ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
(редакция от 15.03.2025 г.)
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее именуемая Политика) утверждена и применяется во исполнение требований в отношении конфиденциальности и обработки персональных данных потребителей услуг, оказываемых Индивидуальным предпринимателем Танайловой Еленой Владимировной (далее – Оператором), разработана в соответствии со следующими нормативно-правовыми актами:
- Конституцией Российской Федерации,
- Гражданским кодексом Российской Федерации,
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
- Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в частности, частью 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
- Постановлением Правительства РФ от 01.11.2012 № 1119,
- и иными нормативно-правовыми актами, действующими на территории России.
- действующая Политика конфиденциальности и обработки персональных данных посетителей и потребителей услуг сайта, мобильного приложения;
- Положение о конфиденциальности и обработки персональных данных работников ИП Танайловой Е.В.;
- договоры с потребителями услуг, заключенные посредством акцепта оферты, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
1.4. Использование субъектом персональных данных Сайта и/или Приложения, Аккаунта, предоставление Оператору своих персональных данных для получения услуг, предоставляемых Оператором, означает согласие с настоящей Политикой и условиями обработки персональных данных субъекта персональных данных.
1.5. Оператор не проверяет достоверность персональных данных, предоставляемых субъектом персональных данных. Все риски предоставления недостоверной или недостаточной информации лежат на субъекте персональных данных.
1.6. Настоящая Политика и новые редакции либо изменения (дополнения) к ней утверждаются Оператором. Все сотрудники Оператора, имеющие доступ к персональным данным субъектов персональных данных, их представителей должны быть ознакомлены под подпись с настоящей Политикой, ее новыми редакциями и изменениями к ней и соблюдать конфиденциальность.
2. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ
В настоящей Политике используются следующие термины:
2.1. Оператор персональных данных, Оператор — Танайлова Елена Владимировна
ИНН: 781417551700, ОГРНИП 316784700238945), который организует лично и/ или с помощью уполномоченных сотрудников и/или третьих лиц и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.2. Третье лицо – лицо, осуществляющее сбор персональных данных по поручению Оператора, получаемых через Сайт и/или Приложение Оператора с целью последующей их обработки и передачи Оператору либо компании партнеру/ партнеру Оператора.
2.2.1. Компания партнера – юридическое лицо, партнер Оператора, получающее от Оператора персональные данные субъектов персональных данных с последующей их обработкой с целью оказания услуг субъектам персональных данных по договорам разового и абонентского обслуживания.
2.2.2. Партнер Оператора – индивидуальный предприниматель, получающий от Оператора персональные данные субъектов персональных данных с последующей их обработкой с целью оказания услуг субъектам персональных данных по договорам разового и абонентского обслуживания.
2.2.3. Субоператор персональных данных – Индивидуальный предприниматель Танайлова Елена Владимировна в отношении компаний партнеров/партнеров Оператора, получающий персональные данные субъектов персональных данных, прошедшие обработку компаниями партнеров/партнерами Оператора с целью последующего их использования при проведении рекламных кампаний, для разработки маркетинговых программ и статистического учета.
2.3. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4.1. Сбор персональных данных – фактическая передача персональных данных от их субъекта оператору;
2.4.2. Запись персональных данных – фиксация персональных данных на бумажном носителе или в электронном виде;
2.4.3. Систематизация персональных данных – действия, направленные на упорядочение имеющихся персональных данных, приведение их в согласованную систему, позволяющую провести максимально полный учёт;
2.4.4. Накопление персональных данных - хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
2.4.5. Хранение персональных данных – содержание данных на сервере, в базе данных в облаке или в архиве на бумажном носителе;
2.4.6. Уточнение (обновление, изменение) – одно из действий, совершаемых в рамках обработки персональных данных. Оператор может уточнять данные (то есть обновлять, актуализировать их) для обеспечения точности, достаточности и актуальности информации, а также для предотвращения ошибок при предоставлении продуктов, услуг, сервисов;
2.4.7. Извлечение персональных данных – перенос персональных данных из памяти средств автоматизации на материальные носители;
2.4.8. Использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
2.4.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
2.4.10. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
2.4.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.4.12. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.4.13. Удаление персональных данных – действия, направленные на разрушение физических (бумажных или цифровых) носителей либо безвозвратное удаление с них персональной информации;
2.4.14. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе.
2.5. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.6. Cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере или смартфоне посетителя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Сookie необходимы для использования Сайта и Приложения, навигации по Сайту и Приложения и правильной работы их сервисов. Cookie могут быть отключены пользователем самостоятельно. Отключение Cookie может привести к некорректной работе Сайта и/или Приложения. Ответственность за пользование Сайтом и Приложением без функции Cookie (с отключенной функцией Cookie) несет сам пользователь (субъект персональных данных).
2.7. Log-файл – документ с последовательной записью всех событий, происходящих на Cайте.
2.8. Виджет — небольшой интерактивный элемент, всплывающий на экране посетителя Сайта при первом входе на Сайт либо в процессе выбора на Сайте команды об обратной связи, либо опции «Записаться». Может содержать в себе чек-бокс/чек-боксы к ссылке/ссылкам на документы Оператора, предложенные для ознакомления и акцепта пользователю Оператором, установка галочек либо иных знаков, в которых, означает согласие пользователя Сайта с информацией, расположенных по соответствующей ссылке.
2.9. CRM-сервис «Listok» - это облачная автоматизированная система учёта посещений клиентов для профильных учреждений, используемая Оператором для установления связи потребителей с компаниями партнеров и партнерами с целью исполнения ими обязательств по договорам разового и абонентского обслуживания, а также для приема платежей от пользователей (потребителей) в пользу компаний партнеров и партнеров Оператора.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Персональные данные субъектов персональных данных Оператор использует в целях установления прямых контактов с посетителями Сайта и пользователями Приложения для информирования их об услугах, предоставления возможности получения и оплаты услуг, оказываемых компаниями партнеров и партнерами Оператора в полном объеме, а также в целях заключения различных договоров с субъектами персональных данных, в том числе, - договоров об оказании разовых возмездных услуг и абонентских договоров.
3.2. Персональные данные, относящиеся к категории биометрических персональных данных, такие как фотографии, видео и рисунки с изображением потребителей, а также фотографии и видео потребителей без лица (частей тела), Оператор получает в качестве Субоператора от компаний партнеров/ партнеров Оператора, использует с согласия субъекта персональных данных, для саморекламы и продвижения своих услуг, демонстрации потенциальным потребителям процесса и результата услуг, предоставляемых Оператором, для организации и проведения рекламных кампаний, маркетинговых программ и статистического учета.
