Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика конфиденциальности в отношении обработки персональных данных (далее — «Политика») определяет принципы, цели, условия и порядок обработки персональных данных, меры по обеспечению их безопасности, а также права субъектов персональных данных и обязанности индивидуального предпринимателя Мамзина Михаила Сергеевича (ИНН 673109991290, далее — «Оператор») при осуществлении обработки персональных данных.
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных»), а также иными нормативными правовыми актами Российской Федерации, регулирующими обработку и защиту персональных данных.
1.3. Настоящая Политика применяется ко всем персональным данным, обрабатываемым Оператором, как с использованием средств автоматизации, так и без их использования (неавтоматизированная обработка), включая передачу персональных данных по внутренней сети Оператора и/или посредством сети Интернет.
1.4. Настоящая Политика обязательна для исполнения всеми работниками Оператора, а также иными лицами, получившими доступ к персональным данным в рамках договорных или иных правоотношений с Оператором, на условиях, не нарушающих требования законодательства Российской Федерации в части обеспечения конфиденциальности и безопасности персональных данных.
1.5. Политика разработана с учётом характера деятельности Оператора, связанной с организацией и проведением мероприятий, оказанием сопутствующих услуг, взаимодействием с физическими лицами и организациями, привлечением контрагентов и иными действиями, требующими обработки персональных данных различных категорий субъектов.
1.6. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, с соблюдением принципов:
– законности и справедливости целей и способов обработки;– соответствия целей обработки целям, заранее определённым и заявленным Оператором;– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;– обработки только тех персональных данных, которые соответствуют заявленным целям их обработки; – обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки;– хранения персональных данных не дольше, чем этого требуют цели их обработки, либо сроки хранения, установленные законодательством Российской Федерации;– обеспечения конфиденциальности и безопасности персональных данных при их обработке.
1.7. Настоящая Политика предназначена для обеспечения информирования субъектов персональных данных о факте, целях, объемах, правовых основаниях и иных условиях обработки их персональных данных, а также о реализуемых Оператором мерах по защите таких данных и механизмах реализации субъектами персональных данных своих прав, предусмотренных законодательством Российской Федерации.
1.8. Настоящая Политика размещается в свободном доступе в информационно-телекоммуникационной сети «Интернет» по адресу: smiletogo/policy. Ознакомление с её положениями является обязательным условием взаимодействия с Оператором в любой форме, включая пользование Сайтом, заключение договоров и направление обращений.
1.9. Использование Сайта Оператора, подача заявки на участие в мероприятии, заключение договора, направление обращения, регистрация в сервисах, а также иные действия, предполагающие добровольное предоставление Оператору персональных данных, признаются выражением согласия субъекта персональных данных на их обработку в объеме и на условиях, изложенных в настоящей Политике.
2. Термины и определения
2.1. В настоящей Политике используются термины и определения в значениях, установленных законодательством Российской Федерации в области персональных данных, а также следующими терминами, применяемыми в контексте осуществляемой Оператором деятельности:
2.1.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных), позволяющая идентифицировать это лицо.
2.1.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, с использованием средств автоматизации или без их использования.
2.1.3. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
2.1.4. Неавтоматизированная обработка персональных данных — обработка персональных данных, при которой используются средства, не являющиеся вычислительными системами, включая бумажные носители и ручной труд.
2.1.5. Смешанная обработка персональных данных — обработка, осуществляемая одновременно с использованием и без использования средств автоматизации, включая внутреннюю передачу данных по локальным сетям и через Интернет.
2.1.6. Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые персональные данные, в том числе пользователь Сайта, клиент (покупатель), сотрудник, кандидат на трудоустройство, представитель контрагента и иные лица, чьи данные могут быть получены Оператором.
2.1.7. Оператор — индивидуальный предприниматель Мамзин Михаил Сергеевич (ИНН 673109991290), самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
2.1.8. Предоставление персональных данных — действия, направленные на раскрытие персональных данных конкретному лицу или определенному кругу лиц.
2.1.9. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.10. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители, содержащие такие данные.
2.1.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
2.1.12. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.13. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам без согласия субъекта персональных данных или наличия иного законного основания.
2.1.14. Контрагент — юридическое или физическое лицо, вступившее в договорные или иные правоотношения с Оператором, в том числе в рамках оказания услуг, поставки товаров, выполнения работ, а также взаимодействия при организации мероприятий.
2.1.15. Представитель контрагента — физическое лицо, действующее от имени контрагента на основании доверенности, учредительных документов, либо в силу занимаемой должности, персональные данные которого обрабатываются в связи с исполнением договорных или иных обязательств.
2.1.16. Сайт — интернет-ресурс, администрируемый Оператором и размещённый в сети Интернет по адресу: https://smiletogo.ru, посредством которого осуществляется сбор персональных данных, взаимодействие с субъектами персональных данных, а также размещение информации о деятельности Оператора.
