Политика конфиденциальности
Политика в отношении обработки персональных данных
1 Введение
1.1 Настоящий документ определяет политику компании Студия дизайна Лавский ком (далее — Компания) в отношении обработки персональных данных (далее — ПД).
1.2 Компания является оператором ПД в соответствии с законодательством Российской Федерации о ПД.
1.3 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПД:
Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПД, права, обязанности и ответственность участников отношений, связанных с обработкой ПД;
Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.4 Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
1.5 Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПД.
2 Принципы и цели обработки ПД
Обработка ПД осуществляется на основе следующих принципов:
обработка ПД осуществляется на законной и справедливой основе;
обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;
обработка ПД, несовместимая с целями сбора ПД, не допускается;
не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям обработки;
при обработке ПД обеспечивается точность ПД и их достаточность, в случаях необходимости и актуальность ПД по отношению к заявленным целям их обработки;
хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
обрабатываемые ПД подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Целями обработки ПД являются
проведение маркетинговых акций, продвижение продуктов и услуг, оценка качества обслуживания клиентов;
заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическими и иными лицами;
сообщение субъекту ПД о победе в конкурсе и выигранных призах;
рассылка субъекту ПД новостей и информации об акциях, новинках и услугах Компании;
персонализация сайта на основе истории поиска и просмотров субъекта ПД;
для связи наших сотрудников с субъектом ПД в целях консультаций по услугам и товарам, предлагаемым Компанией;
выставление коммерческих предложений, счетов, заключение договоров на оказание услуг и/или продажу товаров;
в иных целях, не запрещенных действующим законодательством.
3 Условия обработки ПД
3.1 Обработка ПД осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПД осуществляется в следующих случаях:
обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
осуществляется обработка ПД, доступ неограниченного круга лиц, к которым предоставлен субъектом ПД либо по его просьбе.
3.2 Компания может включать ПД субъектов в общедоступные источники ПД, при этом Компания берет письменное согласие субъекта на обработку его ПД.
3.3 Компания может осуществлять обработку данных о состоянии здоровья субъекта ПД в следующих случаях:
в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПД невозможно;
для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
3.4 Принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, не осуществляется.
3.5 Компания может осуществлять обработку ПД по поручению оператора на основании заключенного договора между Компанией и оператором.
3.6 При отсутствии необходимости письменного согласия субъекта на обработку его ПД согласие субъекта может быть дано субъектом ПД или его представителем в любой позволяющей получить факт его получения форме.
3.7 При поручении обработки ПД другому лицу Компания заключает договор (далее — поручение оператора) с этим лицом и получает согласие субъекта ПД, если иное не предусмотрено федеральным законом. При этом Компания в поручении оператора обязует лицо, осуществляющее обработку ПД по поручению Компании, соблюдать принципы и правила обработки ПД, предусмотренные ФЗ «О персональных данных».
3.8 В случаях, когда Компания поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПД по поручению Компании, несет ответственность перед Компанией.
3.9 Компания обязуется и обязует иные лица, получившие доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.
3.10 При заполнении формы обратной связи на сайте Компании, признается, что субъект ПД дал свое согласие на обработку сообщенных им персональных данных.
4 Обязанности Компании
В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:
предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПД или его представителя;
по требованию субъекта ПД уточнять, блокировать или удалять обрабатываемые ПД, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих эти факты;
вести Журнал учета обращений субъектов ПД, в котором должны фиксироваться запросы субъектов ПД на получение ПД, а также факты предоставления ПД по этим запросам;
уведомлять субъекта ПД об обработке ПД в том случае, если ПД были получены не от субъекта ПД. Исключение составляют следующие случаи:
субъект ПД уведомлен об осуществлении обработки Компанией его ПД;
ПД получены Компанией в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД или на основании федерального закона;
ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;
Компания осуществляет обработку ПД для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПД;
предоставление субъекту ПД сведений, содержащихся в Уведомлении об обработке ПД, нарушает права и законные интересы третьих лиц;
в случае достижения цели обработки ПД незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Компанией и субъектом ПД либо если Компания не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных № 152-ФЗ «О персональных данных» или другими федеральными законами;
в случае отзыва субъектом ПД согласия на обработку своих ПД прекратить обработку ПД и уничтожить ПД в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПД. Об уничтожении ПД Компания обязана уведомить субъекта ПД;
в случае поступления требования субъекта ПД о прекращении обработки ПД, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПД.
5 Меры по обеспечению безопасности ПД при их обработке
5.1 При обработке ПД Компания применяет необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
5.2 Обеспечение безопасности ПД достигается следующими мерами:
определение угроз безопасности ПД при их обработке в информационных системах ПД;
применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
учет машинных носителей ПД;
обнаружение фактов несанкционированного доступа к ПД и принятие мер;
восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;
контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.
6 Права субъекта ПД
В соответствии с ФЗ «О персональных данных» субъект ПД имеет право:
получить сведения, касающиеся обработки ПД Компанией, а именно:
подтверждение факта обработки ПД Компанией;
правовые основания и цели обработки ПД Компанией;
применяемые Компанией способы обработки ПД;
наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПД Компанией, в том числе сроки их хранения;
порядок осуществления субъектом ПД прав, предусмотренных ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;
потребовать от Компании уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отозвать согласие на обработку ПД в предусмотренных законом случаях.
7 Порядок осуществления прав
7.1 Обращение субъекта ПД к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде по установленной форме при личном визите в Компанию субъекта ПД или его представителя. (Здесь и далее по тексту под субъектами ПД понимается как сам субъект ПД, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены 152-ФЗ либо иным законом Российской Федерации).
7.2 Форма обращения выдается субъекту ПД или его представителю работником Компании и заполняется субъектом ПД или его представителем с проставлением собственноручной подписи в присутствии указанного работника.
7.3 Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПД, основания, по которым лицо выступает в качестве представителя субъекта ПД, и представленные при обращении оригиналы данного документа.
7.4 Ответ на обращение отправляется субъекту ПД в письменном виде по почте на адрес, указанный в обращении.
7.5 Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения.
7.6 Срок внесения необходимых изменений в ПД, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными.
7.7 Срок уничтожения ПД, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
8 Ограничения прав субъектов ПД
8.1 Право субъекта ПД на доступ к своим ПД ограничивается в случае, если предоставление ПД нарушает права и законные интересы других лиц.
8.2 В случае если сведения, касающиеся обработки ПД, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе направить повторный запрос в целях получения сведений, касающихся обработки ПД, и ознакомления с такими ПД не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.
8.3 Субъект ПД вправе направить Компании повторный запрос в целях получения сведений, касающихся обработки ПД, а также в целях ознакомления с обрабатываемыми ПД до истечения срока, указанного в п. 8.2 в случае, если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.
8.4 Компания вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 8.2 и 8.3.