Политика в отношении обработки
персональных данных с использованием
информационно-коммуникационной
сети интернет
1. Общие положения
1.1. Общество с ограниченной ответственностью "Светлый дом", адрес: Красноярский края, г. Красноярск, ул. 9 Мая 79/4 (далее – «Общество»), при осуществлении своей деятельности уделяет приоритетное внимание безопасности персональных данных пользователей сайта https://svetdom.tb.ru, размещённым в информационно-телекоммуникационной сети Интернет (далее – «Интернет-сайт»). Все бизнес-процессы в Обществе строятся таким образом, чтобы ее обеспечить.
1.2. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») предоставляет информацию об основных принципах обработки персональных данных с использованием Интернет-сайта и реализуемых требованиях к их защите.
1.3. Настоящая Политика размещается в открытом доступе на Интернет-сайте.
1.2. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») предоставляет информацию об основных принципах обработки персональных данных с использованием Интернет-сайта и реализуемых требованиях к их защите.
1.3. Настоящая Политика размещается в открытом доступе на Интернет-сайте.
2. Принципы обработки персональных данных
2.1. Политика Общества в отношении обработки персональных данных состоит в том, что персональные данные должны обрабатываться только в случаях, установленных законом, и для осуществления деятельности по основным направлениям бизнеса Общества. Ни при каких обстоятельствах обработка персональных данных пользователей Интернет-сайтов не может быть направлена на причинение им вреда или неудобств. Обработка персональных данных основывается на следующих принципах:
• обработка персональных данных должна осуществляться на законной и справедливой основе;
• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
• хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Запрашивая персональные данные, Общество руководствуется минимально необходимым объемом персональных данных для достижения целей получения персональных данных.
2.3. Общество производит обработку персональных данных как автоматизированным, так и неавтоматизированным способами.
• обработка персональных данных должна осуществляться на законной и справедливой основе;
• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
• хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Запрашивая персональные данные, Общество руководствуется минимально необходимым объемом персональных данных для достижения целей получения персональных данных.
2.3. Общество производит обработку персональных данных как автоматизированным, так и неавтоматизированным способами.
3. Цели обработки персональных данных
3.1 Общество осуществляет обработку персональных данных пользователей Интернет-сайтов для следующих целей:
• направление пользователям справочной и маркетинговой информации, включая рассылки рекламного характера, путем осуществления прямых телефонных контактов или в виде смс-оповещения, а также посредством сообщения на адрес электронной почты;
• предоставление пользователям возможности для обратной связи с Обществом;
• предоставление пользователям консультаций по вопросам, касающимся продукции и оказываемых услуг;
• содействие в обмене опытом и организация коммуникации между пользователями Интернет-сайтов;
• маркетинговая коммуникация и поддержка.
• направление пользователям справочной и маркетинговой информации, включая рассылки рекламного характера, путем осуществления прямых телефонных контактов или в виде смс-оповещения, а также посредством сообщения на адрес электронной почты;
• предоставление пользователям возможности для обратной связи с Обществом;
• предоставление пользователям консультаций по вопросам, касающимся продукции и оказываемых услуг;
• содействие в обмене опытом и организация коммуникации между пользователями Интернет-сайтов;
• маркетинговая коммуникация и поддержка.
4. Условия обработки персональных данных
4.1 Сбор персональных данных осуществляется через веб-формы с согласия пользователей Интернет-сайтов.
4.2 Сбор и иная обработка персональных данных пользователей Интернет-сайтов может осуществляться без их согласия в случаях, когда это происходит для исполнения гражданско-правового договора, заключенного между Обществом и пользователем, либо договора, где пользователь является выгодоприобретателем, а также в иных случаях, установленных законодательством Российской Федерации.
4.3 Интернет-сайт может использоваться как для сбора персональных данных пользователей, так и для последующей обработки собранных персональных данных непосредственно на Интернет-сайте.
4.4 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни пользователей Интернет-сайта не осуществляется.
4.5 Общество вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Третье лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
4.6 Передача персональных данных с помощью отправки заполненной веб-формы на Интернет-сайтах, а также хранение персональных данных предполагает использование технических ресурсов хостинг-провайдера для обработки и хранения персональных данных. Давая согласие на обработку персональных данных, пользователь Интернет-сайта дает согласие на передачу его персональных данных хостинг-провайдеру Общества.
4.7 Общество вправе передавать персональные данные пользователей Интернет-сайтов следующим третьим лицам (для обработки по поручению Общества):
• хостинг-провайдерам, телекоммуникационным компаниям и прочим третьим лицам (при передаче персональных данных в случаях, предусмотренных законом).
4.8. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные клиентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
4.9. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
• в судебные органы в связи с осуществлением правосудия;
• в органы государственной безопасности;
• в органы прокуратуры;
• в органы полиции;
• в следственные органы;
• в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
4.2 Сбор и иная обработка персональных данных пользователей Интернет-сайтов может осуществляться без их согласия в случаях, когда это происходит для исполнения гражданско-правового договора, заключенного между Обществом и пользователем, либо договора, где пользователь является выгодоприобретателем, а также в иных случаях, установленных законодательством Российской Федерации.
