ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
Политика в отношении обработки персональных данных ООО «Европейские кондитерские»
г. Калининград, 14.07.2026 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В процессе ведения бизнеса Организация обрабатывает персональные данные. Осуществляя эту обработку, Организация обеспечивает конфиденциальность персональных данных и соблюдение прав субъектов персональных данных, в том числе их прав на неприкосновенность частнойжизни, личную и семейную тайну. Настоящая политика устанавливает общие стандарты в отношении обработки персональных данных.
1.2. Настоящая политикаприменима ко всем случаям обработкиперсональных данных выполняемой Организацией или третьей стороной по поручению Организации. В отношении обработки персональных данных Организация
руководствуется Федеральным Законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных» (далее - Закон).
1.3. Настоящая Политика является внутренним нормативным документом Организации и является обязательной для исполнения всеми работниками Организации.
1.4. Настоящая политика публикуется на сайте Организации в сети Интернет. Любой новый работник, во время первого вводного инструктажа, должен быть ознакомлен с настоящей Политикой.
1.5. В дополнение к настоящей Политике, Организация может выпустить дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных. Такие нормативные документы должны соответствовать требованиям настоящей Политики.
1.6. В случае если требования настоящей Политики являютсяболее строгими по
сравнению с требованиями закона – требования Политики имеют преимущество.
1.7. Настоящая политикане распространяется на обработку:
1.7.1. данных, не относящихся прямо или косвенно к определенному или определяемому физическому лицу (обезличенные данные);
1.7.2. данных, относящихся к юридическим лицам.
1.8. Настоящая политика утверждается генеральным директором Организации. Политика подлежит пересмотру по мере необходимости.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Если иное явно не указано в настоящей политике, то следующие термины используются в том значении, которое указано в данном разделе: Организация — ООО «Европейские кондитерские».
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Политика — настоящая политика в отношении обработки персональных данных. Обработка персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, (распространение, доступ, предоставление), обезличивание, блокирование, удаление,уничтожение персональных данных.
Программа лояльности «Круассан фэмили» — комплекс взаимосвязанных действий и мероприятий, направленных на взаимодействие с клиентами Организации и
Партнёров Программы лояльности«Круассан фэмили».
Правила и термины Программы лояльности «Круассан фэмили» публикуются на её официальном сайте в сети «Интернет».
Интернет-магазин Круассан фэмили (далее интернет-магазин) – сайт, торгующий товарами посредством сети Интернет. Позволяет пользователям онлайн, в своём браузере или через мобильноеприложение, сформировать заказ на покупку,выбрать способ оплаты и доставкизаказа, оплатить заказ.
3. ОСНОВНЫЕ ПОЛОЖЕНИЯ
3.1. ПРИНЦИПЫ ОБРАБОТКИПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.1. ПРАВОМЕРНОСТЬ ОБРАБОТКИ
3.1.1.1. Организация проводитобработку персональных данных на законнойи справедливой основе. При обработке персональных данных Организация обеспечивает точностьперсональных данных, их достаточность и актуальность по отношению к целям обработки.
3.1.1.2. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.1.1.2.1. физических лиц – клиентов (потенциальных клиентов, партнеров и контрагентов, потенциальных партнеров и контрагентов, подателей жалоб, заявлений и обращений, участников Программы лояльности «Круассан фэмили»), клиентов интернет-магазина, а также руководителей.
3.1.1.2.2. физических лиц – сотрудников Организации.
3.1.1.3. Организация проводит обработкуперсональных данных в следующих целях:
3.1.1.3.1. Осуществления возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О несостоятельности (банкротстве) кредитных организаций», «О персональных данных», выполнения требований иных Федеральных законов.
3.1.1.3.2. Осуществления прав и законныхинтересов Организации или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.1.1.3.3. Поддержания отношений с клиентом.
3.1.1.3.4. Обеспечения безопасности операций, связанных с предоставлением поощрений в рамках Программы лояльности «Круассан фэмили», профилактики правонарушений в отношении Организации, его Клиентов и работников, повышения качества обслуживания Клиентов.
3.1.1.3.5. Администрирования ИТ-инфраструктуры.
3.1.1.3.6. Договорной деятельности с партнерами.
3.1.1.3.7. Обеспечения эксплуатации и реализации мероприятий Программылояльности «Круассан фэмили», интернет-магазина.
3.1.1.3.8. Обработки обращений участников Программы лояльности «Круассан фэмили», интернет-магазина.
3.1.1.3.9. Предоставления доступа участников Программы лояльности «Круассан фэмили» к Личному кабинету, Мобильному приложению Программы лояльности «Круассан фэмили».
