ПОЛИТИКА ООО «Фэшн Ритейл Груп» в отношении обработки персональных данных покупателей товаров SPRINGFIELD

Общие положения и термины

Политика ООО «Фэшн Ритейл Груп» в отношении обработки персональных данных покупателей товаров SPRINGFIELD (далее по тексту «Политика») определяет общие принципы и порядок обработки персональных данных покупателей товаров SPRINGFIELD, а также иных субъектов персональных данных, указанных в п. 2.1. настоящей Политики, и меры по обеспечению безопасности полученных персональных данных со стороны ООО «Фэшн Ритейл Груп» (далее – «Оператор»).

Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.

Политика в отношении обработки персональных данных разработана в соответствии с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

В настоящей Политике используются термины, предусмотренные действующим

законодательством, а также следующие определения:

Товары SPRINGFIELD – продукция, реализация которой осуществляется в интернет-магазине и магазинах SPRINGFIELD;
информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных, а также обеспечивающих их обработку информационных технологий и технических средств;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
Интернет-сайты Оператора – Интернет-сайты и страницы, принадлежащие Оператору, и/или администрирование которых осуществляет Оператор или иные лица по поручению и для Оператора.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
сookie-файлы - это автоматические процедуры сбора информации (небольшие текстовые файлы), определяемые в соответствии с Политика файлов Cookie.

Действие Политики распространяется на все предусмотренные настоящей Политикой персональные данные Субъектов персональных данных (в соответствии с определением ниже), обрабатываемые Оператором с применением средств автоматизации и без применения таких средств, а также персональные данные, обработку которых Оператор поручает иному лицу.

Субъект персональных данных при предоставлении своих данных соглашается с Политикой в соответствии с п. 7 настоящей Политики.

Субъект персональных данных гарантирует, что предоставленные им персональные данные являются достоверными и точными, и берет на себя обязательство сообщить о любом их изменении. Ответственность за любой вред или ущерб, нанесенный Интернет-сайтам Оператора, Оператору либо любому третьему лицу посредством предоставления ошибочных, неточных или неполных сведений несет только Субъект персональных данных.

Статус Оператора и категории субъектов, чьи персональные данные обрабатываются Оператором

Оператор является оператором персональных данных следующих субъектов (далее –«Субъекты персональных данных»):
посетителей Интернет-сайтов Оператора, которые предоставляют Оператору свои персональные данные для целей получения информации на сайтах, заключения договоров с Оператором и осуществления иных действий;
субъектов персональных данных, обратившихся с запросом к Оператору по телефону: 8 800 600 9964 или электронной почте online.ru@spf.com.

посетителей магазинов розничной торговли Оператора, включая посетителей, воспользовавшихся услугой клик-шоппинг, которые предоставляют Оператору свои персональные данные для целей получения информации, в том числе информации о товарах (работах, услугах), акциях и об иных мероприятиях, проводимых Оператором, а также для целей заключения договоров с Оператором и осуществления иных сопутствующих действий;

Обработку персональных данных, указанных выше Субъектов персональных данных может выполнять третье лицо по поручению Оператора: ООО «Купишуз», ТЭНДАМ РИТЕЙЛ ЭС.ЭЙ.

В перечень персональных данных, которые обрабатывает Оператор входят: адрес электронной почты, номер мобильного телефона, номер стационарного телефона, имя, отчество, фамилия, дата рождения, почтовый индекс, место нахождения, место проживания, данные документа, удостоверяющего личность, пол и гражданство, сookie-файлы. В зависимости от цели, для которой передаются персональные данные, перечень запрашиваемых данных может меняться. Перечень всегда точно и полностью предусмотрен в форме, которую заполняет Субъект при предоставлении персональных данных.

Принципы обработки персональных данных

Обработка персональных данных Оператором и по его поручению осуществляется в соответствии со следующими принципами:
Законность и справедливая основа обработки персональных данных. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации, не использует персональные данные во вред субъектам.
Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Оператор заявляет, что не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п. 3.2. настоящей Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.
Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
Хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, данной политикой, договором, стороной которого или выгодоприобретателем по которому является Субъект персональных данных. Максимальный период хранения персональных данных составит не более двадцати пяти лет. В случае, если по истечении данного срока, цели обработки персональных данных будут предполагать необходимость дальнейшей обработки персональных данных, и Субъект персональных данных не уведомит Оператора о своем несогласии с автоматическим продлением периода хранения персональных данных, период хранения персональных данных автоматически будет продлен на аналогичный срок и на тех же условиях.
Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено федеральными законами или договорами с субъектами.

Целями обработки персональных данных Оператором являются:
Оказание услуг по договорам и исполнение договорных обязательств;
Отправление информации и буклетов о продуктах и услугах Оператора;
Предоставление ответа на запрос, направленный Субъектом персональных данных по телефону: 8 800 600 9964 или электронной почте online.ru@spf.com;
Профилирование и маркетинг: с этой целью Оператор собирает и обрабатывает данные для анализа покупок (количество, частота совершения покупок, интересы и предпочтения Субъекта персональных данных);
Отправление информации о предложениях и рекламных акциях третьих лиц;
Отправление push-уведомлений с информацией о статусе заказов, разовых рекламных акций.

