Соглашение на обработку персональных данных
1.Общие положения
1.1 Положение об обработке персональных данных (далее - Положение) издано и применяется в ООО «Центр Групп НН» (далее – Оператор/Исполнитель) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», на основании соответствующих норма Конституции Российской Федерации, Трудового кодекса Российской Федерации, а также общепризнанными принципами и нормами международного права и международных договоров РФ, которые в соответствии с ч. 4 ст. 15 Конституции РФ являются составной частью российской правовой системы.
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
Понятия, содержащиеся в ст. 3 ФЗ «О персональных данных», используются в настоящей Политике с аналогичным значением.
«Субъект персональных данных» (также «Субъект») – Клиент, Пользователь Сайта, а также любое другое физическое лицо, юридическое лицо (Представитель юридического лица), ИП, в том числе заключившее договор с Обществом.
«Персональные данные Субъекта» – любая информация, относящаяся к Субъекту персональных данных, на основе которой такой Субъект может быть определен.
«Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
«Автоматизированная обработка персональных данных» - обработка персональных данных с помощью средств вычислительной техники;
«Распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
«Предоставление персональных данных» - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
«Блокирование персональных данных» - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
«Уничтожение персональных данных» - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
«Обезличивание персональных данных» - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
«Трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
«Информационная система персональных данных» – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
«Конфиденциальность персональных данных» – обязательное для соблюдения Оператором или иным уполномоченным Оператором лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия Субъекта персональных данных или наличия иного законного основания.
Сайт ООО «Центр Групп НН» - / (далее – Сайт).
1.1 Цели обработки персональных данных:
1.1.1 продвижение товаров, работ, услуг Оператора на Сайте путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи/размещение рекламных креативов на Сайте;
1.1.2 заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
1.2 Для каждой из указанных целей определены:
- категории и перечни обрабатываемых данных;
- категории субъектов данных;
- способы и сроки обработки, хранения данных;
- порядок их уничтожения.
1.4 Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5 Установлены общие способы обработки персональных данных для указанных целей:
- с использованием средств автоматизации;
- без использования средств автоматизации;
- в том числе, с использованием внутренней сети и сети Интернет.
1.6 В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных, именуемого далее «Куратор ОПД».
1.6.1 Куратор, как и Оператор, в лице Генерального директора ООО «Центр Групп НН» Щербакова Евгения Олеговича вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.7 Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
1.8 Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Оператором графиками.
1.9 При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.10 При осуществлении сбора персональных данных с использованием информационно- телекоммуникационных сетей Оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно- телекоммуникационной сети.
1.11 Условия обработки персональных данных Оператором:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
1.12 Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
2. Обработка персональных данных «Пользователей сайта» Оператора обработки персональных данных
3.1 Политика конфиденциальности применяется только к Сайту. Сайт не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.
Пользователь Сайта – это посетитель любого интернет-сайта или клиент онлайн-сервиса.
3.2 Исполнитель не проверяет предоставленную Пользователем на Сайте персональную информацию и не может судить о ее достоверности. Исполнитель исходит из того, что Пользователь предоставляет достоверную и достаточную Персональную информацию, а также своевременно обновляет ее.
3.3 Исполнитель не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте. На сайтах третьих лиц может быть собственная политика конфиденциальности и у Пользователя могут собираться или запрашиваться иные персональные данные.
3.4 Предоставляя персональные данные передаются Оператору непосредственно после дачи согласия на обработку персональных данных через галочку в «чек-боксе» на Сайте.
3.5 Исполнитель может обрабатывать персональные данные следующих субъектов персональных данных:
- Пользователей сайта и контрагентов Исполнителя;
- Посетителей сайта Исполнителя (далее - Сайт).
3.6 К персональным данным, обрабатываемым Исполнителем, относятся:
- фамилия, имя, отчество субъекта персональных данных (далее «Пользователь»);
- место проживания/регистрации организации (регион/город);
- номер мобильного телефона;
- адрес электронной почты (e-mail);
- история запросов и просмотров на Сайте (для посетителей Сайта);
- электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi);
- иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
3.7 При посещении Сайта происходит сохранение cookies-файлов Пользователя с целью анализа поведения Пользователя на Сайте, определения интереса Пользователя и оптимизации кампании рекламных сообщений. Cookies-файл – текстовый файл, отправляемый веб-сервером и хранимый на компьютере Пользователя, используется для аутентификации Пользователя, отслеживания состояния его сеанса и хранения статистики об использовании пользователей сайтов в сети Интернет. При посещении Сайта Пользователь соглашается на сохранение его cookies-файлов и передачу их третьим лицам с целью анализа поведения Пользователя на Сайте и получения им целевых рекламных сообщений. Пользователь соглашается на получение им целевой рекламы в соответствии с обработанными данными, полученными при анализе его cookies-файлов. Пользователь может отказаться от сохранения cookies-файлов путем изменения настроек в параметрах приватности / конфиденциальности / личных данных (в зависимости от терминологии браузера) используемого им веб-браузера.
