Политика в области обработки и защиты персональных данных в ООО «ТЕРЕМ»

Настоящая Политика определяет порядок обработки и защиты персональных данных в ООО «ТЕРЕМ» (ИНН: 7729646148; юридический адрес: 117418, г. Москва, вн.тер.г. Муниципальный Округ Черемушки, пр-кт Нахимовский, д. 47, эт 15 ПОМ I КОМ 25; адрес веб-сайта: https://www.teremopt.ru/), далее по тексту – Общество. Документ с Политикой доступен для ознакомления как на веб-сайте Общества, так и в офисах Общества.

Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов ФСТЭК и ФСБ, других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также внутренних документов Общество обеспечивает легитимность обработки и безопасность ПДн в своей деятельности.

Общество включена в Реестр операторов, осуществляющих обработку ПДн (далее – «Реестр»). Указанный Реестр опубликован на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в сети «Интернет» по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/.

Принципы обработки ПДн

Принципами обработки ПДн в Обществе являются:

• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• при обработке ПДн обеспечивается их конфиденциальность и безопасность;
• не допускается обработка ПДн, несовместимая с целями сбора ПДн;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
• при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод;
• деятельность в области обработки и защиты ПДн документируется.

Цели, правовые основания и продолжительность обработки ПДн

Общество при обработке ПДн преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта ПДн.

ЦЕЛЬ: Обеспечение условий для информационного взаимодействия и ведения коммерческой деятельности, включая, но не ограничиваясь, обмен контактными данными, ведение базы клиентов, а также установление и поддержание делового общения

Категории и перечень обрабатываемых персональных данных	Cookie-файлы; Адрес доставки; Адрес электронной почты; Город; Дата рождения; Наименование должности; Номер телефона; Сведения о возврате товаров; Сведения о приобретенных товарах; Сведения о социальных сетях; Сведения о сумме приобретаемых товаров/услуг; Фамилия, Имя, Отчество
Категории субъектов, персональные данные которых обрабатываются	Контрагенты - физические лица, Представители контрагентов – индивидуальных предпринимателей, Представители контрагентов – юридических лиц
Способы обработки персональных данных	Смешанная обработка персональных данных
Сроки обработки	В период использования сайта (для всех пользователей), до момента направлением заявки на уничтожения личного кабинета (для зарегистрированных пользователей), либо ранее при наступлении события окончания обработки; В течение срока действия договора между Обществом и субъектом и до момента истечения срока исковой давности по договору, либо ранее при наступлении события окончания обработки (последующее архивное хранение)
Порядок уничтожения персональных данных	Персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, при прекращении действия согласия субъекта на обработку, если отсутствуют законные основания для продолжения обработки и в иных установленных законодательством случаях согласно порядку, определенному Положением об обработке и защите персональных данных в ООО «ТЕРЕМ»

Правила обработки ПДн

Обработка ПДн осуществляется Обществом на законной основе. В случаях, предусмотренных действующим законодательством, Общество осуществляет получение согласия субъекта на обработку его ПДн по установленной действующим законодательством форме. Если Общество получает ПДн от третьего лица, то она в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи ПДн в Общество.

При обработке ПДн обеспечивается точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПДн. Общество предполагает, что субъект ПДн представил ей точные, достаточные и актуальные данные. Если субъект ПДн обнаружил неточность в обрабатываемых ПДн и направил соответствующий запрос, или такая неточность была обнаружена самой Обществом, Общество предпримет все необходимые меры для обеспечения точности, достаточности и актуальности ПДн.

Общество в ходе своей деятельности вправе поручать обработку ПДн третьему лицу, если иное не предусмотрено действующим законодательством. При этом обязательным условием поручения обработки ПДн (в виде договора или доверенности) другому лицу является обязанность по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке, а также обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах.

В случае если Общество выступает в роли обработчика, тогда обработка осуществляется им в соответствии с заранее определенными в договоре (поручении) целями обработки ПДн, составом подлежащих обработке ПДн, перечнем допустимых действий с ПДн.

