Политика конфиденциальности по работе с персональными данными пользователей
г.Санкт-Петербург, в редакции от «01» января 2024 г.
1. Термины и определения Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Т.е. к такой информации, в частности, можно отнести любую предоставленную пользователем информацию: фамилия, имя, отчество, номер телефона, электронная почта, а также другую информацию. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. При этом передача осуществляется в соответствии с законными предписаниями уполномоченных органов или в соответствии с условиями договора, при подписании которого Пользователь дает свое согласие на такую обработку. Конфиденциальность персональных данных - обязательное для соблюдения допущенными к обработке персональных данных пользователей сотрудников Компании требование надлежаще соблюдать правила их обработки, хранения, не допускать их распространения без согласия субъекта или иного законного основания, а также обеспечение Компанией необходимого режима сохранности персональных данных пользователя. Использование персональных данных - действия (операции) с персональными данными, направленные на идентификацию Пользователя с целью предоставления доступа к Сайту и получение подтверждения достоверности указанной Пользователем информации. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в автоматизированной системе регистрации и учета Заказчиков Компании или уничтожение материальных носителей персональных данных. Уничтожение данных осуществляется в отношении Заказчиков, с которыми нет действующих договоров и истек срок хранения их данных, или по запросу Заказчика, отзывающего свое согласие на обработку персональных данных. Информация - сведения (сообщения, данные) независимо от формы их представления. Компания - индивидуальный предприниматель, являющийся владельцем Сайта ONITERA и социальной группы Вконтакте – Индивидуальный предприниматель Бармина Юлия Анатольевна. Сайт - веб-сайт, расположенный по адресу https://onitera.com/ Группа в социальной сети Вконтакте: https://vk.com/onitera Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Оператор - Компания, осуществляющая обработку персональных данных пользователей Сайта в целях предоставления последним авторизованного доступа ко всем сервисам Сайта, а также определяющая цели обработки персональных данных, состав персональных данных, действия (операции), совершаемые с персональными данными, порядок хранения и уничтожения персональных данных пользователей. Согласие на обработку персональных данных – добровольное совершение конклюдентных действий Пользователем при осуществлении регистрации на сайте Компании https://onitera.com/, и группе социальной сети Вконтакте https://vk.com/onitera, а именно проставление отметки в соответствующей графе, которая предусмотрена для выражения Пользователем согласия с обработкой предоставленных им персональных данных (далее – ПДН) и безусловного принятия (акцепта) порядка и условий Пользовательского соглашения и настоящей Политики конфиденциальности по работе с ПДН Пользователей. Панель управления учетной записью Пользователя - веб-страница, предназначенная для пользования возможностями, предоставленными Сайтом Пользователю, Компанией Пользователю, формы заявок обратной связи, поддержания актуальности контактной информации Пользователя и предоставления им иной информации, необходимой Компании для предоставления доступа к Сайту. Доступ к странице учетной записи организуется по защищенному протоколу и только после идентификации Пользователя. В панели управления учетной записью Пользователя указываются, изменяются и хранятся его персональные данные. Учетная запись пользователя (Аккаунт/Личный кабинет) – интернет пространство, защищенное паролем. Содержит информацию о пользователе и учет его работы на Сайте. Учетная запись содержит личные и контактные данные, предоставленные пользователем при регистрации на Сайте и в ходе работы на Сайте, а именно: ФИО, адрес электронной почты, контактный телефон. Пользователь - посетитель Сайта. Пользователь является субъектом персональных данных по факту прохождения процедуры регистрации на Сайте в установленном порядке. Файл cookie – небольшой фрагмент данных, который отправляется сервером веб-сайта и хранится на устройстве Пользователя. Используется для сохранения определенных данных о Вас, например, каких-либо настроек и предпочтений. 2. Общие положения 2.1. Настоящая Политика конфиденциальности по работе с персональными данными пользователей Компании ONITERA - ИП Бармина Юлия Анатольевны (далее – Политика безопасности) разработана в соответствии с положениями Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона "Об информации, информационных технологиях и о защите информации", Федерального закона 152-ФЗ "О персональных данных", иными нормативно-правовыми актами Российской Федерации в области информационной безопасности. 