Сеть АЗС "Эталон" | Сеть АЗС Эталон г. Сургут

Политика ООО «ТОПЛИВНОЕ ОБЕСПЕЧЕНИЕ» в отношении
обработки персональных данных участников Программы лояльности
для физических лиц сети АЗС «Эталон» г.Сургут
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», определяет ООО «ТОПЛИВНОЕ ОБЕСПЕЧЕНИЕ» (ОГРН 1158602003614, юридический адрес: ИНН 8602256614 Юридический адрес: 628415, Российская Федерация, Тюменская область, ХантыМансийский автономный округ - Югра, г. Сургут, ул. Чехова 6/2, офис 313 .) (далее – Компания) в отношении обработки персональных данных участников программы лояльности для физических лиц сети АЗС «Эталон» (далее - Участники Программы).

1.2. Политика разработана в целях реализации требований законодательства в области
обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод каждого Участника Программы как человека и гражданина при обработке его персональных данных в Компании, в том числе защиты прав на неприкосновенность частной жизни и иных прав.

1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных Участников Программы, полученных Компанией как до, так и после утверждения Политики.
1.4. В настоящей Политике используются следующие сокращения и обозначения:
ПЛ — программа лояльности физических лиц.
Клиент – физическое лицо, совершающее сделку на общих основаниях, без
предоставления ему преимуществ ПЛ.
Участник — владелец зарегистрированной карты лояльности по ПЛ.
Организатор — ООО «Топливное обеспечение».
Бонусные баллы — условные расчетные единицы, применяемые в рамках ПЛ,
позволяющие Участнику получить скидку на товары и услуги в сети Организатора и
Партнеров в пределах накопленной на карте суммы бонусов. 1 (один) бонус равен 1
(одному) рублю Российской Федерации.
Карта лояльности — физическая пластиковая карта с нанесенным уникальным штрих
кодом, выпущенная в продажу Организатором, и применяемая для идентификации
Участника при совершении операций в торговых точках Организатора. Активация карты
идентификатора возможна только после регистрации (создания Личного кабинета
Участника с привязанным номером Карты лояльности) на сайте или в мобильном
приложении Организатора.
Бонусный баланс – количество доступных к использованию бонусных баллов.
Товар – моторное топливо (в т.ч. бензины, дизельное топливо, сжиженный
углеводородный газ), сопутствующие товары и услуги, товары собственной торговой
марки, реализуемые под брендом сеть АЗС «ЭТАЛОН», Energy.
Анкета - форма, выдаваемая Компанией, которая при заполнении и подписании
физическим лицом, является заявлением такого лица о намерении стать Участником
Программы и подтверждает согласие Участника Программы со всеми правилами участия
в программе лояльности для физических лиц сети АЗС «Эталон».
Информационная система персональных данных - совокупность содержащихся в базах
данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования
таких средств с персональными данными, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому лицу (субъекту персональных данных).
Программа - программа лояльности для физических лиц сети АЗС «Эталон», по которой
Участнику Программы Лояльности при приобретении товаров в розничной сети АЗС
«Эталон» Компании могут предоставляться баллы, которые Участник Программы может
обменять на вознаграждение. Правила Программы размещены Компанией на каждой АЗС
и на официальном сайте Компании: http://www.azs-etalon.ru/programma-loyalnosti/.
Субъект персональных данных - Участник Программы, физическое лицо, достигшее 18
лет, имеющее документ, удостоверяющий личность, подтвердивший свое согласие на
участие в Программе путем заполнения, подписания Анкеты и приобретения карты
Участника Программы.
Трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
1.5. Для целей обработки персональных данных Компания вправе привлекать на
договорной основе третьих лиц на условиях соблюдения данными лицами требований
законодательства Российской Федерации об обеспечении конфиденциальности и
безопасности персональных данных при их обработке.
1.6. Участник ПЛ путем подписания Анкеты, составной частью которой является согласие
на обработку персональных данных, дает согласие Компании и третьим лицам,
привлеченным на договорной основе для реализации Программы, на обработку его
персональных данных в соответствии с настоящей Политикой.