2.1.17. Cookies (куки-файлы) — фрагменты данных, отправляемые веб-сервером и хранимые на устройстве пользователя, используемые для идентификации пользователя, сохранения персональных настроек и иных целей, связанных с функционированием сайта и аналитикой пользовательской активности.
2.1.18. CRM-система — специализированное программное обеспечение для автоматизации обработки информации о клиентах, заказах, взаимодействии с субъектами персональных данных. В рамках деятельности Оператора используется облачная CRM-система.
2.1.19. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.
2.2. Все иные термины, используемые в настоящей Политике без отдельного разъяснения, подлежат толкованию в соответствии с действующим законодательством Российской Федерации, в том числе Федеральным законом №152-ФЗ.
3. Состав и категории обрабатываемых персональных данных
3.1. Оператор осуществляет обработку персональных данных различных категорий субъектов в объеме, необходимом для достижения конкретных, заранее определённых и законных целей, соответствующих осуществляемой хозяйственной деятельности, заключающейся в организации и проведении мероприятий, а также в реализации иных сопутствующих услуг, предусмотренных уставной и фактической деятельностью.
3.2. К числу субъектов персональных данных, в отношении которых осуществляется обработка, относятся:
- физические лица, являющиеся клиентами (покупателями) Оператора, включая пользователей официального сайта;
- физические лица, находящиеся в трудовых или гражданско-правовых отношениях с Оператором, в том числе работники, бывшие работники, соискатели, а также члены их семей (родственники);
- физические лица, являющиеся контрагентами Оператора либо представляющие интересы юридических лиц — контрагентов (представители контрагентов);
- иные физические лица, персональные данные которых могут быть получены в рамках исполнения Оператором своих обязанностей по закону или по договору.
3.3. В зависимости от статуса субъекта персональных данных и целей обработки, Оператор обрабатывает следующие категории персональных данных:
3.3.1. Общие персональные данные:
- фамилия, имя, отчество;
- дата рождения (день, месяц, год);
- место рождения;
- пол;
- гражданство;
- адрес места жительства и/или регистрации по месту пребывания;
- контактный номер телефона (стационарный, мобильный);
- адрес электронной почты;
- уникальные идентификаторы в социальных сетях (никнеймы, ссылки на профили);
- иные идентификационные данные, позволяющие установить личность субъекта персональных данных.
3.3.2. Идентификационные и учетные данные:
- данные документа, удостоверяющего личность (включая серию, номер, дату выдачи, наименование выдавшего органа);
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- реквизиты банковской карты, расчетного счета, лицевого счета;
- данные, предоставленные в целях регистрации и идентификации на Сайте Оператора.
3.3.3. Профессиональные и кадровые данные (в отношении работников, соискателей и уволенных работников):
- сведения о занимаемой должности, профессии, квалификации;
- сведения о трудовой деятельности, в том числе о стаже, опыте работы, текущей и предыдущей занятости;
- данные о доходах, применимых налоговых вычетах, алиментных удержаниях и других показателях бухгалтерского и кадрового учета;
- сведения, содержащиеся в резюме, рекомендательных письмах, анкетах и иных документах, представленных в процессе трудоустройства;
- реквизиты организаций-работодателей, включая наименование и банковские реквизиты.
3.3.4. Данные контрагентов и их представителей:
- сведения о государственной регистрации (для ИП);
- реквизиты договоров, контактная информация представителей;
- иные сведения, позволяющие идентифицировать лицо и обеспечить исполнение договорных обязательств.
3.4. Обработка специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрических персональных данных Оператором не осуществляется.
3.5. Все персональные данные обрабатываются исключительно в объеме, необходимом и достаточном для достижения конкретных целей, определённых Оператором в рамках его законной деятельности. Избыточная обработка персональных данных не допускается.
3.6. Источником получения персональных данных, подлежащих обработке, являются:
- непосредственно сами субъекты персональных данных, в том числе путем их предоставления через электронные формы на Сайте, при заключении договоров, в рамках переписки, собеседований, анкетирования и других форм взаимодействия;
- уполномоченные представители субъектов персональных данных;
- открытые источники (в случаях, предусмотренных действующим законодательством);
- третьи лица, действующие на основании договора или закона, при наличии соответствующих правовых оснований.
3.7. Согласие субъекта персональных данных на обработку его персональных данных может быть дано в любой форме, позволяющей подтвердить факт его получения, включая совершение конклюдентных действий, выражающих намерение предоставить персональные данные, а также путем подписания бумажного или электронного документа (в том числе посредством отметки в форме на Сайте).