2.2. Цель разработки Политики конфиденциальности - определение порядка обработки и защиты персональных данных всех Пользователей Сайта Компании, данные которых подлежат обработке исключительно в целях предоставления доступа к возможностям и сервисам Сайта и соблюдения законодательства РФ в области связи, обеспечения защиты прав и свобод человека и гражданина РФ при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. 2.3. Настоящая Политика конфиденциальности вступает в силу с момента ее утверждения Генеральным директором Компании, действует бессрочно, до вступления в силу Политики конфиденциальности в новой редакции. 2.4. Компания вправе в любое время вносить изменения в Политику конфиденциальности. При изменении Политики конфиденциальности Компания уведомляет об этом Пользователей в порядке размещения новой редакции на Сайте по постоянному адресу. Предыдущие редакции Политики конфиденциальности хранятся в архиве документации Компании. 2.5. Продолжение использования Сайта Пользователем после размещения Политики конфиденциальности в новой редакции признается Сторонами безусловным принятием Пользователем условий Политики конфиденциальности в полном объеме. 3. Состав данных 3.1. Компания настоящим уведомляет пользователей Сайта о том, что для повышения удобства работы на Сайте используются файлы cookie, сервис Яндекс.Метрика, который может получать доступ к персональным данным пользователей в связи с использованием Сайта пользователем. Такие персональные данные могут включать: адрес электронной почты, ip-адрес пользователя, пол пользователя. Компания не получает доступа к полученным сервисами персональным данным Пользователя. Оставаясь на Сайте, Пользователь безусловно соглашается с политикой их применения Компанией. 3.2. В состав персональных данных Пользователей, обрабатываемых Компаний, входят: 3.2.1. Персональные данные, предоставляемые Пользователем в связи с регистрацией на Сайте либо в случае регистрации для участия в проводимых Компанией конкурсах: - Фамилии, имени, отчества, пол, дата рождения; - сведений об адресе электронной почты; - регион / город проживания. 3.2.2. Персональные данные, предоставляемые в связи с обращением Пользователя к Компании с соответствующими запросами (формы обратной связи, формы заявок на мероприятие, формы на приобретение товара): фамилию, имя, отчество обратившегося; - телефон; - сведения о причинах и цели обращения; - адрес доставки; - адрес личного аккаунта в социальных сетях, предоставление доступа к переписке и др. 3.2.3. Дополнительные персональные данные Пользователя, предоставленные Пользователем по личной инициативе без истребования таковых Компанией. 3.3. В Компании собираются и хранятся данные, указанные в п.3.2. настоящей Политики конфиденциальности в электронном виде, содержащие сведения о Пользователе, полученные в результате заполнения и направления Пользователем установленной Компанией формы регистрации в формах по обратной связи, доставке, на приобретение товара, а также добровольного предоставления Пользователем дополнительных сведений о себе, в том числе в связи с проводимыми Компанией Конкурсами. 3.4. Панель управления учетной записью Пользователя: 3.4.1. В Компании хранятся только сведения в электронном виде, полученные из Личного кабинета на Сайте, указанные самим Пользователем, содержащие данные о Пользователе. Компания не обрабатывает специальные и биометрические персональные данные Пользователей. 4. Цель обработки персональных данных 4.1. Цель обработки персональных данных Пользователя - осуществление комплекса действий, направленных на реализацию следующих задач: - создание и поддержание аккаунта Пользователя (учетной записи Пользователя) на Сайте Компании; - идентификации Пользователя на странице учетной записи Пользователя и предоставления доступа к сервисам Сайта; - предоставления Пользователю информации о Компании, наших сервисах и мероприятиях; - коммуникации с Пользователем, когда Вы обращаетесь к Компании (форма обратной связи и проч.); - выполнения полномочий и обязанностей, возложенных на Компанию законодательством Российской Федерации; - направления Пользователю новостных материалов Компании при условии оформлении Пользователем соответствующей подписки. 4.2. Условием прекращения обработки персональных данных является ликвидация Компании, а также соответствующее требование (запрос) Пользователя на удаление его персональных данных. 4.3. Обработка персональных данных осуществляется на основе принципов: • законности целей и способов обработки персональных данных; • добросовестности; • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании; • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. 5. Сбор и защита персональных данных 5.1. Порядок получения (сбора) персональных данных: 5.1.1. Все персональные данные Пользователь предоставляет лично, добровольно в электронной форме, а также на бумажных носителях (копии) в случае выполнения требований Компании, предусмотренных соответствующими соглашениями, стороной которых может выступать Пользователь. 