3.3. Персональные данные, относящиеся к специальным категориям персональных данных, такие как половая принадлежность субъекта персональных данных, его состояние здоровья, предоставляемые субъектами персональных данных в процессе регистрации/активации профиля на Сайте/Приложении/Аккаунте через заполнение Анкеты в бумажном виде в компаниях партнеров/ у партнеров Оператора, могут быть получены и использоваться Оператором в качестве Субоператора от компаний партнеров/партнеров Оператора с согласия субъектов персональных данных, в целях, установленных в п. 3.1. настоящей Политики, для достижения максимального положительного эффекта от оказания услуг потребителям, а также для обеспечения достижения специальных целей, в том числе, обеспечения безопасности.
4. ПРЕДМЕТ ПОЛИТИКИ
Настоящая Политика устанавливает обязательства Оператора по неразглашению и обеспечению режима защиты персональных данных, которые посетитель Сайта и/или Приложения, Аккаунта (потребитель услуги) предоставляет в целях, определенных Оператором, и закрепленных в п. 3.1., 3.2, 3.3. настоящей Политики.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОСТАВ И СПОСОБЫ ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъектами персональных данных в целях исполнения Политики являются физические лица:
5.1.1. Посетитель и пользователь Сайта/Приложения — дееспособное лицо, имеющее доступ (аккаунт) к Сайту, Приложению, Аккаунту посредством сети Интернет и использующее Сайт, Приложение Аккаунт, которое является потенциальным или действующим потребителем услуг Оператора, компаний партнеров и партнеров Оператора, законным представителем получателя услуг Оператора и его партнеров.
5.1.2. Потребитель услуг – дееспособное лицо либо лицо, интересы которого представляет его законный представитель, имеющее намерение заключить договор или являющееся стороной в гражданско-правовых отношениях с Оператором и/или компаниями партнеров, партнерами Оператора по договорам возмездного разового и/или абонентского оказания услуг.
5.1.3 Законные представители несовершеннолетних потребителей услуг, а также представители по доверенности.
5.1.4. Представители физического лица и/или работники контрагентов (партнеров) Оператора (юридических лиц, ИП).
5.2. В состав персональных данных, которые могут быть сообщены субъектом персональных данных Оператору, входят:
- цель визита/запроса;
- фамилия, имя, отчество (либо только имя);
- дата рождения;
- номера телефонов, адреса электронной почты, адреса аккаунтов в соцсетях;
- фамилия, имя, отчество законных представителей потребителя услуг;
- данные документов, удостоверяющих личность законных представителей потребителя услуг; потребителя услуг;
- пол.
- состояние здоровья.
5.3. В состав персональных данных, которые могут быть сообщены субъектом персональных данных, направляемых Оператору через CRM-сервис «Listok», принадлежащий на праве собственности Обществу с ограниченной ответственностью «ЛистОк АйТи», которое расположено по адресу 630128, г. Новосибирск, Демакова, д.27, оф.504, могут быть включены: УТОЧНИТЬ адрес
- фамилия, имя, отчество
- пол, дата рождения
- место пребывания (город, область)
- номер телефонов
- адреса электронной почты (Е-мейл)
- иные данные, предусмотренные онлайн-заявкой в мобильном приложении.
5.4. В целях предоставления качественных услуг Оператором, компаниями партнеров и партнерами Оператора, Оператор непосредственно перед оказанием услуг с письменного согласия потребителя услуг может собирать и обрабатывать данные, относящиеся к специальным категориям персональных данных потребителей услуг, а именно:
5.5.1. предварительно устно, записываясь на ознакомительное занятие либо на получение услуг по абонементам компании партнера или партнера Оператора, сообщая свои персональные данные по номерам телефонов, а также по адресам электронной почты компаний партнеров или партнеров Оператора, размещенных на Сайте; посредством заполнения регистрационных форм на Сайте и/или в Приложении; либо лично обратившись в компании партнеров или к партнерам Оператора по адресам их места нахождения – оказания услуг;
5.5.2. через заполнение регистрационных форм (анкет, форм обратной связи), которые одновременно или частично могут содержать запрос следующих персональных данных:
- цель визита/запрос;
- фамилия, имя, отчество (либо только имя);
- дата рождения (либо только возраст);
- номер телефона, адрес электронной почты, адреса аккаунтов в соцсетях;
- фамилия, имя, отчество законных представителей потребителя услуг;
- данные документов, удостоверяющих личность законных представителей клиента; клиента;
- пол;
- состояние здоровья.
5.6. При использовании Сайта и/или Приложения, Аккаунта посетитель перед передачей своих персональных данных должен ознакомиться с настоящей Политикой и выразить свое согласие на передачу персональных данных Оператору и их обработку путем проставления галочек во всех необходимых чек-боксах.
5.7. При нежелании субъекта персональных данных передавать свои персональные данные Оператору в формате онлайн, пользователь Сайта и Приложения, Аккаунта может воспользоваться другими формами связи с компаниями партнеров и партнеров Оператора, например, лично обратиться к ним по адресам их места нахождения, оказания ими услуг.
5.8. Настоящей Политикой устанавливается, что согласие на обработку специальных и биометрических данных (о половой принадлежности, состоянии здоровья, фото и видео с изображением субъекта персональных данных) субъект (законный представитель субъекта персональных данных) предоставляет Оператору через компании партнеров/партнеров Оператора, а компаниям партнеров и партнерам Оператора лично в форме письменного документа на бумажном носителе до наступления момента подписания договора на разовое или абонентское обслуживание, либо при заключении субъектом персональных данных иного вида договора напрямую с Оператором.
5.9. Получение Оператором в качестве Субоператора у субъекта персональных данных (законного представителя субъекта персональных данных) письменного согласия на бумажном носителе без использования средств автоматизации согласия на публикацию на Сайте, в социальных сетях, а также на сайтах третьих лиц фотографий, видео и рисунков с изображением потребителей, а также фотографий и видео потребителей без лица (иных частей тела) возможно также в целях саморекламы и продвижения своих услуг Оператором.
5.10. Оператор запрашивает и получает в качестве Оператора или Субоператора согласия на получение субъектом персональных данных рекламной рассылки и размещение отзывов на ресурсах Оператора отдельно от других видов согласий на обработку персональных данных. Согласия могут быть получены путем проставления галочек в соответствующих чек-боксах на Сайте и в Приложении, в Аккаунтах (ботах), а также лично, при посещении субъектом персональных данных компании партнера или партнера Оператора.
