Политика обработки персональных данных

Основные понятия, термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Закон о персональных данных – Федеральный закон РФ от 27.06.2006 г. № 152-ФЗ «О персональных данных».

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Политика обработки и защиты персональных данных (далее – Политика) – это документ, который содержит описание комплекса правил, процедур и мер, направленных на защиту персональных данных, их конфиденциальность, целостность и доступность.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Общие положения

«Софтлайн» (Группа компаний «Софтлайн») – это ПАО «Софтлайн» и аффилированные лица, перечисленные в списке раскрытия корпоративной информации на сайте «Интерфакс») стремится обеспечить защиту Персональных данных своих клиентов, сотрудников, деловых партнеров и любых других лиц.

Настоящая Политика разработана в соответствии с требованиями Российского законодательства, в том числе в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и других подзаконных нормативных актов в области защиты персональных данных.

Настоящая Политика устанавливает:

• Принципы обработки персональных данных.
• Правовые основания обработки персональных данных.
• Права и обязанности субъектов персональных данных и «Софтлайн».
• Цели сбора и обработки персональных данных.
• Категории обрабатываемых персональных данных и категории субъектов персональных данных.
• Порядок и условия обработки персональных данных.
• Условия передачи персональных данных субъектов третьим лицам.
• Меры, предпринимаемые «Софтлайн» для обеспечения безопасности и конфиденциальности персональных данных.
• Актуализация, исправление, удаление, уничтожение персональных данных и запросы субъектов на доступ к персональным данным.

Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов «Софтлайна» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

Принципы обработки персональных данных

При обработке персональных данных «Софтлайн» руководствуется следующими принципами.

Легитимность – обработка персональных данных осуществляется только на законных основаниях.

Целесообразность – обработка должна иметь конкретную цель, определенную заранее. Недопустим необоснованный сбор и использование персональных данных, которые могут нарушать права и свободы субъектов персональных данных.

Соответствие – обработка персональных данных должна соответствовать условиям, предписанным законодательством. Персональные данные могут быть использованы только для той цели, для которой были собраны, и не могут быть использованы в дальнейшем без явного согласия субъекта.

Достоверность – персональные данные должны быть точными, полными и актуальными в соответствии с целями их обработки.

Ограниченность – обработка должна ограничиваться минимальным объемом данных, необходимых для достижения цели их обработки. Срок хранения персональных данных должен быть ограничен, и после истечения этого срока они должны быть уничтожены.

Безопасность – при обработке необходимо предпринимать меры, направленные на защиту данных от несанкционированного доступа, использования, изменения и распространения.

Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми «Софтлайн» осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации.
• Гражданский Кодекс Российской Федерации.
• Трудовой Кодекс Российской Федерации.
• Налоговый Кодекс Российской Федерации.
• Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью».
• Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете».
• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
• Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью «Софтлайн».

К правовым основаниям обработки персональных данных также относятся:

• Устав и учредительные документы «Софтлайн».
• Договоры, заключаемые между «Софтлайн» и клиентами/контрагентами.
• Договоры, заключаемые между «Софтлайн» и субъектами персональных данных.
• Согласие субъектов персональных данных на обработку их персональных данных.

Права и обязанности «Софтлайн» при обработке персональных данных

При обработке персональных данных субъектов «Софтлайн» имеет право:

• Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
• Поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению «Софтлайн», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
• Требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.
• Ограничить доступ Субъекта персональных данных к его персональным данным в случае, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации.
• Обрабатывать общедоступные персональные данные физических лиц.
• Осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
• В случае отзыва субъектом персональных данных согласия на обработку персональных данных «Софтлайн» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

При обработке персональных данных субъектов «Софтлайн» обязан:

• Организовывать обработку персональных данных в соответствии с требованиями законодательства о персональных данных.
• Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.
• Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию.
• Принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями.
• Организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

Права субъекта персональных данных

Субъект персональных данных имеет право:

• Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
• Требовать от «Софтлайн» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

При получении от субъектов персональных данных запросов, связанных с реализацией прав, предоставленных Законом о персональных данных, либо по иным вопросам, связанным с обработкой персональных данных, в исключительных случаях «Софтлайн» может запросить предоставить дополнительную информацию.

В случае отказа субъекта персональных данных предоставить дополнительную информацию по запросу, «Софтлайн» не сможет реализовать права субъекта, если такая информация необходима для их корректной реализации, либо отработка запроса будет некорректна, либо предоставление информации будет не в полном объеме.

