Политика конфиденциальностиПриложение № 1
к публичной оферте
на участие в программе лояльности,
получение и использование электронной бонусной карты
Дата публикации и вступления в силу: «15» января 2024 г.
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ«Политика конфиденциальности» (далее – Политика) является документом, определяющим порядок обработки, систематизации и раскрытия персональной информации, предоставленной пользователем сети Интернет и (или) мобильных устройств, а также мобильной связи (далее – Держатель), в том числе при получении и использовании электронную бонусную карту (далее – Карта). Политика конфиденциальности является неотъемлемой частью публичной оферты на участие в программе лояльности, получение и использовании электронной бонусной карты (далее – Оферта) и документом, регламентирующим обработку данных Держателей Карты.
ОСНОВНЫЕ ОПРЕДЕЛЕНИЯВ связи с отношениями сторон, связанными с обработкой персональных данных, применяются следующие определения.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных) – Держателю. Под персональной информацией (помимо персональных данных) понимается загруженная Держателем либо переданная по электронным каналам Оператору, а также полученная в процессе использования Карты личная информация, позволяющая идентифицировать Держателя, как физическое лицо – субъект правоотношений.
Оператор персональных данных (Оператор) – лицо, самостоятельно или совместно с другими лицами (работниками или третьими лицами на основе специальных соглашений/оговорок в соглашениях) организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках Политики Оператором является Компания. По тексту Политики термины Компания и Оператор являются равнозначными.
Обработчик – юридическое лицо, осуществляющее обработку персональных данных, а именно запись, систематизацию, накопление, хранение, извлечение, использование, блокирование, удаление, уничтожение персональных данных Держателя по поручению Компании на основании заключенного с ним соглашения. Обработчик не обязан получать согласие Держателя на обработку его персональных данных в силу п. 4 ст. 6 Федерального Закона от 27 июля 2006г. №152-ФЗ «О персональных данных».
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность информационных технологий и технических средств, обеспечивающих обработку персональных данных, содержащихся в базах данных Компании и (или) его партнеров, в том числе Обработчика.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Иные термины, употребляемые в Политике и/или в отношениях, вытекающих из нее, подлежат трактовке в соответствии с законодательством Российской Федерации, а в случае отсутствия в законодательстве их трактовки – в соответствии с обычаями делового оборота и научной доктриной.
Термины и определения, указанные в Оферте применимы в отношениях сторон в рамках Политики.
ОБЩИЕ ПОЛОЖЕНИЯСовершая акцепт Оферты, Держатель дает свое безоговорочное согласие на обработку его персональных данных в соответствии с Политикой, как неотъемлемой части Оферты. Если Держатель не согласен с положениями Политики полностью или в части – он обязан незамедлительно прекратить использование Карты на всех своих устройствах.
Текст согласия на обработку персональных данных представлен в приложении № 1 к настоящей Политики. Текст согласия на получение информационных, рекламных, новостных или маркетинговых материалов представлен в приложении № 2 к настоящей Политики.
Регистрация Карты и согласие на обработку персональных данных в соответствии с настоящей Политикой производится Держателем в зависимости от способа активации Карты:
На кассе – при сообщении кода из SMS кассиру.
На сайте – при заполнении номера телефона в соответствующем всплывающем окне.
По ссылке в момент активации электронной карты Оператора.
При любом ином способе активации Карты, указанном на сайте Оператора.
Сбор персональных данных осуществляется, прежде всего, с целью предоставления Держателю персонифицированного доступа к Карте, а также функционирования всех привилегий, предоставляемых Держателю в соответствии с Программой.
Передавая Оператору свои данные в Карте, Держатель дает Оператору свое безоговорочное согласие на обработку его персональной информации, как загруженной самим Держателем, так и полученной Оператором в автоматизированном режиме, в результате действий Держателя Карты.
Для любых обращений к Оператору Держателю надлежит использовать средства коммуникаций, принадлежащие Держателю лично (свой номер телефона).