5.1.2. Согласие Пользователя на обработку его персональных данных хранится в электронном виде. 5.1.3. Согласие Пользователя на обработку персональных данных для целей, указанных в разделе 4 настоящей Политики конфиденциальности действует до момента: достижения целей их обработки; в случае удаления учетной записи на Сайте – до даты удаления; либо до отзыва согласия Пользователем. 5.1.4. Обработка персональных данных Пользователя без их согласия осуществляется в следующих случаях: - персональные данные являются общедоступными; - по требованию полномочных государственных органов в случаях, предусмотренных законодательством РФ; - обработка персональных данных осуществляется на основании действующего законодательства РФ; - обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных. 5.1.5. Компания не запрашивает и не обрабатывает специальные категории персональных данных Пользователя: данные о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. 5.2. Порядок обработки персональных данных: 5.2.1. Пользователь (субъект персональных данных) предоставляет Компании достоверные сведения о себе. 5.2.2. К обработке персональных данных Пользователей могут иметь доступ только сотрудники Компании, допущенные к работе с персональными данными Пользователя и подписавшие Соглашение о неразглашении персональных данных Пользователя. 5.2.3. Сотрудники, допущенные к работе с персональными данными Пользователей, выполняют свои обязанности в соответствии с внутренними локальными нормативными актами, в частности в соответствии с настоящей Политикой конфиденциальности. С вышеуказанными данными сотрудниками проведен инструктаж по работе с персональными данными Пользователей. 5.2.4. Обработка персональных данных Пользователей может осуществляться исключительно в целях, установленных Политикой конфиденциальности и при соблюдении законодательства Российской Федерации. 5.2.5. При определении объема и содержания обрабатываемых персональных данных Компания руководствуется Конституцией Российской Федерации, законодательством о персональных данных, и иными федеральными законами. 5.3. Защита персональных данных 5.3.1. Под защитой персональных данных Пользователя понимается комплекс мер (организационно-распорядительных, технических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных Пользователей, а также от иных неправомерных действий. 5.3.2. Защита персональных данных Пользователей осуществляется за счёт Компании в порядке, установленном законодательством РФ. 5.3.3. Компания при защите персональных данных Пользователей принимает все необходимые организационно - распорядительные и технические меры, в том числе: - антивирусная защита; - аудит (мониторинг) защищённости/уязвимости; - управление доступом к сети, управление локальной сетью, контроль за помещениями Компании, где хранятся персональные данные Пользователей (система контроля и учета доступа в помещения хранения персональных данных Пользователей соответствует требованиям стандарта УЗ-3); - регистрация и учет; - обеспечение хранение информации, содержащей персональные данные Пользователей, исключающее доступ к ним третьих лиц; - общий контроль за соблюдением сотрудниками мер по защите персональных данных Пользователей; - защита персональных данных Пользователей, хранящихся в электронных базах данных Компании, от несанкционированного доступа, искажения, передачи и уничтожения информации, а также от иных неправомерных действий; - передача данных по защищенным каналам связи. Интерфейсы информационных систем защищены по протоколу HTTPS с использованием сертификатов шифрования конечных данных при передаче между сервером хранения и рабочей станции, для передачи информации на оборудование используется обезличенная форма, содержащая только IP-адреса и другие технические атрибуты предоставляемых услуг. - лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; - назначено ответственное лицо за организацию обработки персональных данных; - разработаны модели угроз безопасности персональным данным в информационных системах; - обеспечивается учет машинных носителей персональных данных; - обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. - осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам; - исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными; - обеспечена сохранность носителей персональных данных и средств защиты информации. - для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия. 5.4. Хранение персональных данных 5.4.1. Персональные данные Пользователей в электронном виде хранятся на серверах Компании. 5.4.2. Защита доступа персональным данным Пользователей обеспечивается: - использованием лицензированных антивирусных программ, не допускающих несанкционированный вход и доступ к персональным данным Пользователей; - разграничением прав доступа сотрудников с использованием учетной записи; - межсетевой экран. 