Политика в отношении обработки персональных данных
Политика
конфиденциальности персональных данных посетителей сайта
1. Общие положения
1.1. Настоящая политика конфиденциальности разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и иными нормативными правовыми актами в области защиты и обработки персональных данных, действующими на территории Российской Федерации.1.2. В настоящей Политике конфиденциальности используются следующие понятия:
- Сайт - сайт, права на использование которого принадлежат Оператору, расположенный на доменном имени https://m-shtab.ru/.
- Оператор - Общество с ограниченной ответственностью «Масштаб» (ОГРН 1187746908898 / ИНН 7735179999, адрес: 124536, г. Москва, г. Зеленоград, к. 530, кв. 106).
- администрация сайта - уполномоченные на управление Сайтом специалисты (представители Оператора);
- субъект - физическое лицо, добровольно предоставившее любыми способами Оператору свои персональные данные; субъектами могут считаться:
а) пользователи Сайта,
б) лица, заинтересованные в заключении договора с Оператором,
в) сторона по договору с Оператором или выгодоприобретатель по договору с Оператором или иное лицо.
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.3. Настоящая Политика конфиденциальности устанавливает порядок получения, защиты, хранения, обработки и передачи персональных данных субъектов, действует в отношении всей информации, которую Оператор может получить о субъекте во время использования им Сайта или в случае предоставления персональных данных иными способами.
Настоящая Политика конфиденциальности не распространяется на другие сайты и не применяется в отношении сайтов третьих лиц. Администрация сайта не несет ответственности за сайты третьих лиц, на которые субъект может перейти по ссылкам, доступным на Сайте.
1.4. К персональным данным субъектов, которые могут собираться и обрабатываться Оператором относятся:
- фамилия, имя, отчество,
- год рождения,
- месяц рождения,
- дата рождения,
- место рождения,
- имущественное положение,
- доходы,
- пол,
- адрес электронной почты,
- адрес места жительства,
- адрес регистрации,
- номер телефона,
- ИНН,
- гражданство,
- данные документа, удостоверяющего личность,
- реквизиты банковской карты,
- номер расчетного счета,
- номер лицевого счета,
- сведения об образовании,
- фото-видео изображение лица,
- данные голоса человека,
- ник в мессенджере или социальной сети,
- должность,
- cookie-файлы;
- сведения об используемом субъектом интернет-браузере,
- IP-адрес субъекта.
Все персональные данные о субъектах Оператор может получить только от них самих.
1.4.1. Цели обработки персональных данных субъектов:
- установление контакта и дальнейшее взаимодействие с субъектом как потенциальным или настоящим или бывшим контрагентом Оператора;
- заключение и исполнение, прекращение договора с Оператором (в котором субъект является стороной или выгодоприобретателем или иным лицом);
- направление субъекту рекламной информации (в том числе, в форме рекламной и иной информационной рассылки);
- анализ взаимодействия субъекта с Сайтом.
1.4.2. Персональные данные субъектов являются конфиденциальной информацией и не могут быть использованы Оператором или любым иным лицом в личных целях.
1.4.3. Данные, которые передаются в автоматическом режиме в зависимости от настроек программного обеспечения, используемого субъектом, включая, но не ограничиваясь: IP-адрес, cookie, данные об используемом программном обеспечении и оборудовании для работы в сети связи, включая Интернет, параметрах и настройках интернет-браузеров,передаваемой и получаемой с использованием Сайта информации.
Субъект осознает и принимает возможность размещения на страницах Сайта программного обеспечения третьих лиц, в результате чего такие лица могут получать указанные в настоящем пункте обезличенные данные.
К указанному программному обеспечению третьих лиц среди прочего могут относиться системы по сбору статистики посещений (например, счетчики Яндекс.Метрика и т.д.); социальные плагины (блоки) социальных сетей (например, ВКонтакте, Telegram и т.п.); другие системы сбора обезличенной информации.
1.5. Администрация сайта обеспечивает субъектам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством РФ.
1.6. Администрация сайта разрабатывает меры защиты персональных данных субъектов.
2. Обработка, хранение и передача персональных данных субъектов
2.1. Обработка персональных данных субъектов осуществляется исключительно в целях, указанных в п. 1.4.1. настоящей Политики конфиденциальности.2.2. Обработка персональных данных осуществляется с использованием средств автоматизации.
2.3. К категориям субъектов персональных данных относятся:
2.3.1. Пользователи Сайта;
2.3.2. Лица, заинтересованные в заключении договора с Оператором;
2.3.3. Сторона по договору с Оператором или выгодоприобретатель по договору или иное лицо.
В данных категориях субъектов Оператором обрабатываются персональные данные в целях, указанных в п. 1.4.1. настоящей Политики:
Категория персональных данных | Перечень персональных данных | Способ обработки | Срок обработки и хранения |
Общие персональные данные | Персональные данные, перечисленные в п. 1.4. настоящей Политики. | Автоматизированная | После истечения срока нормативного хранения документов |
2.4. Персональные данные субъектов хранятся в электронном виде в информационной системе персональных Оператора, в архивных копиях баз данных Сайта.
