Политика конфиденциальности


1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями российского и международного законодательства в области обработки персональных данных и направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает общество с ограниченной ответственностью "НПО ПМП ВЕНТИЛЯЦИЯ" ОГРН 1177746416209 ИНН 7702416394

1.2. В настоящем документе и отношениях, связанных с обработкой персональных данных, применяются следующие термины и их определения:

«Персональные данные» - любая информация, относящаяся к определенному или определяемому физическому лицу («субъекту персональных данных»), при этом определяемое лицо - это физическое лицо, которое может быть идентифицировано прямо или косвенно посредством таких идентификаторов как имя, идентификационный номер (в том числе налогоплательщика, страхового номера лицевого счета и т.д.), адрес, идентификаторы в сети Интернет (IP-адреса, идентификаторы типа куки-файлы или иные идентификаторы). При этом к персональным данным не относятся данные умерших лиц и анонимные данные - информация, которая не относится к определенному или определяемому физическому лицу, или в отношении персональных данных, предоставленных анонимно таким образом, что субъект данных не идентифицируется без получения дополнительных данных.

«Оператор персональных данных» - ООО "НПО ПМП ВЕНТИЛЯЦИЯ" ОГРН 1177746416209 ИНН 7702416394. 129110, город Москва, Банный пер., д. 2 стр. 1, пом Ia офис 2

«Обработка персональных данных» - любая операция или совокупность операций, осуществляемых с персональными данными, с применением автоматизированных средств или без таковых, в том числе сбор, запись, систематизацию (организация, структурирование), накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

«Обрабатывающее данные лицо» - это физическое или юридическое лицо, которое обрабатывает персональные данные от имени и по распоряжению оператора.

«Согласие субъекта персональных данных» - свободно данное, конкретное, содержательное и определенное указание, которым субъект персональных данных оповещает о своем согласии на обработку относящихся к нему персональных данных.

«Несанкционированный доступ к персональным данным» - нарушение безопасности, ведущее к случайной или незаконной потере, утрате, изменению, незаконному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным («утечка персональных данных»).

В случаях, если настоящей политикой не установлено определение того или иного термина, то его толкование производится в соответствии с действующими законодательством РФ и нормами международного права.

1.3. Политика является общедоступным документом и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых оператором персональных данных, функции оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых оператором в целях обеспечения безопасности персональных данных при их обработке.

1.4. При обработке персональных данных оператор руководствуется действующим законодательством РФ и международными нормами права в отношении обработки персональных данных, трудовым, налоговым законодательством РФ, иными нормативными правовыми актами РФ.

2. Принципы обработки персональных данных
2.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц, совершает все необходимые действия, направленные на защиту персональных данных, в соответствии со следующими принципами:

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ;

- прозрачность в отношении функций и обработки персональных данных, позволяющая субъекту данных контролировать процесс обработки данных, а оператору - создать и улучшить средства защиты, гарантирующие безопасность персональных данных (целостность и конфиденциальность).

3. Перечень обрабатываемых оператором персональных данных субъектов, цели их обработки
3.1. Оператор осуществляет обработку персональных данных физических лиц: собственных работников; третьих лиц, состоящих в гражданско-правовых правоотношениях с оператором и контрагентами оператора; других субъектов персональных данных для обеспечения реализации целей обработки, указанных в настоящем разделе.

3.1.1. Оператор обрабатывает следующие персональные данные третьих лиц: ФИО, телефон, адрес электронной почты, платежные реквизиты, идентификаторы в сети Интернет (IP-адреса, идентификаторы типа куки-файлы или иные идентификаторы, позволяющие определить субъекта персональных данных и не относящиеся к анонимным данным) и иные сведения (персональные данные) необходимые для достижения целей, определенных настоящей политикой и получаемым согласием третьего лица.

Настоящая политика распространяет свое действие на обработку данных, полученных в сети Интернет, только в том случае, если они относятся к персональным данным, позволяющим идентифицировать субъект персональных данных.

3.2. Оператор обрабатывает персональные данные работников и третьих лиц в соответствии с целями, установленными настоящей политикой и определяемыми в согласии, полученном от субъекта персональных данных.

3.3. Оператор обрабатывает персональные данные третьих лиц в целях:

- для связи с субъектом персональных данных, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных, для проведения статистических и иных исследований на основе обезличенных данных;

- осуществления прав и законных интересов оператора в рамках осуществления видов деятельности, предусмотренных уставом, в том числе информирования о новостях, новых услугах, специальных акциях и предложениях оператора на основании согласия субъекта данных;

- в иных законных целях.

4. Порядок обработки персональных данных
4.1. Оператор получает персональные данные непосредственно у субъекта персональных данных и обрабатывает их с его согласия автоматизированным (с использованием средств вычислительной техники) и/или неавтоматизированным способами (без использования таких средств).

Если данные субъекта персональных данных возможно получить только у третьей стороны, оператор заранее уведомляет об этом субъекта персональных данных и получает его письменное согласие. Оператор сообщает субъекту персональных данных о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа дать письменное согласие на их получение.