Любая персональная информация Держателя, переданная Оператору и (или) его партнеру, в том числе Обработчику в рамках Политики, воспринимается Оператором «как есть» и не подлежит предварительной проверке на предмет достоверности. Бремя ответственности за достоверность предоставленной информации несет лично Держатель.
При раскрытии или предоставлении информации Оператором соблюдаются требования обеспечения конфиденциальности, установленные статье 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и меры по обеспечению безопасности персональных данных при их обработке, установленные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Оператор и Обработчик вправе также осуществлять автоматизированную обработку представленной Держателем информации.
В соответствии с пунктом 7 части 4 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» все персональные данные хранятся на сервере, находящимся на территории РФ.
ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХЦелью Политики является обеспечение надлежащей защиты информации о Держателях, в том числе их персональных данных, от несанкционированного доступа и разглашения.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, перечисленных в Оферте и Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Основной целью сбора персональных данных является предоставлению Держателю привилегий при совершении покупок в Магазине(ах) Компании и (или) его партнеров, согласно Программе.
Оператор вправе использовать персональные данные Держателей для осуществления любых маркетинговых, информационных, организационных и пр. рассылок (e-mail, push, SMS-рассылок и т.д.), связанных с действием Карты и деятельностью Оператора и (или) его партнеров только при получении дополнительного согласия или оформления соответствующей подписки. Держатель в любой момент может отозвать согласие на обработку своих персональных данных в маркетинговых целях, при этом согласие на обработку персональных данных с целью, указанной в пункте 3.3. сохраняет силу и считается не отозванным.
Оператор также вправе обрабатывать персональную информацию в иных целях, которые могут быть предусмотрены согласием на обработку персональных данных и/или Офертой.
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХПравовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
Федеральный закон от 08.08.2001 № 129-ФЗ (ред. от 27.12.2018) «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (с изм. и доп., вступ. в силу с 01.01.2019);
Иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
Уставные документы Оператора;
Локальные нормативные акты Оператора;
Оферта, договоры, заключаемые между Оператором и субъектом персональных данных, а также между Оператором;
Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
Оператор придерживается указанных правовых оснований обработки персональных данных Держателей, а также поддерживают в актуальном состоянии список нормативно-правовых актов, регламентирующих обработку данных.
ОБРАБАТЫВАЕМЫЕ ДАННЫЕДержатель дает безоговорочное согласие Оператору на обработку следующих его данных:
Номер мобильного телефона Держателя;
Адрес электронной почты Держателя;
ФИО Держателя;
Пол Держателя;
Дата рождения Держателя;
Сведения об истории покупок в Магазине(нах), согласно Программе;
Файлы cookie Держателя при посещении им интернет-сайтов Оператора и (или) его партнеров, согласно Программе.
Иные данные, необходимые для исполнения обязательств в рамках Оферты, сообщенные Оператору в процессе взаимодействия с Держателем, если необходимость возникла в соответствии с обязательствами.
Номер телефона Держателя необходим для регистрации Карты, закрепляемой за конкретным Держателем, остальные данные добавляются/сообщаются Держателем по собственному желанию и по своему усмотрению, если добавление/сообщение данных не было вызвано объективной необходимостью исполнения обязательств по Оферте и (или) прямо не предусмотрено Программой.
Вышеуказанный список данных может изменяться на усмотрение Оператора. Письменного уведомления Держателя о таких изменениях не требуется. Если Держатель вводит иные необходимые данные – это означает, что он согласен с изменениями.
Все данные Держателя используются Оператором исключительно в целях, указанных в Политике и Оферте, и хранятся до момента отзыва согласия Держателем или завершения обязательств сторон в рамках Оферты или аналогичного договора (в зависимости от того, что наступит раньше).
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХПри добавлении Держателем информации в процессе регистрации и использования Карты, такая информация не попадает в публичный доступ.