При хранении персональных данных субъектов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К обработке персональных данных субъектов могут иметь доступ только специалисты Оператора, допущенные к работе с персональными данными субъектов и подписавшие соглашение о неразглашении персональных данных субъектов.
Перечень специалистов, имеющих доступ к персональным данным субъектов, утверждается приказом руководителя Оператора.
2.5. Оператор может передавать персональные данные субъектов третьим лицам, только если это необходимо в целях предупреждения угрозы их жизни и здоровью, а также в случаях, установленных законодательством РФ.
2.6. Оператор обязан предоставлять персональные данные субъектов только уполномоченным лицам и только в той части, которая необходима им для выполнения их договорных обязанностей, в соответствии с настоящей Политикой конфиденциальности и законодательством РФ.
2.7. При передаче персональных данных субъектов Оператор предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
2.8. Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку персональных данных. Оператор обеспечивает субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных им для распространения.
2.9. В согласии на обработку персональных данных, разрешенных для распространения, субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
2.10. Передача (распространение, предоставление, доступ) персональных данных разрешенных для распространения, должна быть прекращена в любое время по требованию субъекта. Указанные в данном требовании персональные данные могут обрабатываться только Оператором.
2.11. Иные права, обязанности, действия специалистов Оператора, в обязанности которых входит обработка персональных данных субъектов, определяются инструкциями или иными документами.
2.12. Все сведения о передаче персональных данных субъектов учитываются для контроля правомерности использования данной информации лицами, ее получившими.
2.13. В целях повышения качества работы Оператора и обеспечения возможности правовой защиты Оператор вправе хранить лог-файлы о действиях, совершенных субъектами в рамках использования сайта и иных ресурсов Оператора.
3. Требования к помещениям, в которых производится обработка персональных данных
3.1. Размещение оборудования информационных систем персональных данных специального оборудования должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
4. Права и обязанности Оператора
4.1. Оператор вправе устанавливать требования к составу персональных данных субъектов, которые должны обязательно предоставляться Оператору, при этом Оператор руководствуется настоящей Политикой конфиденциальности, Конституцией Российской Федерации, иными федеральными законами РФ.
4.2. Оператор не осуществляет проверку достоверности представляемых субъектами персональных данных, полагая, что они действуют добросовестно и поддерживают информацию о своих персональных данных в актуальном состоянии.
4.3. Оператор не несет ответственности за добровольную передачу субъектами своих контактных данных третьим лицам.
4.4. Оператор за свой счет обеспечивает защиту персональных данных субъектов от неправомерного использования или утраты в порядке, установленном законодательством Российской Федерации.
4.5. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, могут относится:
- назначение ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов, а также возлагающие на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам;
- оценка вреда, который может быть причинен субъектам в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- ознакомление специалистов, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных специалистов.
5. Права субъектов на защиту своих персональных данных
5.1. Субъекты в целях обеспечения защиты своих персональных данных, имеют право:
- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
- определять своих представителей для защиты своих персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящей Политики конфиденциальности и законодательства Российской Федерации;
- требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
При отказе Оператора исключить или исправить персональные данные субъекта он вправе заявить Оператору в письменном виде о своем несогласии с соответствующим обоснованием.
5.2. Субъекты вправе самостоятельно ограничить сбор информации третьими лицами, используя стандартные настройки конфиденциальности применяемого ими для работы с Оператором и сайтом интернет-браузера, а также в любое время изменить, удалить или дополнить представленные ими персональные данные.
5.3. Если субъекты считают, что обработка их персональных данных осуществляется с нарушением требований Закона о персональных данных или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.4. Субъекты не должны отказываться от своих прав на сохранение и защиту тайны.
6. Порядок уничтожения, блокирования персональных данных
6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки.
6.2. В случае выявления неточных персональных данных при обращении субъекта Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектов, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
6.6. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта.
6.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта, Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъекта, и предполагаемом вреде, нанесенном правам субъекта, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.8. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
6.9. В случае отзыва субъектом согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
6.10. В случае обращения субъекта к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пп. 6.4-6.10 настоящей Политики конфиденциальности, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.12. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
6.13. Оператор для этих целей создает комиссию и проводит экспертизу ценности документов.
6.14. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем измельчения в шредере;
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
7. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных данных
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, привлекаются к дисциплинарной, материальной,гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
7.2. Моральный вред, причиненный субъекту вследствие нарушения его прав нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.
8. Изменение политики конфиденциальности
8.1. Настоящая политика конфиденциальности может быть изменена или прекращена Оператором в одностороннем порядке без предварительного уведомления субъекта. Новая редакция Политики конфиденциальности вступает в силу с даты ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.
8.2. Действующая редакция Политики конфиденциальности находится на Сайте в информационно-телекоммуникационной сети «Интернет» по адресу: https://m-shtab.ru/pd.