3.1.1.3.10 Предоставление доступа к личному кабинету интернет-магазина. 3.1.1.3.11. Предоставление/оформление Привилегий Программы лояльности «Круассан фэмили».
3.1.1.3.12. Обработка персональных данных Организации ограничивается
достижением перечисленных в данном пункте целей, обработкаперсональных данных в иных целях не допускается.
3.1.1.3.13 В ряде случаев, как это описано ниже, Организация получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на веб-сайтах и в онлайн-сервисах Организации. Для работы с такими данными Организация использует cookies.
Cookies — это небольшие текстовые файлы, содержащие некоторую информацию, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время просмотра веб-страницы.
Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или для устранения различных ошибок или багов, которые могут периодически возникать. При этом перечень целей, для достижения которых необходимы cookies, не является исчерпывающим и зависит от конкретного сайта, который пользователь посещает или иным образом использует.
В частности, на сайтах Организации могут использоваться следующиеcookies:
Пользователи также могут самостоятельно ограничить или полностью отключить установку cookies через настройки своего веб-браузера. Однако без использования технических cookies веб-сайты и онлайн-сервисы Организации могут работать некорректно, а часть их функционала может оказаться недоступна.
Организация, используя cookies, не преследует цели идентифицировать конкретного пользователя веб-сайтов и онлайн-сервисов Общества.
3.1.1.3.14 Для обработки данных пользователя Компанияиспользует интернет-сервис Яндекс.Метрика (119021, Россия,Москва, ул. Льва Толстого, д. 16, ООО «Яндекс»).
3.1.1.4. Обработке подлежат персональные данные в объеме, соответствующем указанным выше целям обработки. Не подлежат сбору и обработке персональные данные несоответствующие характеру поставленных целей или избыточные по отношению к указанным выше целям обработки. Не допускается объединение баз данных, содержащих персональные данные,обработка которых осуществляется в целях, несовместимых между собой.
3.1.1.5. Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.1.1.6. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться Организацией для установления личности субъекта персональных данных только при наличии его согласия в письменной форме.
3.1.1.7. До начала обработки, Организацией должны быть предприняты технические и организационные меры для защитыперсональных данных от неправомерного или случайного доступа,уничтожения, изменения, блокирования, копирования, предоставления, распространения. Для обеспечения выполнения требований, предусмотренных настоящей Политикой и законодательством в Организации назначается лицо, ответственное за организацию обработки персональных данных, введены в действие внутренние нормативные документы, устанавливающие
процедуры обработки персональных данных, а также процедуры, направленные на предотвращение нарушений законодательства. Доступ к персональным данным будет предоставлен исключительно уполномоченным работникам, в тех случаях и тогда, когда это требуется для эффективного исполнения ими своих трудовых обязанностей. Работники, осуществляющие обработку персональных данных, обязаны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами, и соблюдать требования по обеспечению информационной безопасности. Работникам, осуществляющим обработку персональных данных, запрещено несанкционированное или нерегистрируемое копирование персональных данных, использование отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов).
3.1.1.8. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом и/или его участия в Программе лояльности «Круассан фэмили», регистрацией на сайте интернет-магазина, персональных данных, сроками исковой давности, установленными законодательством сроками хранения документов, образующимися в процессе деятельности Организации, иными требованиями законодательства, а также сроком предоставленного субъектом согласия на обработку персональных данных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Исключением являются случаи, когда срок хранения персональных данных установлен федеральным законом либо договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3.1.2. СОБЛЮДЕНИЕ ПРИНЦИПОВ ОТКРЫТОСТИ И ПРОЗРАЧНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.2.1. При сборе персональных данныхОрганизация предоставит субъекту персональных данных по его просьбе информацию о целях и условиях обработки, а также иную информацию, касающуюся обработки его персональных данных, указанную в п. 3.3 настоящей Политики. В случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, Организация разъяснит субъекту персональных данных юридические последствия отказа предоставить персональные данные.
3.1.2.2. При получении персональных данных не от субъекта персональных данных Организация, до начала их обработки, проинформирует об этом субъекта персональных данных и сообщит ему:
– наименование и адрес Организации;
– цель обработкиперсональных данных и ее правовоеоснование;
– источник получения персональных данных;
– информацию о предполагаемых пользователях персональных данных;
– установленные законом права субъекта персональных данных. Исключением из этого правила являются случаи, когда:
– Субъект персональных данных уже проинформирован о том факте, что Организация осуществляет обработку его персональных данных;
– Персональные данныесделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
– Предоставление вышеупомянутых сведений субъекту персональных данных нарушает права и законные интересы третьих лиц.
