Политика конфиденциальности

Общество с ограниченной ответственностью 
«ТОРГОВЫЙ ДОМ ССК» (ООО «Торговый Дом ССК»)

УТВЕРЖДАЮ

Директор Яфаров И.Р.

2025 г.



ПОЛИТИКА
обработки персональных данных 
в информационно - телекоммуникационной сети «Интернет» 

1. Общие положения

1.1. Настоящая Политика ООО «Торговый Дом ССК» (далее – Общество, Оператор) в отношении обработки персональных данных (далее – Политика) разработана в соответствии со п. 2 ст. 18.1 Федерального закона от 27.07.2006 №152 «О персональных данных» (далее – Закон о персональных данных) и определяет политику ООО «Торговый Дом ССК» в отношении обработки информации о субъектах персональных данных, полученную через сайт Оператора в информационно  -  телекоммуникационной сети «Интернет» (https://sskindustry.ru/) и которую Оператор может обрабатывать при осуществлении установленных в Уставе видов деятельности.

1.2. В Политике устанавливаются:

  • цель, порядок и условия обработки персональных данных;
  • категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
  • положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
1.3. В Политике используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.4. Политика вступает в силу с момента её утверждения Директором Общества и действует до её отмены приказом Директора или до введения новой Политики.
1.5. Внесение изменений в Политику производится приказом Директора. Изменения вступают в силу с момента подписания соответствующего приказа.
1.6. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Оператора в информационно-телекоммуникационной сети «Интернет», либо иным способом.
1.7. Действие настоящей Политики распространяется на процессы Оператора, в рамках которых осуществляется обработка персональных данных, полученных через сайт Оператора в информационно - телекоммуникационной сети «Интернет» (https://sskindustry.ru/) как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
1.8. Размещение субъектом персональных данных (далее также – Субъект) на сайте Оператора (https://sskindustry.ru/) своих персональных данных и/или переход на указанный сайт, означает его согласие с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

2. Категории субъектов персональных данных

2.1. К субъектам, персональные данные которых обрабатываются в соответствии с настоящей Политикой, относятся пользователи сайта https://sskindustry.ru/.  
Под пользователем понимается любой посетитель сайта https://sskindustry.ru/, желающий получить информацию в отношении Общества, в том числе: физические лица; индивидуальные предприниматели; представители и/или работники юридических лиц; иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с законодательством.

3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных

3.1. Оператор производит обработку только тех персональных данных, которые необходимы для выполнения договорных обязательств (исполнения соглашений и договоров с субъектом Оператора, исполнения обязательств перед контрагентами, а также третьими лицами), ведения общехозяйственной деятельности Оператора, а также в целях исполнения требований законодательства РФ.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:

  • фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии);
  • дата (число, месяц, год) и место рождения;
  • идентификационный номер налогоплательщика (ИНН);
  • основной государственный регистрационный номер индивидуального предпринимателя (ОРГНИП);
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
  • номер банковской карты; срок действия банковской карты; CVV/CVC код банковской карты;
  • номер расчетного счета;
  • иные персональные данные представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;
  • иные персональные данные, которые пользователь пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.
3.3. Некоторые данные автоматически передаются сайтом в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения (далее – Автоматизированные данные), в том числе:
  • IP-адрес;
  • информация cookie;
  • информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сайту); 
  • время доступа;
  • адрес посещаемой страницы; 
  • другие данные о посетителях от сервисов статистики посещаемости (адрес страницы, на которой расположен рекламный блок, адрес предыдущей страницы, статистика посещаемости и т.п.);
  • данные геолокации и иные данные, сбор и обработка которых происходит автоматически на сайтах, принадлежащих Оператору.
При помощи указанных данных собирается информация о действиях пользователей на сайте с целью улучшения его содержания, улучшения функциональных возможностей сайта и сервисов для посетителей.

3.4. Персональные данные могут использоваться Оператором:
  • для уведомления Субъектов с помощью СМС-сообщений или электронных писем о готовности заказа (товара, работы или услуги); невозможности исполнения договора;
  • возврата денежных средств в случае неисполнения гражданского договора или передачи товара (работы или услуги) ненадлежащего качества;
  • в иных случаях, необходимых для исполнения гражданского договора, в том числе, для передачи сведений агентам, принципалам, контрагентам;
  • отправки Оператором уведомлений о товарах (работах и услугах).
3.5. Оператор вправе собирать и использовать дополнительную информацию, связанную с Пользователем, получаемую в процессе доступа Пользователя к сайту, его содержанию и/или сервису, или от третьих лиц, и включающую в себя данные о технических средствах (в том числе, мобильных устройствах) и способах технологического взаимодействия с сайтом и/или его сервисом (в т.ч. IP-адрес хоста, вид операционной системы Пользователя, тип браузера, географическое положение, данные о провайдере и иное), об активности Пользователя при использовании сайта и/или его сервиса, cookies, об информации об ошибках, выдаваемых Пользователю, о скачанных файлах, видео, инструментах, а также иные данные, получаемые установленной Политикой способами; распоряжаться статистической информацией, связанной с функционированием сайта и/или его сервиса, а также информацией Пользователя для целей организации функционирования и технической поддержки сайта и/или его сервиса и исполнения условий законодательства Российской Федерации, и разработанной в соответствии с ним Политики.
3.6. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Порядок и условия обработки персональных данных

