Политика обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

Настоящая Политика обработки персональных данных» (далее – «Политика») подготовлена в соответствии с Федеральным законом «О персональных данных» №152-ФЗ от 27.07.2006 (далее – 152-ФЗ), определяет случаи и особенности обработки персональных данных пользователей Сервисов Оператора (далее – «Пользователь») и направлена на обеспечение законных прав и свобод субъектов персональных данных.

Политика составлена с учетом рекомендаций Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном 152-ФЗ.

1. Основные понятия, используемые в Политике

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Оператор – ООО «Звук Бизнес» – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись;систематизацию; накопление; хранение; уточнение (обновление, изменение);извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных;
Сервисы Оператора- интернет-ресурс, расположенный в сети Интернет по адресу https://zvuk-b2b.com/ и мобильное приложение «Звук Бизнес», принадлежащие Оператору.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Условия обработки персональных данных Пользователей

Оператор осуществляет обработку персональных данных Пользователей в следующих целях:

2.1. Предоставление Пользователям Сервисов Оператора, в частности регистрации в личном кабинете, персональной консультации, подписки на новости, регистрации на мероприятия, технической поддержки Пользователей.

Оператор обрабатывает иные персональные данные: фамилия, имя, отчество, электронная почта номер телефона.

2.2. Совершенствование продуктов и услуг Оператора, определения предпочтений пользователей.

Оператор обрабатывает иные персональные данные: IP-адрес устройства; данные об устройстве (тип, модель, название, ID); данные об операционной системе (тип, версия); данные о браузере (название, версия); локация пользователя; нажатия на элементы веб-страниц; источник захода на сайт; сведения о просмотренных веб-страницах, заполнении полей ввода (за исключением информации, непосредственно введенной в данные поля); сведения о просмотре баннеров и видео; данные, характеризующие аудиторные сегменты; параметры сессии; данные о времени посещения; идентификаторы пользователя, хранимые в cookie-файлах, с использованием веб-приложения Яндекс.Метрика.

Для целей обработки персональных данных указанных в п.2.1 и 2.2. Политики выполняются следующие условия:
• Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление персональных данных с использованием средств автоматизации.
• Персональные данные обрабатываются в течение всего срока действия учетной записи Пользователя (при наличии), или в течение 8 (восьми) лет.
• Правовым основанием обработки персональных данных является согласие Пользователя на обработку персональных данных.
• Для достижения целей обработки персональных данных персональные данные могут передаваться партнерам Оператора с согласия Пользователя. Партнеры принимают на себя обязательства по охране и неразглашению персональных данных.
• Базы данных информации, содержащей персональные данные Пользователей-граждан Российской Федерации, находятся на территории Российской Федерации.
• Оператор осуществляет удаление персональных данных по достижении целей обработки или при наступлении иных законных оснований в соответствии с порядком, установленным в п. 5 Политики.

3. Иcпользование cookies

Оператор с целью обработки персональных данных, установленной в п 2.2. Политики, использует cookies (небольшие фрагменты данных о прошлых посещениях).

Cookies обрабатываются в том числе с использованием сервисов веб-аналитики, в частности Яндекс.Метрика.

Пользователям могут показываться всплывающие уведомления о сборе и обработке данных cookies со ссылкой на Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.

В случае если Пользователь не согласен с обработкой cookies, он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:
• Произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies;
• Переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим;
• Покинуть сайт во избежание дальнейшей обработки cookies.

4. Обеспечение конфиденциальности и безопасности персональных данных при их обработке

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Оператора в области защиты информации.
Обеспечение Оператором защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:
• назначение лица, ответственного за организацию обработки персональных данных;
• назначение лица, ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных;
• определение перечня работников, имеющих доступ к персональным данным;
• разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки персональных данных;
• определение перечня мест хранения материальных носителей персональных данных;
• организация порядка удаления персональных данных по истечению срока их обработки;
• учет машинных носителей персональных данных;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
• проведение внутренних проверок за соблюдением требований по обеспечению безопасности персональных данных;
• ознакомление работников Оператора, осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации, организационно-распорядительными документами Оператора, определяющими порядок обработки и обеспечения безопасности персональных данных;
• повышение уровня осведомленности работников о требованиях по обеспечению безопасности персональных данных;
• проведение оценки вреда, который может быть причинен Пользователям в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
• физическая защита помещений, в которых осуществляется обработка персональных данных (пропускной режим, электронная система доступа в помещения, видеонаблюдение);
• обеспечение антивирусной защиты информационных систем персональных данных;
• обновление программного обеспечения на регулярной основе;
• защита сетевой инфраструктуры (разграничение доступа, межсетевое экранирование);
• обеспечение отказоустойчивости и резервного копирования;
• определение правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
• регистрация и учет событий информационной безопасности;
• определение порядка реагирования на инциденты информационной безопасности;
• проведение внешних тестирований на проникновение.

Обеспечение конфиденциальности персональных данных, обрабатываемых Оператором, является обязательным требованием для всех работников Оператора, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.