3.1.2.3. В тех случаях, когда Организация осуществляет сбор персональных данных через веб-сайт в сети Интернет, то информация об Организации, о целях и условиях обработки персональных данных, а также настоящая Политика будут размещены на том же веб-сайте.
3.1.3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.3.1. Обработка персональных данных Организацией осуществляется только в следующем случае
– у Организации имеется явное и недвусмысленное согласиесубъекта персональных данных на такую обработку.
3.1.4. УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ ОТЗЫВА СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ СОГЛАСИЯНА ОБРАБОТКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.4.1. Персональные данные должны быть удалены или обезличены:
– в случае отзыва субъектом персональных данных согласия на обработку его персональных данныхпри отсутствии у Организации оснований продолжить такую обработку без согласия субъекта;
– в случае выявления неправомерной обработки персональных данных.
3.1.4.2. Персональные данные не должны быть удалены:
– в случае если персональные данные необходимо сохранить для выполнения требований законодательства Российской Федерации;
– в случае если персональные данные необходимо сохранить для защиты законных интересов Организации при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.1.5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМИ ЛИЦАМИ ПО ПОРУЧЕНИЮ ОРГАНИЗАЦИИ
3.1.5.1. Организация будет поручать обработку персональных данных третьим лицам только в случае оправданной необходимости.
3.1.5.2. Организация в рамках реализации программы лояльности «Круассан фэмили» вправе передавать персональные данные в ПАО «ВымпелКом» (ИНН 7713076301) для их дальнейшей обработки в целях аналитики эффективности использования приложения.
3.1.5.3. Организация предпримет все необходимые меры для обеспечения того, чтобы привлеченные к обработке персональных данных третьи лица действовали в соответствии с настоящей Политикой. Организация прекратит отношения с третьим лицом в случае:
– систематического нарушения третьим лицом требований настоящей Политики.
– грубого непреднамеренного нарушения третьим лицом требований настоящей Политики.
3.1.5.4. В случае если Организация получает персональные данные от третьихлиц, то прежде, чем приступить к их обработке, Организация удостоверится, что третье лицо имеет право передавать эти персональные данныеОрганизации, а субъекты персональных данных уведомлены надлежащим образом о том, что их персональные данныебудут переданы Организации.
3.1.6. ОБРАБОТКА АУДИО- И ВИДЕОЗАПИСЕЙ
3.1.6.1. Осуществление аудио- и видеозаписей будет производиться только при наличии обоснованной необходимости и только в целях, заявленных в данном разделе.
3.1.6.2. Организация будет осуществлять запись телефонных разговоров только при условии соблюдения требований законодательства и только в следующих целях:
– для обеспечения доказательства совершения юридически значимых действий; Организация в обязательном порядке будет информировать респондентов об осуществлении записи телефонного разговора.
3.1.6.3. Организация будет осуществлять видеозапись и видеонаблюдение только при условии соблюдения требований законодательства и только в следующих целях:
– для обеспечения безопасности помещений, оборудования и иных материальных ценностей;
– для защиты интересов Организации и обеспечения безопасности персонала,
Клиентов и других физических лиц;
– для мониторинга, предотвращения и проведения разбирательства в случае нарушения правил внутреннего распорядка;
– для предоставления доказательств в случае судебного разбирательства. Организация в обязательном порядке будет информировать физических лиц об осуществлении видеонаблюдения или видеозаписи
3.2. ОБЕСПЕЧЕНИЕ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА
3.2.1. СОГЛАСОВАНИЕПРОЦЕДУР ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.2.1.1. Обработка персональных данных Организацией осуществляться в соответствии с требованиями настоящей Политики и действующего законодательства. Контроль за обеспечением такого соответствия осуществляется лицом, ответственным за организацию обработки персональных данных.
3.2.1.2. Лицо, ответственное за организацию обработки персональных данных в Организации, в обязательном порядке регистрирует все запросы, на согласование процедур обработки персональных данных, а также ответы на эти запросы (одобрения или возражения) и иную информацию, относящуюся к данной теме.
3.2.1.3. Предоставление персональных данных, обрабатываемых Организацией, по запросу третьих лиц, в том числе по запросу правоохранительных и судебных органов, контролируется лицом, ответственным за организацию обработки персональных данных в Организации.