6. ОБРАБОТКА ФАЙЛОВ «COOKIE» И МЕТРИЧЕСКИХ ДАННЫХ
6.1. При первом посещении посетителем Сайта с помощью браузера или в режиме приватного просмотра ему предоставляется виджет, запрашивающий согласие посетителя на обработку файлов «Cookie» в соответствии с требованиями законодательства Российской Федерации. Нажав кнопку «Принять» или продолжая пользоваться Сайтом, Посетитель соглашается на размещение файлов «Cookie».
6.2. На Сайте используются два вида файлов «Cookie»: временные (сессионные), срок действия которых истекает после закрытия интернет-обозревателя, и бессрочные, которые при необходимости могут быть удалены посетителем из его компьютера или смартфона им самостоятельно в любой момент.
6.3. Сторонние организации не имеют доступа к файлам «Cookie» Сайта.
6.4. Сторонние организации (такие как ООО «ЯНДЕКС» через сервис Яндекс.Карты, 2ГИС, Google и т.п.), которые размещают собственные файлы «Cookie», включая браузер посетителя, имеют собственные политики использования файлов «Cookie».
6.5. Использование функционала метрических систем, таких как Яндекс.Метрика, Рамблер Топ100, и т.п., позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте. Оператор обрабатывает данные метрических систем с целью сбора и анализа информации о производительности и использовании Сайта пользователями.
6.6. Если Посетитель желает отказаться от предоставления файлов «Cookies» и метрических данных, он может самостоятельно отключить эти функции в интернет-обозревателе. С данной возможностью посетитель может ознакомиться в разделе «Справка» или «Настройки» своего браузера. При отключении использования файлов «Cookies» могут быть недоступны некоторые функции Сайта.
7. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Порядок получения (сбора) персональных данных:
7.1.1. Оператор обрабатывает персональные данные посетителя Сайта, Приложения и Аккаунта, в случае регистрации посетителем на Сайте и/или в Приложении, Аккаунте и предоставлении Оператору запрашиваемых им данных о пользователе (посетителе). Ответ на такие запросы Оператора может содержать в себе данные, установленные п. 5.5.2 настоящей Политики.
7.1.2. Лично с письменного согласия субъекта персональных данных, в частности, в случаях, предусмотренных п. 5.9., 5.10. настоящей Политики, кроме случаев, предусмотренных законами РФ, а также в соответствие с п. 7.4. и 7.5. настоящей Политики.
7.1.3. Лично с письменного согласия законного представителя несовершеннолетнего субъекта персональных данных в целях получения им услуг компании партнера или партнера Оператора.
7.1.4. В качестве Субоператора персональных данных, которые Оператор получает от компаний партнеров/партнеров Оператора в предусмотренных настоящей Политикой случаях.
7.2. Согласие субъекта персональных данных на обработку его персональных данных хранится у Оператора в электронном и/или бумажном виде. Оператор сохраняет log-файлы, которые фиксируют факт акцептования согласия субъекта персональных данных посетителем Сайта, Приложения, Аккаунта, предоставившим свою персональную информацию, а также время, дату акцепта.
7.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора. Оператор осуществляет хранение персональных данных в течение 5 лет после прекращения договорных отношений с получателем потребителем услуг либо до момента отзыва субъектом персональных данных согласия на обработку своих персональных данных (персональных данных несовершеннолетнего).
7.4. Если персональные данные субъекта возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие. Третье лицо, предоставляющее персональные данные субъекта персональных данных, должно обладать согласием субъекта на передачу персональных данных Оператору. Оператор получает подтверждение от третьего лица, передающего персональные данные субъекта о том, что персональные данные передаются с его согласия.
7.4.1. Оператор при взаимодействии с третьими лицами заключает с ними соглашение о конфиденциальности информации, касающейся персональных данных субъекта.
7.4.2. Оператор при взаимодействии с потребителями через CRM-сервис «Listok», принадлежащий Обществу с ограниченной ответственностью «ЛистОк АйТи» (ИНН 5408013647), заключает с ними соглашение о конфиденциальности информации, касающейся персональных данных субъекта и получает персональные данные пользователей-субъектов персональных данных через CRM-сервис «Listok» на этом основании и на основании согласия на обработку персональных данных, предоставляемого пользователем в момент регистрации в CRM-сервисе «Listok» Обществу с ограниченной ответственностью «ЛистОк АйТи» (ИНН 5408013647).
7.5. Обработка персональных данных субъектов персональных данных без их согласия осуществляется в следующих случаях:
7.7. Порядок обработки персональных данных:
7.7.1. Обработка персональных данных субъектов, предоставивших свои персональные данные Оператору, осуществляется Оператором любым законным способом, в том числе с использованием средств автоматизации или без использования таких средств.
7.7.2. К обработке персональных данных субъектов персональных услуг могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными потребителей услуг и подписавшие Соглашение о неразглашении персональных данных, либо третьи лица, оказывающие Оператору содействие в реализации им услуг компаний партнеров/ партнеров Оператора, а также, оказывающие бухгалтерские услуги Оператору и подписавшие Соглашение о неразглашении персональных данных.
7.7.3. Право доступа к персональным данным потребителей услуг Оператора, компаний партнеров и партнеров Оператора:
- Руководители компаний партнеров/ партнеры Оператора,
- Сотрудники Оператора, ответственные за ведение финансовых расчетов,
- Сотрудники компаний партнеров/ партнеров Оператора;
- Сотрудники Оператора, в чьи должностные обязанности входит работа с потребителями услуг Оператора;
- Сотрудники третьего лица, оказывающего бухгалтерские и иные услуги Оператору;
- Сотрудники третьего лица, оказывающего Оператору услуги банковского обслуживания;
- Сотрудники третьего лица, оказывающего Оператору услуги по сбору, хранению, изменению, передаче записи потребителей (клиентов) услуг Оператора/ партнеров Оператора для получения услуг компаний партнеров/ партнеров Оператора в связи с посещением занятий компаний партнеров/ партнеров Оператора.
