Политика конфиденциальности
1. Общие Положения
Настоящее Положение об обработке и защите персональных данных Клиентов (далее – «Положение») ООО «Лидер Эстетики» (ОГРН 1227700469842, Адрес: 125047, г. Москва, ул. Большая Садовая, д. 5, корп. 1) (далее – КОМПАНИЯ) разработано в соответствии со статьей 24 Конституции Российской Федерации, Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных», от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» и другими действующими нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой персональных данных.
Понятия «Клиент», «Пользователь» и «Субъект персональных данных» равнозначны и означают исключительно граждан Российской Федерации, осуществляющих доступ на сайт КОМПАНИИ с территории Российской Федерации (далее – «Клиент» или «Пользователь»). Настоящее Положение не применяется в отношении лиц, осуществляющих доступ к сайту с территорий иных государств.
Настоящее Положение определяет порядок получения, хранения цели обработки персональных данных пользователей КОМПАНИИ, принципы их обработки, а также содержит сведения о передаче и любого использования персональных данных КОМПАНИИ и о реализуемых требованиях к защите персональных данных, установления ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
Все вопросы, связанные с обработкой персональных данных Пользователей, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
Персональные данные не могут быть использованы КОМПАНИЕЙ или ее сотрудниками в целях причинения имущественного и морального вреда Пользователям КОМПАНИИ, затруднения реализации их прав и свобод.
КОМПАНИЯ обязана осуществлять обработку персональных данных только на законной и справедливой основе.
Обработка персональных данных Пользователей должна ограничиваться достижением законных, конкретных и заранее определенных целей, а именно:
- Обеспечение возможности обратной связи по запросам Клиентов;
- В целях исследования рынка;
- Информирования Клиента об акциях, скидках, специальных предложениях, о новостях, услугах, рекламных материалах, мероприятиях;
- В иные, не противоречащих законодательству РФ целях.
- Обработке подлежат только те персональные данные Пользователей, и только в том объеме, которые отвечают целям их обработки.
Согласие Пользователя на обработку его персональных данных в соответствии с настоящим Положением является существенным условием получения Пользователем доступа к услугам, а также предоставления Пользователю инструментов управления услугами и сервисами на сайте КОМПАНИИ.
Обрабатываемые персональные данные Пользователей подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
Настоящее Положение утверждается и вводится в действие приказом Уполномоченного лица КОМПАНИИ. Все сотрудники КОМПАНИИ должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками КОМПАНИИ, имеющими доступ к персональным данным Пользователей.
2. Основные понятия и состав персональных данных Пользователей
Для целей настоящего Положения используются следующие основные понятия:
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, контактные данные, необходимые КОМПАНИИ для оказания услуг (в т.ч. для регистрации на сайте, осуществления обратной связи с Пользователями), повышения качества обслуживания;
— обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использование средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Пользователей КОМПАНИИ;
— конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным Пользователей, требование не допускать их распространения без согласия клиента или иного законного основания;
— распространение персональных данных – действия, направленные на раскрытие персональных данных Пользователей определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных Пользователей в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным Пользователей каким-либо иным способом;
— использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом КОМПАНИИ в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Пользователей либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
— блокирование персональных данных – временное прекращение обработки персональных данных Пользователей за исключением случаев, если обработка необходима для уточнения персональных данных.
— уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных Пользователей или в результате которых уничтожаются материальные носители персональных данных Пользователей;
— обезличивание персональных данных – действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю;
— общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с письменного согласия Пользователя или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
— информация – сведения (сообщения, данные) независимо от формы их представления:
документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
— информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
В состав данных Пользователей КОМПАНИИ входят:
- фамилия, имя;
- контактные данные (e-mail, контактные номера телефонов);
- название компании;
- информация об используемом устройстве / оперативной системе устройства, с которого осуществляется доступ к сайту и сервисам КОМПАНИИ;
- информация о посещениях страниц сайта, о количестве просмотров Пользователем видео, размещенных на сайте, о поисковых запросах Пользователей;
- IP адрес;
- и иные сведения, предусмотренные законодательством РФ.
3. Утверждение и пересмотр
Настоящее Положение вступает в силу с момента ее утверждения исполнительным органом КОМПАНИИ и действует бессрочно.