3.3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.1. Субъект персональных данных имеет право:
– на получение сведенийо наименовании и месте нахождения Организации;
– получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
– подтверждение факта обработки персональных данных Организацией, а также правовые основания и цели такой обработки;
– способы обработки персональных данных, применяемые Организацией;
– сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
– обрабатываемые персональные данные и источник их получения;
– сроки обработкиперсональных данных, в том числе сроки их хранения;
– требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данныеявляются:
– неполными, устаревшими, неточными;
– незаконно полученными;
– не являются необходимыми для заявленной цели обработки.
– принимать предусмотренные законом меры по защите своих прав;
3.3.2. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.2.1. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо приполучении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
3.3.2.2. Организация сообщит субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту,а также предоставит возможность ознакомления с этими данными при обращении субъекта или его законного представителя в течение 30 (тридцати) дней с даты получения запроса.
3.3.2.3. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случаях, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма или если предоставление персональных данных нарушает права и законные интересы третьих лиц. В случае отказа в предоставлении информации субъекту персональных данных или его законному представителю Организация направит ему в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона, являющееся основанием для такого отказа. Ответ будет направлен в срок, не превышающий 30 (тридцати) рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3.3.3. ТРЕБОВАНИЕ О ПРЕКРАЩЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.3.1. В срок, не превышающий 14 (четырнадцати) рабочих дней со дня предоставления сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация внесет в них соответствующие изменения.
3.3.3.2. В срок, не превышающий 14 (четырнадцати) рабочих дней со дня представления сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация уничтожит такие персональные данные.
3.3.3.3. Организация уведомит субъекта персональных данных о внесенных изменениях и предпринятых мерах и примет меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.3.4. ОБРАБОТКА ЗАПРОСОВ И ТРЕБОВАНИЙ СУБЪЕКТОВПЕРСОНАЛЬНЫХ ДАННЫХ Обработка обращений и запросов, касающихся защиты прав субъектов персональных данных, осуществляется в Организации под контролем лица, ответственного за организацию обработки персональных данных
4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
4.1. Контроль за соблюдением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Организации.
4.2. Руководство Организации предпримет все необходимые меры, чтобы работники Организации действовали в соответствии настоящей Политикой.
ПРИЛОЖЕНИЕ № 1. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ.
1. Для достижения целей, определенных в настоящей Политике, в ООО «Европейские кондитерские» может обрабатываться следующий перечень персональных данных:
1.1. Персональные данные участников Программы лояльности «Круассан фэмили», пользователей интернет-магазина:
1.1.1. Фамилия, имя, отчество.
1.1.2. Дата рождения.
1.1.3. Пол.
1.1.4. Номера телефона (мобильного).
1.1.5. Адрес электронной почты.
1.1.6. Семейное положение.
1.1.7. Наличие детей.
1.1.8. Адрес места жительства.
1.1.9 Записи телефонных звонков.
1.1.10 Сведения, собираемые посредством метрических программ, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.).
1.1.11 ID Пользователя.
1.1.12 Банковские реквизиты, включая данные платежной карты.
1.1.13 Адрес доставки;
1.1.14 Иные данные, самостоятельно предоставленные лицами в адрес Общества (в рамках оформления и доставки (возврата) заказа).
1.1.15 MAC-адрес (Media Access Control) — это уникальный физический идентификатор, присвоенный каждому устройству, имеющему сетевой адаптер (например, сетевой карте). Он используется для идентификации устройств в локальной сети на канальном уровне модели OSI.
1.1.16 Гео-позиция,
1.1.17 Google Advertising ID,
1.1.18 Файлы-cookie,
1.1.19 Данные о совершенных покупках,
1.1.20 Данные об использовании Бонусов/ Экспресс-Бонусов,
1.1.21 Данные карты лояльности,
1.1.22 Данные об изменении потребления,
1.1.23 Данные об обращениях,
1.1.24 Претензиях и жалобах,
1.1.25 Информация о детях,
1.1.26 IDFA (Identifier for Advertisers) — это уникальный идентификатор, присваиваемый Apple каждому устройству iOS. Он используется в целях персонализированной рекламы, позволяя рекламодателям отслеживать действия пользователей между разными приложениями без доступа к их личным данным.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В процессе ведения бизнеса Организация обрабатывает персональные данные. Осуществляя эту обработку, Организация обеспечивает конфиденциальность персональных данных и соблюдение прав субъектов персональных данных, в том числе их прав на неприкосновенность частнойжизни, личную и семейную тайну. Настоящая политика устанавливает общие стандарты в отношении обработки персональных данных.
1.2. Настоящая политикаприменима ко всем случаям обработкиперсональных данных выполняемой Организацией или третьей стороной по поручению Организации. В отношении обработки персональных данных Организация
руководствуется Федеральным Законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных» (далее - Закон).