«Софтлайн» вправе отказать в реализации прав субъекту персональных данных, либо ограничить объем обязательств по их реализации, если:

• субъект персональных данных направит запрос в форме и по содержанию, не соответствующим требованиям законодательства и (или) Политики, если установлена специальная форма для таких запросов;
• это предусмотрено требованиями законодательства (например, об оперативно-розыскной деятельности, противодействии легализации денежных средств и т. д.).

Цели обработки персональных данных

«Софтлайн» обрабатывает только те персональные данные Субъектов персональных данных, которые необходимы для осуществления эффективной деятельности.

Обработка персональных данных осуществляется в следующих целях:

• Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, а также локальных нормативных актов «Софтлайн».
• Осуществления своей деятельности в соответствии с Уставом, в том числе заключение и исполнение договоров с клиентами и контрагентами.
• Исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу, контроль количества и качества выполняемой работы, ведение кадрового и бухгалтерского учета, передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования и т. д.
• Исполнения налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, единого социального налога, пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование.
• Осуществления административно-хозяйственной деятельности.
• Осуществления идентификации работников в информационных системах «Софтлайн».
• Предоставления работникам «Софтлайн» дополнительных компенсаций, в том числе добровольного медицинского страхования.
• Обеспечения оперативной коммуникации и организация совместной работы, управление продажами, задачами и проектами.
• Размещения на сайтах в сети Интернет, в социальных сетях публикаций о проводимых мероприятиях, новостных и информационных публикаций.
• Предоставления информации о «Софтлайн», продуктах и услугах, совершенствования продуктов и услуг, разработки новых продуктов или услуг «Софтлайн», улучшения клиентского опыта, качества услуг и продуктов.
• Идентификация стороны в рамках оказания услуг.
• Формирования статистической отчетности.
• Обеспечение пропускного и внутриобъектового режимов.
• Исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на «Софтлайн».
• Иных целей, предусмотренных законодательством РФ.

Категории персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Пользователи (посетители) веб-сайта

Для целей осуществления своей деятельности в соответствии с Уставом:

• Фамилия, имя, отчество.
• Дата рождения.
• Адрес проживания.
• Адрес доставки.
• Контактные данные (номер телефона, адрес электронной почты).
• Сведения об организации.
• Занимаемая должность.
• Данные платёжной карты.
• Иные персональные данные, которые пользователь (посетитель) предоставляет о себе самостоятельно при регистрации на веб-сайте или в процессе использования услуг.

«Софтлайн» получает персональные данные, которые генерируются в процессе использования пользователем Веб-сайта, либо которые получаются от устройства пользователя, а именно:

• данные об устройстве (включая MAC-адрес, IP-адрес, IDFA, Google Advertising ID, данные об операционной системе устройства, данные о браузере, разрешении экрана).
• push-токены (небольшие технические файлы, которые позволяют корректно направлять push-уведомления).
• cookie-файлы (технология, которая используется для автоматического сбора информации, в основном технического характера).
• данные, полученные в результате анализа иных данных, полученных при использовании Веб-сайта, либо предоставленных пользователем.

«Софтлайн» не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

Порядок и условия обработки персональных данных

Обработка персональных данных осуществляется «Софтлайн» в соответствии с требованиями законодательства Российской Федерации.

Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

Обработка может осуществляться следующими способами: автоматизированным, неавтоматизированным, смешанным.

Для достижения целей обработки «Софтлайн» может совершать следующие действия с данными пользователя: сбор, получение, систематизация, накопление, хранение, обновление, изменение, запись, извлечение, использование, удаление, блокирование, уничтожение, передачу (предоставление, доступ), уточнение.

Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ от 27.06.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, «Софтлайн» обеспечивает безопасность и сохраняет конфиденциальность персональных данных субъектов персональных данных.

В «Софтлайн» приняты следующие меры для защиты персональных данных:

• Назначено лицо, ответственное за организацию обработки персональных данных.
• Определены угрозы безопасности персональных данных при их обработке.
• Изданы локальные нормативные акты по вопросам обработки и обеспечения безопасности персональных данных, а также акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
• Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
• Осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных.
• Обеспечивается хранение персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.
• Организовано обучение работников «Софтлайн» требованиям и правилам работы с персональными данными.

«Софтлайн» осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуется в целях обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

«Софтлайн» прекращает обработку персональных данных в следующих случаях:

• достижения цели их обработки;
• выявления фактов их неправомерной обработки;
• истечение установленного срока обработки;
• отзыва субъектом персональных данных в случае, если по законодательству обработка этих данных допускается только с согласия.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку «Софтлайн» прекращает обработку этих данных, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• «Софтлайн» не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между «Софтлайн» и субъектом персональных данных.