Предоставление персональной информации Держателя по запросу государственных органов (органов местного самоуправления) осуществляется в порядке, предусмотренном законодательством РФ.
По заявлению Держателя, направленного Оператору, персональная информация Держателя подлежит удалению в соответствии с требованиями, указанными в заявлении полностью или в части из базы данных Оператора в течение 10 (Десяти) рабочих дней при условии расторжения Оферты. При этом функционирование Карты после удаления данных становится невозможным.
Оператор осуществляет передачу данных Держателя своим работникам, а также работникам Обработчика для осуществления ими своих служебных обязанностей. В частности, работники Оператора и Обработчика ведут реестр записей данных и осуществляют иные действия с целью исполнения Оператором своих обязательств в рамках Оферты.
Оператор вправе передавать персональную информацию Держателя третьим лицам, а также поручать обработку персональной информации Обработчику в следующих случаях:
Пользователь выразил согласие на такие действия;
Передача необходима для использования Держателем Карты либо для исполнения договора розничной купли-продажи с Держателем согласно договору с Держателем;
В целях обеспечения возможности защиты прав и законных интересов Оператора;
В иных установленных законом случаях.
Поручение обработки персональной информации Обработчику может осуществляться на основании соответствующего договора с ним, устанавливающим обязанности Обработчика по соблюдению конфиденциальности и обеспечению безопасности персональной информации Пользователя.
Обязательная проверка данных Держателя на их соответствие положениям Политики не предусмотрена. Оператор и Обработчик вправе, но не обязаны удалять данные и информацию Держателя, нарушающие Политику, Оферту и/или действующее законодательство РФ.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ОБРАБОТКИ ДАННЫХДля обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
На программном обеспечении, задействованном в функционировании Карты обеспечено предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
Оператор и Обработчик не несут ответственности за действия третьих лиц, получивших доступ к персональной информации Держателя в результате несанкционированного доступа к программному обеспечению, задействованному в обработке персональных данных Держателя, а также вследствие иных противоправных действий, совершенных третьими лицами, когда Оператор и (или) Обработчик не могли их предвидеть либо воспрепятствовать им.
ПОЛИТИКА ХРАНЕНИЯ ДАННЫХХранение персональных данных осуществляется в соответствии с согласием Держателя в течение срока, установленного в Политике.
Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы при условии хранения на материальных носителях, в рамках служебных обязанностей соответствующего подразделения Оператора.
Сотрудник Оператора, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц. В отсутствие сотрудника на его рабочем месте не находится документов, содержащих персональные данные. При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он передает документы и иные носители, содержащие персональные данные лицу, на которое локальным актом Оператора будет возложено исполнение подобных трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Держателей, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя соответствующего структурного подразделения Оператора.
При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения и с уведомлением инспектора по защите данных.
ПОЛИТИКА РЕЗЕРВНОГО КОПИРОВАНИЯОператор обеспечивает (самостоятельно и (или) поручает Обработчику) резервное копирование персональных данных с целью предотвращения потери информации при сбоях оборудования; программного обеспечения; аппаратных сбоях; сбоях операционной системы и прикладного программного обеспечения; заражении вредоносными программами; непреднамеренном уничтожении информации, ошибках; преднамеренном уничтожении информации и т.п.
Резервное копирование создает возможность перемещения персональных данных от одной рабочей станции к другой, таким образом, снимает зависимость целостности персональных данных от конкретной рабочей станции и/или конкретного помещения.
Резервному копированию подлежит информация следующих основных категорий:
Персональные данные Держателей;
Информация, необходимая для восстановления серверов и систем управления базами данных;
Информация автоматизированных систем архитектуры Оператора, в том числе баз данных.
ПОЛИТИКА РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫИнцидентом информационной безопасности персональных данных является любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность архитектуры Оператора и (или) его партнеров, в том числе Обработчика, и привести к утечке персональных данных и/или нарушению Политики.