1.3. Настоящая Политика является внутренним нормативным документом Организации и является обязательной для исполнения всеми работниками Организации.
1.4. Настоящая политика публикуется на сайте Организации в сети Интернет. Любой новый работник, во время первого вводного инструктажа, должен быть ознакомлен с настоящей Политикой.
1.5. В дополнение к настоящей Политике, Организация может выпустить дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных. Такие нормативные документы должны соответствовать требованиям настоящей Политики.
1.6. В случае если требования настоящей Политики являютсяболее строгими по
сравнению с требованиями закона – требования Политики имеют преимущество.
1.7. Настоящая политикане распространяется на обработку:
1.7.1. данных, не относящихся прямо или косвенно к определенному или определяемому физическому лицу (обезличенные данные);
1.7.2. данных, относящихся к юридическим лицам.
1.8. Настоящая политика утверждается генеральным директором Организации. Политика подлежит пересмотру по мере необходимости.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Если иное явно не указано в настоящей политике, то следующие термины используются в том значении, которое указано в данном разделе: Организация — ООО «Европейские кондитерские».
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Политика — настоящая политика в отношении обработки персональных данных. Обработка персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, (распространение, доступ, предоставление), обезличивание, блокирование, удаление,уничтожение персональных данных.
Программа лояльности «Круассан фэмили» — комплекс взаимосвязанных действий и мероприятий, направленных на взаимодействие с клиентами Организации и
Партнёров Программы лояльности«Круассан фэмили».
Правила и термины Программы лояльности «Круассан фэмили» публикуются на её официальном сайте в сети «Интернет».
Интернет-магазин Круассан фэмили (далее интернет-магазин) – сайт, торгующий товарами посредством сети Интернет. Позволяет пользователям онлайн, в своём браузере или через мобильноеприложение, сформировать заказ на покупку,выбрать способ оплаты и доставкизаказа, оплатить заказ.
3. ОСНОВНЫЕ ПОЛОЖЕНИЯ
3.1. ПРИНЦИПЫ ОБРАБОТКИПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.1. ПРАВОМЕРНОСТЬ ОБРАБОТКИ
3.1.1.1. Организация проводитобработку персональных данных на законнойи справедливой основе. При обработке персональных данных Организация обеспечивает точностьперсональных данных, их достаточность и актуальность по отношению к целям обработки.
3.1.1.2. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.1.1.2.1. физических лиц – клиентов (потенциальных клиентов, партнеров и контрагентов, потенциальных партнеров и контрагентов, подателей жалоб, заявлений и обращений, участников Программы лояльности «Круассан фэмили»), клиентов интернет-магазина, а также руководителей.
3.1.1.2.2. физических лиц – сотрудников Организации.
3.1.1.3. Организация проводит обработкуперсональных данных в следующих целях:
3.1.1.3.1. Осуществления возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О несостоятельности (банкротстве) кредитных организаций», «О персональных данных», выполнения требований иных Федеральных законов.
3.1.1.3.2. Осуществления прав и законныхинтересов Организации или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.1.1.3.3. Поддержания отношений с клиентом.
3.1.1.3.4. Обеспечения безопасности операций, связанных с предоставлением поощрений в рамках Программы лояльности «Круассан фэмили», профилактики правонарушений в отношении Организации, его Клиентов и работников, повышения качества обслуживания Клиентов.
3.1.1.3.5. Администрирования ИТ-инфраструктуры.
3.1.1.3.6. Договорной деятельности с партнерами.
3.1.1.3.7. Обеспечения эксплуатации и реализации мероприятий Программылояльности «Круассан фэмили», интернет-магазина.
3.1.1.3.8. Обработки обращений участников Программы лояльности «Круассан фэмили», интернет-магазина.
3.1.1.3.9. Предоставления доступа участников Программы лояльности «Круассан фэмили» к Личному кабинету, Мобильному приложению Программы лояльности «Круассан фэмили».
3.1.1.3.10 Предоставление доступа к личному кабинету интернет-магазина. 3.1.1.3.11. Предоставление/оформление Привилегий Программы лояльности «Круассан фэмили».
3.1.1.3.12. Обработка персональных данных Организации ограничивается
достижением перечисленных в данном пункте целей, обработкаперсональных данных в иных целях не допускается.
3.1.1.3.13 В ряде случаев, как это описано ниже, Организация получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на веб-сайтах и в онлайн-сервисах Организации. Для работы с такими данными Организация использует cookies.
Cookies — это небольшие текстовые файлы, содержащие некоторую информацию, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время просмотра веб-страницы.
Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или для устранения различных ошибок или багов, которые могут периодически возникать. При этом перечень целей, для достижения которых необходимы cookies, не является исчерпывающим и зависит от конкретного сайта, который пользователь посещает или иным образом использует.
В частности, на сайтах Организации могут использоваться следующиеcookies:
Категория | Описание и цель использования |
Технические cookies | Эти cookies необходимы для работы веб-сайтов и онлайн-сервисов Общества, а без них они не могут надлежащим образом функционировать. Технические cookies позволяют пользователям перемещаться по таким сайтам и сервисам, просматривать их различные разделы, заполнять формы и прожимать там чекбоксы |
Аналитические cookies | Эти cookies собирают информацию о том,как часто пользователи посещают веб-сайты и онлайн-сервисы Общества, какие разделы просматривают, на какие ссылки нажимают и как в целом перемещаются по таким сайтам и сервисам |
Cookies предпочтений | Эти cookies запоминают настройки и выборы, которые пользователи делаютна веб-сайтах и в онлайн-сервисах Общества (язык, регион, поисковые запросы и т.д.)и тем самым обеспечивают получение пользователями персонализированного опыта при использовании таких сайтов и сервисов |
Маркетинговые cookies | Эти cookies собирают информацию о действиях, совершаемых пользователями как на веб-сайтах и в онлайн-сервисах Общества, так и на сайтах третьих лиц, чтобы показывать наиболее актуальную дляпользователей рекламу, оценивать эффективность такой рекламы и ограничивать количество рекламных показов для таких пользователей на сайтах и в сервисахОбщества |
Пользователи также могут самостоятельно ограничить или полностью отключить установку cookies через настройки своего веб-браузера. Однако без использования технических cookies веб-сайты и онлайн-сервисы Организации могут работать некорректно, а часть их функционала может оказаться недоступна.
Организация, используя cookies, не преследует цели идентифицировать конкретного пользователя веб-сайтов и онлайн-сервисов Общества.
3.1.1.3.14 Для обработки данных пользователя Компанияиспользует интернет-сервис Яндекс.Метрика (119021, Россия,Москва, ул. Льва Толстого, д. 16, ООО «Яндекс»).
3.1.1.4. Обработке подлежат персональные данные в объеме, соответствующем указанным выше целям обработки. Не подлежат сбору и обработке персональные данные несоответствующие характеру поставленных целей или избыточные по отношению к указанным выше целям обработки. Не допускается объединение баз данных, содержащих персональные данные,обработка которых осуществляется в целях, несовместимых между собой.
3.1.1.5. Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.1.1.6. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться Организацией для установления личности субъекта персональных данных только при наличии его согласия в письменной форме.
3.1.1.7. До начала обработки, Организацией должны быть предприняты технические и организационные меры для защитыперсональных данных от неправомерного или случайного доступа,уничтожения, изменения, блокирования, копирования, предоставления, распространения. Для обеспечения выполнения требований, предусмотренных настоящей Политикой и законодательством в Организации назначается лицо, ответственное за организацию обработки персональных данных, введены в действие внутренние нормативные документы, устанавливающие
процедуры обработки персональных данных, а также процедуры, направленные на предотвращение нарушений законодательства. Доступ к персональным данным будет предоставлен исключительно уполномоченным работникам, в тех случаях и тогда, когда это требуется для эффективного исполнения ими своих трудовых обязанностей. Работники, осуществляющие обработку персональных данных, обязаны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами, и соблюдать требования по обеспечению информационной безопасности. Работникам, осуществляющим обработку персональных данных, запрещено несанкционированное или нерегистрируемое копирование персональных данных, использование отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов).
3.1.1.8. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом и/или его участия в Программе лояльности «Круассан фэмили», регистрацией на сайте интернет-магазина, персональных данных, сроками исковой давности, установленными законодательством сроками хранения документов, образующимися в процессе деятельности Организации, иными требованиями законодательства, а также сроком предоставленного субъектом согласия на обработку персональных данных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Исключением являются случаи, когда срок хранения персональных данных установлен федеральным законом либо договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3.1.2. СОБЛЮДЕНИЕ ПРИНЦИПОВ ОТКРЫТОСТИ И ПРОЗРАЧНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.2.1. При сборе персональных данныхОрганизация предоставит субъекту персональных данных по его просьбе информацию о целях и условиях обработки, а также иную информацию, касающуюся обработки его персональных данных, указанную в п. 3.3 настоящей Политики. В случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, Организация разъяснит субъекту персональных данных юридические последствия отказа предоставить персональные данные.