3.8 Целями обработки персональных и технических данных являются:
- заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения;
- предоставление субъектам персональных данных сервисов и услуг Исполнителя, а также информации о разработке Исполнителем новых продуктов и услуг, в том числе рекламного характера;
- обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта;
- контроль и улучшение качества услуг и сервисов Исполнителя, в том числе предложенных на Сайте;
- размещения справочной информации о лице на Сайте;
3.9 Исполнитель не обрабатывает биометрические персональные данные, а также специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни).
3.10 Персональные данные получаются непосредственно от лиц путем дачи согласия на Сайте либо путем дачи согласия на бумажном носителе.
3.11 Исполнитель осуществляет сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.
3.12 Обработка персональных данных осуществляется с согласия Пользователя (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
3.13 Согласие дается в любой позволяющей подтвердить факт его получения форме.
3.14 В случаях, предусмотренных процессами обработки персональных данных в Исполнителя, персональные данные могут быть переданы третьим лицам. Передача персональных данных третьим лицам может осуществляться с согласия Пользователя, а также в случаях, предусмотренных законодательством Российской Федерации, и на основании требований федеральных законов.
3.15 Обработка и хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных в течение срока действия Пользовательского соглашения, иного Договора, соглашения по использованию сервисов Сайта, и сроков, установленных законодательством Российской Федерации, но не дольше, чем этого требуют цели обработки персональных данных.
3.16 Исполнитель при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3. Обработка персональных данных при работе с Клиентами Оператора персональных данных
3.1 Клиент – физическое лицо или юридическое лицо, обратившееся к Оператору за приобретением Товара, указанного на Сайте.
3.2 Оператор может обрабатывать персональные данные следующие категории персональных данных при взаимодействии с Клиентами:
3.2.1 Клиенты и контрагенты Оператора (физические лица):
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес;
- контактные данные;
- индивидуальный номер налогоплательщика;
- номер расчетного счета;
- иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.2. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные;
- иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
3.3 Обработка персональных данных осуществляется в целях заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
3.4 Обработка осуществляется для:
- заключения с субъектами персональных данных любых договоров и их дальнейшего исполнения;
- предоставления субъектам персональных данных сервисов и услуг Исполнителя, а также информации о разработке Исполнителем новых продуктов и услуг, в том числе рекламного характера;
- обратной связи с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта;
3.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Права и обязанности сторон в области обработки персональных данных
5.1 Субъект персональных данных обязан предоставлять Оператору достоверные сведения о себе.
Оператор оставляет за собой право проверять достоверность сведений, сверяя данные, предоставленные Субъектом персональных данных, с имеющимися документами.
Субъект персональных данных обязан воздерживаться от разглашения персональных данных других Субъектов персональных данных.
Субъекты персональных данных обязаны использовать персональные данные других Субъектов персональных данных лишь в целях, для которых они были сообщены.
5.2 При изменении персональных данных, каждой категории Субъектов персональных данных, они должны предоставить свои измененные данные.
5.3 По мере необходимости Оператор может истребовать у Субъекта персональных данных дополнительные персональные данные. Если обязанность предоставления персональных данных для Субъекта персональных данных установлена действующим законодательством, Оператор обязан разъяснить Субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
5.4 В целях обеспечения защиты персональных данных, хранящихся у Оператора, Субъекты персональных данных имеют право:
- получать полную информацию о своих персональных данных.
- получать информацию, касающуюся обработки своих персональных данных, включая: подтверждение факта обработки персональных данных Оператором, а также цель такой обработки; способы обработки персональных данных, применяемые Оператором; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения.
- свободного бесплатного доступа к своим персональным данным.
5.5 Оператор, как обладатель информации, информационной системы, включающей в себя персональные данные Субъекта персональных данных, в случаях, установленных законодательством Российской Федерации, обязан обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий в результате нарушения порядка доступа к информации;
- постоянный контроль за обеспечением уровня защищенности информации.
5.6 Оператор обязан предупредить лиц, получающих персональные данные Субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено (в форме обязательства о неразглашении). Лица, получающие персональные данные Субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными Субъектов персональных данных в порядке, установленном федеральными законами Российской Федерации.
Актуализация, исправление, удаление, уничтожение персональных данных и прекращение их обработки, ответы на запросы субъектов на доступ к персональным данным
6.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4 При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 96 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.6 При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными Субъекта персональных данных
7.1. Информация, относящаяся к персональным данным Субъекта персональных данных, является конфиденциальной и охраняется законодательством Российской Федерации.
8. Заключительные положения
8.1 Контроль за исполнением настоящего Положения возлагается на Генерального Директора.
8.2 Настоящей Политикой предусмотрена возможность передачи персональных данных третьим лицам, при получении на это согласия Субъекта, с указанием целей и категорий персональных данных.
8.2. При приеме на работу к Работодателю лицо, поступающее на работу, до подписания трудового договора, должно быть в обязательном порядке ознакомлено с настоящим Положением, что подтверждается подписью лица в листе ознакомления с настоящими правилами, являющимся неотъемлемой частью настоящего Положения.