4. Цели обработки персональных данных
4.1. Обработка персональных данных Оператором осуществляется исключительно в целях, прямо предусмотренных действующим законодательством Российской Федерации, а также в пределах прав и обязанностей, вытекающих из характера деятельности Оператора — индивидуального предпринимателя Мамзина Михаила Сергеевича (ИНН 673109991290), связанной с организацией и проведением мероприятий, сопровождением договоров, взаимодействием с физическими и юридическими лицами, осуществлением трудовых, гражданско-правовых и иных правоотношений.
4.2. Обработка персональных данных осуществляется в следующих целях:
4.2.1. В отношении клиентов (покупателей):
- надлежащее оформление, заключение, исполнение, изменение и прекращение договоров на оказание услуг по организации мероприятий и сопутствующих услуг;
- обработка обращений, заказов, заявок, в том числе поступивших через Сайт;
- предоставление клиентам информации о ходе исполнения обязательств, изменении условий оказания услуг, порядке участия в мероприятиях;
- обеспечение обратной связи, в том числе направление уведомлений, ответов на запросы, запросов о качестве оказанных услуг;
- реализация программы лояльности (при наличии), проведение маркетинговых, рекламных и информационных рассылок (при наличии согласия);
- ведение аналитики, включая анализ пользовательской активности и предпочтений с использованием систем веб-аналитики (в том числе Google Analytics).
4.2.2. В отношении сотрудников, бывших работников, соискателей, родственников работников:
- осуществление подбора, оценки и отбора кандидатов на замещение вакантных должностей;
- ведение кадрового учета, включая заключение, исполнение, изменение и прекращение трудовых договоров, оформление трудовых книжек, ведение личных дел, табелей учета рабочего времени, справок и иных документов, предусмотренных законодательством о труде;
- исполнение обязанностей работодателя в рамках трудового, налогового и пенсионного законодательства;
- оформление документов для назначения социальных и страховых выплат, пособий, отпусков, больничных и иных кадровых процедур;
- обеспечение взаимодействия с государственными и муниципальными органами, фондами и другими организациями в рамках трудовых и социальных правоотношений;
- соблюдение требований охраны труда, техники безопасности, противопожарной безопасности и иных обязательных норм;
- формирование отчетности в государственные органы (включая ПФР, ФНС, ФСС, Росстат и иные уполномоченные органы).
4.2.3. В отношении контрагентов и их представителей:
- установление, оформление, исполнение и прекращение договорных и иных правоотношений;
- направление уведомлений, согласование условий взаимодействия, ведение переписки, учет деловой корреспонденции;
- идентификация контрагента/представителя контрагента при подписании документов, совершении расчетов и иных юридически значимых действиях;
- обеспечение соблюдения законодательства о бухгалтерском учете, налогах и сборах, валютном контроле и отчетности.
4.2.4. В отношении посетителей Сайта:
- техническое и функциональное администрирование сайта https://smiletogo.ru;
- идентификация пользователей в целях предоставления доступа к функциям сайта, формам обратной связи, заявкам, регистрации и участию в мероприятиях;
- обеспечение безопасности и предотвращение несанкционированного доступа к информации;
- проведение анализа пользовательской активности, оптимизация интерфейсов, адаптация контента, а также иные цели, связанные с развитием пользовательского опыта.
4.3. Обработка персональных данных в рамках указанных целей может включать как действия с использованием средств автоматизации, включая информационные системы, так и действия без использования таких средств, при обязательном соблюдении принципов, установленных законодательством Российской Федерации.
4.4. В отдельных случаях персональные данные могут также обрабатываться для целей:
- исполнения требований законодательства Российской Федерации, включая, но не ограничиваясь, обязанностями по представлению отчетности и сведений в контролирующие и надзорные органы;
- реализации прав и законных интересов Оператора, включая защиту от претензий, судебное и досудебное урегулирование споров;
- обеспечения сохранности имущества, безопасности работников, клиентов и контрагентов, в том числе посредством технических и организационных мер контроля.
4.5. Обработка персональных данных в маркетинговых и рекламных целях допускается исключительно при наличии предварительного согласия субъекта персональных данных, предоставленного в порядке, установленном действующим законодательством Российской Федерации.
5. Правовые основания обработки персональных данных
5.1. Обработка персональных данных Оператором осуществляется в соответствии с законодательством Российской Федерации, международными договорами Российской Федерации.
5.2. Правовыми основаниями обработки персональных данных в зависимости от категории субъекта персональных данных и целей обработки являются:
5.2.1. Для клиентов (покупателей), пользователей Сайта:
- ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ — обработка необходима для исполнения договора, стороной которого является субъект персональных данных, либо для заключения договора по инициативе субъекта;
- ст. 6 ч. 1 п. 1 Федерального закона № 152-ФЗ — согласие субъекта персональных данных на обработку его данных;
- иные положения, регулирующие предоставление услуг и взаимодействие с клиентами в рамках гражданско-правовых обязательств.