4.2. Действия по обработке персональных данных включают сбор, запись, систематизацию (организация, структурирование), накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) третьим лицам, обезличивание, блокирование, удаление и уничтожение.

4.3. Персональные данные субъектов хранятся на серверах, находящихся на территории Российской Федерации.

4.4. Оператор обрабатывает персональные данные субъектов персональных данных в течение срока действия пользовательского соглашения. Оператор может обрабатывать персональные данные субъектов и после окончания срока действия пользовательского соглашения в течение срока, установленного налоговым законодательством, иными нормативными правовыми актами, согласием субъекта персональных данных.

4.5. В установленных законом и согласием субъекта персональных данных случаях оператор передает или поручает обработку таких данных третьим лицам, в частности: государственным и правоохранительным органам.

5. Меры, принимаемые оператором, для защиты персональных данных
5.1. Оператор при обработке персональных данных за свой счет принимает все необходимые и достаточные меры для обеспечения выполнения обязанностей оператора, предусмотренных законодательством РФ в области защиты персональных данных, включая:

- принятие правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- предоставление неограниченного доступа к настоящей политике;

- оценка вреда, который может быть причинен субъектам персональных данных, а также эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы оператора;

- определение угроз безопасности персональных данных при их обработке оператором, оценка рисков, присущих обработке персональных данных, внедрение мер по снижению рисков, гарантирующих соответствующий уровень защиты (конфиденциальности) с учетом уровня развития техники и расходов на внедрение таких мер;

- обнаружение фактов несанкционированного доступа к персональным данным (утечки персональных данных) и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

- прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством РФ в области персональных данных;

- внутренний учет обработки персональных данных и контроль соответствия обработки персональных данных законодательству РФ, требованиям к защите персональных данных, настоящей политике;

- принятие иных мер для защиты персональных данных.

6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право на:

- полную информацию об обрабатываемых оператором его персональных данных и способах их обработки;

- доступ к своим персональным данным, целям их обработки, сведениям о третьих лицах, которым передаются его персональные данные, а также к иным сведениям, предусмотренным законодательством РФ;

- уточнение, изменение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку персональных данных;

- возражение против обработки его персональных данных для целей обеспечения законных интересов оператора, в том числе в целях маркетинга;

- ограничение обработки персональных данных (в случаях проверки точности персональных данных, законности их обработки на срок проведения проверок, истечения срока обработки данных при наличии судебных споров);

- осуществление оператором предусмотренных законом мер по защите персональных данных субъекта;

- обжалование действий или бездействий ООО "НПО ПМП ВЕНТИЛЯЦИЯ" ОГРН 1177746416209 ИНН 7702416394, осуществляемых в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- защиту своих прав и законных интересов, в том числе на возмещение убытков;

- осуществление иных прав, предусмотренных законодательством РФ.

7. Права и обязанности оператора
7.1. Оператор в случае получения запроса субъекта персональных данных о получении доступа к своим персональным данным, внесении изменений, уточнений, блокировании, уничтожении его персональных данных, иных запросов, обязан в течении 30 (тридцати) календарных дней предоставить ответ и удовлетворить запрос субъекта или указать причины, по которым удовлетворить запрос не представляется возможным.

7.2. Отзыв согласия субъекта персональных данных на их обработку не оказывает влияние на законность прав оператора по их обработке до получения такого отзыва.

7.3. В случае утечки персональных данных оператор обязан незамедлительно (не позднее 3х рабочих дней) уведомить об этом субъекта персональных данных и дать рекомендации, позволяющие снизить возможные негативные последствия, а также принять все зависящие от оператора действия, позволяющие снизить риск ущерба.

7.4. Право субъекта персональных данных на удаление его данных реализуется оператором незамедлительно при наличии следующих оснований:

- персональные данные больше не требуются для целей, для которых они были получены;

- субъект данных отзывает свое согласие и отсутствует иное законное основание для обработки;

- персональные данные обрабатывались незаконно или имеются иных основания для уничтожения персональных данных в целях соблюдения действующего законодательства РФ и норм международного права.

Указанные в настоящем пункте правила не применяются в случае, если обработка данных необходима в целях соблюдения юридических обязанностей оператора в интересах государства, для судебной защиты по исковым требованиям, в иных случаях, установленных законодательством РФ и нормами международного права.

Оператор принимает все меры для сообщения об изменении или уничтожении персональных данных третьим лицам, которым были раскрыты персональные данные субъекта, за исключением государственных органов и случаев, когда это оказывается невозможным или требует несоразмерных усилий (расходов).

7.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ.

7.6. Оператор вправе вносить изменения в настоящую политику или утверждать ее в новой редакции по собственному усмотрению. Оператор обязуется не вносить существенных изменений, возлагающих на субъекта обязанности или влекущих ограничение его прав наряду с условиями, установленными настоящей политикой, без уведомления субъекта данных. 

8. Заключительные положения
8.1. Ответственность за соблюдение требований законодательства РФ в области персональных данных несут оператор и обрабатывающие данные лица.

8.2. Во всем ином, что не установлено настоящей политикой, необходимо руководствоваться действующим законодательством РФ, нормами международного права в области персональных данных