5. Порядок удаления персональных данных Оператором

В случае выявления неправомерной обработки персональных данных или неточных персональных данных Оператор обеспечивает блокирование персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора), на период проведения проверки.

В случае подтверждения факта неточности персональных данных Оператор обеспечивает уточнение персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора), в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обеспечивает прекращение неправомерной обработки персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора).

В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан удалить такие персональные данные или обеспечить их удаление.

Об устранении допущенных нарушений или об удалении персональных данных Оператор обязан уведомить Пользователя или его представителя, либо уполномоченный орган по защите прав субъектов персональных данных (если запрос был направлен указанным органом).

В случае отзыва Пользователем согласия на обработку его персональных данных Оператор обеспечивает удаление персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора), в срок, не превышающий тридцати дней с даты поступления указанного отзыва (за исключением случаев мотивированного отказа в отзыве согласия, установленных законодательством Российской федерации).

По истечению сроков хранения персональных данных Оператор обеспечивает удаление персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора), в срок, не превышающий тридцати дней.

В случае отсутствия возможности удаления персональных данных в течение установленного срока, Оператор обеспечивает блокирование таких персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора), и обеспечивает удаление персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.

6.Порядок обработки запросов Пользователей

Перечень запросов, которые может направить Пользователь Оператору

Пользователь может обращаться к Оператору по вопросам обработки своих персональных данных в следующих случаях:
• для получения информации, касающейся обработки его (Пользователя) персональных данных:
• подтверждение факта обработки персональных данных Оператором;
• сведения о правовых основаниях и целях обработки персональных данных;
• сведения о применяемых Оператором способов обработки персональных данных;
• сведения о наименовании и местонахождении Оператора;
• сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
• перечень обрабатываемых персональных данных, относящихся к Пользователю, и информацию об источнике их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
• сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
• наименование (Ф.И.О.) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;
• для уточнения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
• для подачи жалобы на неправомерную обработку Оператором его (Пользователя) персональных данных;
• для отзыва своего согласия на обработку персональных данных;
• иные сведения, предусмотренные 152-ФЗ или другими нормативно-правовыми актами Российской Федерации.

Способ направления запроса Оператору

Пользователь может направить письменный запрос посредством курьерской доставки или почтой по адресу местонахождения Оператора: 199178, г. Санкт-Петербург, вн.тер.г. муниципальный округ васильевский, линия 7-Я В.О., д. 76, литера А, помещ. 49-н, а также по электронной почте info-b2b@zvuk.com.

Способ и сроки направления ответа Пользователю

Ответ на обращение направляется Пользователю или его представителю в письменной форме по почте на адрес, указанный в обращении, или по электронной почте в срок, не превышающий 10 рабочих дней с даты получения обращения.
При отказе в запросе, Пользователю направляется мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа.

7. Права и обязанности Пользователей

Пользователь имеет право:
• принимать решение о предоставлении своих персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
• отозвать свое согласие на обработку персональных данных;
• получить у Оператора сведения, касающиеся обработки его персональных данных;
• требовать от Оператора уточнения своих персональных данных, их блокирования или удаления в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные законом меры по защите своих прав;
• потребовать ограничить обработку его персональных данных в целях маркетинговых активностей;
• заявить возражение против решения, принятого исключительно на основании автоматизированной обработки персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы.
Пользователь обязан:
• сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации в объеме, необходимом для цели обработки;
• сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

8. Права и обязанности Оператора в процессе обработки персональных данных

Оператор персональных данных обязан:
• не раскрывать третьим лицам и не распространять персональные данные без согласия Пользователя, если иное не предусмотрено законодательством Российской Федерации;
• предоставить безвозмездно, в доступной форме, без содержания персональных данных третьих лиц, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, Пользователю или его представителю возможность ознакомления с персональными данными с учетом ограничений, установленных в 152-ФЗ;
• немедленно прекратить по требованию Пользователя обработку его персональных данных в целях маркетинговых активностей;
• разъяснить Пользователю юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
• обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ;
• принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
• принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
• осуществлять обработку запросов Пользователей в соответствии с порядком, установленным 152-ФЗ;
• устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
Оператор персональных данных имеет право:
• в случае отзыва Пользователем согласия на обработку персональных данных продолжить их обработку без согласия Пользователя при наличии правовых оснований, установленных законодательством Российской Федерации;
• получить персональные данные от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия правовых оснований, установленных законодательством Российской Федерации.

9. Заключительные положения

Политика является общедоступным документом и подлежит размещению на web-сайте Оператора с доменным именем: https://zvuk-b2b.com/.
Политика подлежит изменению, дополнению в следующих случаях:
• при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
• в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
• по решению руководства Оператора;
• при изменении целей обработки персональных данных;
• при применении технологий обработки персональных данных;
• при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора.

В случае неисполнения положений Политики Оператора несет ответственность в соответствии с законодательством Российской Федерации.
Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними нормативными и организационно-распорядительными документами Оператора.