Политика ООО "ФР СИСТЕМА" в отношении обработки персональных данных
Утверждена Приказом № 02 от «18» января 2022 г.
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ФР СИСТЕМА»
1. Термины и определения
В настоящей политике применяются следующие ниже термины и определения:
1.1. Оператор - Общество с ограниченной ответственностью «ФР СИСТЕМА» (ОГРН 1141001009687, ИНН 1001286925, адрес местонахождения: Республика Карелия, г. Петрозаводск, ул. Онежской Флотилии, д.49А, пом. 201, собственник Сервиса, осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.2. Пользователь - физическое лицо (субъект персональных данных), использующее электронные ресурсы Сервиса, которое предоставляет Оператору свои персональные данные самостоятельно либо через представителя, выразив согласие с изложенными в Соглашении об обработке персональных данных условиями путем его подписания, либо совершение указанных в нем конклюдентных действий, направленных на использование Сервиса.
1.3. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.4. Сервис – веб-сайт, ресурс FITROOM.RU, размещенный по адресу в сети Интернет https://www.fitroom.ru/ и предназначенный для автоматизации в сфере услуг по предоставлению оборудованных помещений в пользование с использованием дистанционных технологий. Сайт является объектом интеллектуальной собственности, исключительное авторское право на который принадлежит Оператору.
1.5. Соглашение – соглашение между Пользователем и Оператором, содержащее поручение Пользователя Оператору на обработку персональных данных, заключенное либо путем его подписания, либо совершения указанных в нем конклюдентных действий, направленных на использование Сервиса.
1.6. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.8. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.9. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.10. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.11. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.12. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.13. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.14. «Конфиденциальность персональных данных» – обязательное для соблюдения лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
1.15. «Файлы «cookie», «cookie» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на устройстве Пользователя. Файлы «cookie» содержат небольшие фрагменты текста и используются для хранения информации о работе браузеров. Они позволяют хранить и получать идентификационные сведения и другую информацию на компьютерах, смартфонах, телефонах и других устройствах. Спецификации файлов «cookie» описаны в документах RFC 2109 и RFC 2965. Для этих же целей используются другие технологии, в том числе данные, сохраняемые браузерами или устройствами, идентификаторы, связанные с устройствами, и другое программное обеспечение. В настоящей политике все эти технологии называются файлами «cookie».
1.16. Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечены конфиденциальность, доступность и целостность.
1.17. Ответственный за организацию обработки персональных данных – лицо, являющееся сотрудником Оператора и назначенное внутренним распоряжением ответственным за организацию обработки персональных данных.
1.18. Ответственный за обеспечение безопасности персональных данных - лицо, ответственное за обеспечение безопасности персональных данных, за реализацию и непрерывность соблюдения установленных мер защиты.
1.19. Все остальные термины и определения, встречающиеся в тексте настоящей политики, толкуются Сторонами в соответствии с законодательством Российской Федерации
1.20. Термины и определения, используемые в настоящей политике, могут быть использованы как в единственном, так и во множественном числе в зависимости от контекста, написание терминов может быть использовано как с заглавной буквы, так и с прописной.
1.21. Названия заголовков (статей), а также конструкция политики предназначены исключительно для удобства пользования текстом политики и буквального юридического значения не имеют.
2. Общие положения
2.1. Политика конфиденциальности и обработки персональных данных в Обществе с ограниченной ответственностью «ФР СИСТЕМА» (далее - Политика) разработана в соответствии с п. 2. ч. 1 ст. 18.1 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяет основные принципы, цели и условия обработки персональных данных (далее – «ПД»), а так же стратегию их защиты в Обществе с ограниченной ответственностью «ФР СИСТЕМА» (далее - Общество, Оператор).
2.2. Настоящая политика является основным руководящим внутренним документом Общества, определяющим требования, предъявляемые в отношении обработки и обеспечения безопасности ПД.
2.3. Внутренние документы Общества, регламентирующие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
2.4. Настоящая Политика разработана в целях реализации положений законодательства Российской Федерации в отношении обработки ПД, а также требований нормативных и методических документов по защите ПД.
2.5. Настоящая политика применяется ко всем процессам по обработке персональных данных, осуществляемым с помощью Сервиса с использованием средств автоматизации и/или без использования средств автоматизации, в том числе смешанным способом.
3. Принципы обработки персональных данных
3.1. Обработка ПД Оператором осуществляется на основе следующих принципов:
- законности и справедливости;
- добросовестности Оператора;
- обработка ПД ограничивается достижением конкретных, определенных настоящей Политикой и законных целей;
- обработке подлежат только ПД, которые отвечают целям сбора;
- недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия объема и содержания обрабатываемых ПД, заявленным целям обработки;
- недопустимости обработки ПД, избыточных по отношению к целям, заявленным при обработке ПД;
- точности и достаточности ПД по отношению к заявленным целям их обработки, а в необходимых случаях и актуальности по отношению к целям обработки ПД
- хранения ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, или на срок, установленный федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД;
- уничтожения или обезличивание ПД по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- иные принцы, установленные Федеральным законом;
3.2. Оператор в своей деятельности исходит из того, что субъект ПД предоставляет точную и достоверную информацию, во время взаимодействия, извещает представителей Оператора об изменении своих ПД. В свою очередь Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уничтожению неполных или неточных данных.