1.7. Согласие на обработку персональных данных может быть отозвано участником
Программы в любое время путем направления письменного уведомления Компании об
отзыве согласия на обработку персональных данных по адресу: 628415, Российская
Федерация, Тюменская область, Ханты-Мансийский автономный округ - Югра, г. Сургут,
ул. Чехова 6/2, офис 313. Компания не осуществляет трансграничную передачу
персональных данных субъектов персональных данных.
1.9. Компания осуществляет обработку персональных данных Участников Программы на
законной и справедливой основе.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ, ЦЕЛЬ ОБРАБОТКИ И СОСТАВ
ПЕРСОНАЛЬНЫХ ДАННЫХ УЧАСТНИКОВ ПРОГРАММЫ, ОБРАБАТЫВАЕМЫХ
КОМПАНИЕЙ.
2.1. Обработка персональных данных Участников Программы в Компании
осуществляется в соответствии с требованиями Конституции Российской Федерации,
Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года (далее –
Закон о персональных данных), Постановления Правительства РФ от 15 сентября 2008 г.
№ 687 «Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации» и другими нормативными
правовыми актами, регулирующими защиту персональных данных.
2.2. Компания осуществляет обработку персональных Участников Программы в целях:
2.2.1. обеспечения соблюдения требований нормативных правовых актов Российской
Федерации;
2.2.2. идентификации держателя карты лояльности в качестве Участника Программы,
обеспечения процедуры учета накопления и использования баллов, а также для
надлежащего исполнения Компанией иных обязательств по Программе;
2.2.3. в целях продвижения товаров, работ, услуг, улучшения их качества;
2.2.4. получения Участниками Программы рекламных и (или) информационных
сообщений, материалов;
2.2.3. осуществления контактов с Участниками Программы с помощью средств связи,
включая, но не ограничиваясь: почтовой, электронной, телефонной (в том числе смссообщения) факсимильной и другими средствами связи, а также посредством сети
Интернет.
2.3. В Компании осуществляется обработка следующих обязательных видов
персональных данных Участников Программы:
2.3.1. Фамилия, имя, отчество, сведения об их изменении;
2.3.2. Пол, возраст, дата рождения;
2.3.3. Контактные данные (номера телефонов (домашний, мобильный, иные) адреса
электронной почты);
2.3.4. Номер карты лояльности Участника Программы, а также иные необходимые
персональные данные, связанные с целями обработки
3. ПРАВА УЧАСТНИКА ПРОГРАММЫ КАК СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБЯЗАННОСТИ КОМПАНИИ ПРИ ОБРАЩЕНИИ К НЕЙ УЧАСТНИКА ПРОГРАММЫ
3.1. Участник Программы имеет право на получение информации, касающейся обработки
его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Компанией;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Компании, сведения о лицах (за исключением
работников оператора), которые имеют доступ к персональным данным или которым
могут быть раскрыты персональные данные на основании договора с Компанией или на
основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных
Законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче
данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению оператора, если обработка поручена или будет
поручена такому лицу;
10) иные сведения, предусмотренные Законом о персональных данных или другими
федеральными законами.
3.2. Субъект персональных данных вправе требовать от Компании уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные
данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
3.3. Сведения, указанные в пункте 3.1 настоящего раздела, должны быть предоставлены
субъекту персональных данных Компанией в доступной форме, и в них не должны
содержаться персональные данные, относящиеся к другим субъектам персональных
данных, за исключением случаев, если имеются законные основания для раскрытия таких
персональных данных.
3.4. Сведения, указанные в пункте 3.7 настоящего раздела, предоставляются субъекту
персональных данных или его представителю Компанией при обращении либо при
получении запроса субъекта персональных данных или его представителя. Запрос должен
содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие участие субъекта
персональных данных в отношениях с Компанией (номер договора, дата заключения
договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным
образом подтверждающие факт обработки персональных данных Компанией, подпись
субъекта персональных данных или его представителя. Запрос может быть направлен в
форме электронного документа и подписан электронной подписью в соответствии с
законодательством Российской Федерации.
