Положение об обработке персональных данных
Дата создания документа 25 августа 2017 г.
1. Определение терминов
1.1. В настоящем Положении об обработке персональных данных используются следующие термины:
1.1.1. «Компания» – Общество с ограниченной ответственностью «Инфантс Планет», которое организует и(или) осуществляет обработку персональных данных с сайта https://rocros.ru/ (далее «Сайт»), а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1.2. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также любая другая информация.
1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.4. «Безопасность персональных данных» — защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.1.5. «Конфиденциальность персональных данных» — обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицам требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.1.6. «Субъект персональных данных (далее — «Субъект»)» — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт Компании.
1.1.7. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Субъекта, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
1.1.8. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
2. Общие положения
2.1. Настоящее Положение об обработке персональных данных (далее – «Положение») разработано и применяется в Обществе с ограниченной ответственностью «Инфантс Планет» (далее – «Компания») в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – ФЗ «О персональных данных»).
2.2. Настоящее Положение определяет политику Компании в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Компании (далее – «Субъекты персональных данных») с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
2.3. Положение разработано с целью обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Компании, имеющих доступ к персональным данным Субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.
2.4. Действие настоящего Положения не распространяется на отношения, на которые Федеральный закон «О персональных данных» не распространяется (п.2 ст.1 Закона).
2.5. Компания осуществляет обработку следующих персональных данных:
- фамилию, имя, отчество Субъектов персональных данных и их несовершеннолетних детей;
- возраст детей субъектов персональных данных;
- номер контактного телефона;
- адрес электронной почты;
- фотографии субъектов персональных данных;
- страна/город местонахождения;
- адрес местонахождения;
- IP адреса, cookie.
2.6. Компания осуществляет обработку персональных данных Субъектов персональных данных в следующих целях:
- для рассылки приглашений на официальные мероприятия, новостной рассылки, информирования о новых проектах, конкурсах и розыгрышах и иной информации, в том числе рекламного характера;
- для премирования Компанией Субъектов персональных данных;
- для продвижения услуг и/или товаров Компании и ее партнеров путем осуществления прямых контактов с Субъектом с помощью различных средств связи, включая, но не ограничиваясь: почтовая рассылка, электронная почта, телефон, сеть Интернет;
- в иных целях в случае, если соответствующие действия Компании не противоречат действующему законодательству, деятельности Компании, и на проведение указанной обработки получено согласие Субъекта персональных данных.
2.7. Компания осуществляет обработку персональных данных Субъекта посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ), в том числе трансграничную;
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
2.8. Использование Субъектом сайта https://rocros.ru/ означает согласие с настоящим Положением и условиями обработки его персональных данных.
2.9. В случае несогласия с условиями Положения Субъект должен прекратить использование сайта https://rocros.ru/.
2.10. Настоящее Положение применяется только к сайту https://rocros.ru/ или к его сервисам. Компания не контролирует и не несет ответственность за сайты третьих лиц, на которые Субъект может перейти по ссылкам, доступным на Сайте.
2.11. Компания не проверяет достоверность персональных данных, предоставляемых Субъектом Сайта.
3. Принципы обработки персональных данных
3.1. При обработке персональных данных Компания руководствуется следующими принципами:
- законности и справедливости;
- своевременности и достоверности получения согласия Субъекта персональных данных на обработку персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.2. Обработка персональных данных Компанией осуществляется с соблюдением принципов и правил, предусмотренных:
- Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- иными нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных;
- настоящим Положением.
4. Получение персональных данных
4.1. Персональные данные Субъектов персональных данных получаются Компанией:
- посредством регистрации Субъекта персональных данных в личном кабинете на сайте Компании https://rocros.ru/;
- при заполнении Субъектом персональных данных электронных форм, заявок, анкет с использованием Сайта;
- при осуществлении Субъектом персональных данных любых обращений к Компании посредством телефонного вызова;
- при установке и использовании субъектом персональных данных приложений для мобильных устройств Компании;
- иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных.