3.1.2.2. При получении персональных данных не от субъекта персональных данных Организация, до начала их обработки, проинформирует об этом субъекта персональных данных и сообщит ему:
– наименование и адрес Организации;
– цель обработкиперсональных данных и ее правовоеоснование;
– источник получения персональных данных;
– информацию о предполагаемых пользователях персональных данных;
– установленные законом права субъекта персональных данных. Исключением из этого правила являются случаи, когда:
– Субъект персональных данных уже проинформирован о том факте, что Организация осуществляет обработку его персональных данных;
– Персональные данныесделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
– Предоставление вышеупомянутых сведений субъекту персональных данных нарушает права и законные интересы третьих лиц.
3.1.2.3. В тех случаях, когда Организация осуществляет сбор персональных данных через веб-сайт в сети Интернет, то информация об Организации, о целях и условиях обработки персональных данных, а также настоящая Политика будут размещены на том же веб-сайте.
3.1.3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.3.1. Обработка персональных данных Организацией осуществляется только в следующем случае
– у Организации имеется явное и недвусмысленное согласиесубъекта персональных данных на такую обработку.
3.1.4. УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ ОТЗЫВА СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ СОГЛАСИЯНА ОБРАБОТКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.4.1. Персональные данные должны быть удалены или обезличены:
– в случае отзыва субъектом персональных данных согласия на обработку его персональных данныхпри отсутствии у Организации оснований продолжить такую обработку без согласия субъекта;
– в случае выявления неправомерной обработки персональных данных.
3.1.4.2. Персональные данные не должны быть удалены:
– в случае если персональные данные необходимо сохранить для выполнения требований законодательства Российской Федерации;
– в случае если персональные данные необходимо сохранить для защиты законных интересов Организации при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.1.5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМИ ЛИЦАМИ ПО ПОРУЧЕНИЮ ОРГАНИЗАЦИИ
3.1.5.1. Организация будет поручать обработку персональных данных третьим лицам только в случае оправданной необходимости.
3.1.5.2. Организация в рамках реализации программы лояльности «Круассан фэмили» вправе передавать персональные данные в ПАО «ВымпелКом» (ИНН 7713076301) для их дальнейшей обработки в целях аналитики эффективности использования приложения.
3.1.5.3. Организация предпримет все необходимые меры для обеспечения того, чтобы привлеченные к обработке персональных данных третьи лица действовали в соответствии с настоящей Политикой. Организация прекратит отношения с третьим лицом в случае:
– систематического нарушения третьим лицом требований настоящей Политики.
– грубого непреднамеренного нарушения третьим лицом требований настоящей Политики.
3.1.5.4. В случае если Организация получает персональные данные от третьихлиц, то прежде, чем приступить к их обработке, Организация удостоверится, что третье лицо имеет право передавать эти персональные данныеОрганизации, а субъекты персональных данных уведомлены надлежащим образом о том, что их персональные данныебудут переданы Организации.
3.1.6. ОБРАБОТКА АУДИО- И ВИДЕОЗАПИСЕЙ
3.1.6.1. Осуществление аудио- и видеозаписей будет производиться только при наличии обоснованной необходимости и только в целях, заявленных в данном разделе.
3.1.6.2. Организация будет осуществлять запись телефонных разговоров только при условии соблюдения требований законодательства и только в следующих целях:
– для обеспечения доказательства совершения юридически значимых действий; Организация в обязательном порядке будет информировать респондентов об осуществлении записи телефонного разговора.
3.1.6.3. Организация будет осуществлять видеозапись и видеонаблюдение только при условии соблюдения требований законодательства и только в следующих целях:
– для обеспечения безопасности помещений, оборудования и иных материальных ценностей;
– для защиты интересов Организации и обеспечения безопасности персонала,
Клиентов и других физических лиц;
– для мониторинга, предотвращения и проведения разбирательства в случае нарушения правил внутреннего распорядка;
– для предоставления доказательств в случае судебного разбирательства. Организация в обязательном порядке будет информировать физических лиц об осуществлении видеонаблюдения или видеозаписи
3.2. ОБЕСПЕЧЕНИЕ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА
3.2.1. СОГЛАСОВАНИЕПРОЦЕДУР ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.2.1.1. Обработка персональных данных Организацией осуществляться в соответствии с требованиями настоящей Политики и действующего законодательства. Контроль за обеспечением такого соответствия осуществляется лицом, ответственным за организацию обработки персональных данных.
3.2.1.2. Лицо, ответственное за организацию обработки персональных данных в Организации, в обязательном порядке регистрирует все запросы, на согласование процедур обработки персональных данных, а также ответы на эти запросы (одобрения или возражения) и иную информацию, относящуюся к данной теме.
