Политика ООО «СтройИнвест» в отношении обработки персональных данных
-
Общие положения
- Настоящая Политика в отношении обработки персональных данных (далее – «Политика») разработана и применяется ООО «СтроИнвест» , (далее также – «Оператор») в соответствии с Федеральным законом от 27.07.2006 г. N 152-ФЗ «О персональных данных», Федеральным законом от 13.03.2006 N 38-ФЗ «О рекламе», и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
- Настоящая Политика является частью общей политики в отношении обработки персональных данных ООО «СтроИнвест» .
- Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены от физических лиц Оператором в процессе реализации услуг, осуществляемых путем заказа через сайт gazel-transfer.ru (далее – «Сайт»), через колл-центр Оператора, и которые могут быть однозначно соотнесены с конкретным физическим лицом и его персональными данными. Действие настоящей Политики не распространяется на отношения:
- возникающие при обработке персональных данных сотрудников Оператора, поскольку такие отношения урегулированы отдельным локальным актом, также являющимся частью общей политики в отношении обработки персональных данных ООО «СтроИнвест» ;
- на отношения, на которые Федеральный закон N 152-ФЗ «О персональных данных» не распространяется.
- Политика определяет поведение Оператора в отношении обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее также – «Субъект персональных данных», «Субъект») с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
- Политика разработана с целью обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным Субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.
- Оператор осуществляет обработку следующих персональных данных:
- имя;
- номер телефона;
- адрес электронной почты;
- адреса реализации заказа;
- данные об оказанных и оказываемых Субъекту персональных данных услугах, в том числе история заказов Субъекта;
- история обращений Субъекта персональных данных, в том числе присылаемые Субъектом при обращениях к Оператору документы.
- При использовании сервисов Сайта Оператор обрабатывает также иные обезличенные данные, которые автоматически передаются в процессе использования Сайта посредством установленного на компьютере программного обеспечения:
-
- сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к сайту);
- IP-адрес;
- данные файлов cookie.
Оператор гарантирует, что внешние по отношению к Оператору организации не имеют доступа к таким данным, которые могут использоваться Оператором, кроме случаев, явно оговоренных действующим законодательством Российской Федерации и настоящей Политикой. При получении персональных данных, не указанных в настоящем разделе, такие данные подлежат немедленному уничтожению.
-
- Оператор осуществляет обработку персональных данных Субъектов персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:
- обработки заказов, запросов или других действий Субъекта персональных данных, связанных с осуществлением заказов;
- оповещения об изменении оферты, порядка оказания услуг, перечня проводимых Оператором акций, мероприятий, скидок и т.п.
- в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных.
- данные, указанные в п.1.7. настоящей Политики, обрабатываются в целях осуществления аналитики Сайта и Приложения, отслеживания и понимания принципов использования Сайта и Приложения посетителями, совершенствования функционирования Сайта, решения технических проблем Сайта и Приложения, разработки новых продуктов, расширения услуг, выявления популярности мероприятий и определения эффективности рекламных кампаний; обеспечения безопасности и предотвращения мошенничества, предоставления эффективной клиентской поддержки.
- Оператор осуществляет обработку персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), включая следующие:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
-
Получение, использование и раскрытие персональных данных
- Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия.
Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий (акцепта размещенной на Сайте и в Приложении оферты). В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется. - Персональные данные Субъектов персональных данных получаются Оператором:
- путем личной передачи Субъектом персональных данных при внесении сведений в учетные формы в электронном виде на Сайте;
- путем личной передачи Субъектом персональных данных при обращении в Колл-центр и сообщения их в устной форме по телефону в процессе оформления заказа;
- иными способами, не противоречащими законодательству Российской Федерации и требованиям международного законодательства о защите персональных данных.
- Согласие на обработку персональных данных считается предоставленным посредством совершения Субъектом персональных данных любого действия или совокупности следующих действий:
- оформления заказа на Сайте;
- проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте;
- сообщения персональных данных в устной форме, при обращении в колл-центр по телефону в процессе оформлении заказа.
- Согласие считается полученным в установленном порядке и действует до момента направления Субъектом персональных данных соответствующего заявления о прекращении обработки персональных данных по месту нахождения Оператора.
- Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства Российской Федерации.
- Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия.
-
Правила и порядок обработки персональных данных
- Для достижения целей настоящей Политики к обработке персональных данных допущены только те сотрудники Оператора, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Оператор требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.
- В соответствии с настоящей Политикой Оператор может осуществлять обработку персональных данных самостоятельно, а также с привлечением третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в настоящей Политики целей.
- В случае поручения обработки персональных данных третьему лицу, объем передаваемых третьему лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимым и для выполнения им своих обязанностей перед Оператором. В отношении обработки персональных данных третьим лицом устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
- В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Оператор использует автоматизированную, с применением средств вычислительной техники, так и неавтоматизированную, с применением бумажного документооборота, обработку персональных данных.
Принятие решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Оператором не производится.
Оператор хранит персональную информацию Субъектов персональных данных в соответствии с внутренним регламентом. - В отношении персональной информации Субъекта персональных данных сохраняется конфиденциальность, кроме случаев добровольного предоставления Субъектом информации о себе для общего доступа неограниченному кругу лиц. В данном случае Субъект персональных данных соглашается с тем, что определенная часть его персональной информации становится общедоступной.
-
Сведения о реализуемых требованиях к защите персональных данных
-
- Деятельность Оператора по обработке персональных данных неразрывно связана с защитой Оператором конфиденциальности полученной информации.
- Оператор требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
- Все работники Оператора обязаны обеспечивать конфиденциальность персональных данных, а также иных сведений, установленных Оператором, если это не противоречит действующему законодательству Российской Федерации.
- С целью обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них. Оператор обеспечивает, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
- Оператор применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
В состав мер по обеспечению безопасности персональных данных, реализуемых Оператором в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
-
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- обеспечение целостности информационной системы и персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
- В целях обеспечения соответствия уровня защиты персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Оператор не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения информационной безопасности персональных данных.
- Оператор обязуется не разглашать полученную от Субъекта персональных данных информацию. Не считается нарушением предоставление Оператором информации агентам и третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед Субъектом персональных данных. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.
-