3.5. В случае, если сведения, указанные в пункте 3.1 настоящего раздела, а также
обрабатываемые персональные данные были предоставлены для ознакомления субъекту
персональных данных по его запросу, субъект персональных данных вправе обратиться
повторно к Компании или направить ей повторный запрос в целях получения сведений,
указанных в пункте 3.1 настоящего раздела, и ознакомления с такими персональными
данными не ранее чем через тридцать дней после первоначального обращения или
направления первоначального запроса, если более короткий срок не установлен
федеральным законом, принятым в соответствии с ним нормативным правовым актом или
договором, стороной которого либо выгодоприобретателем или поручителем по которому
является субъект персональных данных.
3.6. Субъект персональных данных вправе обратиться повторно к Компании или
направить ей повторный запрос в целях получения сведений, указанных в пункте 3.1
настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными
данными до истечения срока, указанного в пункте 3.5 настоящего раздела в случае, если
такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему
для ознакомления в полном объеме по результатам рассмотрения первоначального
обращения. Повторный запрос наряду со сведениями, указанными в пункте 3.4
настоящего раздела, должен содержать обоснование направления повторного запроса.
3.7. Компания вправе отказать субъекту персональных данных в выполнении повторного
запроса, не соответствующего условиям, предусмотренным пунктах 3.5 и 3.6 настоящего
раздела. Такой отказ должен быть мотивированным. Обязанность представления
доказательств обоснованности отказа в выполнении повторного запроса лежит на
Компании.
3.8. Компания обязана предоставить безвозмездно субъекту персональных данных или его
представителю возможность ознакомления с персональными данными, относящимися к
этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со
дня предоставления субъектом персональных данных или его представителем сведений,
подтверждающих, что персональные данные являются неполными, неточными или
неактуальными, Компания обязана внести в них необходимые изменения. В срок, не
превышающий семи рабочих дней со дня представления субъектом персональных данных
или его представителем сведений, подтверждающих, что такие персональные данные
являются незаконно полученными или не являются необходимыми для заявленной цели
обработки, Компания обязана уничтожить такие персональные данные. Компания обязана
уведомить субъекта персональных данных или его представителя о внесенных изменениях
и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым
персональные данные этого субъекта были переданы.
3.9 Компания обязана сообщить в уполномоченный орган по защите прав субъектов
персональных данных по запросу этого органа необходимую информацию в течение
тридцати дней с даты получения такого запроса.
3.10. В случае выявления неправомерной обработки персональных данных при обращении
субъекта персональных данных или его представителя либо по запросу субъекта
персональных данных или его представителя либо уполномоченного органа по защите
прав субъектов персональных данных Компания обязана осуществить блокирование
неправомерно обрабатываемых персональных данных, относящихся к этому субъекту
персональных данных, или обеспечить их блокирование (если обработка персональных
данных осуществляется другим лицом, действующим по поручению оператора) с момента
такого обращения или получения указанного запроса на период проверки. В случае
выявления неточных персональных данных при обращении субъекта персональных
данных или его представителя либо по их запросу или по запросу уполномоченного
органа по защите прав субъектов персональных данных Компания обязана осуществить
блокирование персональных данных, относящихся к этому субъекту персональных
данных, или обеспечить их блокирование (если обработка персональных данных
осуществляется другим лицом, действующим по поручению оператора) с момента такого
обращения или получения указанного запроса на период проверки, если блокирование
персональных данных не нарушает права и законные интересы субъекта персональных
данных или третьих лиц.
3.11. В случае подтверждения факта неточности персональных данных Компания на
основании сведений, представленных субъектом персональных данных или его
представителем либо уполномоченным органом по защите прав субъектов персональных
данных, или иных необходимых документов обязана уточнить персональные данные либо
обеспечить их уточнение (если обработка персональных данных осуществляется другим
лицом, действующим по поручению Компании) в течение семи рабочих дней со дня
представления таких сведений и снять блокирование персональных данных.
