Политика конфиденциальности и обработки, защиты персональных данных ООО «КРАФТ+»
1. Общие положения
1.1. Настоящая Политика конфиденциальности и обработки, защиты персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных» и является локальным нормативно-правовым актом Общества с ограниченной ответственностью «КРАФТ+» (далее – Оператор или Организация), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн).
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной тайны.
1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
1.4. Обработка ПДн в Организации осуществляется в связи с выполнением Организацией функций, предусмотренных ее учредительными документами и определяемых:
- Федеральным законом от «27» июля 2006 г. № 152-ФЗ «О персональных данных»;
- Постановлением Правительства РФ от «01» ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- иными нормативно-правовыми актами Российской Федерации.
1.5. Политика конфиденциальности в сфере взаимодействия с персональными данными (далее – Политика) применима ко всем персональным данным, получаемым от пользователей сайта, расположенного по URL-адресу: https://sontelle.com.
2. Базовые понятия, использующиеся в Политике
2.1. ПДн – любая информация, относящаяся прямо или косвенно к определенному или определяемому субъекту персональных данных - пользователя Сайта.
2.2. Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.3. Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц (распространение ПДн в СМИ, радиосетях, компьютерных, телефонных и телевизионных сетях, обнародование ПДн любым иным способом).
2.4. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
2.5. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
2.6. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн или в результате которых происходит уничтожение материальных носителей ПДн с невозможностью их последующего восстановления.
2.7. Обезличивание ПДн – действия, в результате которых становится невозможным определить принадлежность ПДн к конкретному субъекту ПДн.
2.8. Трансграничная передача ПДн – это предоставление доступа к ПДн иностранному физическому лицу, юридическому лицу или государственным органам.
2.9. Автоматизированная обработка ПДн – обработка ПДн с использованием средств вычислительной техники: при помощи софта и технических элементов систем обработки информации.
2.10. Сайт – интернет-ресурс, состоящий из виртуальных страниц с графической и текстовой информацией, имеющий базу данных, доступный по URL-адресу: https://sontelle.com.
2.11. Информационная система ПДн – совокупность содержащихся в базе данных персональных данных и обеспечивающих их обработку при помощи технических средств.
2.12. Пользователь – физическое лицо, посетившее Сайт.
3. Перечень персональных данных, подвергающиеся обработке Оператором
3.1. При наличии Согласия Пользователя на обработку ПДн Оператор вправе производить обработку следующих ПДн:
- Фамилия, имя, отчество;
- Паспортные данные (серия и номер паспорта, кем и когда выдан, код подразделения);
- Адрес электронной почты;
- Телефонный номер;
- Дата рождения;
- Адрес доставки.
Помимо указанных выше ПДн осуществляется сбор обезличенных данных о Пользователях при помощи различных сервисов: Яндекс.Метрика, Google Analytics и прочие сервисы.
4. Принципы обеспечения безопасности персональных данных
4.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
4.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:
- законность: защита ПДн основывается на положениях нормативно-правовых актов и методических рекомендаций уполномоченных государственных органов в области обработки и защиты ПДн;
- системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
- комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;
- непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
- минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, который необходим для выполнения их должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем ПДн Организации, а также объема и состава обрабатываемых ПДн;
- специализация и профессионализм: реализация мер по обеспечению безопасности ПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
- эффективность процедур отбора кадров: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;
- наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
4.3. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено действующим законодательством, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей обрабатывавшиеся Организацией ПДн уничтожаются или обезличиваются.
4.4. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – их актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
5. Основные цели обработки персональных данных
5.1. Оператор осуществляют обработку ПДн для того, чтобы:
- предоставлять Пользователям информацию о товарах и иную информацию, находящуюся на Сайте;
- осуществлять e-mail рассылку Пользователям Сайта;
- направлять Пользователям рекламные предложения;
- заключать, исполнять договоры, заключенные с Пользователями и прекращать их действие.
5.2. Пользователь вправе отказаться от получения рекламной информации посредством направления сообщения на электронную почту: [email protected] с указанием темы письма: «Отказ от уведомлений о товарах, рекламных акциях».
6. Основания для обработки персональных данных
6.1. Обработка ПДн происходит только при наличии Согласия Пользователя на обработку ПДн, полученного посредством нажатия на клавишу «Ок» перед заполнением своих ПДн на Сайте.
6.2. Обработка обезличенной ПДн осуществляется только тогда, когда это позволено настройками браузера Пользователя (с возможностью сохранения файлов cookie и при применении технологий ЯваСкрипт).