7.8. Защита персональных данных:
7.8.1. Под защитой персональных данных субъектов понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий третьих лиц, в том числе:
- определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обеспечение своевременного обнаружения фактов несанкционированного доступа к персональным данным и принятие необходимых мер по предупреждению таких случаев и устранению их последствий;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности комплексной системы управления;
- публикация на Сайте и в Приложении Оператора и размещение в Аккаунтах Оператора активной ссылки на Политику конфиденциальности и обработки персональных данных посетителей Сайта, Приложения и потребителей услуг Оператора, компаний партнеров и партнеров Оператора, и обеспечение неограниченного доступа к ней;
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ о персональных данных;
- определение места хранения персональных данных;
- уничтожение сведений на бумажных носителях, утративших свою актуальность, в конце каждого рабочего дня путем многократного измельчения в соответствии с установленными требованиями.
7.8.2. Защита персональных данных субъектов осуществляется за счёт Оператора в порядке, установленном федеральным законом Российской Федерации.
7.8.3. Общую организацию защиты персональных данных субъектов осуществляет Оператор лично.
7.8.4. С третьими лицами, собирающими и передающими Оператору персональные данные субъектов персональных данных, имеющими доступ к персональным данным потребителей услуг Оператора, компаний партнеров и партнеров Оператора, Оператор заключает Соглашение о неразглашении персональных данных, в число которых включает персональные данные потребителей услуг Оператора, компаний партнеров и партнеров Оператора, устанавливает санкции за нарушение третьими лицами конфиденциальности, а также отслеживает исполнение третьими лицами соблюдения условий конфиденциальности, применение третьими лицами в отношении персональных данных субъектов необходимых правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с такими данными, включая требования к защите обрабатываемых персональных данных, предусмотренные ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
7.8.5. Оператор контролирует, что обработка персональных данных, полученных от субъектов, осуществляется третьими лицами только с использованием баз данных, находящихся на территории Российской Федерации.
7.9. Хранение персональных данных:
7.9.1. Персональные данные субъектов, поступившие с Сайта, Приложения, Аккаунта хранятся в облачном хранилище CRM-сервис «Listok»; данные, переданные Оператору третьими лицами, хранятся в специально созданной папке в электронной почте Оператора info@yogiroom.ru.
7.9.2. Персональные данные потребителей услуг на бумажных носителях, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные субъектов, помещаются в шкафы (сейфы).
7.9.3. Защита доступа к электронным базам данных, содержащим персональные данные субъектов, обеспечивается:
7.9.3.1. Использованием лицензионных специализированных программных, программно-аппаратных средств, предназначенных для защиты от актуальных угроз и не допускающих несанкционированный вход в локальную сеть Оператора, в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 № 1119.
7.9.3.2. Разграничением прав доступа с использованием учетных записей для каждого сотрудника.
7.9.3.3. Установлением пароля на папку в электронной почте Оператора, содержащую персональные данные субъектов.
7.9.3.4. Установлением правила, в соответствии с которым копировать и делать выписки из карт (документов), содержащих персональные данные субъектов, разрешается исключительно в служебных целях.
7.9.3.5. Ответы на письменные запросы других организаций и учреждений о персональных данных субъектов даются только с письменного согласия самого субъекта персональных данных, если иное не установлено законодательством Российской Федерации. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных субъектов.
7.9.3.6. Законные представители получателя услуг – субъекта персональных данных, а также его близкие родственники, которых потребитель услуг (законный представитель потребителя услуг) собственноручно укажет в согласии на обработку персональных данных, имеют право на получение информации о потребителе услуг, в том числе, после его смерти.
7.10. Оператор не осуществляет трансграничную передачу персональных данных субъектов. Оператором используются базы данных, находящиеся на территории Российской Федерации.
7.11. Персональные данные субъектов могут быть переданы Оператором уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
8. АКТУАЛИЗАЦИЯ, БЛОКИРОВКА, ОБЕЗЛИЧИВАНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В случае выявления неточностей в персональных данных, субъект или его представитель могут актуализировать их путем направления Оператору уведомления на адрес электронной почты Оператора info@yogiroom.ru с пометкой «Актуализация персональных данных», либо по письменному заявлению потребителя услуг (его законного представителя).
8.2. В случае выявления неточности в персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу, или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокировку персональных данных, относящихся к этому субъекту персональных. Блокировка персональных данных осуществляется по письменному заявлению лиц, перечисленных в настоящем пункте Политики.
8.3. Блокировка персональных данных подразумевает:
8.3.1. Запрет редактирования персональных данных.
8.3.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовой, мобильной связи, материальных носителей).
8.3.3. Изъятие бумажных документов, относящихся к субъекту персональных данных и содержащих его персональные данные из внутреннего документооборота Оператора и запрет их использования.
8.3.4. Блокировка персональных данных субъекта персональных данных может быть временно снята, если это требуется для соблюдения законодательства РФ.
8.3.5. Разблокировка персональных данных субъекта персональных данных осуществляется с его письменного согласия (при наличии необходимости получения согласия) или письменного заявления.
8.3.6. Повторное согласие субъекта на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.
8.4. Порядок обезличивания персональных данных:
8.4.1. Обезличивание персональных данных субъекта происходит по его письменному заявлению, при условии, что все договорные отношения завершены и с момента прекращения последнего договора прошло не менее 5 лет.
8.4.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту персональных данных.
8.4.3. Бумажные носители документов при обезличивании персональных данных уничтожаются путем многократного измельчения в соответствии с установленными требованиями.
8.4.4. Оператор обеспечивает конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и производит обезличивание персональных данных в передаваемых разработчику информационных системах.
9. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Условием прекращения обработки персональных данных являются:
9.1.1. отзыв согласия субъекта персональных данных на обработку его персональных данных;
9.1.2. достижение целей обработки персональных данных;
9.1.3. выявление неправомерной обработки персональных данных;
9.1.4. прекращение деятельности Оператора;
9.2. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@yogiroom.ru с пометкой «Отзыв согласия на обработку персональных данных».
В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона «О персональных данных». Указанный срок может быть продлен на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные. В случае несоблюдения положений настоящего абзаца обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
9.3. После истечения срока нормативного хранения документов, которые содержат персональные данные субъектов, документы подлежат уничтожению. Для этого Оператор создает комиссию либо руководитель Оператора единолично проводит оценку ценности документов. В ходе проведения оценки комиссия либо руководитель Оператора отбирает документы с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению.
9.4. Уничтожение персональных данных субъекта подразумевает прекращение какого-либо доступа к его персональным данным.
9.5. При уничтожении персональных данных субъекта сотрудники Оператора и сам Оператор не могут получить доступ к его персональным данным в информационных системах ЭВМ и комплексной программе управления.