5.4.3. Ответы на письменные запросы других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия самого Пользователя, если иное не установлено законодательством РФ. Ответы оформляются в письменном виде, на официальном бланке Компании, и в том объеме, который позволяет не разглашать излишний объем персональных данных Пользователей. Персональные данные могут быть переданы по официальному запросу (предписанию) уполномоченных и компетентных государственных органов без получения согласия Пользователей. 6. Передача и хранение персональных данных 6.1. Передача персональных данных 6.1.1. Под передачей персональных данных Пользователя понимается передача информации по каналам связи и/или на материальных носителях. 6.1.2. При передаче персональных данных Пользователя работники Компании должны соблюдать следующие требования: - не сообщать третьим лицам персональные данные Пользователя в коммерческих целях; - не сообщать персональные данные Пользователя третьей стороне без письменного согласия Пользователя, за исключением случаев, установленных законодательством РФ; - уведомить лиц, получающих персональные данные Пользователя о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; - разрешать доступ к персональным данным Пользователей только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Пользователей, которые необходимы для выполнения конкретных функций; - осуществлять передачу персональных данных Пользователей в пределах Компании в соответствии с настоящей Политикой конфиденциальности, локальной нормативной документацией и должностными инструкциями; - предоставлять доступ Пользователей к своим персональным данным при обращении, либо при получении запроса Пользователя. Компания обязана сообщить Пользователю информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения. 6.1.3. Компанией не осуществляется трансграничная передача персональных данных Пользователя. 6.2. Хранение персональных данных 6.2.1. Под хранением персональных данных Пользователей понимается существование записей в электронных системах (локальной сети) и на материальных носителях Компании. Персональные данные Пользователей хранятся преимущественно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства. 6.2.2. Хранение персональных данных Пользователей может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено законодательством РФ. 6.2.3. В течение срока хранения персональные данные не могут быть обезличены или уничтожены. 6.2.4. По истечении срока хранения персональные данные могут быть обезличены уничтожены в порядке, установленном действующим законодательством РФ. 7. Порядок уничтожения персональных данных Пользователя 7.1. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных, а также прекращение какого-либо доступа к персональным данным. 7.2. При уничтожении персональных данных Пользователя работники Компании не могут получить доступ к персональным данным. 7.3. Персональные данные в системе Компании и на Сайте восстановлению не подлежат. 7.4. Операция уничтожения персональных данных необратима. 7.5. Срок уничтожения персональных данных соответствует сроку, определенному законодательством РФ. 8. Права компании при работе с персональными данными 8.1. Компания вправе: - предоставлять персональные данные Пользователей третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы, судебные органы); - отказать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ; - использовать персональные данные Пользователя без его согласия в случаях, предусмотренных законодательством РФ. 9. Права Пользователя 9.1. Пользователь имеет право: - требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав; - требовать перечень обрабатываемых персональных данных, имеющихся в Компании и источник их получения; - получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения; - требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях; - обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных. 9.2. Пользователи вправе направлять Компании свои запросы, в том числе запросы относительно использования их персональных данных в письменной форме по адресу: 195427, г.Санкт-Петербург, ул. Веденеева, д. 2, кв. 202, или в форме электронного документа через форму обратной связи на Сайте. Запрос, направляемый Пользователем, должен соответствовать требованиям, установленным Компанией, а именно содержать следующую информацию: • фамилию, имя, отчество обратившегося; • паспортные данные; • сведения о причинах и цели обращения; • сведения о наличии личного аккаунта на Сайте/группе ВК и возможности его идентификации; • подпись пользователя или его представителя. При необходимости в целях оперативного и полного рассмотрения Компанией обращения Пользователя, Компания вправе запрашивать у Пользователя дополнительную информацию. Компания обязуется рассмотреть и направить ответ на поступивший запрос Пользователя в срок не позднее 30 дней с момента поступления обращения. 10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных 10.1. Работники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Компании. 10.2. Компания несет гражданско-правовую и административную ответственность за нарушение законодательства в области обработки и защиты персональных данных