В Обществе запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

Если по сути своей деятельности Общество выступает продавцом (исполнителем, владельцем агрегатора) в отношении субъекта ПДн, являющегося потребителем, то тогда Общество не вправе отказывать субъекту ПДн в заключении, исполнении, изменении или расторжении договора с субъектом ПДн в связи с отказом субъекта ПДн предоставить ПДн, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с субъектом ПДн. Общество не вправе отказывать в обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн и (или) дать согласие на обработку ПДн, если в соответствии с федеральным законом получение Обществом согласия на обработку ПДн не является обязательным.

В Обществе не допускается обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных действующим законодательством РФ. Общество незамедлительно прекращает обработку специальных категорий ПДн по достижении целей их обработки, если иное не установлено федеральным законом.

Общество, в ходе своей деятельности, может осуществлять обработку биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), только на основании письменного согласия субъекта ПДн в порядке, определенном действующим законодательством РФ и утвержденными внутренними документами Общества. Обработка биометрических ПДн без письменного согласия субъекта ПДн может осуществляться в случаях, предусмотренных ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Общество незамедлительно прекращает обработку биометрических ПДн по достижении целей их обработки, если иное не установлено федеральным законом.

Общество, в ходе своей деятельности, может осуществлять обработку ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии предварительного согласия субъекта ПДн. Предварительное согласие на обработку ПДн собирается в форме, позволяющей Общества доказать получение согласия. Общество незамедлительно прекращает по требованию субъекта ПДн обработку его ПДн, которая производится в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

Общество, в ходе своей деятельности, может осуществлять трансграничную передачу ПДн на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. в том числе являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также на территорию иных иностранных государств в соответствии с законодательством РФ.

Общество НЕ распространяет ПДн субъектов ПДн без их письменного согласия.

При осуществлении деятельности Общества посредством локальных и глобальных вычислительных сетей могут быть использованы cookie-файлы следующих типов:

• технические – позволяют корректно использовать функции веб-сайта, сетевого приложения или сетевых сервисов и поддерживать их работоспособность (например, определять аппаратное и программное обеспечение пользователя для проверки работоспособности функций веб-сайта, сетевого приложения или сетевых сервисов);
• функциональные - позволяют запоминать выбор, который пользователь сделал в прошлом (например, для автоматического входа в личный кабинет с использованием сохраненного логина и пароля);
• статистические - содержат информацию о том, как используется веб-сайт, сетевое приложение или сетевые сервисы, какие страницы посещаются, сколько пользователей их посещает; предназначением статистических cookie-файлов является улучшение функций сайта;
• маркетинговые - запоминают онлайн-активность, чтобы помочь предоставлять наиболее актуальную рекламу.

При посещении веб-сайта или при использовании сетевого приложения, сетевых сервисов Общество запрашивает согласие пользователей на применение cookie-файлов. Для прекращения использования определенных cookie-файлов пользователь может выбрать соответствующую опцию в запрашиваемом согласии. В этом случае часть функционала веб-сайта, сетевого приложения или сетевых сервисов может оказаться недоступной.

Общество организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Общество по всем предусмотренным в законодательстве вопросам, связанным с обработкой его ПДн (ознакомление с ПДн, относящимся к этому субъекту ПДн, получение информации об обрабатываемых ПДн, получение информации о третьих лицах, осуществление запросов на уточнение, прекращение обработки, блокировку и уничтожение ПДн и т.д.). С целью своевременного и надлежащего выполнения запросов и обращений, поступающих от субъектов ПДн и уполномоченного органа по защите прав субъектов ПДн, в Обществе утвержден порядок обработки таких запросов и обращений.

Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Обществом в случаях и в порядке, предусмотренных законодательством РФ.

Права субъектов персональных данных

Субъект персональных данных имеет право осуществлять действия в части уточнения, блокирования, уничтожения ПДн, возражения против автоматизированной обработки, а также ознакомления с характеристиками процесса обработки его ПДн (подтверждение факта обработки ПДн или факта отсутствия обработки ПДн, правовые основания и цели обработки, состав ПДн, источник получения ПДн, сроки обработки и хранения ПДн, характер обработки ПДн, информация о способах исполнения Обществом обязанностей в области обработки и защиты ПДн и др.).

