УТВЕРЖДЕНА

приказом

ООО «УК «Сититель»

№ 22 от 20.05.2025 г.

ПОЛИТИКА

обработки персональных данных

участников программы лояльности «Викинг Дискаунт»

1. Общие положения

1.1. Настоящая Политика обработки персональных данных общества с ограниченной ответственностью «Управляющая компания «Сититель» (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Управляющая компания «Сититель» в рамках программы лояльности «Викинг Дискаунт».
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Основные термины, используемые в настоящей Политике:
  Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных).
  Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а именно: общество с ограниченной ответственностью «Управляющая компания «Сититель», ОГРН 1117847075158, ИНН 7802742850, адрес: 194044 г. Санкт-Петербург, Пироговская наб., д.№5/2, литера А, помещение 73-Н (Ч.П. 413), далее также – Организатор Программы.
  Обработка Персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
  Программа лояльности «Викинг Дискаунт» (далее - Программа) – комплекс взаимосвязанных действий и мероприятий, направленных на повышение лояльности потребителей и предоставляющих возможность Участникам Программы при совершении покупок товаров (работ, услуг) у Партнеров, а также за выполнение определенных действий в рамках Программы получать скидки, определяющие особые условия обслуживания у Партнеров.
  Партнер – юридические лица или индивидуальные предприниматели, реализующие товары или услуги, в отношении которых предоставляются скидки и привилегии Участникам Программы в рамках Программы.
  Участник Программы – физическое лицо, достигшее возраста 18 лет, являющееся держателем Карты Участника, зарегистрированное в Программе и допущенное Организатором Программы к участию в соответствии с Правилами Программы.
  Субъект Персональных данных – Участник Программы, Персональные данные которого обрабатываются Оператором.

2. Правовые основания обработки персональных данных

2.1. Организатор Программы, основываясь на целях безусловного выполнения требований законодательства Российской Федерации и поддержания своей деловой репутации, считает своими задачами исполнение принципов справедливости, законности, конфиденциальности, безопасности при обработке Персональных данных.
2.2. Настоящая Политика:
  разработана с учетом требований Конституции Российской Федерации, действующего законодательства Российской Федерации в области Персональных данных.
  определяет основные принципы, цели и способы обработки Персональных данных, состав Субъектов Персональных данных и их права, а также действия Организатора Программы при обработке Персональных данных и мероприятия Организатора Программы по защите Персональных данных и контролю за соблюдением требований законодательства и данной Политики.
  является общедоступным документом, в котором установлена деятельность Оператора при обработке Персональных данных.
2.3.Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организатора Программы осуществляет обработку персональных данных, в том числе:
  Конституция Российской Федерации.
  Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
  Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе».
  Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки Персональных данных, осуществляемой без использования средств автоматизации».
  Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите Персональных данных при их обработке в информационных системах Персональных данных».
  Иные нормативно-правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
2.4. Организатор Программы на основании договора вправе поручить Партнерам обработку Персональных данных Участников Программы. Существенными условиями такого договора являются виды и способы обработки Персональных данных, цели обработки, обязанность обеспечения указанным лицом конфиденциальности Персональных данных и безопасности Персональных данных при их обработке, а также требования к защите обрабатываемых Персональных данных в соответствии с требованиями Закона о персональных данных. Политика Партнера в отношении обработки Персональных данных должна соответствовать настоящей Политике в отношении обработки Персональных данных Организатора Программы.

