Follow us on Twitter
    default

    Политика в отношении обработки персональных данных

    Политика в отношении обработки персональных данных пользователей платформы "ЯКомпания"

    Общие положения

    Назначение

    Настоящий документ определяет политику Общества с ограниченной ответственностью «ЯКомпания» (ОГРН 1221800009232 ИНН 1840111903 далее – Оператор, в отношении обработки персональных данных (далее - Политика).

    Настоящий документ является общедоступным и размещен в открытом доступе в сети Интернет на сайте платформы “ЯКомпания” по адресу: https://iconicompany.com/ (далее - Платформа).

    Оператор, осуществляя обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами.

    Локальные нормативные акты Оператора, регламентирующие обработку персональных данных, разрабатываются в соответствии с положениями Политики.

    Основные понятия, используемые в Политике:

    • персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
    • субъект персональных данных - физическое лицо, которому принадлежат персональные данные;
    • оператор - «ЯКомпания» (ОГРН 1221800009232 ИНН 1840111903), организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
    • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
    • неавтоматизированная обработка персональных данных - обработка персональных данных, которая осуществляются при непосредственном участии человека;
    • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
    • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
    • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    • информационная система персональных данных - совокупность персональных данных, которые содержатся в базах данных Оператора, и информационные технологии и технические средства, обеспечивающие обработку персональных данных;
    • пользователь - физическое лицо, представитель юридического лица, или юридическое лицо, которое создано в соответствии с законодательством РФ, которые используют Платформу в соответствии с пользовательским соглашением, заключенным с Оператором;
    • пользовательское соглашение - договор, на основании которого Оператор предоставляет пользователю неисключительное право на использование Платформы.
    • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
    • cookie-файлы - это информация, которая может содержать следующие сведения о субъекте персональных данных: IP-адрес устройства, данные геолокации, информацию о программе, с помощью которой осуществляется доступ к Платформе, технические характеристики оборудования и программного обеспечения, которое использует субъект, дата и время доступа к Платформе, а также иные подобные сведения.

    Оператор при обработке персональных данных руководствуется следующими принципами:

    • Обработка персональных данных осуществляется на законной и справедливой основе;
    • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, которые указаны в Политике, в согласии субъекта персональных данных, в соглашениях и договорах, которые заключены между Оператором и субъектом персональных данных;
    • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    • Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
    • Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
    • При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
    • Оператор принимает необходимые меры либо обеспечивает их принятие (если обработка персональных данных осуществляется третьим лицом) по удалению или уточнению неполных или неточных данных;
    • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законом или договором, по которому субъект персональных данных является стороной или выгодоприобретателем;
    • Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    1. Цели сбора персональных данных

    1.1. Оператор при помощи Платформы собирает и хранит только те персональные данные, которые необходимы для достижения одной или нескольких целей, указанных в п. 2.2 Политики.

    1.2. Обработка Оператором персональных данных осуществляется в следующих целях:

    • Обеспечения надлежащей работы Платформы;
    • Заключение и исполнение договора, по которому субъект персональных данных является стороной или выгодоприобретателем;
    • Рассылка уведомлений и рекламных материалов, направленных на рекламирование услуг, которые оказывает Оператор;
    • Рассмотрение обращений, претензий и заявлений пользователя и направление соответствующего ответа либо решения Оператора;
    • Осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора;
    • Осуществление прав и законных интересов Оператора или третьих лиц при условии, что права и свободы субъекта персональных данных не нарушаются.

    2. Правовые основания обработки персональных данных

    2.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных. К таким нормативным актам относятся:

    • Международные правовые акты, регламентирующие обработку персональных данных субъектов;
    • Конституция Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Федерального закона от 13 марта 2006 года №38-ФЗ “О рекламе”;
    • Федеральный закон от 06 апреля 2011 №63-ФЗ “Об электронной подписи”;
    • Федеральный закон от 07 августа 2001 года №115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”;
    • Федерального закона от 27 июня 2011 года №161-ФЗ “О национальной платежной системе”;
    • Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • подзаконные нормативные акты: указы Президента РФ, постановления Правительства РФ, указания Банка России;
    • устав и иные локальные нормативные акты Оператора.

    2.2. Оператор вправе обрабатывать персональные данные субъектов на основании договоров, заключенных с ними, и на основании их согласия на обработку персональных данных.

