0
0
0
phone-icon
Заказать звонок

0р.

Оформить заказ

Политика безопасности и защита персональных данных

Утверждено приказом
генерального директора
ООО «МногоТентов.ру»
№ 18364 от 8 сентября 2023 г.

Приложение № 1 к Приказу
№ 18364 от 8 сентября 2023 г.

ПОЛИТИКА
Общества с ограниченной ответственностью
«МногоТентов.ру»
в отношении обработки персональных данных
и сведения о реализуемых требованиях
к защите персональных данных

г. Ижевск, 2023

1. Общие положения

1.1. «Политика Общества с ограниченной ответственностью «МногоТентов.ру» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных» (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «МногоТентов.ру» (далее – Общество).

Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства Российской Федерации в области персональных данных (далее – законодательство).

1.2. Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

1.3. В Политике используются следующие термины и определения:

  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

  • База персональных данных – упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);

  • Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

  • Дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет;

  • Доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Обществом, при условии сохранения конфиденциальности этих сведений;

  • Интернет-магазин – интернет-сайт, принадлежащий Обществу, размещенный в сети Интернет на домене mnogotentov.ru и его поддоменах, на котором представлены товары, предлагаемые покупателям для приобретения посредством оформления и размещения заказов, а также условия заказа, оплаты, предоставления дополнительных услуг и доставки приобретаемых товаров покупателям;

  • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

  • Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений и/или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

  • Контрагент – сторона договора с Обществом, не являющаяся работником Общества;

  • Конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;

  • Мобильное приложение – программное обеспечение, предназначенное для работы на смартфонах, планшетах и др. мобильных устройствах, разработанное для конкретной платформы (iOS, Android и др.), принадлежащее Обществу и предназначенное для поиска, выбора и заказа товаров и услуг в Интернет-магазине;

  • Облачная вычислительная инфраструктура – общий пул конфигурируемых вычислительных ресурсов (сети передачи данных, серверы, устройства хранения данных, приложения и сервисы – как вместе, так и по отдельности), к которым обеспечен повсеместный и удобный сетевой доступ по требованию, и которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру, обладающие пятью основными свойствами: самообслуживание по требованию, универсальный доступ по сети, объединение ресурсов, эластичность, учёт потребления;

  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

  • Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных либо по его просьбе, а также данные, которые подлежат обязательному раскрытию или опубликованию в соответствии с требованиями законодательства;

  • Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В Политике под оператором понимается Общество;

  • Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

  • Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

  • Сайт – сайт Общества в сети Интернет mnogotentov.ru и его поддомены;

  • Субъект персональных данных – физическое лицо, к которому относятся персональные данные;

  • Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

  • Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Статус Общества и категории субъектов, чьи персональные данные обрабатываются Обществом

2.1. Общество является оператором персональных данных в отношении персональных данных следующих физических лиц:

  • Работники – работники Общества, с которыми заключены или были заключены трудовые договоры, в том числе те, с которыми трудовые договоры уже прекращены (расторгнуты).

  • Члены семей работников – близкие родственники работников Общества, супруги и лица, находящиеся на иждивении работников, бывшие супруги, которым выплачиваются алименты, обработка персональных данных которых предусмотрена законодательством, а также выполняется Обществом как работодателем в соответствии с требованиями органов государственного статистического учета.

  • Соискатели – соискатели вакантных должностей Общества, представившие свои резюме или анкеты лично или через кадровые агентства, в том числе специализированные сайты.

  • Покупатели – конечные потребители продукции Общества, включая обладателей Сервисной карты и Профессиональной карты Общества, покупателей Интернет-магазина, участников маркетинговых акций и иных лиц, обратившихся в Общество и предоставивших персональные данные.

  • Представители контрагентов – физические лица и ИП, представители контрагентов Общества (юридических лиц и ИП), включая работников, владельцев, бенефициарных владельцев и иных представителей контрагентов.

  • Представители субъектов – представители субъектов персональных данных, не являющиеся работниками Общества, обращающиеся в Общество по поручению и от имени субъектов персональных данных.

  • Посетители – лица, не имеющие права постоянного прохода на охраняемые территории и помещения Общества.

  • Пользователи сайта и мобильного приложения – авторизовавшиеся пользователи сайта и мобильного приложения, заполнившие веб-формы регистрации и/или обращения.

  • Посетители сайта – анонимные (неавторизованные) посетители сайта Общества.

2.2. Субъект персональных данных может одновременно относиться к нескольким категориям, указанным выше.

2.3. Общество вправе передавать персональные данные другим операторам (органы власти, органы статистики, военные комиссариаты, операторы связи, профсоюзы, операторы фискальных данных и др.) в соответствии с законодательством без согласия субъектов.

3. Принципы обработки персональных данных

3.1. Законность и справедливая основа – все меры по выполнению требований законодательства, недопустимость вреда субъектам.

3.2. Целевое ограничение – обработка только для заранее определённых законных целей:

  • для Работников: исполнение трудовых договоров, расчёт зарплаты, соцгарантии, безопасность, отчётность, продвижение бренда;

  • для Членов семей работников: соцгарантии, информирование о несчастных случаях, алименты;

  • для Соискателей: подбор на вакансии, кадровый резерв;

  • для Покупателей: лояльность, продажи, доставка, маркетинговые мероприятия, поддержка;

  • для Представителей контрагентов: исполнение договоров;

  • для Представителей субъектов: действия по поручению субъектов;

  • для Посетителей: пропускной режим;

  • для Пользователей сайта/приложения: продажи, участие в акциях, сбор данных;

  • для Посетителей сайта: профилирование, таргетинг, корректная работа сайта.

