1.Общие положения
1.1.Настоящая политика в области обработки персональных данных и конфиденциальности персональной информации составлена в соответствии с требованиями статьи 24 Конституции РФ и статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных ООО «Экостар Плюс» (далее – Оператор).
1.2.Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Оператором с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3.Настоящая политика в отношении обработки персональных данных (далее – Политика) раскрывает основные принципы и правила, используемые Оператором при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данные которых обрабатываются Оператором, а также содержит сведения об исполнении Оператором обязанностей в соответствии с требованиями законодательства РФ и сведения о реализуемых Оператором требованиях к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Оператором.
1.4.Цель Политики заключается в обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения.
1.5.Политика обеспечивает защиту прав и свобод субъектов при обработке их персональных данных с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.
1.6.Серверы, на которых осуществляется обработка персональных данных, в том числе передаваемых через Сайт данные, находятся в Российской Федерации.
1.7.Оператор вправе вносить изменения в Политику без согласия Субъекта персональных данных. Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
1.8.Действующая редакция Политики размещается Оператором на интернет-сайте: https://clothes.ecoplatform.ru/. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.
1.9.Все предложения или вопросы по Политике следует сообщать по адресу [email protected]. Контроль исполнения требований Политики осуществляется ответственным за обеспечение безопасности персональных данных ООО «Экостар Плюс».
2.Основные понятия
2.1.Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2.Администрация Сайта - ООО «Экостар Плюс», ИНН: 9704127465, ОГРН: 5177746232330.
2.3.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.4.Интернет-сайт (Сайт) – совокупность графических и информационных материалов, а также программно-аппаратных решений, программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://clothes.ecoplatform.ru/.
2.5.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.6.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.7.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. При этом передача осуществляется в соответствии с законными предписаниями уполномоченных органов или в соответствии с условиями договора, при подписании которого субъект персональных данных дает свое согласие на такую обработку.
2.8.Оператор – ООО «Экостар Плюс», ИНН: 9704127465, ОГРН: 5177746232330, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.9.Персональные данные (ПД) – любая информация, относящаяся определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В зависимости от категории субъекта персональных данных, к такой информации, в частности, можно отнести: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений, деятельности средства массовой информации, нормативными и распорядительными документами, Политикой и приказами Оператора.
2.10.Пользователь – это физическое лицо, которое при регистрации в интернет-ресурсе Оператора, дает согласие на обработку ПД путем проставления галочки.
2.11.Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12.Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13.Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
2.14.ФЗ о персональных данных – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3.Персональные данные
3.1.Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
3.1.1.Конституция Российской Федерации;
3.1.2.ФЗ о персональных данных;
3.1.3.Гражданский кодекс Российской Федерации;
3.1.4.Трудовой кодекс Российской Федерации;
3.1.5.Налоговый кодекс Российской Федерации;
3.1.6.Федеральный закон от 26.12.1995 № 208-ФЗ «Об обществах с ограниченной ответственностью»;
3.1.7.Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
3.1.8.Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
3.1.9.иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2.Правовым основанием обработки персональных данных также являются:
3.2.1.Устав ООО «Экостар Плюс»
3.2.2.договоры, заключаемые между Оператором и субъектами персональных данных;
3.2.3.согласие субъектов персональных данных на обработку их персональных данных.
3.3.Содержание и объем обрабатываемых Оператором персональных данных категорий субъектов персональных данных определяются в соответствии с целями обработки персональных данных.
3.4.Оператор не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
3.5.Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных следующего состава персональных данных:
3.5.1.Работники и бывшие работники:
3.5.1.1. Общие:
3.5.1.1.1.фамилия, имя, отчество;
3.5.1.1.2.пол;
3.5.1.1.3.адрес проживания/регистрации, включая почтовый индекс;
3.5.1.1.4.контактные данные;
3.5.1.1.5.индивидуальный номер налогоплательщика, СНИЛС;
3.5.1.1.6.реквизиты лицевого счета и/или банковской карты;
3.5.1.1.7.контакт в мессенджере;
3.5.1.1.8.семейное положение, наличие детей, родственные связи;
3.5.1.1.9.сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
3.5.1.1.10.данные о регистрации брака;
3.5.1.1.11.сведения о воинском учете;
3.5.1.1.12.сведения об инвалидности;
3.5.1.1.13.сведения об удержании алиментов;
3.5.1.1.14.сведения о доходе с предыдущего места работы.