    2.3. Если основанием для обработки персональных данных субъекта Оператором является согласие субъекта, такое согласие может быть дано на Платформе в форме установления галочки в соответствующей веб-форме или путем активации (нажатием) соответствующей кнопки на Платформе.

    3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    3.1. Оператор обрабатывает персональные данные пользователей Платформы с целью обеспечения надлежащей работы Платформы;

    3.2. Оператор обрабатывает персональные данные субъектов, которые используют Платформу без прохождения процедуры полной регистрации и которые подписались на рассылку уведомлений и получение рекламы услуг Оператора:

    • имя;
    • адрес электронной почты;
    • телефон;
    • cookie-файлы.

    3.3. Оператор обрабатывает персональные данные субъектов, зарегистрированных на Платформе в качестве исполнителей, а также персональные данные выгодоприобретателей и бенефициарных владельцев пользователя Платформы с целью заключения и исполнения договора, по которому субъект персональных данных является стороной или выгодоприобретателем:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • гражданство;
    • паспортные данные (в том числе адрес регистрации);
    • адрес пребывания;
    • страховой номер индивидуального лицевого счета (СНИЛС);
    • индивидуальный номер налогоплательщика (ИНН);
    • сведения о наличии статуса индивидуального предпринимателя;
    • сведения о банковском счете;
    • номер мобильного телефона;
    • адрес электронной почты;
    • cookie-файлы.

    3.4. Оператор обрабатывает персональные данные субъектов, которые являются представителями зарегистрированных на Платформе пользователей:

    • фамилия, имя, отчество;
    • паспортные данные;
    • срок действия документа, на основании которого действует представитель.

    3.5. Оператор обрабатывает персональные данные субъектов, которые направили обращение Оператору через соответствующую веб-форму Платформы:

    • фамилия, имя, отчество;
    • адрес электронной почты;
    • телефон;
    • cookie-файлы.

    3.6. Оператор обрабатывает иные персональные данные для осуществление и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе специальные категории персональных данных, руководствуясь положениями Федерального закона от 07.08.2001 №115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”

    3.7. Оператор не обрабатывает общедоступные, биометрические данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), а также данные относящиеся к специальным категориям (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, сведения о состоянии здоровья, интимной жизни).

    3.8. Согласие на обработку персональных данных может быть выражено в форме совершения действий, принятия условий пользовательского соглашения, проставления соответствующих отметок о согласии обработки персональных данных, активации (нажатий) функциональных кнопок на Платформе, заполнения полей в формах, бланках, анкетах, размещенных на Платформе, или оформлено в письменной форме в соответствии с законодательством.

    3.9. Оператор получает персональные данные от субъекта посредством заполнения субъектом персональных данных соответствующей веб-формы Платформы.

    3.10. Субъект персональных данных согласен, что Оператор вправе обрабатывать персональные данные субъекта, полученные от третьих лиц, включая данные из государственных информационных систем.

    4. Порядок и условия обработки персональных данных

    4.1. Оператор самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    4.2. Оператор совершает следующие действия с персональными данными субъекта:

    • сбор персональных данных через Платформу, через информационные системы и из иных источников;
    • запись;
    • систематизация;
    • накопление;
    • хранение персональных данных на серверах Оператора или обработчика персональных данных с использованием информационных средств защиты;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передача (распространение, предоставление, доступ) третьим лицам с согласия субъекта персональных данных;
    • блокирование, удаление, уничтожение персональных данных в случаях, предусмотренных законодательством.

    4.3. Оператор совершает действия, указанные в п. 5.1. Политики со всеми категориями персональных данных указанных в разделе 4 Политики, если иное специально не определено в правовом основании обработки (нормативный акт, договор, согласие и др.).

    4.4. Оператор осуществляет автоматизированную и неавтоматизированную обработку персональных данных субъекта.

    4.5. Срок обработки персональных данных – с момента предоставления персональных данных субъекта и возникновения правовых оснований для обработки до достижения целей обработки персональных данных, указанных в Политике, не менее 5 (пяти) лет с момента прекращения отношений с субъектом персональных данных. Законодательством может быть предусмотрен увеличенный срок обработки персональных данных

    5. Условия передачи персональных данных третьим лицам

    5.1. Оператор в соответствии с п. 5.3 Политики может передавать персональные данные субъекта для достижения целей, указанных в п. 2.2. Политики, третьим лицам.