7. Сбор, хранение, передача и другие типов обработки персональных данных
7.1. Оператор при взаимодействии с ПДн обеспечивает их безопасность, реализуя все доступные ему меры, которые нужны для соблюдения действующего законодательства.
7.2. Для обеспечения сохранности ПДн Оператором принимаются все возможные меры, которые исключают противоправный или случайный доступ к ПДн третьих лиц, их удаление, копирование, редактирование и блокировку.
7.3. Оператор обязуется не производить передачу ПДн третьим лицам для социологических исследований, маркетинговых, коммерческих и других подобных целей, кроме случаев, которые связаны с выполнением российских законов.
7.4. Если будут выявлены ошибки в ПДн, Пользователь вправе их обновить, направив сообщение на электронную почту: [email protected] с указанием темы письма: «Актуализация персональных данных».
7.5. Срок хранения ПДн зависит от целей обработки информации согласно Договору с субъектом ПДн и нормам действующего законодательства.
Если иное не предусмотрено законодательством, по истечении срока хранения ПДн Оператор обязуется их уничтожить.
Допускается хранение ПДн по истечении срока их хранения в случае их обезличивания.
Обезличенные ПДн могут применяться для изучения потребностей потенциальных покупателей Товаров, реализуемых Оператором, а также для улучшения качества обслуживания клиентов.
7.6. Если Пользователь не хочет, чтобы Оператор обрабатывал его ПДн, он вправе произвести отзыв своего согласия на обработку ПДн, направив сообщение на электронную почту: [email protected] с указанием темы письма: «Отзыв согласия на взаимодействие с персональными данными».
В течение 3 (Трех) рабочих дней с момента получения Оператором сообщения он обязуется прекратить обработку ПДн, уничтожить их, кроме случаев, когда обработка ПДн может продолжаться согласно действующему законодательству.
8. Защита персональных данных
8.1. Основные меры защиты ПДн, используемые Организацией:
8.1.1. Назначение лица, ответственного за обработку ПДн, которое будет осуществлять организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите ПДн.
8.1.2. Определение актуальных угроз безопасности ПДн при их обработке в Информационной системе ПДн и разработка мер по защите ПДн.
8.1.3. Установление правил доступа к ПДн, обрабатываемым в Информационной системе ПДн, а также обеспечения регистрации учета всех действий, совершаемых с Информационной системе ПДн в Информационную систему ПДн.
8.1.4. Установление индивидуальных паролей доступа сотрудников в Информационную систему в соответствии с их должностными обязанностями.
8.1.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей ПДн, обеспечение их сохранности.
8.1.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
8.1.7. Сертифицированное программное средство защиты информации от несанкционированного доступа.
8.1.8. Сертифицированный межсетевой экран и средство обнаружения вторжения.
8.1.9. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн.
8.1.10. Установление правил доступа к обрабатываемым ПДн, обеспечение регистрации и учет действий, совершаемых с ПДн, а также обнаружение фактов несанкционированного доступа к ПДн.
8.1.11. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.1.12. Обучение работников Организации, непосредственно осуществляющих обработку ПД, положениям действующего законодательства РФ о ПДн, в том числе требованиям к защите ПДн, документам, определяющим политику Организации в отношении обработки ПДн, локальным нормативно-правовых актам по вопросам обработки ПДн.
8.1.13. Осуществление внутреннего контроля и аудита.
9. Трансграничная передача персональных данных
9.1. Перед передачей ПДн Оператор должен удостовериться, что иностранное государство обеспечивает эффективную защиту прав субъектов ПДн.
9.2. Если защита прав субъекта ПДн не может быть обеспечена, передачу ПДн можно осуществлять только при наличии такого согласия субъекта ПДн, выраженного в письменном виде.
10. Заключительная часть
10.1. Пользователи вправе задавать любые вопросы, касающиеся обработки ПДн Оператором, посредством направления письма на электронную почту: [email protected].
Ответ будет дан Оператором в течение 30 (Тридцати) рабочих дней с момента получения письма.
10.2. Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в Политику в самом конце текста Политики указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
Изменения в настоящую Политику должны быть внесены в связи с:
- изменением действующего законодательства в сфере обработки ПДн;
- получением Оператором предписания от государственных органов с требованием устранить имеющиеся несоответствия;
- изменением целей и сроков обработки ПДн;
- в случае использования новых технологий в сфере взаимодействия с ПДн;
- изменением процесса обработки ПДн, связанного с деятельностью Оператора.
10.3. Контроль выполнения Политики осуществляют должностные лица Оператора, занимающиеся обработкой ПДн.