3.5.1.2. Биометрические:
3.5.1.2.1.фото
3.5.1.2.2.Иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
3.5.2.Члены семьи работников Оператора:
3.5.2.1. Общие:
3.5.2.1.1.фамилия, имя, отчество;
3.5.2.1.2.степень родства;
3.5.2.1.3.год рождения;
3.5.2.1.4.индивидуальный номер налогоплательщика;
3.5.2.1.5.иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
3.5.3.Кандидаты для приема на работу к Оператору и соискатели должностей у Оператора:
3.5.3.1. Общие:
3.5.3.1.1.фамилия, имя, отчество;
3.5.3.1.2.пол;
3.5.3.1.3.гражданство;
3.5.3.1.4.дата и место рождения;
3.5.3.1.5.контактные данные (телефон, эл. почта);
3.5.3.1.6.сведения об образовании, опыте работы, квалификации;
3.5.3.1.7.данные паспорта;
3.5.3.1.8.индивидуальный номер налогоплательщика, СНИЛС;
3.5.3.1.9.данные о местах работы и занимаемых должностях
3.5.3.1.10.кредитная история в разрезе текущих кредитных обязательств
3.5.3.1.11.сведения о наличии текущих гражданско-правовых обязательств с другими работодателями или организациями
3.5.3.1.12.данные о месте регистрации и месте фактического проживания
3.5.3.1.13.данные об образовании
3.5.3.1.14.участие в юридических лицах в качестве участника или исполнительного органа (в т.ч. о наличии ИП)
3.5.3.1.15.иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
3.5.4.Клиенты и контрагенты (контрагенты, посетители офиса Оператора, посетители Сайта Оператора, кредиторы и должники, участники Оператора, лица, входящие в группу лиц Оператора, члены органов управления Оператора, иные лица, при условии предоставления Оператору подтверждения наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ о персональных данных).
3.5.4.1. Общие:
3.5.4.1.1.фамилия, имя, отчество;
3.5.4.1.2.дата и место рождения;
3.5.4.1.3.паспортные данные;
3.5.4.1.4.адрес регистрации по месту жительства;
3.5.4.1.5.контактные данные;
3.5.4.1.6.замещаемая должность;
3.5.4.1.7.индивидуальный номер налогоплательщика, СНИЛС;
3.5.4.1.8.реквизиты расчетного/лицевого счета и/или банковской карты;
3.5.4.1.9.сведения об имуществе;
3.5.4.1.10.учетные данные, предоставляемые пользователем для создания (изменения) учетной записи в процессе регистрации на Сайте Оператора: имя субъекта персональных данных (логин) и пароль;
3.5.4.1.11.контакт в мессенджере;
3.5.4.1.12.данные о поведении пользователя на Сайте Оператора;
3.5.4.1.13.информация и технические данные, содержащиеся в файлах cookies;
3.5.4.1.14.данные, которые становятся доступными Оператору в процессе использования Сайта (ip-адрес, сведения о браузере (в том числе язык интерфейса, размеры экрана, информация о файлах cookies (включены/выключены), User Agent браузера и пр.), размеры и поддерживаемые цвета экрана персонального устройства, часовой пояс, язык системы, сведения об операционной системе, поддержка устройством некоторых технологий и протоколов (Retina, WebSocket, HTTP2 и пр.);
3.5.4.1.15.сведения о геопозиции;
3.5.4.1.16.данные, которые становятся доступными Оператору в процессе использования пользователем приложения, в том числе тип устройства, имя устройства, версия ОС, модель устройства, часовой пояс, предпочитаемый язык, IDFA, Device ID For Vendor, гео, название Wi-Fi сети, MAC точки доступа Wi-Fi, наименование оператора сотовой связи, код сети оператора (MNC), User ID, имя ОС, версия приложения, год выпуска мобильного устройства Пользователя, тип интернет соединения, название оператора сотовой связи и пр.;
3.5.4.1.17.иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров либо для участия в управлении.
3.5.4.2. Биометрические:
3.5.4.2.1.фото.
3.5.5.Представители контрагентов (представитель юридического лица, представитель органа власти, представитель физического лица представитель акционера/участника).