    5.2. Оператор при передаче персональных данных третьим лицам, сообщает им о мерах, которые принимает Оператор для защиты персональных данных и соблюдения их конфиденциальности. При поручении обработки персональных данных Оператор вправе требовать от третьих лиц принятие мер, указанных в настоящем пункте.

    5.3. Оператор раскрывает персональные данные данные субъектов третьим лицам в случаях:

    • действующего согласия субъекта персональных данных на передачу и заключенного соглашения между Оператором и третьим лицом на поручение обработки персональных данных;
    • законодательством предусмотрена обязанность Оператора раскрыть или передать персональные данные субъекта.

    5.4. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

    6. Права и обязанности оператора и субъекта персональных данных

    6.1. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона «О персональных данных».

    6.2. Оператор в процессе обработки персональных данных вправе:

    • Обрабатывать персональные данные субъектов в соответствии с положениями Политики;
    • Предоставлять персональные данные субъектов третьим лицам в соответствии с положениями Политики и на основании, предусмотренном действующим законодательством;
    • Требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;
    • Требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых и достаточных для цели их обработки;
    • Поручить обработку персональных данных другому (третьему) лицу с согласия субъектов персональных данных.

    6.3. Оператор обязан:

    • соблюдать и обеспечивать конфиденциальность персональных данных, а именно не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Политикой и законодательством Российской Федерации;
    • при сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
    • прекратить обработку или блокировать, уничтожить персональные данные субъекта в случаях, предусмотренных действующим законодательством Российской Федерации;
    • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
    • хранить персональные данные в форме, позволяющей определить субъекта, в течение необходимого срока, определенного в соответствии с Политикой;
    • предоставить информацию об осуществляемой обработке персональных данных в отношении субъекта персональных данных по запросу (обращению) последнего или его представителя.

    6.4. Субъект персональных данных имеет право:

    • на безвозмездное ознакомление с положениями Политики и объемом персональных данных, которые обрабатывает Оператор. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, а также иными международными актами;
    • на получение информации, касающейся обработки Оператором его персональных данных. Объем предоставляемой информации определен в ч. 7 ст. 14 Федерального закона “О персональных данных”;
    • требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
    • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
    • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
    • взаимодействовать с Оператором через представителя. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в соответствии с законодательством Российской Федерации;
    • отозвать согласие на обработку персональных данных в части или полностью.

    6.5. Субъект персональных данных обязан:

    • сообщать Оператору достоверную информацию о себе в объеме, необходимом для достижения цели обработки;
    • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

    7. Актуализация, исправление, удаление и уничтожение персональных данных

    7.1. Оператор вправе проверять достоверность и актуальность персональных данных, указанных субъектом.

    7.2. Достоверность и актуальность персональных данных может осуществляться следующими способами по усмотрению Оператора:

    • направление запросов в государственные информационные системы;
    • сопоставление персональных данных субъекта со сведениями, которые хранятся в информационных системах, которые использует Оператор для обработки персональных данных;
    • направление запроса субъекту персональных данных;
    • иные способы, предусмотренные информационной системой Оператора.

    7.3. Оператор вносит соответствующие изменения в персональные данные в течение 7 (семи) рабочих дней со дня получения от субъекта персональных данных или от его представителя сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными;

    7.4. Оператор в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные незаконно получены Оператором или что персональные данные полностью или в части не являются необходимыми для заявленной цели обработки, уничтожает их.

    7.5. В случае выявления неправомерности обработки персональных данных субъекта, а равно при получении обращения от субъекта, его представителя, уполномоченного органа по защите прав субъектов персональных данных, Оператор блокирует персональные данные на период проверки. По окончании проверки Оператор вправе в течение 3 (трех) рабочих дней со дня выявления неправомерности обработки персональных данных прекратить их обработку или в течение 7 (семи) рабочих дней уточнить персональные данные и снять блокировку. Если Оператор не может обеспечить правомерность обработки персональных данных, то в течение 10 (десяти) дней с момента установления неправомерной обработки уничтожает персональные данные.

    7.6. При достижении цели обработки или при получении от субъекта отзыва согласия на обработку персональных данных (при отсутствии иного основания для обработки персональных данных), Оператор в течение 30 (тридцати) дней уничтожает или обезличивает персональные данные.