Источником информации об инциденте информационной безопасности может служить следующее:
Сообщения работников, Держателей, контрагентов Оператора и (или) его партнеров, и (или) Обработчика, направленные по электронной почте, в виде служебных записок, писем, заявлений и т.д.
Уведомления/сообщения надзорного органа в области обработки персональных данных.
Данные, полученные Оператором, на основании анализа журналов регистрации информационных систем, систем защиты персональных данных.
Сотрудник Оператора, получивший информацию об инциденте, сообщает об этом инспектору по защите данных, который регистрируют инцидент в электронной системе управления инцидентами, присваивая ему порядковый номер, фиксируя дату инцидента и его суть. База инцидентов информационной безопасности актуализируется по мере поступления инцидентов.
Держателю, чьи права затронуты в результате инцидента, сообщается об инциденте по электронной почте, в минимально возможный срок, но не позднее 30 (Тридцати) рабочих дней с момента совершения инцидента. В этот же срок принимаются все возможные меры для уменьшения или пресечения дальнейшего ущерба правам Держателя.
Разбор инцидентов производится лицом, ответственным за обработку данных из числа работников Оператора, который по каждому инциденту:
Собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, лог-файлы информационных систем, показания Держателей и сотрудников Оператора и др.);
Устанавливает, в каком объеме имела место утечка персональных данных, обстоятельства, сопутствующие утечке;
Выявляет лиц, виновных в нарушении предписанных мероприятий по защите персональных данных;
Устанавливает причины и условия, способствовавшие нарушению.
По окончании разбора инцидента оформляет отчет руководству Оператора.
После окончания разбора инцидента и получения отчета инспектора по защите данных Оператора принимает решение о наказании виновных лиц.
ПОЛИТИКА ИСПОЛЬЗОВАНИЯ ФАЙЛОВ COOKIEФайл cookie – это файл, содержащий идентификатор (строку букв и цифр), который отправляется веб-сервером в веб-браузер и хранится в браузере. Идентификатор затем отправляется обратно на сервер каждый раз, когда браузер запрашивает страницу с сервера.
Cookies могут быть либо «постоянными» файлами cookie, либо «сессионными» файлами cookie: постоянные файлы cookie будут храниться в веб-браузере и будут оставаться действительными до установленного срока, если они не будут удалены Держателем до истечения этого срока действия; срок обработки сессионных файлов cookie истекает в конце сеанса Держателя, после того, как веб-браузер будет закрыт.
Cookies не может содержать никакой информации, которая лично идентифицирует Держателя, но личные данные, которые Оператор хранит о Держателе, могут быть связаны с информацией, хранящейся в файле cookie и полученной из файлов cookie.
Оператор использует файлы cookie Держателя, в следующих целях:
Аутентификация и определение статуса – используются файлы cookie, чтобы идентифицировать Держателя при посещении интернет-магазина(ов) Оператора и при навигации по магазину(ам), а также помочь Оператору определить, зарегистрирован ли Держатель в Магазине(ах);
Персонализация – Оператор использует файлы cookie для хранения информации о предпочтениях Держателя и персонализации интернет-магазина(ов) Оператора для Держателя;
Безопасность – Оператор использует файлы cookie в качестве элемента мер безопасности, используемых для защиты учетных записей Держателей, включая предотвращение мошеннического использования учетных данных входа, а также для защиты интернет-магазина(ов) Оператора и служб в целом;
Реклама – Оператор использует файлы cookie, чтобы отобразить рекламу, которая будет иметь отношение к предпочтениям Держателя, основанным на анализе его поведения в интернет-магазине(ах) Оператора и (или) его партнеров;
Анализ – Оператор использует файлы cookie, чтобы проанализировать использование и производительность интернет-магазина(ов) Оператора и (или) его партнеров.