3.5.5.1. Общие:
3.5.5.1.1.фамилия, имя, отчество;
3.5.5.1.2.паспортные данные;
3.5.5.1.3.адрес регистрации по месту жительства;
3.5.5.1.4.контактные данные;
3.5.5.1.5.замещаемая должность;
3.5.5.1.6.контакт в мессенджере;
3.5.5.1.7.иные персональные данные, предоставляемые представителями клиентов и контрагентов (физическими лицами), необходимые для осуществления ими полномочий.
3.6.Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации. Биометрические персональные данные могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.
3.7.В отношении пользователей, посещающих Сайт, Оператор собирает и обрабатывает файлы Сookies - небольшие фрагменты данных, которые веб-сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве пользователя. Сookies хранятся локально на устройстве пользователя сети Интернет.
3.8.На сайте оператора используются следующие типы файлов cookies:
3.8.1.строго необходимые файлы cookies / технические файлы cookies: эти файлы cookies необходимы для работы Сайта и предоставления пользователю товаров/работ/услуг; кроме всего прочего, они позволяют Оператору идентифицировать аппаратное и программное обеспечение пользователя, включая тип браузера;
3.8.2.статистические / аналитические файлы cookies: эти файлы cookies позволяют распознавать пользователей, подсчитывать их количество и собирать информацию, такую как произведенные операции на сайтах, включая информацию о посещенных веб-страницах и контенте, который получает пользователь;
3.8.3.технические файлы cookies: эти файлы cookies собирают информацию о том, как пользователи взаимодействуют с сайтом, что позволяет выявлять ошибки и тестировать новые функции для повышения производительности Интернет-сайта;
3.8.4.функциональные файлы cookies: эти файлы cookies позволяют предоставлять определенные функции, чтобы облегчить использование Интернет-сайта, например, сохраняя предпочтения (такие как язык и местоположение);
3.8.5.(сторонние) файлы отслеживания / рекламные файлы cookies: эти файлы cookies собирают информацию об источниках трафика, посещенных страницах и рекламе, отображенной у пользователя. Они позволяют отображать рекламу, которая может заинтересовать пользователя, на основе анализа информации, собранной о пользователе. Они также используются в статистических и исследовательских целях.
3.8.6.Сookies обрабатываются Оператором исключительно с целью, которая указана в пункте 4.2 Политики, на условиях и в порядке, определенных Политикой, в частности на основании данных, полученных с помощью файлов cookies, Оператор разрабатывает наиболее полезный функционал для Сайта, доступный пользователю, проводит статистические исследования, исправляет ошибки в работе Сайта и тестирует новые функции для повышения производительности Сайта, персонализирует и показывает наиболее релевантную для пользователя информацию.
3.8.7.Информация, собранная с помощью файлов cookies, размещенных на устройстве пользователя, может быть передана и доступна Оператору и/или третьим лицам.
3.8.8.Пользователь может отказаться от обработки cookies в настройках своего браузера. В указанном случае сервисы Оператора будут использовать только те cookies, которые строго необходимы для функционирования такого сервиса и предоставления его функциональных возможностей.