5.2.2. Для работников, уволенных работников, соискателей и членов их семей:
- ст. 6 ч. 1 п. 2 Федерального закона № 152-ФЗ — обработка персональных данных необходима для достижения целей, предусмотренных трудовым законодательством, пенсионным законодательством, налоговым законодательством и иными нормативными актами, регулирующими трудовые отношения;
- ст. 22 Трудового кодекса РФ — обязанность работодателя вести кадровый учет;
- положения ст. 86 Трудового кодекса РФ и подзаконные нормативные акты в области охраны труда и трудового законодательства.
5.2.3. Для контрагентов и их представителей:
- ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ — обработка необходима для исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;
- ст. 6 ч. 1 п. 6 Федерального закона № 152-ФЗ — обработка необходима для осуществления прав и законных интересов Оператора либо третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- иные положения гражданского и налогового законодательства, регламентирующие учет, отчетность, документооборот и правомерность хозяйственной деятельности.
5.3. Основанием для обработки персональных данных также является согласие субъекта персональных данных, оформленное в письменной или электронной форме, в том числе посредством совершения конклюдентных действий, подтверждающих намерение субъекта предоставить свои данные (например, заполнение формы на Сайте или подписание договора/анкеты).
5.4. В случаях, прямо предусмотренных законодательством Российской Федерации, Оператор вправе осуществлять обработку персональных данных без получения предварительного согласия субъекта персональных данных, при соблюдении установленных требований и в рамках предоставленных законом полномочий.
5.5. В рамках трансграничной передачи персональных данных (в частности, при использовании сервисов веб-аналитики, таких как Google Analytics), Оператор обеспечивает соблюдение требований ст. 12 Федерального закона № 152-ФЗ и принимает разумные меры по защите прав и законных интересов субъектов персональных данных, в том числе при взаимодействии с иностранными лицами, обеспечивающими адекватный уровень защиты.
5.6. Обработка персональных данных, подлежащих внесению в бухгалтерскую и налоговую отчетность, осуществляется на основании положений Налогового кодекса Российской Федерации, федерального закона от 06.12.2011 № 402-ФЗ, а также в целях исполнения обязательств по валютному и финансовому контролю.
5.7. Оператор не обрабатывает специальные категории персональных данных, указанные в ст. 10 Федерального закона № 152-ФЗ, а также биометрические персональные данные, указанные в ст. 11 того же закона.
6. Условия и порядок обработки персональных данных
6.1. Оператор осуществляет обработку персональных данных в соответствии с принципами и требованиями, установленными действующим законодательством Российской Федерации, исключительно при наличии законных оснований и в пределах заранее определённых и конкретных целей обработки.
6.2. Обработка персональных данных осуществляется с соблюдением следующих условий:
- законности и справедливости обработки;
- ограничения обработки достижением конкретных, заранее определённых и законных целей;
- недопущения обработки персональных данных, несовместимой с целями их сбора;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- достоверности персональных данных, их достаточности, а также актуальности по отношению к целям обработки;
- обеспечения хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором;
- обеспечения уничтожения либо обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.
6.3. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования (смешанная обработка), включая:
- сбор;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- использование;
- передачу (распространение, предоставление, доступ), включая передачу через внутреннюю сеть Оператора и по сети Интернет;
- удаление.
6.4. Обработка персональных данных может осуществляться следующими способами:
- путем внесения сведений в информационные системы персональных данных;
- путем ведения бумажных документов, содержащих персональные данные;
- с использованием программного обеспечения и облачных CRM-систем, обеспечивающей автоматизированный документооборот, коммуникацию с клиентами и хранение учетной информации;
- с применением программ аналитики (в том числе Google Analytics) с возможностью передачи обезличенной информации на сервера за пределами Российской Федерации (трансграничная передача), исключительно в рамках правомерных целей и при условии обеспечения достаточного уровня защиты прав субъектов.
6.5. Условия допуска к персональным данным:
- доступ к персональным данным предоставляется исключительно уполномоченным лицам Оператора, в пределах их должностных обязанностей, на основании локальных актов о допуске, служебной необходимости и соглашений о конфиденциальности;
- все сотрудники и иные лица, получившие доступ к персональным данным, обязаны соблюдать конфиденциальность и обеспечивать защиту персональных данных от несанкционированного доступа, распространения или утраты;
- передача персональных данных третьим лицам осуществляется только при наличии законных оснований, включая исполнение договора, предписание уполномоченного государственного органа, или согласие субъекта персональных данных.
6.6. Хранение персональных данных:
- осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен федеральным законом, договором или нормативным правовым актом;
- персональные данные, содержащиеся в бумажных и электронных носителях, хранятся с соблюдением режима ограниченного доступа и мер технической защиты;
- по достижении цели обработки персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством Российской Федерации.