3.2.1.3. Предоставление персональных данных, обрабатываемых Организацией, по запросу третьих лиц, в том числе по запросу правоохранительных и судебных органов, контролируется лицом, ответственным за организацию обработки персональных данных в Организации.
3.3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.1. Субъект персональных данных имеет право:
– на получение сведенийо наименовании и месте нахождения Организации;
– получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
– подтверждение факта обработки персональных данных Организацией, а также правовые основания и цели такой обработки;
– способы обработки персональных данных, применяемые Организацией;
– сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
– обрабатываемые персональные данные и источник их получения;
– сроки обработкиперсональных данных, в том числе сроки их хранения;
– требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данныеявляются:
– неполными, устаревшими, неточными;
– незаконно полученными;
– не являются необходимыми для заявленной цели обработки.
– принимать предусмотренные законом меры по защите своих прав;
3.3.2. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.2.1. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо приполучении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
3.3.2.2. Организация сообщит субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту,а также предоставит возможность ознакомления с этими данными при обращении субъекта или его законного представителя в течение 30 (тридцати) дней с даты получения запроса.
3.3.2.3. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случаях, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма или если предоставление персональных данных нарушает права и законные интересы третьих лиц. В случае отказа в предоставлении информации субъекту персональных данных или его законному представителю Организация направит ему в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона, являющееся основанием для такого отказа. Ответ будет направлен в срок, не превышающий 30 (тридцати) рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3.3.3. ТРЕБОВАНИЕ О ПРЕКРАЩЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.3.1. В срок, не превышающий 14 (четырнадцати) рабочих дней со дня предоставления сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация внесет в них соответствующие изменения.
3.3.3.2. В срок, не превышающий 14 (четырнадцати) рабочих дней со дня представления сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация уничтожит такие персональные данные.
3.3.3.3. Организация уведомит субъекта персональных данных о внесенных изменениях и предпринятых мерах и примет меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.3.4. ОБРАБОТКА ЗАПРОСОВ И ТРЕБОВАНИЙ СУБЪЕКТОВПЕРСОНАЛЬНЫХ ДАННЫХ Обработка обращений и запросов, касающихся защиты прав субъектов персональных данных, осуществляется в Организации под контролем лица, ответственного за организацию обработки персональных данных
4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
4.1. Контроль за соблюдением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Организации.
4.2. Руководство Организации предпримет все необходимые меры, чтобы работники Организации действовали в соответствии настоящей Политикой.
ПРИЛОЖЕНИЕ № 1. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ.
1. Для достижения целей, определенных в настоящей Политике, в ООО «Европейские кондитерские» может обрабатываться следующий перечень персональных данных:
1.1. Персональные данные участников Программы лояльности «Круассан фэмили», пользователей интернет-магазина:
1.1.1. Фамилия, имя, отчество.
1.1.2. Дата рождения.
1.1.3. Пол.
1.1.4. Номера телефона (мобильного).
1.1.5. Адрес электронной почты.
1.1.6. Семейное положение.
1.1.7. Наличие детей.
1.1.8. Адрес места жительства.
1.1.9 Записи телефонных звонков.
1.1.10 Сведения, собираемые посредством метрических программ, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.).
1.1.11 ID Пользователя.
1.1.12 Банковские реквизиты, включая данные платежной карты.
1.1.13 Адрес доставки;
1.1.14 Иные данные, самостоятельно предоставленные лицами в адрес Общества (в рамках оформления и доставки (возврата) заказа).
1.1.15 MAC-адрес (Media Access Control) — это уникальный физический идентификатор, присвоенный каждому устройству, имеющему сетевой адаптер (например, сетевой карте). Он используется для идентификации устройств в локальной сети на канальном уровне модели OSI.
1.1.16 Гео-позиция,
1.1.17 Google Advertising ID,
1.1.18 Файлы-cookie,
1.1.19 Данные о совершенных покупках,
1.1.20 Данные об использовании Бонусов/ Экспресс-Бонусов,
1.1.21 Данные карты лояльности,
1.1.22 Данные об изменении потребления,
1.1.23 Данные об обращениях,
1.1.24 Претензиях и жалобах,
1.1.25 Информация о детях,
1.1.26 IDFA (Identifier for Advertisers) — это уникальный идентификатор, присваиваемый Apple каждому устройству iOS. Он используется в целях персонализированной рекламы, позволяя рекламодателям отслеживать действия пользователей между разными приложениями без доступа к их личным данным.