3.9.Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.Цели обработки персональной информации
4.1.Оператор собирает и хранит только ту персональную информацию, которая необходима для предоставления сервисов или исполнения соглашений и договоров с субъектом персональных данных, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
4.2.Оператор обрабатывает персональные данные в целях:
4.2.1.осуществления законной деятельности Оператора;
4.2.2.проведения опросов/исследований, направленных на исследование общественного мнения, с участием респондентов и контроль качества таких опросов;
4.2.3.осуществления обратной связи с субъектами персональных данных интернет-сайтов Оператора, в том числе для идентификации субъекта персональных данных, получения от субъектов персональных данных мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;
4.2.4.осуществления рекламно-информационных рассылок;
4.2.5.показ таргетированной рекламы пользователям интернет-сайтов Оператора;
4.2.6.достижения целей, предусмотренных международным договором Российской Федерации или законом;
4.2.7.исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;
4.2.8.осуществление прав и законных интересов Оператора и третьих лиц, в том числе, по исполнению требований действующего законодательства РФ, обеспечению безопасности деятельности;
4.2.9.достижения социально значимых целей создания эффективных инструментов для выполнения требований законодательства, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4.2.10.заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе, по государственным контрактам;
4.2.11.заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;
4.2.12.осуществления прав и обязанностей работодателя, обучения работников Оператора, ведение кадрового делопроизводства;
4.2.13.принятия решений о трудоустройстве кандидатов;
4.2.14.содействия кандидатам и работникам в трудоустройстве;
4.2.15.контроля количества и качества выполняемой работы работниками;
4.2.16.обеспечения сохранности имущества работодателя;
4.2.17.исчисления и уплаты, предусмотренных законодательством Российской Федерации налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
4.2.18.представления работодателем установленной законодательством отчетности в отношении физических лиц;
4.2.19.предоставления налоговых вычетов, обеспечения пользования работниками, установленными законодательством Российской Федерации гарантиями, компенсациями и льготами;
4.2.20.для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с исполнением договорных обязательств, а также для обработки запросов и заявок от субъектов персональных данных;
4.2.21.обеспечения личной безопасности;
4.2.22.осуществления пропускного режима в помещения Оператора;
4.2.23.исключительно в целях: контроля повышение качества обслуживания, исполнения Работниками трудовых обязанностей, контроля рабочего процесса и соблюдения трудовой дисциплины, Работодатель вправе просматривать (читать) переписку Работников с использованием корпоративной электронной почты, а также вести запись телефонных разговоров и детализацию произведенных звонков по служебному телефону.
4.3.Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях пользователей на Интернет-сайте, улучшения качества Интернет-сайта и его содержания.
5.Сроки и порядок сбора, хранения, передачи и иных видов обработки персональных данных
5.1.Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, включая следующие способы:
5.1.1.собственноручное подписание простой письменной формы согласия по форме, утвержденной приказом генерального директора Оператора;
5.1.2.собственноручное подписание согласия в свободной письменной форме;
5.1.3.заполнение формы на Сайте при регистрации Пользователя и проставление соответствующей галочки.
5.1.4.Согласие может быть направлено Оператору в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации.
5.1.5.В случае предоставления согласия на обработку персональных данных через представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных подтверждаются Оператору.
5.2.Субъект персональных данных, сообщив Оператору свои персональные данные используя Сайт, в том числе при посредничестве третьих лиц, признает своё согласие на обработку персональных данных в соответствии с Политикой. Использование сервисов Сайта означает безоговорочное согласие субъекта персональных данных с Политикой и указанными в ней условиями обработки его персональной информации. В случае несогласия с этими условиями субъект персональных данных должен воздержаться от использования сервисов.
5.3.Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных действующим законодательством. Способы отзыва согласия: субъект персональных данных вправе заявить о своем отказе от обработки в письменной форме путем направления соответствующего заявления об отзыве на электронную почту Оператора: [email protected].
5.4.Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.5.Персональные данные на бумажных носителях хранятся в ООО «Экостар Плюс» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
5.6.Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.7.Обработка персональных данных субъекта персональных данных осуществляется любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации, без использования таких средств или путем смешанной обработки персональных данных.
5.8.Обработка персональных данных субъекта персональных данных осуществляется любыми способами, предусмотренными законодательством, в том числе путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.
5.9.Обработка персональных данных для каждой цели обработки, указанной в п. 4.2 Политики, осуществляется путем:
5.9.1.получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
5.9.2.внесения персональных данных в журналы, реестры и информационные системы Оператора;
5.9.3.использования иных способов обработки персональных данных.
5.10.Оператор может осуществлять обработку персональных данных указанными выше способами самостоятельно, а также с привлечением третьих лиц, в частности, оператора CRM-системы, осуществляющего обработку персональных данных указанных выше субъектов по поручению Оператора и иных третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в Политике целей.
5.11.Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
5.12.Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:
5.12.1.Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
5.12.2.защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
5.12.3.технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
5.12.4.Оператор производит резервное копирование данных, с тем чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.12.5.осуществляется постоянный контроль за обеспечением уровня защищенности персональных данных.
5.13.Указанный порядок распространяется, в том числе, на обработку персональных данных без использования средств автоматизации, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
5.14.Оператор вправе передать персональную информацию субъекта персональных данных третьим лицам в следующих случаях:
5.14.1.субъект персональных данных выразил согласие на такие действия;
5.14.2.передача необходима для использования Оператором определенного сервиса либо для исполнения определенного соглашения или договора с Оператором;
5.14.3.передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
5.14.4.передачи персональных данных сотрудникам Оператора (в пределах, указанных в разделе 5 Политики).