Поставщики услуг Оператора также используют файлы cookie, и эти файлы cookie могут храниться на устройстве Держателя при посещении интернет-магазина(ов) Оператора и (или) его партнеров. В частности, Оператор использует систему «Google Analytics», которая собирает информацию об использовании интернет-магазина(ов) Оператора и (или) его партнеров с помощью файлов cookie. Собранная информация используется для создания отчетов об использовании интернет-магазина(ов) Оператора и (или) его партнеров. Держатель может узнать больше об использовании информации Google, посетив страницу по адресу: https://www.google.com/policies/privacy/partners/, а также Держатель может просмотреть политику конфиденциальности Google по https://policies.google.com/privacy.
Оператор публикует рекламу на своем интернет-магазине(ах). Реклама может быть персонализирована, чтобы отразить интересы Держателя. Для определения интересов, в частности, Google и ее партнеры используют файлы cookie. Соответствующие файлы cookie являются «идентификационными файлами cookie». Файлы cookie используются для отслеживания предыдущих посещений Держателем интернет-магазина(ов) Оператора и (или) его партнеров и посещений Держателем других веб-сайтов. Держатель может отказаться от персонализированной рекламы Google, посетив https://www.google.com/settings/ads.
Большинство браузеров позволяют отказаться принимать файлы cookie и удалять файлы cookie. Методы для этого варьируются от браузера к браузеру, и от версии к версии. Однако Держатель может получить доступную информацию о блокировке и удалении файлов cookie по этим ссылкам:
https://support.google.com/chrome/answer/95647 (Chrome);
https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences (Firefox);
https://help.opera.com/en/latest/security-and-privacy/ (Opera);
https://support.microsoft.com/en-gb/help/17442/windows-internet-explorer-delete-manage-cookies (Internet Explorer);
https://support.apple.com/en-gb/guide/safari/manage-cookies-and-website-data-sfri11471/mac (Safari); и
https://privacy.microsoft.com/en-us/windows-10-microsoft-edge-and-privacy (Microsoft Edge).
Блокировка всех файлов cookie может негативно сказаться на удобстве использования некоторых функций интернет-магазина(ов) Оператора и (или) его партнеров. Если Держатель заблокирует файлы cookie, он, как правило, не сможет использовать все функции интернет-магазина(ов) Оператора и (или) его партнеров.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯПолитика конфиденциальности является общедоступным документом, его действующая редакция всегда расположена по адресу https://grnhs.ru.
Оператор имеет право в одностороннем порядке изменить текст Политики без предварительного уведомления об этом Держателя. В таком случае надлежащим уведомлением Держателя будет являться публикация новой редакции Политики. Ответственность за своевременное ознакомление с действующей редакцией Политики целиком и полностью лежит на Держателе.
К отношениям сторон применяется право Российской Федерации. Акцепт Политики конфиденциальности иностранным Держателем означает, что ее текст ему понятен и в переводе он не нуждается. В случае необходимости в переводе иностранные Держатели обязуются осуществить перевод на нужный им язык своими силами и за свой счет. При разночтениях между русскоязычной и иностранной версии Политики конфиденциальности, приоритет возникает у русскоязычной версии.
Все разногласия и споры, возникающие в связи с использованием персональной информации Держателя, разрешаются в порядке, предусмотренном действующим законодательством РФ в претензионном досудебном порядке. Срок ответа на претензию по вопросам обработки персональных данных составляет 30 (тридцать) рабочих дней. В случае если спор не нашел разрешения в досудебном порядке – он подлежит рассмотрению в суде по месту нахождения Оператора.
К Политике прилагается ее неотъемлемая часть – приложение № 1 «Согласие на обработку персональных данных» и Приложение 2 «Согласие на получение информационных, рекламных, новостных или маркетинговых материалов».
РЕКВИЗИТЫ ОПЕРАТОРАООО «ГРИН ХАУС КОФЕ»,
Адрес: 660077, Красноярский край, г. Красноярск, 78 Добровольческой бригады ул., дом 10, помещ. 107
ОГРН 1152468053924
ИНН 2466166781