9.6. Персональные данные в электронном виде стираются с информационных носителей, в том числе из мест временного хранения удаленных файлов (из так называемой «корзины»), либо физически уничтожаются сами носители, на которых хранится информация.
9.7. Бумажные носители документов при уничтожении персональных данных уничтожаются путем многократного измельчения в соответствии с установленными требованиями.
9.8. Персональные данные восстановлению не подлежат. Операция уничтожения персональных данных необратима.
9.9. Срок, после которого возможна операция уничтожения персональных данных субъекта персональных данных, определяется окончанием срока, указанным в пункте 7.3. настоящего Положения.
9.10. Субъект персональных данных – потребитель услуг, предоставивший свои персональные данные Оператору через CRM-сервис «Listok», принадлежащий Обществу с ограниченной ответственностью «ЛистОк АйТи» (ИНН 5408013647), которое расположено по адресу 630128, г. Новосибирск, Демакова, д.27, оф.504, в связи с заполнением профиля в Приложении и регистрацией на Сайте, может в любой момент отозвать свое согласие на обработку персональных данных, направив ООО «ЛистОк АйТи» уведомление посредством электронной почты на электронный адрес ООО «ЛистОк АйТи» support@listokcrm.ru с пометкой «Отзыв согласия на обработку персональных данных». Ответственность за отзыв персональных данных, полученных ООО «ЛистОк АйТи», несет ООО «ЛистОк АйТи», а также Оператору по адресу электронной почты: info@yogiroom.ru.
10. ПОРЯДОК ДЕЙСТВИЙ ОПЕРАТОРА ПРИ УТРАТЕ ИЛИ
РАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
10.1. При утрате или разглашении персональных данных субъекта Оператор информирует субъекта об утрате или разглашении персональных данных.
10.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта, давшего согласие на обработку своих персональных данных, Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (Управление Роскомнадзора по Центральному федеральному округу):
10.3. В течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Управлением Роскомнадзора, по вопросам, связанным с выявленным инцидентом;
10.4. В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
11. ОБЯЗАТЕЛЬСТВА ПО КОНФИДЕНЦИАЛЬНОСТИ
Оператор гарантирует:
11.1. Использовать полученную информацию исключительно для целей, указанных в настоящей Политике.
11.2. Обеспечивать хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование.
11.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных субъекта согласно порядку, обычно используемому для защиты такого рода информации в существующем деловом обороте.
11.4. Осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или запроса субъекта или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
12. ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА
12.1. Оператор, не исполнивший свои обязательства, несёт ответственность за убытки, понесённые субъектом персональных данных в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных настоящей Политикой.
12.2. В случае утраты или разглашения конфиденциальной информации Оператор не несёт ответственность, если данная конфиденциальная информация:
12.2.1. Стала публичным достоянием до её утраты или разглашения.
12.2.2. Была получена от третьей стороны до момента её получения Оператором.
12.2.3. Была разглашена с согласия потребителя.
13. РАЗРЕШЕНИЕ СПОРОВ
13.1. До обращения в суд с иском по спорам, возникающим из отношений между субъектом персональных данных и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
13.2 Получатель претензии в течение 30 календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
13.3. При недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством Российской Федерации.
13.4. К настоящей Политике и отношениям между субъектами персональных данных и Оператором применяется действующее законодательство Российской Федерации.
14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных.
14.2. Новая Политика вступает в силу с момента ее утверждения Индивидуальным предпринимателем Танайловой Еленой Владимировной и размещения Политики на Сайте https://yogiroom.ru и в Приложении YOGI ROOM, Аккаунтах Оператора.
14.3. Все предложения или вопросы по настоящей Политике следует сообщать по адресу электронной почты info@yogiroom.ru.
5.1. Субъектами персональных данных в целях исполнения Политики являются физические лица:
5.1.1. Посетитель и пользователь Сайта/Приложения — дееспособное лицо, имеющее доступ (аккаунт) к Сайту, Приложению, Аккаунту посредством сети Интернет и использующее Сайт, Приложение Аккаунт, которое является потенциальным или действующим потребителем услуг Оператора, компаний партнеров и партнеров Оператора, законным представителем получателя услуг Оператора и его партнеров.
5.1.2. Потребитель услуг – дееспособное лицо либо лицо, интересы которого представляет его законный представитель, имеющее намерение заключить договор или являющееся стороной в гражданско-правовых отношениях с Оператором и/или компаниями партнеров, партнерами Оператора по договорам возмездного разового и/или абонентского оказания услуг.
5.1.3 Законные представители несовершеннолетних потребителей услуг, а также представители по доверенности.
5.1.4. Представители физического лица и/или работники контрагентов (партнеров) Оператора (юридических лиц, ИП).
5.2. В состав персональных данных, которые могут быть сообщены субъектом персональных данных Оператору, входят:
- цель визита/запроса;
- фамилия, имя, отчество (либо только имя);
- дата рождения;
- номера телефонов, адреса электронной почты, адреса аккаунтов в соцсетях;
- фамилия, имя, отчество законных представителей потребителя услуг;
- данные документов, удостоверяющих личность законных представителей потребителя услуг; потребителя услуг;
- пол.
- состояние здоровья.
5.3. В состав персональных данных, которые могут быть сообщены субъектом персональных данных, направляемых Оператору через CRM-сервис «Listok», принадлежащий на праве собственности Обществу с ограниченной ответственностью «ЛистОк АйТи», которое расположено по адресу 630128, г. Новосибирск, Демакова, д.27, оф.504, могут быть включены: УТОЧНИТЬ адрес
- фамилия, имя, отчество
- пол, дата рождения
- место пребывания (город, область)
- номер телефонов
- адреса электронной почты (Е-мейл)
- иные данные, предусмотренные онлайн-заявкой в мобильном приложении.
5.4. В целях предоставления качественных услуг Оператором, компаниями партнеров и партнерами Оператора, Оператор непосредственно перед оказанием услуг с письменного согласия потребителя услуг может собирать и обрабатывать данные, относящиеся к специальным категориям персональных данных потребителей услуг, а именно:
- пол;
- состояние здоровья.
