ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ТАЧ ПРОДАКШН»1. Общие положенияПолитика в отношении обработки персональных данных (далее — Политика) подготовлена в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона РФ «О персональных данных» № 152-ФЗ от 27.07.2006 (далее — Федеральный закон) и определяет позицию ООО «ТАЧ Продакшн» (далее — Компания) в области обработки и защиты персональных данных, соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
2. Термины и определения- Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
- Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Доступ к персональным данным — возможность получения персональных данных и их использования.
- Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Конфиденциальность персональных данных — обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
- Несанкционированный доступ — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
- Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных».
- Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
- Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Правовые основания и цели обработки персональных данных3.1. Обработка и обеспечение безопасности персональных данных в Компании осуществляется в соответствии с требованиями законодательства РФ.
3.2. Субъектами персональных данных, чьи данные обрабатываются в Компании, являются:
- покупатели — физические лица, связанные с Компанией договорными отношениями, приобретающие товары и пользующиеся услугами Компании, а также представители указанных физических лиц;
- пользователи сайта Компании — физические лица, посещающие сайт Компании в сети Интернет.
3.3. Целями обработки персональных данных покупателей и пользователей сайта Компании являются:
- продажа товаров и оказания услуг Компании;
- продвижение товаров и услуг Компании;
- техническая поддержка покупателей и пользователей сайта Компании;
- обработка обращений, запросов покупателей и пользователей сайта Компании.
3.4. Перечень обрабатываемых персональных данных:
- фамилия, имя, отчество, паспортные данные, пол, гражданство;
- ИНН, банковские реквизиты, номер лицевого счета, сумма и назначение платежа, дата и время транзакции;
- адрес доставки, номер заказа, сведения о приобретенных товарах;
- номер контактного телефона, адрес электронной почты;
- IP-адрес, данные файлов Сookies;
- сведения о географическом месторасположении, адреса запрашиваемых страниц, поисковые запросы;
- сведения об устройстве, технические характеристики используемого оборудования и программного обеспечения.
3.5. Срок хранения персональных данных составляет не более 2 лет после окончания срока действия договора (с момента оказания услуги либо по истечении гарантийного срока на товар/оказанную услугу (если гарантия предусмотрена либо с момента предоставления согласия на обработку персональных данных) — в зависимости от того, какое из событий наступает позднее.
3.6. Способ обработки персональных данных — смешанная обработка.
4. Принципы и условия обработки персональных данных4.1. При обработке персональных данных Компания придерживается следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- персональных данных не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, за исключением случаев, требующих раскрытия персональных данных в соответствии с законодательством РФ;
- определение конкретных законных целей до начала обработки (в т.ч. сбора) персональных данных;
- ведется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
- обрабатываемые персональных данных подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
4.2. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, может осуществляться Компанией только при наличии согласия субъекта персональных данных.
4.3. В целях исполнения требований законодательства РФ и своих договорных обязательств обработка персональных данных в Компании осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Права и обязанности субъектов персональных данных, а также Компании в части обработки персональных данных5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
5.2. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
5.3. За исключением случаев, предусмотренных Федеральным законом, Компания обязана немедленно прекратить обработку персональных данных по письменному требованию или требованию в иной форме, предусмотренной в согласии, субъекта персональных данных. Требование должно содержать данные позволяющие идентифицировать субъекта персональных данных.
5.4. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.
5.5. Субъект персональных данных, персональные данные которого обрабатываются Компанией, имеет право:
- получать от Компании информацию, касающуюся обработки его персональных данных в объеме, установленном Федеральным законом;
- требовать от Компании (путем направления письменного запроса) уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать от Компании информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных;
- отозвать свое согласие на обработку персональных данных в любой момент;
- требовать прекращения обработки его персональных данных;
- требовать устранения неправомерных действий Компании в отношении его персональных данных;
- обжаловать действия или бездействие Компании в случае, если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов.