3. Основные принципы обработки персональных данных

3.1. Обработка Персональных данных ведется с учетом обеспечения защиты прав и свобод Субъектов Персональных данных, в том числе, прав на неприкосновенность частной жизни, личную и семейную тайну на основе принципов:
  Законности обработки Персональных данных.
  Ограничения обработки Персональных данных достижением заранее определенных и законных целей.
  Соответствия целей и способов обработки Персональных данных тем целям, которые были заявлены при сборе данных.
  Недопустимости объединения баз данных, созданных с разными целями для обработки Персональных данных.
  Соответствия необходимости и достаточности объема, характера и способов обработки Персональных данных заявленным целям их обработки.
  Обеспечения точности, достоверности и, при необходимости, актуальности Персональных данных по отношению к целям обработки.
  Хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных не дольше, чем того требуют цели обработки и требования законодательства.
  Уничтожения или обезличивания Персональных данных по достижении целей или утраты необходимости в достижении этих целей, если иное не предусмотрено требованиями законодательства.
3.2. Обработка Персональных данных в целях продвижения товаров, работ и услуг Организатора Программы и Партнеров путем осуществления прямых контактов с Субъектом Персональных данных с помощью средств связи допускается только при условии предварительного согласия Субъекта Персональных данных. В случае соответствующего требования Субъекта Персональных данных, Организатора Программы обязан немедленно прекратить их обработку в указанных выше целях.
3.3. Любое распространение Персональных данных должно производиться исключительно с согласия Субъекта Персональных данных, если иное не установлено законодательством.
3.4. Принятие решений, порождающих юридические последствия в отношении Субъекта Персональных данных или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки Персональных данных не допускается.
3.5. В случаях, предусмотренных Законом о персональных данных, обработка Персональных данных осуществляется только с согласия Субъекта Персональных данных.

4. Цели обработки персональных данных

4.1. Обработка Персональных данных осуществляется исключительно в следующих целях:
  Реализация Программы.
  Осуществление прямых контактов с Субъектом Персональных данных с помощью различных средств связи, включая, но, не ограничиваясь: электронная почта, контактный телефон, смс, сеть Интернет, в том числе, в целях направления уведомлений, информации и запросов, связанных с реализацией Программы, Участником которой является Субъект Персональных данных.
  Обработка заявлений, запросов и заявок Субъекта Персональных данных.
  Продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с Субъектом Персональных данных, заключения и исполнения договоров гражданско-правового характера, в том числе на условиях публичной оферты.
  Проведения исследований, на основе обезличенных Персональных данных.
  Контроль качества выполнения условий реализации Партнерами Программы.
4.2. Не допускается обработка Персональных данных, которые не отвечают целям обработки.

5. Субъекты и категории персональных данных, подлежащих обработке

5.1. В целях настоящей Политики обрабатываются Персональные данные Участников Программы лояльности «Викинг Дискаунт».
5.2. В целях настоящей Политики осуществляется обработка следующих Персональных данных общей категории:
  Фамилия, имя, отчество.
  Дата рождения.
  Пол.
  Номер мобильного телефона (в случае регистрации на Субъекта персональных данных).
Адрес электронной почты.
5.3. Обработка специальных категорий Персональных данных не допускается. Обработка биометрических Персональных данных, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить личность Субъекта Персональных данных не осуществляется.

6. Виды и способы обработки персональных данных

6.1. При обработке Персональных данных осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
6.2. Обработка Персональных данных осуществляется следующими способами:
  Автоматизированная обработка Персональных данных.
  Неавтоматизированная обработка Персональных данных.
  Смешанная обработка Персональных данных, в том числе, с передачей по внутренней сети Организатора Программы и/или с передачей по сети Интернет.

7. Мероприятия по обеспечению безопасности персональных данных при их обработке

7.1. При обработке Персональных данных Организатором Программы принимаются необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных в соответствии с требованиями ст.19 Закона о персональных данных, в частности:
  Назначается лицо, ответственное за организацию обработки Персональных данных.
  Издаются локальные акты по вопросам обработки Персональных данных.
  Осуществляется внутренний контроль соответствия обработки Персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите Персональных данных, Политике Организатора Программы в отношении обработки Персональных данных, локальным актам Организатора Программы
  Осуществляется оценка вреда, который может быть причинен Субъектам Персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Организатором Программы мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
  Проводится ознакомление сотрудников Организатора Программы, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе, требованиями к защите Персональных данных, документами, определяющими Политику в отношении обработки Персональных данных, локальными актами по вопросам обработки Персональных данных.
  Определяются угрозы безопасности Персональных данных при их обработке в информационных системах Персональных данных.
  Проводится оценка готовности и эффективности принимаемых мер по обеспечению безопасности Персональных данных до ввода в эксплуатацию информационной системы Персональных данных.
  Устанавливаются правила доступа к Персональным данным, обрабатываемым в информационной системе Персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с Персональными данными в информационной системе Персональных данных.
  Проводится контроль за принимаемыми мерами по обеспечению безопасности Персональных данных и уровнем защищенности информационных систем Персональных данных.
  Выполняются организационные и технические меры для защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения Персональных данных.