6.7. Удаление персональных данных:
- осуществляется по достижении целей обработки, а также по заявлению субъекта персональных данных при наличии оснований, установленных законодательством;
- производится в порядке, обеспечивающем невозможность дальнейшего восстановления или идентификации субъекта без дополнительных данных.
6.8. Обработка персональных данных с использованием информационных систем осуществляется при условии принятия Оператором необходимых мер, направленных на защиту таких систем от несанкционированного доступа, включая ограничение физического доступа, разграничение прав доступа, регулярное резервное копирование и антивирусную защиту.
6.9. При организации обработки персональных данных Оператор не использует собственные центры обработки данных (ЦОД) и информационные системы персональных данных (ИСПДн), в связи с чем использует внешние сертифицированные облачные решения, обеспечивающие достаточный уровень технической и организационной защиты.
6.10. В случае привлечения третьих лиц к обработке персональных данных по поручению Оператора, такие лица обязуются соблюдать требования конфиденциальности и безопасности, установленные федеральным законом, и действовать исключительно на основании заключенного с ними договора, содержащего положения об обработке персональных данных.
7. Права субъектов персональных данных
7.1. Субъект персональных данных (далее также — «Субъект») обладает комплексом прав, закрепленных действующим законодательством Российской Федерации, в том числе Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в целях обеспечения законности, справедливости и прозрачности обработки его персональных данных.
7.2. Субъект персональных данных имеет право на получение от Оператора информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту;
- сроки обработки персональных данных, в том числе сроки их хранения;
- информацию об осуществлённой или предполагаемой трансграничной передаче данных;
- описание мер, применяемых Оператором для обеспечения безопасности обработки персональных данных.
7.3. Субъект персональных данных вправе:
7.3.1. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
7.3.2. Отозвать ранее данное согласие на обработку персональных данных посредством направления соответствующего письменного уведомления Оператору. В случае отзыва согласия Оператор прекращает обработку персональных данных, за исключением случаев, предусмотренных законодательством;
7.3.3. Возражать против обработки персональных данных, осуществляемой в целях, не предусмотренных законом или договором, если иное не вытекает из обязательных требований закона;
7.3.4. Требовать прекращения обработки персональных данных, если Оператор нарушает условия и порядок обработки, установленные законодательством;
7.3.5. Получать информацию о предоставлении своих персональных данных третьим лицам, за исключением случаев, когда такое раскрытие осуществляется на основании закона;
7.3.6. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) либо в судебном порядке;
7.3.7. Осуществлять иные права, предусмотренные законодательством Российской Федерации.
7.4. Реализация прав субъекта осуществляется путем направления письменного запроса на имя Оператора по адресу его государственной регистрации. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата подачи заявки, иные идентификационные сведения);
- собственноручную подпись субъекта или его законного представителя.
В случае направления электронного запроса — он должен быть подписан усиленной квалифицированной электронной подписью.
7.5. При получении запроса от Субъекта персональных данных Оператор предоставляет информацию в доступной форме в течение 30 (тридцати) календарных дней со дня поступления запроса, если иные сроки не установлены федеральным законом.
7.6. В случае отказа в предоставлении информации Оператор обязан представить мотивированный ответ, содержащий ссылку на положения закона, в соответствии с которыми предоставление информации ограничено.
7.7. Оператор гарантирует реализацию прав субъектов персональных данных и не препятствует их осуществлению, обеспечивая надлежащее документарное сопровождение обработки персональных данных и механизм взаимодействия с Субъектами.
8. Обязанности Оператора при обработке персональных данных
8.1. Оператор, осуществляющий обработку персональных данных, несёт предусмотренные действующим законодательством Российской Федерации обязанности по обеспечению законности, безопасности, конфиденциальности и правомерности обработки персональных данных.