3.3. Минимизация – обработка только тех данных, которые необходимы целям.

3.4. Раздельное хранение – недопущение объединения несовместимых баз.

3.5. Точность и актуальность – субъекты могут требовать уточнения, блокирования, уничтожения некорректных данных.

3.6. Сроки хранения – не дольше, чем требуют цели обработки (если иное не установлено законодательством).

3.7. Уничтожение – по достижении целей или при отзыве согласия, невозможности устранения нарушений.

4. Условия обработки персональных данных

4.1. Обработка допустима при:

  • наличии согласия субъекта;

  • выполнении функций по закону;

  • исполнении договора;

  • защите прав и законных интересов;

  • общедоступности данных по согласию субъекта;

  • обязательном раскрытии по закону.

4.2. Без согласия данные не раскрываются, если иное не предусмотрено законом или договором.

4.3. Специальные категории данных не обрабатываются без прямого основания закона.

4.4. Судимость обрабатывается только в установленных законом случаях.

4.5. Трансграничная передача возможна при адекватной защите и хранении копий в РФ.

4.6. Решения с юридическими последствиями не принимаются исключительно автоматизировано.

5. Способы обработки персональных данных

5.1. С использованием средств автоматизации и без них.

5.2. Политика распространяется в полном объеме на автоматизированную обработку и в части ручной обработки, совместимой по алгоритму с автоматизированной.

6. Конфиденциальность персональных данных

6.1. Общество и работники обязаны сохранять конфиденциальность без согласия субъекта, если иное не установлено законом.

6.2. Доступ к данным ограничен и по разрешительной системе.

6.3. Возможно поручение обработки третьим лицам на договорной основе с обязанностью соблюдать требования обработки и конфиденциальности.

6.4. Размещение в дата-центрах или облаке без доступа персонала провайдера не считается передачей на обработку.

6.5. Общество несет ответственность за действия третьих лиц, которым поручена обработка.

6.6. Иностранные провайдеры обрабатывают данные по поручению с ответственностью Общества и провайдера.

7. Согласие субъекта персональных данных

7.1. Согласие дается свободно, сознательно, может быть в любой доказуемой форме.

7.2. При получении согласия от представителя проверяются его полномочия.

7.3. Контрагент несет ответственность за правомерность переданных данных и получение согласия.

7.4. Общество не информирует субъектов при передаче через контрагента, полагая, что контрагент это сделал.

7.5. Специального согласия Работника не требуется, за исключением отдельных случаев.

7.6. Согласие Членов семей работников не требуется, если обработка по закону; в остальных случаях – доказуемое согласие.

7.7. Согласие Соискателя не требуется для найма; данные уничтожаются в течение 30 дней после отказа.

7.8. Согласие Покупателей дается «галочкой» в формах на сайте/приложении и при совершении конклюдентных действий.

7.9. Открытые данные из госреестров не требуют согласия, за исключением паспортных сведений.

7.10. Согласие Представителей контрагентов не требуется при наличии доверенности или конклюдентных действий.

7.11. Согласие Представителя субъекта дается конклюдентными действиями (доверенность).

7.12. Согласие Посетителя дается конклюдентными действиями (передача данных при визите).

7.13. Согласие Пользователей сайта/приложения дается «галочкой» или акцептом оферты.

7.14. Согласие Посетителей сайта на cookie дается «галочкой» или закрытием баннера.

7.15. Электронная подпись приравнивается к собственноручной подписи.

7.16. Согласие не требуется при запросах уполномоченных органов по закону.

7.17. При запросах от неспособных органов Общество должно получить согласие и предупредить о цели использования.

7.18. Согласие на необязательную обработку может быть отозвано.

7.19. Обязанность доказать согласие или основания обработки лежит на Обществе.

8. Права субъектов персональных данных

8.1. Право получать информацию о обработке, требовать уточнения, блокирования, уничтожения некорректных данных.

8.2. Право обжаловать нарушения в Роскомнадзор или суд.

8.3. Право на возмещение убытков и компенсацию морального вреда.

8.4. Почтовый адрес для запросов: 427000, Удмуртская Республика, Завьяловский р-н, с Завьялово, Янтарная ул, д. 4, ООО «МногоТентов.ру».

8.5. Раздел сайта для обращений: раздел Клиентская поддержка.

9. Сведения о реализуемых требованиях к защите персональных данных

9.1. Защита обеспечивается правовыми, организационными и техническими мерами.

9.2. Правовые меры:

  • разработка локальных актов, в том числе Политики;

  • отказ от обработки, не соответствующей целям.

9.3. Организационные меры:

  • назначение ответственных за обработку и безопасность;

  • ограничение доступа и разрешительная система;

  • ознакомление и обучение работников;

  • регламентация процессов;

  • учёт машинных носителей;

  • определение угроз и уровней защищенности;

  • размещение в охраняемых зонах;

  • контроль доступа посторонних.

9.4. Технические меры:

  • разработка системы защиты по моделям угроз;

  • использование сертифицированных средств защиты;

  • оценка эффективности мер;

  • разграничение прав доступа;

  • регистрация действий пользователей;

  • защита данных в почте (архивы с паролем);

  • ограничение среды;

  • антивирусная защита;

  • межсетевое экранирование;

  • аутентификация пользователей по паролю;

  • контроль целостности ПО;

  • обнаружение вторжений и реагирование;

  • резервное копирование и восстановление;

  • мониторинг действий пользователей.

10. Заключительные положения

10.1. Иные права и обязанности Общества как оператора и обработчика определяются законодательством РФ.

10.2. Виновные в нарушении несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.