5.15.Оператор также может передавать персональные данные с согласия субъекта персональных данных третьим лицам, с которыми у Оператора заключен договор, если иное не предусмотрено федеральным законом.
5.16.Следующие группы лиц – сотрудники Оператора могут получать доступ к персональным данным:
5.16.1.персонал отдела кадров;
5.16.2.сотрудники отдела информационных технологий;
5.16.3.медицинские службы (при необходимости);
5.16.4.юридические службы (при необходимости);
5.16.5.в целом — все сотрудники компании, включая дочерние и аффилированые, имеющие право на доступ к определенным категориям персональных данных.
5.17.Следующим группам третьих лиц Оператор может передавать вашу персональные данные (включая, но не ограничиваясь):
5.17.1.внешние поставщики услуг: подрядчики в сфере информационных технологий, банки, эмитенты кредитных карт, сторонние юристы, грузоотправители, перевозчики, почтовые службы;
5.17.2.сайты социальных сетей, интернет-поисковики: Яндекс Дзен, Одноклассники, Вконтакте, Google, каналы в Telegram, Viber, YouTube и пр.).
5.18.Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ о персональных данных и Политикой.
5.19.В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги для внутреннего пользования. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.
5.20.По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы:
5.20.1.в судебные органы в связи с осуществлением правосудия;
5.20.2.органы федеральной службы безопасности;
5.20.3.в органы прокуратуры;
5.20.4.в органы полиции;
5.20.5.в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
5.21.Во всех случаях Персональная информация также будет обрабатываться только для целей, изложенных в разделе 4 Политики, если иное не установлено условиями использования Сайтов и/или Сервисов, предоставляемых Оператором.
5.22.Порядок уничтожения персональных данных Оператором.
5.23.Условия и сроки уничтожения персональных данных Оператором:
5.23.1.достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
5.23.2.достижение максимальных сроков хранения документов, содержащих персональные данные - в течение 30 дней;
5.23.3.предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней;
5.23.4.отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
5.24.При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
5.24.1.иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
5.24.2.Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
5.24.3.иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.25.Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Экостар Плюс».
5.26. Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований производится в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 N 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 N 71167)
5.27.При утрате или разглашении персональных данных Оператор информирует субъекта персональных данных об утрате или разглашении персональных данных.
5.28.Лица – сотрудники Оператора и третьи лица – получают доступ к обрабатываемым персональным данным при условии подписания обязательства о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.
5.29.Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.
5.30.Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
5.31.Обработка персональных данных несовершеннолетних субъектов персональных данных осуществляется на основании согласия представителя несовершеннолетнего в письменной форме (иной допустимой применимым законодательством форме).
5.32.При регистрации на Сайте у Пользователя есть возможность загрузить фото в личный кабинет. Оператор не обязывает Пользователей предоставлять ему биометрические персональные данные (личное фото) для обработки, не проверяет достоверность предоставляемых биометрических персональных данных, а в случае их предоставления по инициативе Пользователя осуществляет только их хранение и публикацию в рамках рейтинга наиболее активных пользователей;
5.32.1.загружая личное фото, Пользователь предоставляет конклюдентными действиями согласие на обработку биометрических персональных данных, если такие содержатся в загружаемой пользователем фотографии;
5.32.2.загружая личное фото, Пользователь получает уведомление о том, что его фото, а также иные личные данные (при их предварительном обезличивании) могут публиковаться на Сайте для ведения публичного рейтинга наиболее активных Пользователей.
5.33.Оператор вправе частично некоторые персональные данные довести до сведения других пользователей и посетителей сайта при их предварительном обезличивании.
6.Обязательства Оператора
6.1.Оператор имеет право:
6.1.1.отстаивать свои интересы в суде;
6.1.2.предоставлять персональные данные субъекта персональных данных третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.), а также в случаях, предусмотренных Политикой.
6.1.3.отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
6.1.4.по требованию субъекта персональных данных либо без такового уточнять персональные данные, блокировать или уничтожать их, в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.5.использовать персональные данные субъекта персональных данных без его согласия, в случаях, предусмотренных законодательством.
