Политика конфиденциальности

1.1.   Настоящая Политика обработки персональных данных (далее – «Политика») разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и является внутренним документом Акционерного общества «Графические Планшеты» (АО «Графические Планшеты»), далее – «Общество», определяющим порядок действий в области обработки и защиты персональных данных, оператором которых является Общество.
1.2.   Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и определяет основные принципы и подходы к организации Обществом обработки и защиты персональных данных субъектов персональных данных, являющихся таковыми по смыслу Закона о персональных данных.
1.3.   Политика распространяется на все действия, связанные с обработкой персональных данных на сайте https://xppen-shop.ru/ (далее – «Сайт») и в информационных системах Общества.
1.4.   Политика действует в отношении всех персональных данных, полученных как до, так и после ввода в действие настоящей Политики.
1.5.   Основные понятия, используемые в Политике:
- Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
- Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Конфиденциальность персональных данных - защищенность персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- Обработка персональных данных - действия по обработке персональных данных, которые включают в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

2.1. В рамках настоящей Политики под персональными данными понимается любая информация, относящаяся прямо или косвенно к субъекту персональных данных, в том числе, фамилия, имя, отчество, пол, возраст, дата рождения, номер телефона, адреса электронной почты, почтовые адреса, адрес регистрации, адрес места жительства, информация об образовании, месте работы, семейном положении, а также иная персональная информация субъекта персональных данных. К персональным данным также могут относиться данные, которые автоматически передаются в процессе использования Сайта с помощью установленного на устройстве субъекта персональных данных программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере субъекта персональных данных (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых субъектом персональных данных, дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация.

- Работников, бывших работников Общества и их близких родственников;
- Кандидатов на замещение вакантных должностей в Обществе;
- Клиентов (уполномоченных представителей клиентов) Общества;
- Уполномоченных представителей/работников контрагентов Общества;
- Пользователей Сайта (физические лица);
- Иных физических лиц, вступивших в отношения с Обществом в связи с участием таких лиц в хозяйственной деятельности Общества. 

  3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе, но не ограничиваясь, в соответствии с:
- Конституцией Российской Федерации;
- Федеральным законом №152-ФЗ от 27 июля 2006 года «О персональных данных»;
- Гражданским кодексом Российской Федерации;
- Постановлением Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказом ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- Уставом и локальными актами Общества;
- иными нормативными правовыми актами, регулирующими отношения, связанные с коммерческой деятельностью Общества.
3.2. Обработка персональных данных осуществляется Обществом разумно и добросовестно и на основе принципов:
- Законности целей и способов обработки персональных данных;
- Добросовестности;
- Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
- Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
3.3. Персональные данные обрабатываются Обществом включая, но не ограничиваясь, в следующих целях:
- Выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество;
- Ведения деятельности Общества в соответствии с его уставом;
- Обеспечения соблюдения актов законодательства и иных нормативных правовых актов Российской Федерации;
- Заключения, исполнения договоров и соглашений в рамках трудовых, гражданско-правовых и иных отношений;
- Идентификации пользователей Сайта;
- Улучшения продуктов и услуг Общества, а также взаимодействия с клиентами и контрагентами Общества;
- Ведения кадрового делопроизводства и бухгалтерского учета.
3.4. Общество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, состояния здоровья, личной жизни, членства в общественных объединениях, в том числе в профессиональных союзах. 

4.1. Обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
4.2. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
4.3. При обработке персональных данных Обществом обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и (или) несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.4. Обработка персональных данных осуществляется путем:
- Получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- Получения персональных данных из общедоступных источников;
- Внесения персональных данных в журналы, реестры и информационные системы Общества;
- Использования иных способов обработки персональных данных.

5.1. Субъект персональных данных имеет право на:
- Доступ к своим персональным данным, обрабатываемым Обществом, а также к сведениям о правовых основаниях и целях обработки персональных данных;
- Уточнение, исключение или исправление Обществом неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Общества персональных данных;
- Отзыв своего согласия на обработку персональных данных;
- Защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
- Обжалование действий или бездействия Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.2. Права субъектов персональных данных, предусмотренные п. 5.1. настоящей Политики, могут быть ограничены в соответствии с требованиями законодательства Российской Федерации и (или) в случаях, когда Общество осуществляет обработку персональных данных на иных правовых основаниях, нежели согласие субъекта персональных данных.   

6.1. В соответствии с требованиями Закона о персональных данных Общество имеет право:
- Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
- В случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
6.2. В соответствии с требованиями Закона о персональных данных Общество обязано:
- Использовать полученные персональные данные исключительно для целей, указанных в настоящей Политике;
- Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- Обеспечить надлежащее безопасное хранение персональных данных, не разглашать персональные данные без предварительного письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ;
- Осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или запроса субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий;
- Удалить персональные данные субъекта персональных данных в случае, если истек срок их хранения или субъект персональных данных отозвал согласие на их обработку;
- Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций) по запросу этого органа необходимую информацию в течение 10 (десяти) дней с даты получения такого запроса.

7.1. Общество оставляет за собой право в любое время по своему усмотрению вносить изменения в настоящую Политику без согласия субъектов персональных данных с целью дальнейшего совершенствования системы защиты от несанкционированного доступа к персональным данным.
7.2. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если в ней не указан иной срок ее вступления в силу.
7.3. Во всем остальном, что не отражено напрямую в Политике, Общество руководствуется нормами и положениями Закона о персональных данных.