Политика в отношении обработки персональных данных

Политика оператора в отношении обработки персональных данных (далее — Политика) разработана в соответствии с законом Азербайджанской Республики № 998-IIIQ "О персональных данных" от 11.05.2010 г.(далее — Закон).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в OОО «Intermode» (далее — Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Запросы Субъектов персональных данных в отношении обработки их персональных данных Оператором принимаются по адресам:

• Азербайджанская Республика, город Баку, Сабаильский район, улица Низами, дом 96E, Landmark I, 2-й этаж, почтовый индекс AZ1010.
• email: info@lacoste.az

Срок рассмотрения обращений не превышает 30 (тридцати) дней со дня обращения.

В Политике используются следующие основные понятия:

персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), зафиксированная на электронном, бумажном и (или) ином материальном носителе;

персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом;

накопление персональных данных — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники;

блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

обезличивание ПДн — приведение персональных данных в состояние, при котором невозможно определить личность их субъекта;

обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), дополнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

оператор ПДн (далее — оператор) — это владелец персональных данных, осуществляющий сбор, обработку и защиту персональных данных, либо государственный или местный орган самоуправления, юридическое или физическое лицо, которому владелец персональных данных поручил выполнение этих функций в определённом объёме и на определённых условиях;

предоставление ПДн — это передача персональных данных пользователям на основании запроса в порядке, установленном законодательством, с использованием материальных носителей или информационных технологий;

распространение ПДн — действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

уничтожение ПДн — действия, в результате которых невозможно восстановить персональные данные.

2.1 Принципы обработки ПДн

Обработка ПДн у Оператора осуществляется на основе следующих принципов:

• соблюдение основных прав и свобод человека и гражданина, закреплённых в Конституции Азербайджанской Республики;
• законность;
• конфиденциальность;
• сочетание добровольности с обязательностью.

2.2 Условия обработки ПДн

Оператор производит сбор и обработку ПДн при наличии хотя бы одного из следующих условий:

• когда субъект персональных данных даёт своё согласие на сбор и обработку этих данных, либо когда данные являются открытой категорией;
• когда персональные данные обрабатываются в соответствии с законодательством, определяющим цели и методы их сбора и обработки;
• когда персональные данные обрабатываются для научных и статистических исследований, при обязательном анонимизировании этих данных;
• когда сбор и обработка персональных данных необходимы для защиты жизни и здоровья субъекта.

2.3 Цели обработки ПДн

ООО «Intermode» осуществляет обработку персональных данных в конкретных, заранее определенных и законных целях и на законных основаниях, в том числе для:

• осуществления продажи товаров;
• осуществления доставки и возврата товаров;
• предоставления доступа в личный кабинет зарегистрированному пользователю;
• осуществления новостных и рекламных рассылок;
• предоставления ответов на запросы пользователей сайта;
• сбора статистики о посетителях сайта.

2.4 Конфиденциальность ПДн

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено Законом.

2.5 Общедоступные источники ПДн

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники ПДн субъектов ПДн, в том числе справочники и адресные книги. В общедоступные источники ПДн с письменного согласия субъекта ПДн или его законного представителя могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом ПДн.

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн либо по решению суда.

2.6 Обработка персональных данных, разрешенных субъектом персональных данных для распространения

Доступ неограниченного круга лиц к персональным данным предоставляется субъектом персональных данных путем дачи отдельного согласия на обработку персональных данных, разрешенных субъектом для распространения.

В согласии на распространение могут быть установлены, кроме того, что указано в законе:

• запреты на передачу (кроме предоставления доступа) персональных данных Оператором неограниченному кругу лиц;
• запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц;
• категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий. В течение 3 рабочих дней с момента получения согласия субъекта Оператор публикует информацию об условиях обработки и о наличии запретов и условий на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Если в согласии не установлены запреты и условия обработки, или категории и перечень персональных данных, на которые распространяются запреты и условия, – данные обрабатываются оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представлителя.

Если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, Оператор, осуществляющий обработку таких данных (включая последующее распространение) обязан предоставить доказательства законности такой обработки.