3.12. В случае выявления неправомерной обработки персональных данных,
осуществляемой Компанией или лицом, действующим по поручению Компании,
Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана
прекратить неправомерную обработку персональных данных или обеспечить прекращение
неправомерной обработки персональных данных лицом, действующим по поручению
Компании. В случае если обеспечить правомерность обработки персональных данных
невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления
неправомерной обработки персональных данных, обязана уничтожить такие
персональные данные или обеспечить их уничтожение. Об устранении допущенных
нарушений или об уничтожении персональных данных Компания обязана уведомить
субъекта персональных данных или его представителя, а в случае, если обращение
субъекта персональных данных или его представителя либо запрос уполномоченного
органа по защите прав субъектов персональных данных были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
4. СРОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
4.1. Компания обрабатывает персональные данные в течение срока участия в Программе
субъекта персональных данных.
5. ТРЕБОВАНИЯ И МЕРЫ, ПРИНЯТЫЕ КОМПАНИЕЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ УЧАСТНИКОВ ПРОГРАММЫ
5.1. Компания принимает правовые, организационные и технические меры (или
обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения
обязанностей, предусмотренных Законом о персональных данных, и принятыми в
соответствии с ним нормативными правовыми актами, для защиты персональных данных
от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения персональных данных, а
также от иных неправомерных действий в отношении персональных данных. К таким
мерам в соответствии с Законом о защите персональных данных, в частности, относятся:
- назначение ответственных за организацию обработки персональных данных,
соблюдению конфиденциальности и обеспечению их безопасности;
- разработка и утверждение (издание) внутренних локальных нормативных актов по
вопросам обработки и защиты персональных данных;
- применение организационных и технических мер по обеспечению безопасности
персональных данных в соответствии со статьей 19 Закона о защите персональных
данных, а именно: определение угроз безопасности персональных данных при их
обработке в информационных системах персональных данных; применение
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных, необходимых для
выполнения требований к защите персональных данных, исполнение которых
обеспечивает установленные Правительством Российской Федерации уровни
защищенности персональных данных; применение прошедших в установленном порядке
процедуру оценки соответствия средств защиты информации; оценка эффективности
принимаемых мер по обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных; учет машинных
носителей персональных данных, если хранение персональных данных осуществляется на
машинных носителях; обнаружение фактов несанкционированного доступа к
персональным данным и принятием мер по недопущению подобных инцидентов в
дальнейшем; восстановление персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним; установлением правил
доступа к персональным данным, обрабатываемым в информационной системе
персональных данных, а также обеспечением регистрации и учета всех действий,
совершаемых с персональными данными в информационной системе персональных
данных; осуществление контроля за принимаемыми мерами по обеспечению безопасности
персональных данных и уровнем защищенности информационных систем персональных
данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки
персональных данных Закону о персональных данных и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите персональных данных, настоящей
Политике и иным локальным актам оператора;
- проведение оценки вреда, который может быть причинен Участникам Программы как
субъектам персональных данных в случае нарушения Закона о персональных данных,
соотношение указанного вреда и принимаемых Компанией мер, направленных на
обеспечение исполнения обязанностей, предусмотренных Законом о персональных
данных;
- ознакомление работников Компании, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства о персональных данных, в том
числе требованиями к защите персональных, настоящей Политикой и иными локальными
нормативными актами Компании по вопросам обработки персональных, и (или) обучение
указанных работников.
5.2. Меры по обеспечению безопасности персональных данных Участников Программы
при их обработке в информационных системах реализуются Компанией в рамках системы
защиты персональных данных, предусмотренной Требованиями к защите персональных
данных при их обработке в информационных системах персональных данных,
утвержденными Постановлением Правительства Российской Федерации от 01.11.2012 г.
№ 1119, и направлены на нейтрализацию актуальных угроз безопасности персональных
данных, а также в соответствии с Приказом Федеральной службы по техническому и
экспортному контролю от 18.02.2013 г. № 21. К таким мерам, частности, относятся:
- идентификация и аутентификация субъектов доступа и объектов доступа; - управление
доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются
персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- учет машинных носителей персональных данных; 10
- установление правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационной системе
персональных данных.