4.3 Интернет-сайт может использоваться как для сбора персональных данных пользователей, так и для последующей обработки собранных персональных данных непосредственно на Интернет-сайте.
4.4 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни пользователей Интернет-сайта не осуществляется.
4.5 Общество вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Третье лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
4.6 Передача персональных данных с помощью отправки заполненной веб-формы на Интернет-сайтах, а также хранение персональных данных предполагает использование технических ресурсов хостинг-провайдера для обработки и хранения персональных данных. Давая согласие на обработку персональных данных, пользователь Интернет-сайта дает согласие на передачу его персональных данных хостинг-провайдеру Общества.
4.7 Общество вправе передавать персональные данные пользователей Интернет-сайтов следующим третьим лицам (для обработки по поручению Общества):
• хостинг-провайдерам, телекоммуникационным компаниям и прочим третьим лицам (при передаче персональных данных в случаях, предусмотренных законом).
4.8. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные клиентов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
4.9. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:
• в судебные органы в связи с осуществлением правосудия;
• в органы государственной безопасности;
• в органы прокуратуры;
• в органы полиции;
• в следственные органы;
• в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
5. Сроки обработки и хранения персональных данных
5.1. Период обработки и хранения персональных данных определяется в соответствии с Законом «О персональных данных».
5.2. Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается:
• в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
• в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
• в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Обшество прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных;
• в случае прекращения деятельности Общества.
5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.4. В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных данных).
5.2. Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных и прекращается:
• в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
• в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
• в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Обшество прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных;
• в случае прекращения деятельности Общества.
5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.4. В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных данных).
6. Порядок уничтожения персональных данных
6.1. Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных.
6.2. При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных обязано:
• принять меры к уничтожению персональных данных;
• оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение Директору Общества;
• в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган
6.2. При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо ответственные за организацию обработки и обеспечение безопасности персональных данных обязано:
• принять меры к уничтожению персональных данных;
• оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение Директору Общества;
• в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган
7. Связь с обществом
7.1 Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2 Субъект персональных данных вправе отозвать Согласие на обработку персональных данных, направив письмо на электронную почту berestuk.m@gmail.com
7.3 Субъект персональных данных вправе обращаться к Обществу с вопросами, предложениям и жалобами по вопросам обработки персональных данных.
7.2 Субъект персональных данных вправе отозвать Согласие на обработку персональных данных, направив письмо на электронную почту berestuk.m@gmail.com
7.3 Субъект персональных данных вправе обращаться к Обществу с вопросами, предложениям и жалобами по вопросам обработки персональных данных.
8. Сведения о реализуемых требованиях по защите персональных данных
8.1 Персональные данные являются конфиденциальной информацией.
8.2 Обеспечение безопасности персональных данных пользователей Интернет-сайтов достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:
• назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
• контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных Общества;
• ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества;
• разработаны и внедрены Положения о защите персональных данных;
• лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;
• разграничены права доступа к обрабатываемым персональным данным;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.
Помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:
• предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;
• резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• иные необходимые меры безопасности.
8.3 Общество реализует следующие требования к защите персональных данных:
• организовывает режим обеспечения безопасности помещений, в которых размещены информационные системы, обрабатывающие персональные данные пользователей Интернет-сайтов, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• обеспечивает сохранность носителей персональных данных;
• утверждает перечень лиц, имеющих доступ к персональным данным в рамках выполнения ими трудовых обязанностей;
• использует средства защиты информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
• обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий по доступу к персональным данным;
• предоставляет доступ к содержанию электронного журнала сообщений исключительно работникам или уполномоченным лицам, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей.
8.2 Обеспечение безопасности персональных данных пользователей Интернет-сайтов достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:
• назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
• контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных Общества;
• ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества;
• разработаны и внедрены Положения о защите персональных данных;
• лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;
• разграничены права доступа к обрабатываемым персональным данным;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.
Помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:
• предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;
• резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• иные необходимые меры безопасности.
8.3 Общество реализует следующие требования к защите персональных данных:
• организовывает режим обеспечения безопасности помещений, в которых размещены информационные системы, обрабатывающие персональные данные пользователей Интернет-сайтов, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• обеспечивает сохранность носителей персональных данных;
• утверждает перечень лиц, имеющих доступ к персональным данным в рамках выполнения ими трудовых обязанностей;
• использует средства защиты информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
• обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий по доступу к персональным данным;
• предоставляет доступ к содержанию электронного журнала сообщений исключительно работникам или уполномоченным лицам, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей.
9. Изменения настоящей политики
9.1. Настоящая Политика является внутренним документом Общества.
9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
9.3. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.
9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
9.3. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.