Условия обработки персональных данных

Обработка предусмотренных Политикой персональных данных Оператором допускается в следующих случаях:
При наличии согласия субъекта персональных данных на обработку его персональных данных.
Для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
Для исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
Доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе.
Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральными законами.

Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья.

Способы обработки персональных данных

Оператор осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

Настоящая Политика распространяется в том числе на обработку персональных данных без использования средств автоматизации, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

Настоящая Политика предусматривает обработку персональных данных любыми способами, предусмотренными законодательством, в том числе путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.

Настоящая Политика предусматривает возможность трансграничной передачи персональных данных (передачи персональных данных на территорию Королевства Испании) компании ТЭНДАМ РИТЕЙЛ ЭС.ЭЙ. для выполнения указанных в настоящей Политике целей.

В соответствии с требованиями действующего законодательства при сборе персональных данных оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Конфиденциальность персональных данных
Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном федеральными законами.
В случае поручения обработки персональных данных другому лицу объем передаваемых другому лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Оператором. В отношении обработки персональных данных третьим лицом должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
Оператор вправе разместить свои информационные системы персональных данных на хостинге или в дата-центре иных лиц. Если договором с оператором информационной системы, обеспечивающим услуги хостинга и/или дата-центром доступ персонала оператора информационной системы (дата-центра) к информационной системе персональных данных не допускается, данное размещение не рассматривается как поручение оператору информационной системы (дата-центру) обработки персональных данных и не требует согласия субъектов персональных данных.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, также несет ответственность перед Оператором.

Согласие субъекта персональных данных на обработку своих персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных является конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.В частности, согласие считается предоставленным, если Субъект персональных данных ставит «галочку» в регистрационной форме в сети Интернет, чтобы подтвердить, что согласен с настоящей Политикой, а также при обращении к Оператору по номеру: 8 800 600 9964 или при отправке сообщения на электронную почту Оператора:
online.ru@spf.com.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных могут быть проверены Оператором.
Согласие субъектов на предоставление их персональных данных не требуется при получении Оператором, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности и иных органов, уполномоченных запрашивать информацию в соответствии с федеральными законами.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Права субъектов персональных данных
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных также имеет право отозвать свое согласие на обработку персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований федеральных законов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект персональных данных имеет право обратиться к Оператору с запросами, предусмотренными п. 1. выше, перечисленными ниже способами, в том числе путем:
отправления электронного письма на адрес online.ru@spf.com.
отправления письма Оператору по адресу: 127055, г. Москва, ул. Сущёвская, д. 27, стр. 2, эт/пом 3/IIIa, IIIб.

Сведения о реализуемых требованиях к защите персональных данных

Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных. Конкретные меры, применяемые Оператором, закреплены во внутренних документах Оператора и могут быть предоставлены по запросу.
Правовые меры включают в себя:
разработку локальных актов Оператора, реализующих требования российского законодательства, а именно настоящей Политики и сопутствующих документов в отношении обработки персональных данных, и размещение их на интернет-сайтах Оператора;
отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенных Оператором.

Организационные меры включают себя:
назначение лица, ответственного за организацию обработки персональных данных;
ограничение состава работников Оператора и иных лиц, привлекаемых Оператором к обработке персональных данных, и организацию разрешительной системы доступа к ним;
ознакомление работников Оператора или иных уполномоченных на обработку лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Оператора по вопросам обработки персональных данных, обучение указанных работников;
регламентацию процессов обработки персональных данных;
организацию Оператором и лицами, осуществляющими обработку персональных данных по поручению Оператора, учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз; формирование модели угроз, нейтрализацию которых обеспечивают лица, которым поручил обработку Оператор, эти лица осуществляют самостоятельно;
размещение технических средств обработки персональных данных в пределах охраняемой территории;
ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны Работников Оператора.

Технические меры включают в себя:
определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности;
определение уровня защищенности персональных данных и реализацию требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
реализацию разрешительной системы доступа к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации;
регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;
выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора и лица, осуществляющего обработку персональных данных по его поручению, обеспечивающих соответствующую техническую возможность;
безопасное межсетевое взаимодействие (применение межсетевого экранирования);
обнаружение вторжений в информационную систему Оператора и лица, осуществляющего обработку персональных данных по его поручению, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных), в том числе - лицом, осуществляющим обработку персональных данных по поручению Оператора;
периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации).

Заключительные положения
Иные обязанности и права Оператора персональных данных, а также условия и принципы обработки персональных данных определяются законодательством Российской Федерации в области персональных данных.
Положения настоящей Политики могут пересматриваться по мере необходимости с опубликованием соответствующих изменений. Обязательный пересмотр Политики проводится в случае существенных изменений международного или национального законодательства в сфере персональных данных.
Дополнительная информация относительно обработки персональных данных может быть предоставлена Оператором по запросу уполномоченных лиц.
В случае несогласия субъектов персональных данных с положениями настоящей Политики субъекты не должны предоставлять свои персональные данные Оператору в соответствующих формах.
В случае наличия вопросов к настоящим положениям субъекты персональных данных могут обратиться к представителям Оператора, в том числе путем:
направления сообщения Оператору на Интернет сайте: ru.myspringfield.com.
направления сообщения Оператору по адресу: 127055, г. Москва, ул. Сущёвская, д. 27, стр. 2, эт/пом 3/IIIa, IIIб.