    7.7. Оператор при получении обращения или запроса от субъекта персональных данных, его представителя или от уполномоченного органа по защите прав субъектов персональных данных, уведомляет их о предпринятых мерах, которые предусмотрены в настоящем разделе, в течение 30 (тридцати) дней с момента принятия соответствующих мер.

    8. Меры защиты, реализуемые Оператором при обработке персональных данных

    8.1. Оператор при обработке персональных данных с целью соблюдения положений ст. 18.1 и 19 Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных” принимает следующие меры:

    • разработка и принятие локальных нормативных актов, регламентирующих обработку и защиту персональных данных у Оператора;
    • утверждение руководителем Оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
    • назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в информационных системах;
    • ознакомление сотрудников, которые имеют доступ к персональным данным субъектов с локальными нормативными актами Оператора;
    • организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных у Оператора;
    • обеспечение безопасности и пропускного режима в помещениях, в которых хранятся материальные носители, содержащие персональные данные субъектов;
    • осуществление внутреннего контроля и аудита процессов по обработке персональных данных на соответствие законодательству, локальным нормативным актам Оператора;
    • организует сбор и хранение персональных данных с использованием баз данных, которые находятся на территории Российской Федерации;
    • категоризирует персональные данные субъектов в зависимости от способов, целей обработки персональных данных, объема персональных данных, возможного вреда, который может быть причинен субъектам персональных данных в результате нарушения конфиденциальности персональных данных;
    • в локальных нормативных актах определяет меры защиты относительно каждой категории персональных данных;

    8.2. Для обеспечения безопасности персональных данных Оператор совершает следующие действия:

    • определяет актуальные угрозы безопасности персональных данных, при их обработке в информационной системе Оператора;
    • определяет уровни защищенности персональных данных;
    • использует средства защиты информации, прошедших соответствующую проверку и обеспечивающих надлежащую защиту определенной категории персональных данных;
    • восстанавливает персональные данные измененные или уничтоженные в результате несанкционированного доступа к персональным данным и в информационную систему Оператора;
    • организует контроль и учет действий сотрудников и иных лиц, получивших доступ к информационной системе Оператора;
    • использует антивирусную защиту на всех устройствах Оператора, подключенных к информационной системе;
    • организует учет и сохранность материальных носителей, которые содержат персональные данные;

    8.3. Контроль за актуальностью используемых мер защиты, принимаемых Оператором, осуществляет уполномоченный сотрудник Оператора не реже одного раза в три года.

    9. Конфиденциальность

    9.1. Оператор признает персональные данные конфиденциальной информацией и осуществляет обработку такой информации в соответствии с законодательством (ст. 7, ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных») и локальными нормативными актами, содержащими положения о работе с конфиденциальной информацией.

    9.2. Под конфиденциальной информацией следует понимать сведения, которые Оператор получил от субъекта, включая персональные данные, и в отношении которых Оператор ввел режим конфиденциальности. Конфиденциальность - это режим, средства и меры защиты, которые принимает Оператор для защиты конфиденциальной информации от третьих лиц.

    9.3. Обеспечение конфиденциальности не требуется в отношении:

    • персональных данных после их обезличивания;
    • персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
    • персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

    9.4. Не является нарушением конфиденциальности персональных данных предоставление Оператором информации третьим лицам, действующим на основании договора с Оператором для исполнения обязательств перед субъектом персональных данных.

    10. Ответы на обращения субъектов

    10.1. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

    10.2. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

    10.3. Запрос составляется в свободной форме, читаемым шрифтом (почерком) и должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, адрес заявителя для направления ответа на запрос, подпись (в том числе электронная) субъекта персональных данных или его представителя. При подписании запроса представителем субъекта персональных данных, к запросу необходимо приложить копию документа, подтверждающего полномочия представителя действовать от имени субъекта персональных данных.

    10.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с Политикой и требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, Оператор вправе запросить дополнительную информацию или направить мотивированный отказ по тому каналу связи, по которому Оператор получил обращение.

    10.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

    10.6. Запрос, обращение субъекта персональных данных, отзыв согласия на обработку персональных данных считаются полученными Оператором в дату регистрации входящей корреспонденции у Оператора.