При обращении субъекта персональных данных с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения «Софтлайн» соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого «Софтлайн» необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети Интернет, «Софтлайн» обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

«Софтлайн» совместно с субъектом персональных данных принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных.

Актуализация, исправление, удаление, уничтожение персональных данных и запросы субъектов на доступ к персональным данным

В случае, если субъект персональных данных желает реализовать право на доступ к своим персональным данным (в объеме, предусмотренном статьей 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»), ему необходимо направить почтой запрос в письменной форме по юридическому адресу ПАО «Софтлайн».

Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие факт обработки «Софтлайн» персональных данных субъекта;
• номер телефона и адрес электронной почты;
• информация и сведения, которые субъект персональных данных или его законный представитель хочет получить;
• подпись субъекта персональных данный или его законного представителя.

«Софтлайн» может отказать в удовлетворении запроса субъекта персональных данных, если запрос не соответствует форме или не указана информация, предусмотренная выше, либо запрос направлен не вышеуказанным способом.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Если субъектом персональных данных выявлено указание неточных персональных данных (например, допущена ошибка при их указании, данные устарели или более не являются актуальными), субъект персональных данных или его законный представитель в праве обратится в «Софтлайн» и указать данные, которые необходимо уточнить.

«Софтлайн» на основании сведений, представленных субъектом персональных данных или его законным представителем, уточняет (актуализирует) персональные данные, в соответствии с запросом.

Если субъектом персональных данных или его законным представителем выявлен факт неправомерной обработки его персональных данных, субъект персональных данных или его законный представитель вправе обратится в «Софтлайн» и указать данные, которые обрабатываются неправомерно.

При получении таких запросов «Софтлайн»:

• проводит проверку поступивших сообщений;
• при необходимости блокирует данные на период проверки;
• при подтверждении информации о неправомерности обработки – удаляет данные.

Право на отзыв согласия на обработку персональных данных

Чтобы отозвать согласие на обработку персональных субъекту персональных данных, нужно направить заявление на отзыв согласия на обработку персональных данных.

Заявление на отзыв согласия на обработку персональных данных может быть составлено в свободной и удобной для субъекта персональных данных форме.

Заявление на отзыв согласия должно содержать следующую информацию:

• фамилию, имя и отчество субъекта;
• номер телефона и адрес электронной почты;
• подпись.

Заявление на отзыв согласия на обработку персональных данных может быть направлено почтой по юридическому адресу ПАО «Софтлайн».

Запросы, связанные с реализацией прав субъектов персональных данных, «Софтлайн» обрабатывает и выполняет в установленные действующим законодательством сроки: не позднее 10 (десяти) рабочих дней (если иной срок не предусмотрен действующим законодательством) с момента получения такого запроса.

Срок на обработку запроса, связанного с реализацией прав субъекта персональных данных, может быть продлен на 5 (пять) рабочих дней. При возникновении такой необходимости «Софтлайн» уведомит субъекта персональных данных, указав причины продления срока.

Иные запросы, связанные с Политикой и обработкой данных, обрабатываются в зависимости от текущей загруженности специалистов. При необходимости консультации с внутренними специалистами, для предоставления корректного ответа на запрос, срок ответа может быть увеличен, о чем «Софтлайн» предварительно уведомит.

Передача персональных данных третьим лицам

В отношении персональных данных субъекта сохраняется их конфиденциальность, кроме случаев обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен самим субъектом, либо по его просьбе.

«Софтлайн» вправе передать персональные данные субъекта персональных данных третьим лицам в следующих случаях:

• Субъект персональных данных выразил согласие на такие действия.
• Передача необходима для исполнения обязательств по заказам, договорам и иным обязательствам перед субъектом персональных данных.
• Передача предусмотрена российским законодательством в рамках установленной процедуры.
• Передача необходима для достижения цели, осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на «Софтлайн».

Почтовыми организациями и курьерскими службами, осуществляющими доставку и выдачу приобретаемых субъектом персональных данных товаров, могут запрашиваться персональные данные, необходимые для идентификации субъекта персональных данных (в том числе паспортные данные).

Отношения по предоставлению и обработке таких персональных данных возникают между субъектами персональных данных и запрашивающими их лицами.

«Софтлайн» может передавать персональные данные в случаях слияния, продажи или реорганизации «Софтлайн» или части «Софтлайна» (включая переводы, сделанные в рамках процедуры банкротства), персональные данные могут быть переданы компании-правопреемнику. «Софтлайн» будет применять разумные меры, чтобы гарантировать, что любой правопреемник будет обращаться с полученной информацией, в соответствии с настоящей Политикой.