8. Права Субъектов персональных данных

8.1. Субъект Персональных данных имеет право на получение информации об обработке его Персональных данных у Организатора Программы, в том числе:
  Подтверждение факта обработки Персональных данных.
  Правовое основание, цели и сроки обработки Персональных данных.
  Способы обработки Персональных данных.
  Иные сведения, предусмотренные законодательством Российской Федерации.
8.2. Право Субъекта Персональных данных на доступ к его Персональным данным может быть ограничено в случаях, предусмотренных законодательством Российской Федерации.
8.3. Субъект Персональных данных имеет право на:
  Уточнение своих Персональных данных, их блокирование или уничтожение, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  Отзыв согласия на обработку Персональных данных.
  Осуществление иных прав, предусмотренных законодательством Российской Федерации в области Персональных данных.
8.4. В случае отзыва Субъектом Персональных данных согласия на обработку Персональных данных, Организатор Программы вправе продолжить обработку Персональных данных без согласия Субъекта Персональных данных при наличии оснований, указанных в п.п. 2-11 ч.1 ст.6 Закона о персональных данных.
8.5. Для реализации своих прав и законных интересов Субъект Персональных данных может обратиться к Организатору Программы. Организатор Программы рассматривает обращения и жалобы со стороны Субъектов Персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуации в досудебном порядке.
8.6. Субъект Персональных данных вправе обжаловать действия или бездействие Организатора Программы путем обращения в уполномоченный орган по защите прав Субъектов Персональных данных.
8.7. Субъект Персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

9. Ответственность и контроль за соблюдением требований настоящей Политики

9.1. Приказом Генерального директора Организатора Программы назначается лицо, ответственное за организацию обработки и обеспечение безопасности Персональных данных.
9.2. Лицо, ответственное за организацию и обеспечение безопасности Персональных данных в рамках выполнения положений настоящей Политики и законных актов Российской Федерации в области Персональных данных уполномочено:
  Планировать применение организационных и технических мер по обеспечению безопасности Персональных данных при их обработке в информационных системах Персональных данных, необходимых для противодействия угрозам безопасности Персональных данных и выполнения требований к защите Персональных данных.
  Организовывать контроль и/или проверку соответствия принятых мер защиты при обработке Персональных данных Закону о персональных данных, нормативным правовым актам, требованиям нормативных актов к защите Персональных данных, локальным актам.
  Оценивать эффективность принимаемых мер по обеспечению безопасности Персональных данных до ввода в эксплуатацию информационной системы Персональных данных и организовывать мониторинг уровня защищенности Персональных данных при эксплуатации информационной системы Персональных данных.
  Проводить анализ по фактам нарушения положений настоящей Политики.
  Разрабатывать и принимать соответствующие меры на поддержание необходимого уровня защищенности Персональных данных.
  Организовывать прием и обработку обращений и запросов регулирующих органов Российской Федерации, Субъектов Персональных данных или их представителей.
9.3. Лица, виновные в нарушении норм действующего законодательства Российской Федерации в области Персональных данных могут быть привлечены к ответственности в порядке, установленном действующим законодательством Российской Федерации.

10. Заключительные положения

10.1. Настоящая Политика является локальным нормативным актом Организатора Программы, вступает в силу с момента её утверждения приказом Генерального директора Организатора Программы и действует до её отмены в установленном порядке.
10.2. Политика подлежит пересмотру в следующих случаях:
  При изменении требований законодательства о Персональных данных.
  При изменении условий Программы, для целей реализации которой производится обработка Персональных данных.
10.3. Настоящая Политика является обязательной для исполнения всеми структурными подразделениями и сотрудниками Организатора Программы.
10.4.Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных, для организации неограниченного доступа настоящая Политика обязательна к опубликованию на сайте Организатора Программы в сети Интернет https://vikingcard.ru/.