Действие согласия на распространение персональных данных заканчивается с момента направления субъектом требований о прекращении такой обработки.

2.7 Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта ПДн в письменной форме.

2.8 Поручение обработки ПДн другому лицу

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом и настоящей Политикой

Хранение персональных данных осуществляется Оператором, а также третьим лицом в базе, находящейся на территории Республики Азербайджан.

2.9 Трансграничная передача ПДн

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается защита прав субъектов ПДн, до начала осуществления такой передачи.

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта ПДн или его законного представителя на трансграничную передачу его ПДн;
• когда передача персональных данных необходима для защиты жизни и здоровья субъекта.

Субъект персональных данных имеет право:

• получить информацию о наличии персональных данных о себе в информационной системе, а также о владельце или операторе этих данных;
• требовать юридического обоснования сбора, обработки и передачи персональных данных о себе третьим лицам в информационной системе, а также информации о правовых последствиях сбора, обработки и передачи этих данных для субъекта;
• познакомиться с содержанием персональных данных о себе, собранных в информационной системе;
• знать цель сбора и обработки персональных данных о себе, сроки их обработки, методы, круг лиц, имеющих доступ к этим данным, включая информацию о системах обмена данными;
• требовать уточнения персональных данных о себе, собранных и обработанных в информационной системе, а также, за исключением случаев, предусмотренных законодательством, их уничтожения, а также подачи запроса на их архивирование в установленном порядке;
• требовать запрета на сбор и обработку персональных данных о себе;
• получить информацию о источниках персональных данных о себе, собранных и обработанных в информационной системе, а также требовать подтверждения законности этих данных;
• требовать защиты персональных данных о себе, собранных и обработанных в информационной системе;
• получить информацию о наличии сертификата соответствия информационных систем, содержащих персональные данные о себе, и о прохождении государственной экспертизы;
• использовать другие права, установленные настоящим Законом и другими нормативно-правовыми актами Азербайджанской Республики.

ООО «Intermode», как оператор ПДн, обязано:

• обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
• соблюдать законодательство Республики Азербайджан о персональных данных и их защите;
• обеспечить законность и безопасность сбора и обработки персональных данных;
• выполнять условия, вытекающие из договора, заключённого с собственником;
• иные права, предусмотренные Законом.

Безопасность ПДн, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства Республики Азербайджан в области защиты ПДн.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

• назначение ответственного за организацию обработки персональных данных;
• назначение ответственных за обеспечение мер по сохранности персональных данных и исключению несанкционированный к ним доступа;
• назначение ответственного за обеспечение безопасности персональных данных в информационных системах; ограничение состава лиц, допущенных к обработке ПДн;
• ознакомление субъектов с требованиями законодательства Республики Азербайджан и нормативных документов Оператора по обработке и защите ПДн;
• организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
• определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты ПДн;
• проверка готовности и эффективности использования средств защиты информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• регистрация и учет действий пользователей информационных систем ПДн;
• использование антивирусных средств и средств восстановления системы защиты персональных данных;
• применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
• организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

Обработка ПДн прекращается, а собранные ПДн уничтожаются или обеспечивается прекращение обработки ПДн и их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в следующих случаях и в сроки, установленные Законом, если иное не установлено законодательством Республики Азербайджан:

• по истечению установленного срока обработки ПДн;
• по достижении целей обработки ПДн или при утрате необходимости в их достижении;
• при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Республики Азербайджан;
• по требованию субъекта ПДн или Уполномоченного органа по защите прав субъектов ПДн — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки ПДн Оператором или лицом, действующим по его поручению, если обеспечить правомерность обработки ПДн невозможно;
• при вступлении в законную силу решения суда;
• в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Азербайджан.

Сроки обработки ПДн определяются в соответствии с необходимыми сроками для достижения заявленных Оператором целей обработки ПДн. Архивное хранение ПДн осуществляется в соответствие с требованиями действующего законодательства Республики Азербайджан.

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Республики Азербайджан в области персональных данных.

Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном законами Республики Азербайджан.