4. Цели и правовые основания обработки персональных данных
4.1. Оператор осуществляет сбор и дальнейшую обработку ПД в следующих целях:
- обеспечение соблюдения требований законодательства Российской Федерации;
- выполнения обязательств Оператора перед Пользователями в отношении использования Сервиса, в том числе для выполнения договорных обязательств, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной̆ информации в течение определенного законом срока;
- контроля количества и качества выполняемой работы и обеспечения сохранности имущества Оператора;
- информирования Пользователя посредствам отправки электронных писем и/или смс-уведомлений, в том числе рекламного характера;
- проведения статистических и маркетинговых исследований Сервиса.
4.2. Оператор осуществляет обработку персональных данных Пользователя, руководствуясь следующими документами:
Конституция Российской Федерации; | |
Гражданский кодекс Российской Федерации; | |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; | |
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; |
- Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
- Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- уставные документы Оператора;
- гражданско- правовые договоры, заключаемые между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку персональных данных;
- иные нормативные правовые акты в установленной сфере деятельности Оператора.
4.3. Обработка персональных данных Пользователя производиться на основании его отдельного согласия на такую обработку, которое может быть выражено путем нажатия на соответствующую кнопку или путем проставления отметки индикатора соответствующего чек-бокса или в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Срок действия такого согласия Пользователя указывается в его тексте.
5. Обрабатываемые персональные данные
5.1. Персональные данные, разрешенные к обработке в соответствии с настоящей Политикой и предоставляемые Пользователями, являющимися Субъектами персональных данных, использующими Сервис, путем заполнения соответствующих полей ввода при использовании Сервиса, могут включать в себя следующую информацию:
- фамилия, имя и отчество;
- дата рождения;
- паспортные данные (серия и номер паспорта, наименование выдавшего документ органа, код подразделения, дата выдачи);
- адрес регистрации и/или проживания;
- номер мобильного телефона;
- адрес электронной почты;
- информация об истории использования Сервиса;
- продолжительность услуг и иная информация об услугах Сервиса;
- информация об участии в акциях и опросах Оператора;
- данные файлов «cookie»;
- иные данные, переданные Пользователем в рамках использования Сервиса.
6. Порядок и условия обработки персональных данных в том числе с использование Файлы «cookie»
6.1. Оператор имеет право на обработку персональных данных Пользователя без уведомления уполномоченного органа по защите прав субъектов персональных данных в соответствии с п. 2 ч. 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6.2. Обработка ПД осуществляется следующими способами: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление.
6.3. Оператор и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
6.4. Оператор осуществляет обработку и хранит персональные данные Пользователя в течение срока, определяемого в Согласии на обработку персональных данных, по достижении целей обработки Оператор уничтожает или обезличивает ПД.
6.5. Оператор вправе предоставить персональные данные Пользователя третьим лицам с согласия Субъекта персональных данных в случае, если передача необходима исключительно для заключения и исполнения определенного соглашения, договора или сделки с Пользователем, а равно использования функционала Сервиса.
6.6. При утрате или несанкционированном разглашении персональных данных Оператор информирует Пользователя об указанном факте.
6.7. Оператор принимает необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий со стороны третьих лиц.
6.8. Оператор совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или несанкционированным разглашением персональных данных Пользователя.
6.9. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
6.10. При сборе персональных данных Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Пользователя с использованием баз данных, находящихся на территории Российской Федерации.
6.11. Оператор прекращает обработку персональных данных Пользователя, обработка которых осуществляется с их согласия, при истечении срока действия согласия Пользователя на их обработку или при отзыве согласия Пользователя на обработку его персональных данных, а также в случае выявления неправомерной обработки персональных данных или ликвидации Оператора.
6.12. Файлы «cookie», передаваемые от Оператора на устройство Пользователя и от Пользователя к Оператору, могут использоваться Оператором для достижения целей обработки персональных данных в соответствии с политикой конфиденциальности и обработки персональных данных.
7. Согласие на обработку персональных данных
7.1. Пользователь принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
7.2. Согласие на обработку персональных данных, предоставленное Пользователем, должно быть конкретным, информированным и сознательным.
7.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем.