5.5.1. предварительно устно, записываясь на ознакомительное занятие либо на получение услуг по абонементам компании партнера или партнера Оператора, сообщая свои персональные данные по номерам телефонов, а также по адресам электронной почты компаний партнеров или партнеров Оператора, размещенных на Сайте; посредством заполнения регистрационных форм на Сайте и/или в Приложении; либо лично обратившись в компании партнеров или к партнерам Оператора по адресам их места нахождения – оказания услуг;
5.5.2. через заполнение регистрационных форм (анкет, форм обратной связи), которые одновременно или частично могут содержать запрос следующих персональных данных:
- цель визита/запрос;
- фамилия, имя, отчество (либо только имя);
- дата рождения (либо только возраст);
- номер телефона, адрес электронной почты, адреса аккаунтов в соцсетях;
- фамилия, имя, отчество законных представителей потребителя услуг;
- данные документов, удостоверяющих личность законных представителей клиента; клиента;
- пол;
- состояние здоровья.
5.6. При использовании Сайта и/или Приложения, Аккаунта посетитель перед передачей своих персональных данных должен ознакомиться с настоящей Политикой и выразить свое согласие на передачу персональных данных Оператору и их обработку путем проставления галочек во всех необходимых чек-боксах.
5.7. При нежелании субъекта персональных данных передавать свои персональные данные Оператору в формате онлайн, пользователь Сайта и Приложения, Аккаунта может воспользоваться другими формами связи с компаниями партнеров и партнеров Оператора, например, лично обратиться к ним по адресам их места нахождения, оказания ими услуг.
5.8. Настоящей Политикой устанавливается, что согласие на обработку специальных и биометрических данных (о половой принадлежности, состоянии здоровья, фото и видео с изображением субъекта персональных данных) субъект (законный представитель субъекта персональных данных) предоставляет Оператору через компании партнеров/партнеров Оператора, а компаниям партнеров и партнерам Оператора лично в форме письменного документа на бумажном носителе до наступления момента подписания договора на разовое или абонентское обслуживание, либо при заключении субъектом персональных данных иного вида договора напрямую с Оператором.
5.9. Получение Оператором в качестве Субоператора у субъекта персональных данных (законного представителя субъекта персональных данных) письменного согласия на бумажном носителе без использования средств автоматизации согласия на публикацию на Сайте, в социальных сетях, а также на сайтах третьих лиц фотографий, видео и рисунков с изображением потребителей, а также фотографий и видео потребителей без лица (иных частей тела) возможно также в целях саморекламы и продвижения своих услуг Оператором.
5.10. Оператор запрашивает и получает в качестве Оператора или Субоператора согласия на получение субъектом персональных данных рекламной рассылки и размещение отзывов на ресурсах Оператора отдельно от других видов согласий на обработку персональных данных. Согласия могут быть получены путем проставления галочек в соответствующих чек-боксах на Сайте и в Приложении, в Аккаунтах (ботах), а также лично, при посещении субъектом персональных данных компании партнера или партнера Оператора.
6. ОБРАБОТКА ФАЙЛОВ «COOKIE» И МЕТРИЧЕСКИХ ДАННЫХ
6.1. При первом посещении посетителем Сайта с помощью браузера или в режиме приватного просмотра ему предоставляется виджет, запрашивающий согласие посетителя на обработку файлов «Cookie» в соответствии с требованиями законодательства Российской Федерации. Нажав кнопку «Принять» или продолжая пользоваться Сайтом, Посетитель соглашается на размещение файлов «Cookie».
6.2. На Сайте используются два вида файлов «Cookie»: временные (сессионные), срок действия которых истекает после закрытия интернет-обозревателя, и бессрочные, которые при необходимости могут быть удалены посетителем из его компьютера или смартфона им самостоятельно в любой момент.
6.3. Сторонние организации не имеют доступа к файлам «Cookie» Сайта.
6.4. Сторонние организации (такие как ООО «ЯНДЕКС» через сервис Яндекс.Карты, 2ГИС, Google и т.п.), которые размещают собственные файлы «Cookie», включая браузер посетителя, имеют собственные политики использования файлов «Cookie».
6.5. Использование функционала метрических систем, таких как Яндекс.Метрика, Рамблер Топ100, и т.п., позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте. Оператор обрабатывает данные метрических систем с целью сбора и анализа информации о производительности и использовании Сайта пользователями.
6.6. Если Посетитель желает отказаться от предоставления файлов «Cookies» и метрических данных, он может самостоятельно отключить эти функции в интернет-обозревателе. С данной возможностью посетитель может ознакомиться в разделе «Справка» или «Настройки» своего браузера. При отключении использования файлов «Cookies» могут быть недоступны некоторые функции Сайта.
7. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Порядок получения (сбора) персональных данных:
7.1.1. Оператор обрабатывает персональные данные посетителя Сайта, Приложения и Аккаунта, в случае регистрации посетителем на Сайте и/или в Приложении, Аккаунте и предоставлении Оператору запрашиваемых им данных о пользователе (посетителе). Ответ на такие запросы Оператора может содержать в себе данные, установленные п. 5.5.2 настоящей Политики.
7.1.2. Лично с письменного согласия субъекта персональных данных, в частности, в случаях, предусмотренных п. 5.9., 5.10. настоящей Политики, кроме случаев, предусмотренных законами РФ, а также в соответствие с п. 7.4. и 7.5. настоящей Политики.
7.1.3. Лично с письменного согласия законного представителя несовершеннолетнего субъекта персональных данных в целях получения им услуг компании партнера или партнера Оператора.
7.1.4. В качестве Субоператора персональных данных, которые Оператор получает от компаний партнеров/партнеров Оператора в предусмотренных настоящей Политикой случаях.
7.2. Согласие субъекта персональных данных на обработку его персональных данных хранится у Оператора в электронном и/или бумажном виде. Оператор сохраняет log-файлы, которые фиксируют факт акцептования согласия субъекта персональных данных посетителем Сайта, Приложения, Аккаунта, предоставившим свою персональную информацию, а также время, дату акцепта.
7.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора. Оператор осуществляет хранение персональных данных в течение 5 лет после прекращения договорных отношений с получателем потребителем услуг либо до момента отзыва субъектом персональных данных согласия на обработку своих персональных данных (персональных данных несовершеннолетнего).
7.4. Если персональные данные субъекта возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено на это письменное согласие. Третье лицо, предоставляющее персональные данные субъекта персональных данных, должно обладать согласием субъекта на передачу персональных данных Оператору. Оператор получает подтверждение от третьего лица, передающего персональные данные субъекта о том, что персональные данные передаются с его согласия.
7.4.1. Оператор при взаимодействии с третьими лицами заключает с ними соглашение о конфиденциальности информации, касающейся персональных данных субъекта.