8.2. В рамках своей деятельности Оператор обязан:
8.2.1. Обрабатывать персональные данные добросовестно, на законной и справедливой основе, в целях, заранее определённых и соответствующих задачам деятельности Оператора;
8.2.2. Обеспечивать соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки, исключать избыточность персональных данных по отношению к заявленным целям;
8.2.3. Обеспечивать точность, достаточность и актуальность обрабатываемых персональных данных. В случае выявления неточных или неполных персональных данных — принимать меры по их уточнению либо удалению;
8.2.4. Хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен законодательством Российской Федерации или договором;
8.2.5. Уничтожать либо обезличивать персональные данные по достижении целей обработки или при наступлении иных законных оснований для прекращения их обработки;
8.2.6. Обеспечивать документальное подтверждение оснований и условий обработки персональных данных, включая наличие согласий субъектов персональных данных (при необходимости), а также наличие договоров, поручений, нормативных требований;
8.2.7. Прекращать обработку персональных данных по требованию субъекта персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ;
8.2.8. По запросу субъекта персональных данных предоставлять информацию о характере, правовых основаниях, целях, способах и условиях обработки его персональных данных в сроки, установленные законодательством;
8.2.9. Уведомлять субъектов персональных данных об обработке, в том числе при получении персональных данных не от самого субъекта, за исключением случаев, прямо предусмотренных законом;
8.2.10. В случае утраты персональных данных либо нарушения режима конфиденциальности незамедлительно принимать меры по устранению последствий нарушения, а также по уведомлению уполномоченного органа по защите прав субъектов персональных данных в порядке, предусмотренном законом;
8.2.11. При обработке персональных данных с использованием информационных систем принимать необходимые правовые, организационные и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий;
8.2.12. Назначить лицо, ответственное за организацию обработки персональных данных, и обеспечить контроль за соблюдением требований законодательства и локальных нормативных актов Оператора в данной сфере;
8.2.13. Разработать и утвердить внутренние документы, регламентирующие обработку и защиту персональных данных, включая положения, политики, инструкции, регламенты, а также соблюдать их при осуществлении деятельности;
8.2.14. В случае поручения обработки персональных данных третьим лицам — заключать с ними соответствующие договоры, содержащие условия обработки персональных данных, обеспечивающие соблюдение требований законодательства и защиту прав субъектов персональных данных;
8.2.15. Осуществлять трансграничную передачу персональных данных только при наличии законных оснований и при обеспечении иностранным государством, на территорию которого осуществляется передача, адекватного уровня защиты прав субъектов персональных данных;
8.2.16. Обеспечивать доступность настоящей Политики конфиденциальности в открытом доступе, в том числе размещением её на официальном сайте Оператора по адресу: https://smiletogo.ru/policy
8.3. Оператор несет ответственность за нарушение обязательств, установленных законодательством Российской Федерации о персональных данных, включая ответственность в виде штрафных санкций, предусмотренных Кодексом Российской Федерации об административных правонарушениях и иными нормативными правовыми актами.
9. Меры, принимаемые Оператором для обеспечения безопасности персональных данных
9.1. Оператор обязуется обеспечить сохранность и защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
9.2. Для достижения указанной цели Оператор реализует комплекс организационных, технических и правовых мер, направленных на защиту персональных данных в процессе их обработки, в том числе:
- обеспечение контроля за соблюдением требований законодательства о персональных данных всеми сотрудниками и подрядчиками, имеющими доступ к персональным данным;
- внедрение системы разграничения доступа к персональным данным, основанной на принципах минимально необходимого объема полномочий в соответствии с должностными обязанностями;
- использование средств аутентификации и авторизации для доступа к информационным системам, содержащим персональные данные;
- применение средств защиты информации, включая антивирусные программы, межсетевые экраны (файрволы), системы обнаружения и предотвращения вторжений;
- обеспечение резервного копирования персональных данных с целью предотвращения потери информации в случае сбоев технических средств;
- регулярное обновление программного обеспечения и систем безопасности, используемых для обработки персональных данных;
- проведение инструктажей и обучения сотрудников, имеющих доступ к персональным данным, по вопросам обеспечения конфиденциальности и безопасности персональных данных;
- контроль и аудит исполнения установленных политик безопасности и процедур обработки персональных данных;
- обеспечение безопасности при передаче персональных данных по внутренним сетям Оператора и сети Интернет, включая использование защищенных каналов связи и шифрование информации;
- организация мер по обезличиванию и уничтожению персональных данных, достигших целей обработки или утративших необходимость в хранении;
- взаимодействие с облачными сервисами и иными третьими лицами, обеспечивающее соблюдение ими требований безопасности персональных данных, включая заключение соответствующих договоров и контроль их исполнения.
9.3. В случае выявления инцидентов, связанных с нарушением безопасности персональных данных, Оператор принимает оперативные меры по минимизации последствий, документированию инцидентов и уведомлению уполномоченных государственных органов в соответствии с законодательством Российской Федерации.
9.4. Все мероприятия и меры, направленные на обеспечение безопасности персональных данных, регулярно пересматриваются и актуализируются с учётом изменений законодательства, технических возможностей и выявленных рисков.
10. Передача персональных данных третьим лицам
10.1. Передача персональных данных третьим лицам осуществляется Оператором исключительно на законных основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации.
10.2. В целях обеспечения исполнения договорных обязательств, а также для реализации иных законных целей, связанных с деятельностью Оператора, персональные данные субъектов могут передаваться следующим категориям третьих лиц:
- поставщикам и подрядчикам, осуществляющим обработку персональных данных в рамках выполнения договорных обязательств перед Оператором;
- облачным сервисам, включая CRM-систему, используемую для хранения и обработки персональных данных, при условии соблюдения ими требований законодательства о персональных данных и обеспечения соответствующего уровня защиты;
- государственным органам и иным уполномоченным организациям в случаях, предусмотренных законодательством Российской Федерации.