4.1. Правовым основанием обработки персональных данных являются Гражданский кодекс Российской Федерации, Федеральный закон от 27.07.2006 №149 «Об информации, информационных технологиях и о защите информации», Закон о персональных данных.
4.2. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящей Политикой.
4.3. Обработка персональных данных в Обществе выполняется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.
4.4. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.5. Общество обрабатывает персональные данные Пользователя в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://sskindustry.ru/. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
Согласие Субъектов на обработку персональных данных также дается путем совершения действия по оформлению и оплате заказа (товаров, работ и услуг), созданию личного кабинета на сайте (https://sskindustry.ru/) или обращения в службу поддержки Оператора (через форму обратной связи, телефону, посредством мессенджеров, электронной почты и иным способом). Согласие на обработку Автоматизированных данных считается полученным с момента нажатия «галочки» во всплывающей форме при заходе на сайт https://sskindustry.ru/.   
4.6. Субъект персональных данных может в любой момент изменить настройки своего браузера, чтобы ограничивалась передача Автоматизированных данных в процессе использования сайта https://sskindustry.ru/ или чтобы осуществлялось оповещение об их отправке. При этом Субъект должен понимать, что в таком случае некоторые функции и сервисы сайта https://sskindustry.ru/ не смогут работать должным образом.
4.7. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
4.8. В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры. В случае реорганизации Оператора к правопреемнику переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.
4.9. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.10. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
4.11. Общество не осуществляет трансграничную передачу персональных данных.
4.12. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.13. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Политикой.
4.14. Субъект персональных данных имеет право на изменение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки. Такое право может быть реализовано путем изменения (актуализации) информации в личном кабинете на сайте https://sskindustry.ru/, либо путем направления соответствующего уведомления Обществу.
4.15. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных. Такое право может быть реализовано путем удаления личного кабинета на сайте https://sskindustry.ru/, либо путем направления соответствующего отзыва согласия Обществу.
4.16. Направление Субъектом персональных данных любых уведомлений, документов, писем и согласий Обществу допускается на электронную почту zakaz@sskindustry.ru

5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:

  • при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
  • при достижении целей их обработки (за некоторыми исключениями);
  • по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
  • при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Порядок блокирования и уничтожения персональных данных

6.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
6.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
6.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом Директора Общества.
6.10. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
6.11. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.12. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:

  • актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
  • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями. Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом Директора Общества.
6.13. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
6.14. Уничтожение персональных данных, не указанных в п. 6.12. Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом Директора Общества.

7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
7.2. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону третьим лицам.
7.3. С целью защиты персональных данных в Обществе приказами Директора назначаются (утверждаются):

  • работник, ответственный за организацию обработки персональных данных;
  • перечень должностей, при замещении которых обрабатываются персональные данные;
  • перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
  • порядок доступа в помещения, в которых ведется обработка персональных данных;
  • порядок передачи персональных данных в пределах Общества;
  • форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
  • порядок защиты персональных данных при их обработке в информационных системах персональных данных;
  • порядок проведения внутренних расследований, проверок;
  • иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
7.4. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
7.5. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
7.6. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
7.7. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.8. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
7.9. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
7.10. В Обществе проводятся внутренние расследования в следующих ситуациях:
  • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • в иных случаях, предусмотренных законодательством в области персональных данных.
7.11. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
  • за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
  • соответствием указанных актов требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок 

7.12. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается Директором.
7.13. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
7.14. По итогам внутренней проверки оформляется докладная записка на имя Директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
7.15. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
7.16. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:

  • об инциденте;
  • его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
  • принятых мерах по устранению последствий инцидента;
  • представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
7.17. В течение 72 часов Общество обязано сделать следующее:
  • уведомить Роскомнадзор о результатах внутреннего расследования;
  • предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
7.18. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
7.19. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
7.20. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.19 Положения.
7.21. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

8. Ответственность за нарушение норм, регулирующих обработку персональных данных

8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.