4.2. Компания получает и начинает обработку персональных данных Субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий.
4.3. В случаях, предусмотренных Федеральным законом «О персональных данных», обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных:
- обработка специальных категорий персональных данных;
- обработка биометрических персональных данных;
- трансграничная передача персональных данных в страны, не обеспечивающие адекватной защиты прав субъекта персональных данных;
- включение в общедоступные источники персональных данных;
- необходимость принятия решений на основании исключительно автоматизированной обработки персональных данных.
- Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя сведения, требующиеся для включения в согласие в соответствии с действующим законодательством.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя сведения, требующиеся для включения в согласие в соответствии с действующим законодательством.
4.4. Согласие на обработку персональных данных считается предоставленным Субъектом персональных данных посредством совершения субъектом персональных данных следующих конклюдентных действий в совокупности:
- прохождение процедуры регистрации на сайте Компании https://rocros.ru/ или в приложении для мобильных устройств;
- проставление в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в тексте, предлагаемом для ознакомления перед осуществлением регистрации. Согласие считается полученным с момента такой регистрации, при условии ее подтверждения субъектом персональных данных в установленном порядке, и действует до момента отмены субъектом регистрации на сайте Компании или до момента направления субъектом персональных данных Компании отзыва согласия на обработку персональных данных в соответствии с п. 4.7 настоящего Положения;
- в случае осуществления коммуникации Компании и Субъекта персональных данных посредством телефонного вызова согласие на обработку персональных данных предоставляется Субъектом в устной форме после прослушивания Субъектом персональных данных текста согласия, воспроизводимого сотрудниками Компании;
- в случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.
4.5. Получение Компании персональных данных от иных лиц, а равно передача поручения по обработке персональных данных, осуществляются на основании договора, содержащего условия о порядке обработки и сохранения конфиденциальности полученных персональных данных.
4.6. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Компания вправе продолжить обработку персональных данных без согласия Субъекта персональных данных только при наличии оснований, указанных в Федеральном законе «О персональных данных».
4.7. Порядок отзыва согласия на обработку персональных данных:
для отзыва согласия на обработку персональных данных, данного в письменной форме, а также в форме конклюдентных действий посредством телефонного звонка по номеру, указанному на электронном сайте Компании, необходимо подать соответствующее заявление в письменной форме по месту нахождения Компании.
4.8. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, Компания должна прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и Субъектом персональных данных, либо если Компания не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
5. Правила и порядок обработки персональных данных
5.1. Обработку персональных данных осуществляют сотрудники Компании, уполномоченные на то должностными инструкциями, иными внутренними документами Компании. Сотрудники Компании, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы:
- с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к порядку защиты персональных данных;
- с документами, определяющими политику Компании в отношении обработки персональных данных, в том числе с настоящим Положением и изменениями к нему;
- с локальными актами по вопросам обработки персональных данных.
5.2. Сотрудники Компании имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных должностных обязанностей. Сотрудники Компании, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Компании.
5.3. При обработке персональных данных Компания применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных.
5.4. Режим конфиденциальности персональных данных Компания обеспечивает в соответствии с Политикой конфиденциальности, принятой Компанией.
5.5. Контроль соблюдения сотрудниками Компании требований законодательства РФ и норм международного законодательства, а также положений локальных нормативных актов Компании организован Компанией в соответствии с настоящим Положением об обработке персональных данных.
5.6. Оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Компанией требований Закона об обработке персональных данных, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.
5.7. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Компании в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Компания осуществляет посредством размещения на Сайте.
5.8. В случае если Компания поручает обработку персональных данных третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к персональным данным субъектов, соответствующие данные предоставляются Компанией только после подписания с лицами, осуществляющими обработку персональных данных по поручению Компании, соответствующего соглашения, в котором должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим их обработку, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
6. Цели сбора персональной информации субъекта
6.1. Персональные данные Субъекта Компания может использовать в целях:
6.1.1 Идентификации Субъекта, зарегистрированного на Сайте, и (или) при заполнении иных анкет, заявлений, участии в иных программах, которые могут время от времени проводиться Обществом, и (или) при заполнении на сайте веб-форм, либо при направлении информации с использованием Сайта.