10.3. Передача персональных данных третьим лицам осуществляется на основании соответствующих договоров или соглашений, предусматривающих обязательства по соблюдению конфиденциальности и обеспечению безопасности персональных данных, а также иных условий, необходимых для защиты прав субъектов персональных данных.
10.4. Оператор принимает меры по обеспечению соблюдения третьими лицами требований российского законодательства о персональных данных, включая обязательство использования ими технических и организационных мер для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
10.5. В случаях передачи персональных данных за пределы территории Российской Федерации (трансграничная передача) Оператор руководствуется требованиями Федерального закона № 152-ФЗ и иных нормативных правовых актов, обеспечивая наличие адекватного уровня защиты прав субъектов персональных данных, в частности, посредством использования сервисов Google Analytics, для которых характерна трансграничная передача данных.
10.6. Оператор уведомляет субъектов персональных данных о факте и целях передачи их персональных данных третьим лицам, если иное не установлено законодательством или договором.
10.7. В случае передачи персональных данных третьим лицам, Оператор сохраняет за собой ответственность за соблюдение всех требований по защите и обработке данных, включая обеспечение законности и безопасности обработки, вне зависимости от фактического исполнения этих обязательств третьими лицами.
11. Трансграничная передача персональных данных
11.2. Под трансграничной передачей персональных данных понимается передача персональных данных на территорию иностранного государства, если иное не предусмотрено международными договорами Российской Федерации.
11.3. Оператор осуществляет трансграничную передачу персональных данных исключительно в случае, если иностранное государство, на территорию которого осуществляется передача, обеспечивает адекватный уровень защиты прав субъектов персональных данных, соответствующий требованиям российского законодательства.
11.4. В случае отсутствия подтверждения адекватного уровня защиты персональных данных в иностранном государстве, Оператор вправе осуществлять трансграничную передачу персональных данных только при наличии:
- согласия субъекта персональных данных на трансграничную передачу;
- международного договора, заключенного Российской Федерацией, предусматривающего такие условия;
- иных оснований, предусмотренных действующим законодательством Российской Федерации.
11.5. В целях реализации деятельности Оператора трансграничная передача персональных данных осуществляется преимущественно посредством использования сервисов Google Analytics, которые могут размещать и обрабатывать персональные данные на территории иностранных государств.
11.6. При использовании таких сервисов Оператор обеспечивает заключение с поставщиками услуг соответствующих соглашений и контрактов, регулирующих порядок обработки и защиты персональных данных, а также контроля за соблюдением условий обеспечения конфиденциальности и безопасности персональных данных.
11.7. Оператор информирует субъектов персональных данных о факте, целях и правовых основаниях трансграничной передачи персональных данных, а также о рисках, связанных с такой передачей, если иное не предусмотрено законодательством Российской Федерации.
11.8. В случае необходимости Оператор принимает дополнительные меры, направленные на минимизацию рисков при трансграничной передаче персональных данных, включая применение технических средств защиты и организационных процедур.
11.9. Оператор сохраняет ответственность за соблюдение всех требований российского законодательства в части защиты персональных данных, независимо от территориального расположения инфраструктуры обработки данных.
12. Хранение персональных данных
12.2. Персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, на протяжении срока, необходимого для достижения целей их обработки, а также в соответствии с требованиями нормативных правовых актов и договорных обязательств Оператора.
12.3. Сроки хранения персональных данных определяются:
- целями обработки персональных данных;
- нормативными правовыми актами, устанавливающими обязательные сроки хранения определённых видов информации;
- внутренними регламентами и политиками Оператора, утверждёнными с соблюдением законодательства о персональных данных.
12.4. По достижении целей обработки либо по истечении установленных сроков хранения персональные данные подлежат уничтожению либо обезличиванию с соблюдением процедур, исключающих возможность восстановления персональных данных.
12.5. Оператор применяет технические и организационные меры, обеспечивающие сохранность персональных данных от утраты, неправомерного доступа, повреждения, модификации и иных угроз, в том числе:
- использование облачных решений, отвечающих требованиям безопасности;
- применение средств резервного копирования и восстановления данных;
- регулярное обновление программного обеспечения и систем безопасности;
- контроль и учёт доступа к хранящимся персональным данным.
12.6. Персональные данные, хранящиеся в бумажной форме, подлежат хранению в условиях, обеспечивающих защиту от несанкционированного доступа, повреждения и утраты, с соблюдением требований внутреннего документооборота и безопасности.
12.7. В случаях, предусмотренных законодательством Российской Федерации, Оператор обязан обеспечивать возможность доступа субъектов персональных данных к их персональным данным и предоставлять сведения о ходе и результатах обработки, а также предпринимать меры по актуализации, блокированию или уничтожению персональных данных по запросу субъекта.
12.8. Оператор периодически пересматривает и обновляет внутренние процедуры хранения персональных данных в целях соответствия требованиям законодательства и повышения уровня защиты персональных данных.