5.3. Обеспечение защиты персональных данных в Компании при их обработке,
осуществляемой без использования средств автоматизации, осуществляется Компаний с
учетом положений Постановления Правительства Российской Федерации от 15.09.2008 г.
№ 687 «Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации». К мерам по обеспечению
безопасности в в данном случае, в частности, относятся:
- осуществление обработки таких персональных данных таким образом, чтобы в
отношении каждой категории персональных данных можно было определить места
хранения персональных данных (материальных носителей) и установить перечень лиц,
осуществляющих обработку персональных данных либо имеющих к ним доступ; -
обеспечение раздельного хранения персональных данных (материальных носителей),
обработка которых осуществляется в различных целях;
- соблюдение условий, обеспечивающих сохранность персональных данных и
исключающих несанкционированный к ним доступ, при хранении материальных
носителей.
6. ПОРЯДОК ОБРАЩЕНИЯ УЧАСТНИКОВ ПРОГРАММЫ В КОМПАНИЮ
6.1. Способы направления обращений (запросов, заявлений, жалоб и т.д.) в адрес
Компании:
- в письменной форме по адресу: 628415, Российская Федерация, Тюменская область,
Ханты-Мансийский автономный округ – Югра, г. Сургут, ул. Чехова 6/2, офис 313;
- в форме электронного документа, подписанного электронной подписью в соответствии с
законодательством Российской Федерации, по адресу электронной почты: marketing@azsetalon.ru. Рекомендованные формы обращения и повторного обращения Участников
Программы приведены в Приложениях к настоящей Политике.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая Политика является общедоступной и подлежит опубликованию на
официальном сайте Компании: http://www.azs-etalon.ru/ и размещению в «Уголке
потребителя» на каждой АЗС Компании.
7.2. Настоящая Политика действует бессрочно до момента признания ее утратившей силу
в связи с заменой ее новой Политикой или прекращением действия Программы в целом.
7.3. Во всем, что не предусмотрено настоящей Политикой, следует руководствоваться
Законом о персональных данных и принятыми в соответствии с ним нормативными
правовыми актами.
ПРИЛОЖЕНИЕ № 1. ОБРАЩЕНИЕ (ФОРМА) № ______________________ заполняется
сотрудником Компании
Я, ___________________________________________________________________________
(Фамилия, Имя, Отчество полностью) серия____________ № ___________________ выдан
_______________________________________ (вид документа, удостоверяющий личность)
_____________________________________________________________________________
_____________________________________________________________________________
_ ______________________________________________________________________ (выдан
кем и когда) прошу ООО «ТОПЛИВНОЕ ОБЕСПЕЧЕНИЕ» (ОГРН 1158602003614),
расположенное по адресу: 628415, Российская Федерация, Тюменская область, ХантыМансийский автономный округ - Югра, г. Сургут, ул. Чехова 6/2, офис 313, в связи с моим
участием в программе лояльности для физических лиц сети АЗС «Эталон»:
1) предоставить мне следующую информацию по вопросам обработки моих персональных
данных: _____________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
2) изменить/уточнить мои персональные данные в связи с:
_____________________________________________________________________________
_____________________________________________________________________ (причина
изменения) Изменению подлежат следующие персональные данные:
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
3) прекратить обработку и уничтожить мои персональные данные, обрабатываемые в
ООО «ТОПЛИВНОЕ ОБЕСПЕЧЕНИЕ», в связи с нарушением моих законных прав и
интересов, а именно
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
4) прекратить обработку и уничтожить мои персональные данные, обрабатываемые в
ООО «Топливное обеспечение», в связи с отзывом мною согласия на их обработку.
Уведомление о принятом решении/сведениях по моему запросу прошу выслать мне по
адресу: _____________________________________________________________________
Сообщить по телефону _________________________________________________________
Дата___________________ Подпись_______________________________