6.1.2 Предоставления Субъекту доступа к персонализированным ресурсам Сайта.
6.1.3 Установления с Субъектом обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработка запросов и заявок от Субъекта.
6.1.4 Определения места нахождения Субъекта для обеспечения безопасности, предотвращения мошенничества.
6.1.5 Подтверждения достоверности и полноты персональных данных, предоставленных Субъектом.
6.1.6 Создания учетной записи для совершения иных действий Субъектом, если Субъект дал согласие на создание учетной записи.
6.1.7 Предоставления Субъекту эффективной клиентской и технической поддержки при возникновении проблем связанных с использованием Сайта.
6.1.8 Предоставления Субъекту с его согласия, обновлений Сайта, специальных предложений, информации о проектах, новостной рассылки и иных сведений от имени Сайта или от имени партнеров Сайта.
6.1.9 Осуществления рекламной деятельности с согласия Субъекта.
6.1.10 Предоставления доступа Субъекту на сайты или сервисы партнеров Сайта с целью получения продуктов, обновлений и услуг.
7. Порядок обеспечения компанией прав Субъекта персональных данных
7.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
7.2. Компания обеспечивает права Субъектов персональных данных в порядке, установленном Федеральным законом «О персональных данных».
7.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе на основании ч. 8 ст. 22 Федерального закона «О персональных данных».
7.4. Компания обязана немедленно прекратить по требованию Субъекта персональных данных обработку его персональных данных, осуществляемую на основании ч. 1 ст. 15 Федерального закона «О персональных данных».
7.5. Компания в течение 30 (тридцати) дней с момента исправления или уничтожения персональных данных по требованию Субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы. Уведомление может быть осуществлено Компанией в любой доступной форме, позволяющей подтвердить факт уведомления Субъекта персональных данных (посредством электронной почты, телеграфным сообщением с уведомлением о вручении или почтовым сообщением с уведомлением о вручении, иное). Выбор способа направления уведомления остается за Компанией.
8. Меры, направленные на обеспечение безопасности персональных данных при их обработке
8.1. Основной задачей обеспечения безопасности персональных данных при их обработке Компанией является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки. Компания принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
8.2. Мероприятия по обеспечению безопасности персональных данных включают в себя:
- реализацию разрешительной системы допуска работников к информационным ресурсам информационных систем и связанным с их использованием работам, документам;
- разграничение доступа Субъектов информационных систем персональных данных и обслуживающих информационные системы персональных данных работников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрацию действий Субъектов и обслуживающих информационные системы персональных данных работников, контроль несанкционированного доступа и действий субъектов и обслуживающих работников, а также третьих лиц;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- предотвращение внедрения в информационные системы вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
- ограничение доступа в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, содержащие персональные данные;
- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
- организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку персональных данных;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации;
- реализацию требований по безопасному межсетевому взаимодействию информационных систем;
- использование защищенных каналов связи, защита информации при ее передаче по каналам связи;
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- обнаружение вторжений в информационные системы, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
- активный аудит безопасности информационных систем на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
- анализ защищенности информационных систем с применением специализированных программных средств (сканеров безопасности);
- централизованное управление системой защиты персональных данных в информационных системах.
8.3. С целью поддержания состояния защиты персональных данных на надлежащем уровне Компания осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.
Внутренний контроль включает:
1) мониторинг состояния технических и программных средств, входящих в состав средств защиты персональных данных;
2) контроль соблюдения требований по обеспечению безопасности персональных данных (требований нормативных правовых актов и локальных нормативных актов в области обработки и защиты персональных данных, требований договоров).
9. Прочие положения
9.1. Настоящее Положение вступает в силу со дня его утверждения единоличным исполнительным органом Компании.
9.2. Все сотрудники Компании, допущенные к работе с персональными данными, должны быть ознакомлены с настоящим Положением до начала работы с персональными данными.