6.2.Оператор обязан:
6.2.1.использовать полученную информацию исключительно для целей, указанных в Политике;
6.2.2.не распространять информацию о персональных данных субъекта персональных данных без согласия субъекта персональных данных;
6.2.3.принимать меры предосторожности для защиты конфиденциальности персональных данных субъекта персональных данных согласно порядку, обычно используемому для защиты такого рода информации в существующем деловом обороте;
6.2.4.осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или запроса субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий;
6.2.5.предоставить субъекту персональных данных информацию об обработке его персональных данных.
6.3.При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
6.3.1.в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
6.3.2.в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.4.По обращению субъекта персональных данных прекратить обработку его персональных данных.
6.5.При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.6.Оператор предоставляет сведения, указанные в ч. 7 ст. 14 ФЗ о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6.7.Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.8.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ о персональных данных, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.9.Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 ФЗ о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператор направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
6.10.В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.11.Запрос должен содержать:
6.11.1.номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
6.11.2.сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
6.11.3.подпись субъекта персональных данных или его представителя.
6.12.Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.13.В случае направления запроса представителем субъекта персональных данных полномочия данного представителя должны быть оформлены (подтверждены) в соответствии с законодательством.
6.14.Оператор за нарушение правил обработки персональных данных, установленных в соответствии с законодательством РФ, нарушение прав субъекта персональных данных несет ответственность за убытки, понесенные последним в связи с таким нарушением, в соответствии с законодательством Российской Федерации.
6.15.В случае раскрытия третьим лицам или распространения персональных данных без согласия субъекта персональных данных Оператор не несет ответственности, если:
6.15.1.данная информация стала публичным достоянием до факта ее раскрытия (распространения) Оператором;
6.15.2.третьи лица получили доступ к информации субъекта персональных данных в соответствии с выбранными пользователем настройками уровня конфиденциальности;
6.15.3.третьи лица получили доступ к информации субъекта персональных данных в случае нарушения пользователем сохранности его логина и/или пароля или иных необходимых для авторизации данных.
7.Обязательства субъекта персональных данных
7.1.Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
7.2.Субъект персональных данных имеет право:
7.2.1.требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
7.2.2.получить информацию, касающуюся обработки его персональных данных;
7.2.3.требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7.2.4.обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
7.2.5.на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.3.Субъект персональных данных обязан:
7.3.1.предоставлять точную и достоверную информацию о своих персональных данных во время взаимодействия с Оператором;
7.3.2.обновлять, дополнять предоставленную информацию о персональных данных в случае изменения данной информации.
7.4.До обращения в суд с иском по спорам, возникающим из отношений между субъектом персональных данных и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора). Получатель претензии в течение 30 календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
8.Сведения о реализуемых Оператором требованиях к защите персональных данных
8.1.Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
8.1.1.создает необходимые условия для работы с персональными данными;
8.1.2.принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
8.1.3.определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз;
8.1.4.осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
8.1.5.формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
8.1.6.осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
8.1.7.использует антивирусные средства и средства восстановления системы защиты персональных данных;
8.1.8.применяет в необходимых случаях средства межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
8.1.9.организует пропускной режим на территорию Оператора, охрану помещений с техническими средствами обработки персональных данных;
8.1.10.назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
8.1.11.организует обучение работников Оператора, осуществляющих обработку персональных данных, а также проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
8.1.12.хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
8.1.13.осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
8.1.14.осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе;
8.1.15.организует учет документов, содержащих персональные данные, и организует работу с информационными системами, в которых обрабатываются персональные данные;
8.1.16.осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
8.1.17.инициирует разбирательство и составляет заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
8.1.18.имеет описания системы защиты персональных данных.
8.2.Для разработки и осуществления конкретных мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе Оператора уполномоченным лицом ответственным является технический отдел Оператора. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором.
8.3.Запросы субъектов персональных данных информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) Оператора или уполномоченного лица. При обнаружении нарушений порядка предоставления персональных данных Оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных субъекта персональных данных информационной системы до выявления причин нарушений и устранения этих причин.
8.4.Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением следующих случаев:
8.4.1.обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
8.4.2.обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
8.4.3.обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.