7.4.2. Оператор при взаимодействии с потребителями через CRM-сервис «Listok», принадлежащий Обществу с ограниченной ответственностью «ЛистОк АйТи» (ИНН 5408013647), заключает с ними соглашение о конфиденциальности информации, касающейся персональных данных субъекта и получает персональные данные пользователей-субъектов персональных данных через CRM-сервис «Listok» на этом основании и на основании согласия на обработку персональных данных, предоставляемого пользователем в момент регистрации в CRM-сервисе «Listok» Обществу с ограниченной ответственностью «ЛистОк АйТи» (ИНН 5408013647).
7.5. Обработка персональных данных субъектов персональных данных без их согласия осуществляется в следующих случаях:
- Персональные данные являются общедоступными.
- По требованию уполномоченных государственных органов в случаях, предусмотренных федеральным законом Российской Федерации.
- Обработка персональных данных осуществляется на основании федерального закона РФ, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Оператора.
- Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных.
- Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.
- В иных случаях, предусмотренных законом Российской Федерации и международными договорами.
7.7. Порядок обработки персональных данных:
7.7.1. Обработка персональных данных субъектов, предоставивших свои персональные данные Оператору, осуществляется Оператором любым законным способом, в том числе с использованием средств автоматизации или без использования таких средств.
7.7.2. К обработке персональных данных субъектов персональных услуг могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными потребителей услуг и подписавшие Соглашение о неразглашении персональных данных, либо третьи лица, оказывающие Оператору содействие в реализации им услуг компаний партнеров/ партнеров Оператора, а также, оказывающие бухгалтерские услуги Оператору и подписавшие Соглашение о неразглашении персональных данных.
7.7.3. Право доступа к персональным данным потребителей услуг Оператора, компаний партнеров и партнеров Оператора:
- Руководители компаний партнеров/ партнеры Оператора,
- Сотрудники Оператора, ответственные за ведение финансовых расчетов,
- Сотрудники компаний партнеров/ партнеров Оператора;
- Сотрудники Оператора, в чьи должностные обязанности входит работа с потребителями услуг Оператора;
- Сотрудники третьего лица, оказывающего бухгалтерские и иные услуги Оператору;
- Сотрудники третьего лица, оказывающего Оператору услуги банковского обслуживания;
- Сотрудники третьего лица, оказывающего Оператору услуги по сбору, хранению, изменению, передаче записи потребителей (клиентов) услуг Оператора/ партнеров Оператора для получения услуг компаний партнеров/ партнеров Оператора в связи с посещением занятий компаний партнеров/ партнеров Оператора.
7.8. Защита персональных данных:
7.8.1. Под защитой персональных данных субъектов понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий третьих лиц, в том числе:
- определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обеспечение своевременного обнаружения фактов несанкционированного доступа к персональным данным и принятие необходимых мер по предупреждению таких случаев и устранению их последствий;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности комплексной системы управления;
- публикация на Сайте и в Приложении Оператора и размещение в Аккаунтах Оператора активной ссылки на Политику конфиденциальности и обработки персональных данных посетителей Сайта, Приложения и потребителей услуг Оператора, компаний партнеров и партнеров Оператора, и обеспечение неограниченного доступа к ней;
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ о персональных данных;
- определение места хранения персональных данных;
- уничтожение сведений на бумажных носителях, утративших свою актуальность, в конце каждого рабочего дня путем многократного измельчения в соответствии с установленными требованиями.
7.8.2. Защита персональных данных субъектов осуществляется за счёт Оператора в порядке, установленном федеральным законом Российской Федерации.
7.8.3. Общую организацию защиты персональных данных субъектов осуществляет Оператор лично.
7.8.4. С третьими лицами, собирающими и передающими Оператору персональные данные субъектов персональных данных, имеющими доступ к персональным данным потребителей услуг Оператора, компаний партнеров и партнеров Оператора, Оператор заключает Соглашение о неразглашении персональных данных, в число которых включает персональные данные потребителей услуг Оператора, компаний партнеров и партнеров Оператора, устанавливает санкции за нарушение третьими лицами конфиденциальности, а также отслеживает исполнение третьими лицами соблюдения условий конфиденциальности, применение третьими лицами в отношении персональных данных субъектов необходимых правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с такими данными, включая требования к защите обрабатываемых персональных данных, предусмотренные ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
7.8.5. Оператор контролирует, что обработка персональных данных, полученных от субъектов, осуществляется третьими лицами только с использованием баз данных, находящихся на территории Российской Федерации.
7.9. Хранение персональных данных:
7.9.1. Персональные данные субъектов, поступившие с Сайта, Приложения, Аккаунта хранятся в облачном хранилище CRM-сервис «Listok»; данные, переданные Оператору третьими лицами, хранятся в специально созданной папке в электронной почте Оператора info@yogiroom.ru.
7.9.2. Персональные данные потребителей услуг на бумажных носителях, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные субъектов, помещаются в шкафы (сейфы).
7.9.3. Защита доступа к электронным базам данных, содержащим персональные данные субъектов, обеспечивается:
7.9.3.1. Использованием лицензионных специализированных программных, программно-аппаратных средств, предназначенных для защиты от актуальных угроз и не допускающих несанкционированный вход в локальную сеть Оператора, в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 № 1119.
7.9.3.2. Разграничением прав доступа с использованием учетных записей для каждого сотрудника.
7.9.3.3. Установлением пароля на папку в электронной почте Оператора, содержащую персональные данные субъектов.
7.9.3.4. Установлением правила, в соответствии с которым копировать и делать выписки из карт (документов), содержащих персональные данные субъектов, разрешается исключительно в служебных целях.
7.9.3.5. Ответы на письменные запросы других организаций и учреждений о персональных данных субъектов даются только с письменного согласия самого субъекта персональных данных, если иное не установлено законодательством Российской Федерации. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных субъектов.
7.9.3.6. Законные представители получателя услуг – субъекта персональных данных, а также его близкие родственники, которых потребитель услуг (законный представитель потребителя услуг) собственноручно укажет в согласии на обработку персональных данных, имеют право на получение информации о потребителе услуг, в том числе, после его смерти.
7.10. Оператор не осуществляет трансграничную передачу персональных данных субъектов. Оператором используются базы данных, находящиеся на территории Российской Федерации.
7.11. Персональные данные субъектов могут быть переданы Оператором уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
8. АКТУАЛИЗАЦИЯ, БЛОКИРОВКА, ОБЕЗЛИЧИВАНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В случае выявления неточностей в персональных данных, субъект или его представитель могут актуализировать их путем направления Оператору уведомления на адрес электронной почты Оператора info@yogiroom.ru с пометкой «Актуализация персональных данных», либо по письменному заявлению потребителя услуг (его законного представителя).
