроков действия договоров, стороной в которых либо выгодоприобретателем, по которым выступает субъект ПДн, и договоров, заключенных по инициативе Субъекта ПДн;
  • сроков исковой давности;
  • сроков бухгалтерской и налоговой отчётности;
  • иных нормативных документов Российской Федерации.
Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного Законодательством РФ, договором или согласием Субъекта персональных данных на обработку его персональных данных (см. раздел 10 Политики)

10. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в Приложении 1 к настоящей Политике, производится в следующих случаях:
  • при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено и/или иными применимыми нормативными правовыми актами РФ;
  • при выявлении факта неправомерной обработки персональных данных;
  • при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено;
  • при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено.
Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или в результате которых уничтожаются материальные носители персональных данных.

11. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество предпринимает установленные законодательством Российской Федерации необходимые правовые, технические и организационные меры по обеспечению безопасности обрабатываемых ПДн Субъектов для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн Субъектов.
Обеспечение безопасности ПДн в Обществе достигается в соответствии с законодательством Российской Федерации и локальными правовыми актами Общества по вопросам обработки и защиты ПДн. в частности:
  • определением угроз безопасности персональных данных субъектов персональных данных при их обработке в информационных системах персональных данных Общества;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДН Общества, необходимых для выполнения требований к защите ПДн;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием соответствующих мер безопасности;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа (в том числе ограничением доступа) к ПДн, обрабатываемым в ИСПДН Общества, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДН Общества;
  • назначением приказами в Обществе ответственных работников за организацию обработки и защиту ПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДН Общества.

12. ИСПОЛЬЗОВАНИЕ WEB-РЕСУРСОВ И МОБИЛЬНЫХ ПРИЛОЖЕНИЙ
Общество использует файлы cookies, в том числе обрабатывает сведения о Посетителях web-ресурсов, необходимые для правильной работы web-ресурсов и мобильных приложений Общества, а также в целях улучшения:
  • качества работы и удобства использования web-ресурсов и мобильных приложений Общества;
  • персонализации и интерактивности сервисов и предложений для Посетителей web-ресурсов;
  • продуктов и услуг Общества, путем определения предпочтений пользователей.

Некоторая часть функционала web-ресурсов и мобильных приложений Общества может быть использована без предоставления ПДн.
Для использования специальных возможностей web-ресурсов и мобильных приложений Общества необходимо предоставить пользовательские данные, включая ПДн.
Проставляя галочку (чек-бокс) или нажимая кнопку в электронной форме подтверждения, предоставляемой web-ресурсом и (или) мобильным приложением Общества, субъект персональных данных выражает свое согласие на обработку своих персональных данных Обществу на условиях, предусмотренных настоящей Политикой.
Субъект персональных данных не использует web-ресурсы и (или) мобильные приложения Общества и не предоставляет Обществу свои ПДн, если он не согласен с положениями данного раздела настоящей Политики.
Общество осуществляет обработку ПДн с использованием web-ресурсов и мобильных приложений на условиях, определенных в Приложении 1 к настоящей Политике.

13. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество как оператор ПДн вправе:
  • отстаивать свои интересы в суде;
  • предоставлять ПДн третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
  • отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;
  • использовать ПДн Субъектов без их согласия в случаях, предусмотренных законодательством Российской Федерации.

Общество как оператор ПДн обязан:
  • предоставлять Субъекту по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • разъяснить Субъекту юридические последствия его отказа в предоставлении Обществу его ПДн при условии, что такое предоставление Субъектом его ПДн Обществу является обязательным в соответствии с федеральным законом;
  • в случае получения ПДн не от Субъекта, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких ПДн предоставить Субъекту следующую информацию:
  • 1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
  • 2) цель обработки ПДн и ее правовое основание;
  • 3) предполагаемые пользователи ПДн;
  • 4) установленные настоящей Политикой права Субъекта;
  • 5) источник получения ПДн.
  • при сборе ПДн, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 года № 152- ФЗ «О персональных данных».

Общество предпринимает разумные меры для поддержания точности и актуальности имеющихся ПДн, а также удаления ПДн в случаях, если они являются устаревшими, недостоверными или излишними либо если достигнуты цели их обработки.
Субъект ПДн имеет право:
  • на отзыв согласия на обработку ПДн;
  • требовать уточнения своих Пдн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать перечень своих ПДн, обрабатываемых Обществом, и источник их получения;
  • получать информацию о сроках обработки своих ПДн, в том числе о сроках их хранения;
  • обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействие при обработке его ПДн;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъекты ПДн несут ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

14. ОБРАБОТКА ОБРАЩЕНИЙ И ОБРАТНАЯ СВЯЗЬ
В случаях, если Субъект ПДн хочет обратиться к Обществу в рамках реализации своих прав, либо имеет другие законные требования, он может в установленном порядке и в соответствии с законодательством Российской Федерации реализовать такое право, при этом в некоторых случаях (например, если Субъект хочет удалить свои ПДн или прекратить их обработку) такое обращение (запрос) также может означать, что Общество больше не сможет предоставлять услуги Субъекту.
Для выполнения запросов Субъектов, Общество может потребовать установить личность такого Субъекта и запросить дополнительную информацию, подтверждающую его участие в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки ПДн Обществом.
Право Субъекта на доступ к его ПДн может быть ограничено в соответствии с законодательством Российской Федерации, в том числе если доступ Субъекта к его ПДн нарушает права и законные интересы третьих лиц.
Порядок направления запросов Субъектом определен требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
В случае направления запроса представителем Субъектом, запрос должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
Запрос может быть направлен Субъектом в электронном виде. Такие запросы должны быть подписаны усиленной квалифицированной электронной подписью Субъекта.
Контакты Общества для направления запросов Субъектов:
почтовый адрес: 117420, г. Москва, вн. тер. г. муниципальный округ Черемушки, ул. Намёткина, д. 12А, помещ. XVII, ком. 9.
электронный адрес: pdn@sblogistica.ru

15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является внутренним документом Общества и вступает в силу с момента ее утверждения, а также является общедоступной и подлежит размещению (опубликованию) на web-ресурсе Общества с доменным именем: https://sberlogistics.ru/about/documents.
Общество имеет право вносить изменения в настоящую Политику. Изменения, вносимые в настоящую Политику, вступают в силу со дня их утверждения, если иное не установлено самими изменениями.