Субъект персональных данных имеет право извещения всех лиц, которым ранее были сообщены неверные или неполные его ПДн, обо всех изменениях его ПДн.

Субъект персональных данных имеет право обжаловать в органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Общества при обработке его ПДн.

Субъект персональных данных имеет право отозвать свое согласие на обработку ПДн в любой момент.

Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона «О персональных данных».

Если вы считаете, что ваши права и интересы нарушены, вы можете подать претензию (ст. 17 Федерального закона «О персональных данных»). Для связи с ООО «ТЕРЕМ» воспользуйтесь контактной информацией, указанной в соответствующем разделе настоящей Политики. ООО «ТЕРЕМ» приложит все усилия, чтобы отреагировать на ваш запрос в течение 10 (десяти) рабочих дней после его направления. При необходимости этот срок может быть продлен, но не более чем на 5 (пять) рабочих дней с учетом сложности запроса и количества запросов. В любом случае ООО «ТЕРЕМ» сообщит вам о продлении срока в течение 10 (десяти) рабочих дней.

Установление правил и порядка обработки ПДн

В Обществе во внутренних документах, обязательных для исполнения всеми работниками Общества, а также партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:

• процедуры предоставления доступа к ПДн;
• процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
• процедуры уничтожения, блокирования ПДн в случае необходимости выполнения таких процедур;
• процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных законодательством, в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (его законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
• процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;
• процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Общества, имеющими доступ к ПДн;
• процедуры передачи ПДн третьим лицам;
• процедуры работы с материальными носителями ПДн.

Требования к конфиденциальности и обеспечению безопасности ПДн

.

С целью обеспечения безопасности ПДн при их обработке в Обществе реализуются требования действующего законодательства в области обработки и обеспечения безопасности ПДн. Для этих целей в Обществе введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПДн.

Общество применяет необходимые и достаточные организационные и технические меры, включающие в себя, в том числе:

• разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
• защиту ПДн от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка ПДн осуществляется);
• определение и внедрение перед введением новых процессов обработки ПДн и новых ИСПДн, технических и организационных мер, обеспечивающих защиту ПДн, ориентированных на современный уровень техники и необходимую степень защиты данных;
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• установление правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль и оценку эффективности применяемых мер (в том числе с привлечением аудиторских проверок);
• обнаружение фактов несанкционированного доступа к ПДн (и других инцидентов с ПДн) и принятие мер;
• восстановление ПДн.

В части обеспечения конфиденциальности обработки Общество предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования ПДн, в том числе:

• • предоставление доступа к ПДн только в случаях и в порядке, предусмотренном законодательством;
• • ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

В Обществе назначен ответственный за организацию обработки ПДн и ответственный за обеспечение безопасности ПДн. Руководство Общества заинтересовано в обеспечении безопасности ПДн, обрабатываемых в рамках выполнения основной деятельности Общества, как с точки зрения требований действующего законодательства, так и с точки зрения минимизации рисков.

Заключительные положения

Общество может время от времени вносить изменения в настоящую Политику без предварительного уведомления, и любые изменения вступают в силу с момента их размещения на веб-сайте Общества (https://www.teremopt.ru/) или в офисах Общества.

Контроль исполнения требований настоящей Политики, а также ее своевременная актуализация осуществляется лицом, ответственным за организацию обработки персональных данных. Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.

Контактная информация

Любые обращения, касающиеся обработки персональных данных, направляются с помощью электронной почты, указанной в контактах на веб-сайте Общества (https://www. teremopt.ru/), а также при личном посещении офисов Общества или через письмо по юридическому адресу Общества: 117418, г. Москва, вн.тер.г. Муниципальный Округ Черемушки, пр-кт Нахимовский, д. 47, эт 15 ПОМ I КОМ 25.