8.2. В случае выявления неточности в персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу, или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокировку персональных данных, относящихся к этому субъекту персональных. Блокировка персональных данных осуществляется по письменному заявлению лиц, перечисленных в настоящем пункте Политики.
8.3. Блокировка персональных данных подразумевает:
8.3.1. Запрет редактирования персональных данных.
8.3.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовой, мобильной связи, материальных носителей).
8.3.3. Изъятие бумажных документов, относящихся к субъекту персональных данных и содержащих его персональные данные из внутреннего документооборота Оператора и запрет их использования.
8.3.4. Блокировка персональных данных субъекта персональных данных может быть временно снята, если это требуется для соблюдения законодательства РФ.
8.3.5. Разблокировка персональных данных субъекта персональных данных осуществляется с его письменного согласия (при наличии необходимости получения согласия) или письменного заявления.
8.3.6. Повторное согласие субъекта на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.
8.4. Порядок обезличивания персональных данных:
8.4.1. Обезличивание персональных данных субъекта происходит по его письменному заявлению, при условии, что все договорные отношения завершены и с момента прекращения последнего договора прошло не менее 5 лет.
8.4.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту персональных данных.
8.4.3. Бумажные носители документов при обезличивании персональных данных уничтожаются путем многократного измельчения в соответствии с установленными требованиями.
8.4.4. Оператор обеспечивает конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и производит обезличивание персональных данных в передаваемых разработчику информационных системах.
9. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Условием прекращения обработки персональных данных являются:
9.1.1. отзыв согласия субъекта персональных данных на обработку его персональных данных;
9.1.2. достижение целей обработки персональных данных;
9.1.3. выявление неправомерной обработки персональных данных;
9.1.4. прекращение деятельности Оператора;
9.2. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@yogiroom.ru с пометкой «Отзыв согласия на обработку персональных данных».
В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона «О персональных данных». Указанный срок может быть продлен на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные. В случае несоблюдения положений настоящего абзаца обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
9.3. После истечения срока нормативного хранения документов, которые содержат персональные данные субъектов, документы подлежат уничтожению. Для этого Оператор создает комиссию либо руководитель Оператора единолично проводит оценку ценности документов. В ходе проведения оценки комиссия либо руководитель Оператора отбирает документы с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению.
9.4. Уничтожение персональных данных субъекта подразумевает прекращение какого-либо доступа к его персональным данным.
9.5. При уничтожении персональных данных субъекта сотрудники Оператора и сам Оператор не могут получить доступ к его персональным данным в информационных системах ЭВМ и комплексной программе управления.
9.6. Персональные данные в электронном виде стираются с информационных носителей, в том числе из мест временного хранения удаленных файлов (из так называемой «корзины»), либо физически уничтожаются сами носители, на которых хранится информация.
9.7. Бумажные носители документов при уничтожении персональных данных уничтожаются путем многократного измельчения в соответствии с установленными требованиями.
9.8. Персональные данные восстановлению не подлежат. Операция уничтожения персональных данных необратима.
9.9. Срок, после которого возможна операция уничтожения персональных данных субъекта персональных данных, определяется окончанием срока, указанным в пункте 7.3. настоящего Положения.
9.10. Субъект персональных данных – потребитель услуг, предоставивший свои персональные данные Оператору через CRM-сервис «Listok», принадлежащий Обществу с ограниченной ответственностью «ЛистОк АйТи» (ИНН 5408013647), которое расположено по адресу 630128, г. Новосибирск, Демакова, д.27, оф.504, в связи с заполнением профиля в Приложении и регистрацией на Сайте, может в любой момент отозвать свое согласие на обработку персональных данных, направив ООО «ЛистОк АйТи» уведомление посредством электронной почты на электронный адрес ООО «ЛистОк АйТи» support@listokcrm.ru с пометкой «Отзыв согласия на обработку персональных данных». Ответственность за отзыв персональных данных, полученных ООО «ЛистОк АйТи», несет ООО «ЛистОк АйТи», а также Оператору по адресу электронной почты: info@yogiroom.ru.
10. ПОРЯДОК ДЕЙСТВИЙ ОПЕРАТОРА ПРИ УТРАТЕ ИЛИ
РАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
10.1. При утрате или разглашении персональных данных субъекта Оператор информирует субъекта об утрате или разглашении персональных данных.
10.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта, давшего согласие на обработку своих персональных данных, Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (Управление Роскомнадзора по Центральному федеральному округу):
10.3. В течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Управлением Роскомнадзора, по вопросам, связанным с выявленным инцидентом;
10.4. В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
11. ОБЯЗАТЕЛЬСТВА ПО КОНФИДЕНЦИАЛЬНОСТИ
Оператор гарантирует:
11.1. Использовать полученную информацию исключительно для целей, указанных в настоящей Политике.
11.2. Обеспечивать хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование.
11.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных субъекта согласно порядку, обычно используемому для защиты такого рода информации в существующем деловом обороте.
11.4. Осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или запроса субъекта или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
12. ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА
12.1. Оператор, не исполнивший свои обязательства, несёт ответственность за убытки, понесённые субъектом персональных данных в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных настоящей Политикой.
12.2. В случае утраты или разглашения конфиденциальной информации Оператор не несёт ответственность, если данная конфиденциальная информация:
12.2.1. Стала публичным достоянием до её утраты или разглашения.
12.2.2. Была получена от третьей стороны до момента её получения Оператором.
12.2.3. Была разглашена с согласия потребителя.
13. РАЗРЕШЕНИЕ СПОРОВ
13.1. До обращения в суд с иском по спорам, возникающим из отношений между субъектом персональных данных и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
13.2 Получатель претензии в течение 30 календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
13.3. При недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством Российской Федерации.
13.4. К настоящей Политике и отношениям между субъектами персональных данных и Оператором применяется действующее законодательство Российской Федерации.
14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных.
14.2. Новая Политика вступает в силу с момента ее утверждения Индивидуальным предпринимателем Танайловой Еленой Владимировной и размещения Политики на Сайте https://yogiroom.ru и в Приложении YOGI ROOM, Аккаунтах Оператора.
14.3. Все предложения или вопросы по настоящей Политике следует сообщать по адресу электронной почты info@yogiroom.ru.