КОМПАНИЯ проводит пересмотр положений настоящего Положения и их актуализацию по мере необходимости, а также в следующих случаях:
- при изменении положений законодательства РФ в области персональных данных;
- при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью КОМПАНИИ;
- в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Положения;
- по решению руководства КОМПАНИИ.
При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом исполнительного органа КОМПАНИИ.
Обеспечение неограниченного доступа к Положению реализуется путем его публикации на сайте КОМПАНИИ в сети Интернет либо иным способом.
Настоящее Положение обязательно для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в КОМПАНИИ, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в КОМПАНИИ.
4. Цели обработки персональных данных
КОМПАНИЯ собирает и хранит только те персональные данные, которые необходимы для предоставления сервисов, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
КОМПАНИЯ обрабатывает персональные данные Пользователя в следующих целях:
Идентификации Пользователя
Предоставления Пользователю доступа к персонализированным ресурсам Сайта
Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Пользователя
Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества
Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем
Создания учетной записи Пользователя, если Пользователь дал согласие на создание учетной записи
Направления Пользователю служебных сообщений (например, при восстановлении пароля доступа к учетной записи Пользователя)
Предоставления Пользователей эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта
Осуществления рекламной деятельности с согласия Пользователя
Продвижения услуг КОМПАНИИ на рынке путем осуществления прямых контактов с потенциальными клиентами с помощью средств связи
В случаях, предусмотренных законом – ограничения доступа Пользователей, не достигших определенного возраста, к услугам и сервисам
Проведения статистических и иных исследований на основе обезличенных данных. В рамках осуществления данной цели обработки персональных данных, обезличенные данных Пользователей могут быть переданы сторонним службам (Azure Application Insights, Google Analytics).
5. Права Пользователей на доступ и изменение его персональных данных
Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных, в КОМПАНИИ разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, а также порядок предоставления субъектам персональных данных информации, установленной законодательством РФ в области персональных данных.
КОМПАНИЯ предпринимает разумные меры для поддержания точности и актуальности, имеющихся у КОМПАНИИ персональных данных, а также удаления устаревших и других недостоверных или излишних персональных данных. Пользователь несёт ответственность за предоставление достоверных сведений персональных данных, а также за обновление предоставленных персональных данных в случае каких-либо изменений.
Данный порядок обеспечивает соблюдение следующих прав субъекта персональных данных:
— право на получение информации, касающейся обработки персональных данных соответствующего субъекта персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые КОМПАНИЕЙ способы обработки персональных данных;
- наименование и место нахождения КОМПАНИИ, сведения о лицах (за исключением работников КОМПАНИИ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с КОМПАНИЕЙ или на основании иных требований Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению КОМПАНИИ, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими требованиями законодательства в области персональных данных.
— право на уточнение, блокирование или уничтожение своих персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также право принимать предусмотренные законодательством РФ в области персональных данных меры по защите своих прав.
Пользователь может реализовать вышеуказанные права путем направления письменного запроса на официальный адрес КОМПАНИИ: 123001, г. Москва, вн.тер.г. Муниципальный округ Пресненский, ул. Большая Садовая, д. 5, к. 1, этаж 9, помещение 1111, с пометкой «запрос касательно персональных данных» или на электронный адрес компании: PD@elestetik.ru. Запрос также может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие, что субъект персональных данных состоит в отношениях с КОМПАНИЕЙ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных КОМПАНИЕЙ, подпись субъекта персональных данных или его представителя.
При этом отзыв пользователем согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с веб-сайта, а также уничтожение записей, содержащих персональные данные в системах обработки персональных данных КОМПАНИИ, что может сделать невозможным дальнейшее предоставление пользователю услуг КОМПАНИИ.
6. Сбор, обработка, передача и защита персональных данных
Порядок получения персональных данных
Все персональные данные Клиентов КОМПАНИЯ получает непосредственно у Пользователей. Если персональные данные Пользователя возможно получить только у третьей стороны, то от Пользователя должно быть получено письменное согласие.
КОМПАНИЯ не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, состоянии здоровья.
Порядок обработки персональных данных
Обработка указанных персональных данных Клиентов возможна только с их согласия либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, а также осуществление любых других действий, предусмотренных действующим законодательством Российской Федерации, с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таковых, а также согласие на направление клиенту электронных писем и информационных сообщений на указанный Клиентом адрес электронной почты и/или номер мобильного телефона.
Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в КОМПАНИИ персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается. Обработка персональных данных осуществляется только допущенными лицами в рамках исполнения ими своих трудовых обязанностей.
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных их обработка прекращается. Персональные данные уничтожаются в срок, не превышающий 30 (тридцати) дней со дня поступления (получения) указанного отзыва, если иное не предусмотрено соглашением между КОМПАНИЕЙ и субъектом персональных данных, а также требованиями действующего законодательства. В случае отзыва Клиентом согласия на обработку своих персональных данных доступ к услугам КОМПАНИИ прекращается.
Об уничтожении персональных данных КОМПАНИЯ уведомляет субъекта персональных данных.
В КОМПАНИИ предусмотрены как автоматизированная обработка персональных данных в информационных системах персональных данных, так и обработка без средств автоматизации.
Передача персональных данных
Передача персональных данных субъектов третьей стороне не допускается без согласия субъектов, за исключением случаев, установленных федеральными законами.
При передаче персональных данных субъектов третьей стороне принимающая сторона должна быть предупреждена о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также о конфиденциальности передаваемых сведений.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», КОМПАНИЯ обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Основанием прекращения обработки персональных данных является прекращение деятельности КОМПАНИИ на территории Российской Федерации.
7. Принципы обработки персональных данных
При организации обработки персональных данных КОМПАНИЯ руководствуется следующими принципами:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
КОМПАНИЯ в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает представителей Компании об изменении своих персональных данных.
8. Хранение персональных данных
КОМПАНИЯ осуществляет хранение персональных данных Пользователей, обрабатываемых в информационно-телекоммуникационных сетях, исключительно на российских серверах.
КОМПАНИЕЙ ведется учет материальных носителей персональных данных, определен порядок восстановления персональных данных, которые могут быть изменены или уничтожены вследствие несанкционированного доступа к ним; установлены правила доступа ответственных лиц к персональным данным Пользователей, обрабатываемым КОМПАНИЕЙ; осуществляется регистрация и учет всех действий, совершаемых с персональными данными Пользователей.
Персональные данные Пользователей могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
Хранение персональных данных Пользователей осуществляется в порядке, исключающем к ним доступ третьих лиц, за исключением случаев, предусмотренных Политикой конфиденциальности.
Хранение персональных данных Пользователей осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки хранения бумажных материальных носителей персональных данных определяются в соответствие со сроком исковой давности, а также иными требованиями законодательства Российской Федерации.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
КОМПАНИЯ несет ответственность за действия своих сотрудников в случае причинения Пользователю ущерба в связи с нарушением сотрудниками КОМПАНИИ законодательства о персональных данных.КОМПАНИЯ несет ответственность за действия своих сотрудников в случае причинения Пользователю ущерба в связи с нарушением сотрудниками КОМПАНИИ законодательства о персональных данных.
Руководитель, разрешающий доступ работника к обработке персональных данных, несет персональную ответственность за данное разрешение.
Каждый работник КОМПАНИИ, допущенный до персональных данных, несет персональную ответственность за сохранность и обеспечение конфиденциальности данной информации.
Должностные лица, в обязанность которых входит ведение персональных данных Пользователей, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации, — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ.
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения КОМПАНИЕЙ требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
10. Взаимодействие с уполномоченными органами
При получении запроса от уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор), КОМПАНИЯ обязана сообщить по его запросу информацию, необходимую для осуществления деятельности указанного органа.
Руководитель КОМПАНИИ назначает ответственное лицо, которое в течение 30 (тридцати) дней, с даты получения такого запроса, должно подготовить направить в уполномоченный орган ответ на запрос.
11. Защита персональных данных
КОМПАНИЯ при обработке персональных данных принимает необходимые правовые, организационные и технические меры для зашиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Защите подлежат персональные данные, содержащиеся как на электронных носителях, так и на бумажных носителях.
Общую организацию защиты персональных данных осуществляют лица, уполномоченные приказом руководителя КОМПАНИИ. Организацию обработки и защиты персональных данных в структурных подразделениях КОМПАНИИ, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
12. Заключительные положения
Настоящее Положение вводится в действие с момента его утверждения, но может быть по мере необходимости пересмотрено, изменено или дополнено по инициативе руководства КОМПАНИИ или в случае, когда это необходимо в связи с изменением законодательства Российской Федерации.