7.4. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
7.5. Пользователь выражает свое согласие на обработку ПД при использовании Сервиса путем нажатия на соответствующую кнопку или путем проставления отметки индикатора соответствующего чек-бокса или в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
7.6. Согласие на обработку персональных данных может быть отозвано Пользователем путем направления Оператору письменного заявления в свободной форме. С момента получения Оператором такого заявления, последний прекращает обработку ПД в течении 3 (трех) рабочих дней, о чем будет направлено письменное уведомление Субъекту персональных данных в течении 10 (десяти) рабочих дней и далее производит уничтожение в соответствии с Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7.8. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в п. 7.7. Политики, возлагается на оператора.
8. Права субъектов персональных данных
8.1. Для обеспечения соблюдения установленных законодательством прав субъектов ПД, Оператором разработан и введен порядок работы с обращениями и запросами субъектов ПД, а также порядок предоставления субъектам ПД информации, установленной законодательством РФ в области ПД.
8.2. Субъект ПД имеет право на получение информации, касающейся обработки Оператором его ПД, в том числе содержащей:
- подтверждение факта обработки ПД Оператором;
- правовые основания и цели обработки ПД;
- цели и применяемые Оператором способы обработки ПД;
наименование и местонахождение Оператора, сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Обрабатываемые ПД Оператором, относящиеся к соответствующему субъекту ПД;
- сроки обработки и сроки их хранения ПД;
- иные сведения, предусмотренные ФЗ «О персональных данных».
8.3. Сведения, указанные в п. 8.2 должны быть предоставлены Субъекту ПД Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.4. Оператор предоставляет указанную информацию на основании письменного запроса субъекта ПД или его представителя, содержащего: номер основного документа, удостоверяющего личность Субъекта ПД или его Представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.5. Оператор обязуется предоставить для ознакомления по его запросу сведения, указанные в п. 8.2., а также обрабатываемые ПД, относящихся к соответствующему субъекту ПД в течение 30 (тридцати) дней с даты получения Запроса Субъекта ПД.
8.6. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту ПД по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса.
8.7. Субъект ПД вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения вышеуказанного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.
8.8. Оператор вправе мотивированно отказать Субъекту ПД в выполнении повторного запроса, в случае, если он не соответствует пп. 8.6- 8.7 Политики.
8.9. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.10. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8.11. Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
8.12. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его персональным данным нарушает права и законные интересы третьих лиц.
9. Обеспечение безопасности персональных данных
9.1. Для обеспечения безопасности ПД Оператор принимает необходимые и достаточные организационные и технические меры для защиты ПД субъектов ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, включающие в том числе:
- назначение лица, ответственного за организацию обработки ПД и лица, и ответственного за обеспечение безопасности ПД, а также определение их функций и полномочий;
- разработка и поддержание актуальности комплекта внутренних локальных документов в отношении обработки и защиты ПД;
- внутренний контроль соответствия обработки ПД требованиям ФЗ «О персональных данных» и принятым в соответствии с ним локальными актами;
- проведение оценки вреда, который может быть причинен субъектам ПД в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда с принимаемыми мерами по безопасности ПД;
- ознакомление работников Оператора, непосредственно осуществляющих обработку ПД и обеспечивающими безопасность ПД, с положениями законодательства Российской Федерации и внутренних локальных документов Оператора в отношении обработки и защиты ПД, периодическое обучение вопросам обработки и защиты ПД;
- учет работников, допущенных к обработке ПД;
- учет материальных носителей ПД;
- восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем персональных данных.
9.2. Комплекс мероприятий и технических средств по обеспечению безопасности ПД Оператором формулируется с учетом результатов оценки возможного вреда субъекту ПД, который может быть нанесен в случае нарушения безопасности его ПД, актуальности угроз безопасности ПД, а также установления уровня защищенности ПД.
10. Заключительные положения
10.1. Настоящая Политика вступает в силу с момента ее утверждения Оператором и действует бессрочно до замены ее новой политикой.
10.2. Оператор вправе вносить изменения в настоящую политику без согласия Пользователя. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция политики вступает в силу с момента ее размещения на Сервисе.
10.3. Начало использования Сервиса Пользователем означает его согласие с условиями настоящей политики. В случае несогласия Пользователя с условиями настоящей политики использование Сервиса должно быть немедленно прекращено.
10.4. К настоящей политике и к отношениям между Пользователем и Оператором, возникающим в связи с применением настоящей политики, подлежит применению право Российской Федерации. Все отношения, касающиеся обработки ПД, не получившие отражения в настоящей политике, регулируются согласно положениям законодательства РФ.
10.5. Настоящая политика находится в постоянном открытом доступе на веб-сайте Оператора по следующей ссылке: : https:// www.fitroom.ru/.
10.6. Все предложения или вопросы по поводу настоящей политики Пользователь вправе направлять в службу поддержки Пользователя Оператора путем отправки электронного сообщения на адрес электронной почты: https:// www.fitroom.ru/.
Предыдущие редакции:
От 01.01.2020