13. Использование файлов cookie
13.1. На сайте smiletogo.ru применяются технологические средства сбора информации, включая файлы cookie, с целью обеспечения корректного функционирования сайта, повышения удобства использования и улучшения качества предоставляемых услуг.
13.2. Файлы cookie представляют собой небольшие текстовые файлы, которые размещаются на устройстве пользователя при посещении сайта и позволяют идентифицировать устройство пользователя для оптимизации взаимодействия с ресурсом.
13.4. Основные цели использования файлов cookie на сайте включают, но не ограничиваются:
- аутентификацией пользователей и сохранением сессий;
- анализом и статистикой посещаемости сайта с использованием сервисов, в том числе Google Analytics;
- персонализацией контента и интерфейса сайта в соответствии с предпочтениями пользователя;
- обеспечением безопасности и предотвращением мошеннических действий.
13.5. При использовании файлов cookie Оператор обеспечивает соблюдение принципов минимизации сбора данных, ограничения целей обработки и законности обработки персональных данных.
13.6. Пользователь имеет право управлять настройками файлов cookie, в том числе осуществлять их блокировку или удаление средствами браузера, что может повлиять на функциональность и удобство использования сайта.
13.7. Оператор информирует пользователей о применении файлов cookie посредством размещения соответствующих уведомлений и предоставления доступа к настоящей Политике конфиденциальности.
13.8. В целях соблюдения требований законодательства, при необходимости, Оператор запрашивает согласие пользователя на использование файлов cookie, за исключением случаев, когда использование cookie необходимо для предоставления технически необходимых функций сайта.
13.9. Оператор принимает технические и организационные меры для обеспечения безопасности данных, собираемых с использованием файлов cookie, и предотвращения их неправомерного использования третьими лицами.
13.10. В случае изменений в политике использования файлов cookie, Оператор своевременно информирует пользователей посредством размещения обновлённой информации на сайте и иными доступными способами.
14. Изменение политики конфиденциальности
14.1. Оператор оставляет за собой право в любое время вносить изменения и дополнения в настоящую Политику конфиденциальности с целью обеспечения соответствия требованиям действующего законодательства Российской Федерации, улучшения практик обработки персональных данных, а также адаптации к изменяющимся условиям деятельности и технологическим особенностям.
14.2. Изменения в Политике конфиденциальности вступают в силу с момента их опубликования на сайте smiletogo.ru, если иное не предусмотрено конкретным изменением или иными нормативными актами.
14.3. При внесении существенных изменений, влияющих на права и законные интересы субъектов персональных данных, Оператор предпринимает дополнительные меры по информированию пользователей, включая, но не ограничиваясь, размещением уведомлений на сайте, отправкой уведомлений по электронной почте или иными доступными способами.
14.4. Пользователь и иные субъекты персональных данных обязаны самостоятельно отслеживать актуальные редакции настоящей Политики конфиденциальности, размещённой на сайте Оператора.
14.5. Продолжение использования сайта smiletogo.ru после опубликования изменений в Политике конфиденциальности означает согласие субъекта персональных данных с такими изменениями и их обязательность к исполнению.
14.6. В случае несогласия с внесёнными изменениями субъект персональных данных вправе прекратить использование услуг Оператора и обратиться с соответствующими требованиями в установленном порядке.
15. Контактная информация
15.1. Для получения разъяснений, подачи запросов, а также реализации прав субъектов персональных данных, связанных с обработкой персональных данных, обращения по вопросам защиты конфиденциальности и иных вопросов, касающихся настоящей Политики конфиденциальности, субъекты персональных данных могут обратиться к Оператору по следующим каналам связи:
ФИО Оператора: Индивидуальный предприниматель Мамзин Михаил Сергеевич
ИНН: 673109991290
Электронная почта: info@smiletogo.ru
Телефон: +7 964 635-25-15
Официальный сайт: https://smiletogo.ru
15.2. Все обращения, касающиеся обработки персональных данных, рассматриваются в порядке, установленном действующим законодательством Российской Федерации, в том числе Федеральным законом № 152-ФЗ «О персональных данных».
15.3. При обращении субъекту персональных данных необходимо указать информацию, позволяющую идентифицировать его личность и конкретизировать предмет обращения, что обеспечивает оперативное и корректное рассмотрение запроса.
15.4. Оператор обязуется рассматривать обращения субъектов персональных данных в установленные законодательством сроки, предоставлять разъяснения и принимать меры в рамках своей компетенции по вопросам обработки и защиты персональных данных.
15.5. В случае возникновения споров или разногласий, связанных с обработкой персональных данных, субъекты имеют право обратиться в уполномоченные государственные органы по защите прав субъектов персональных данных, а также в судебные инстанции в соответствии с законодательством Российской Федерации.