5.6. Компания в процессе обработки персональных данных обязана:
- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя;
- разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством РФ;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- безвозмездно предоставить субъектам персональных данных и/или их представителям возможность ознакомления с персональными данными при обращении с соответствующим запросом в течение 10 рабочих дней с даты получения подобного запроса. В случае наличия мотивированных оснований указанный срок может быть продлен, но не более чем на 5 рабочих дней, в таком случае Компания обязана направить в адрес субъекта персональных данных уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- предоставить субъекту персональных данных по его требованию, предъявляемому в письменной форме (в том числе в форме электронного документа), информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, в течение 7 календарных дней со дня предъявления требования в форме, в которой предъявлено соответствующее требование, если иное не указано в требовании;
- предоставить субъекту персональных данных по его требованию, предъявляемому в устной форме, информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных, незамедлительно;
- осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;
- уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование персональных данных в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем;
- прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
- прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Компанией) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Компанией) по достижении цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных;
- прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в течение 30 дней с даты поступления отзыва субъекта персональных данных согласия на обработку персональных данных, в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если Компания не вправе продолжить обработку персональных данных без согласия субъекта персональных данных;
- прекратить обработку персональных данных или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), в случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных, в течение 10 рабочих дней с даты получения оператором соответствующего требования, если иное не предусмотрено законодательством РФ. В случае наличия мотивированных оснований указанный срок может быть продлен, но не более чем на 5 рабочих дней, в таком случае Компания обязана направить в адрес субъекта персональных данных уведомление с указанием причин продления срока предоставления запрашиваемой информации
- осуществлять учет обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
- обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения;
- осуществлять обработку персональных данных, разрешенных субъектом персональных данных для распространения, с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона;
- в любое время по требованию субъекта персональных данных прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения;
- при сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
6. Меры по обеспечению безопасности персональных данных при их обработке6.1. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. К таким мерам в соответствии с Федеральным законом, в частности, относятся:
- назначение лица, ответственного за организацию обработки персональных данных, и лица, ответственного за обеспечение безопасности персональных данных;
- ограничение состава лиц, имеющих доступ к персональным данным;
- разработка и утверждение локальных нормативных актов по вопросам обработки и защиты персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Р Ф уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
- учет машинных носителей персональных данных, если хранение персональных данных осуществляется на машинных носителях;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональных данных в информационных системах;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
- оценка вреда, в соответствии с требованиями установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
- ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными нормативными актами по вопросам обработки и защиты персональных данных, и обучение работников Компании.
7. Порядок уничтожения Персональных данных7.1. Персональные данные субъектов персональных данных, обрабатываемые в целях, указанных в Политике, подлежат уничтожению, если иное не предусмотрено законодательством РФ или соглашением между Компанией и субъектом персональных данных, или договором между Компаний и операторами персональных данных, в следующих случаях:
- выявления неправомерной обработки персональных данных и невозможности устранения допущенных нарушений;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются не полными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыва субъектом персональных данных согласия на обработку своих персональных данных;
- по достижении целей обработки или в случае утраты необходимости в их достижении.
7.2. Уничтожение персональных данных определенного субъекта персональных данных выполняется в рамках реагирования на обращения субъектов персональных данных.
7.3. Уничтожение персональных данных в случае окончания сроков хранения персональных данных (по достижении целей обработки или в случае утраты необходимости в их достижении) осуществляется в срок не позднее 30 календарных дней с момента истечения срока хранения персональных данных.
7.4. Персональные данные должны быть уничтожены на всех материальных носителях и в информационных системах персональных данных.
8. Порядок получения разъяснений по вопросам обработки Персональных данных8.1. Лица, чьи Персональных данных обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих Персональных данных, обратившись в Компанию следующими способами:
- в электронной форме на адрес электронной почты info@touch-station.com,
- почтовым отправлением по адресу 199 106, Санкт-Петербург г, 24-я В.О. линия, дом 3−7, литер Ж, чп 49, помещение 2-Н
8.2. В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
- фамилию, имя, отчество субъекта Персональных данных или его представителя;
- номер основного документа, удостоверяющего личность субъекта Персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие наличие у субъекта Персональных данных отношений с Компанией;
- информацию для обратной связи с целью направления Компанией ответа на запрос;
- подпись субъекта Персональных данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
9. Актуализация Политики9.1. Политика должна пересматриваться на регулярной основе при наступлении любого из следующих случаев:
- по решению руководства Компании;
- при изменении законодательства РФ в области обработки и защиты Персональных данных;
- в случаях получения предписаний от уполномоченного органа по защите прав субъектов Персональных данных на устранение несоответствий, затрагивающих область действия Политики;
- при появлении необходимости в изменении процесса обработки Персональных данных, связанной с деятельностью Компании.
9.2. При внесении изменений в Политику новая редакция Политики публикуется на сайте Компании не позднее даты начала срока действия Политики в новой редакции.
Дата публикации: 02.08.2024Дата вступления в силу: 02.08.2024Скачать предыдущую редакцию от 01.07. 2021