Политика обработки и защиты персональных данных ООО «ЭВОТОР»

город Химки, ред. от «01» марта 2024г.

Дата размещения на странице https://evotor.ru/legal/ и вступления в силу: «22» марта 2024г.

1. Общие положения

1.1 Настоящая Политика обработки и защиты персональных данных (далее – Политика), разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных субъектов персональных данных, а также меры по обеспечению безопасности персональных данных.

1.2 Основные понятия, используемые в Политике.

• Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.
• Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Компания (Оператор персональных данных): ООО «ЭВОТОР», ОГРН 5157746008107, ИНН 9715225506, почтовый адрес: 119021, Россия, г. Москва, ул. Тимура Фрунзе, д. 24, адрес местонахождения: 141402, Россия, г. Химки, ул. Репина, д. 2/27, пом. 12.
• Неавтоматизированная обработка персональных данных: действие по использованию, уточнению (обновлению, изменению), распространению или уничтожению персональных данных, осуществляемые при непосредственном участии человека.
• Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Обработчик персональных данных: лицо, осуществляющее обработку персональных данных по поручению Компании.
• Пользователь (Клиент): для целей настоящей Политики право- и дееспособный субъект персональных данных, использующий Сервис Компании.
• Персональные данные: любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу – субъекту персональных данных.
• Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• Роскомнадзор: уполномоченный орган по защите прав субъектов персональных данных.
• Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Сервис: совокупность программно-технической базы и ее обновлений, размещенная в сети Интернет по адресу https://evotor.ru/
• Субъект персональных данных: физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
• Смешанная обработка: обработка персональных данных как с помощью средств вычислительной техники, так и при непосредственном участии человека (смешанная обработка персональных данных).
• Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3 Основные права и обязанности Компании

1.3.1 Компания имеет право:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии законных оснований.

1.3.2 Компания обязана:

• организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Компания направляет в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
• в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

1.4 Основные права субъекта персональных данных

1.4.1 Субъект персональных данных имеет право:

• иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и они не должны содержать персональных данных, относящиеся к другим субъектам персональных данных. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю при личном обращении, либо при получении соответствующего запроса;
• требовать уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки персональных данных, а также принимать предусмотренные законом меры по защите своих прав;
• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, о всех произведенных в них исключениях, исправлениях или дополнениях;
• дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
• полностью или частично отозвать данное согласие на обработку персональных данных;
• обжаловать в Роскомнадзор или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.

1.5 Контроль за исполнением требований Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Компании. Ответственное за организацию обработки персональных данных в Компании лицо, назначается приказом генерального директора Компании.

1.6 Ответственность Компании за нарушение требований законодательства Российской Федерации и нормативных актов в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели обработки персональных данных

2.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2 Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность Компании, целей фактически осуществляемой Компанией деятельности, а также деятельности, которая предусмотрена учредительными документами Компании, и конкретных бизнес-процессов Компании в конкретных информационных системах персональных данных.

2.3 Приложением № 2 к Политике, определяется для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

2.4 Перечень персональных данных, приведенный в Приложении № 2 к Политике, различается в зависимости от того, кем является субъект персональных данных по отношению к Компании и какими Сервисами или услугами пользуется субъект персональных данных в процессе взаимодействия с Компанией. Персональные данные, собранные Компанией в отношении отдельно взятого субъекта персональных могут сопоставляться и связываться между собой в процессе использования Сервисов Компании или иного взаимодействия с Компанией, при условии законности и обоснованности таких действий.

3. Правовые основания обработки персональных данных

3.1 Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных, к числу которых относится:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
• Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.

3.2 Правовым основанием обработки персональных данных также являются:

• устав Компании;
• договоры, заключаемые между Компанией и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.

4. Порядок и условия обработки персональных данных

4.1 Компания обрабатывает персональные данные субъектов персональных данных при наличии соответствующих правовых оснований, в частности согласия на обработку персональных данных.

4.2 Согласие на обработку персональных данных выражается субъектом в любой форме, позволяющей подтвердить факт получения такого согласия. Обработка персональных данных может осуществляться без согласия субъекта при наличии условий, допускающих такую обработку в соответствии со ст. 6 Федерального закона РФ № 152-ФЗ от 27.07.2006 «О персональных данных».

4.3 Компания осуществляет автоматизированную, неавтоматизированную обработку и смешанную обработку персональных данных.

4.4 Перечень действий, осуществляемых с персональными данными приведен в Приложении № 2 к Политике.

4.5 Компания не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

4.6 Компания не осуществляет трансграничную передачу персональных данных.

4.7 Компания вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Договор с таким лицом будет содержать обязательство последнего по обеспечению мер по защите персональных данных, указанных в Политике. Перечень лиц, которым Компания поручает обработку персональных данных приведен в Приложении № 1 к Политике.

4.8 Перечень подразделений и должностей, допущенных к обработке персональных данных, устанавливается приказом генерального директора Компании.

4.9 На лиц, допущенных к обработке персональных данных в соответствии с приказом Генерального директора Компании, на ряду с основной трудовой функцией и в пределах должностных обязанностей возлагаются следующие обязанности:

• обработка персональных данных в соответствии с требованиями внутренних нормативных документов Компании;
• обеспечение точности обработки персональных данных;
• обеспечение режима хранения персональных данных в специально отведенных местах, обеспечивающих их сохранность и недопущение несанкционированного доступа к ним;
• обеспечение уничтожения материальных носителей персональных данных, не требующихся для дальнейшей обработки и хранения, в том числе чернового материала, образующегося в процессе повседневной деятельности, содержащего персональные данные, с использованием средств уничтожения, обеспечивающих невозможность последующего восстановления персональных данных;
• обеспечение конфиденциальности и защиты информации, содержащей персональные данные.

4.10 Компания вправе предоставлять персональные данные третьим лицам в соответствии с законодательством Российской Федерации, либо с согласия субъекта персональных данных:

• третьим лицам, оказывающим услуги по организации доставки товаров пользователю;
• третьим лицам для предоставления специализированных предложений для пользователя;
• третьим лицам в целях проведения аудита и / или исследований / опросов, необходимых для улучшения как отдельных составляющих Сервиса, так и Сервиса в целом;
• кредитным организациям, участвующим в проведении операций, в случае использования платежных карт при оплате товаров, услуг через Сервис в целях подтверждения по запросу кредитной организации осуществления таких операций указанными лицами;
• третьим лицам для организации перевозки работников, проживания работников в период командировок;
• третьим лицам для предоставления услуг работникам Компании;
• иным третьим лицам, при условии законности таких действий.

4.11 Субъект персональных данных, выступающий в роли пользователя сервисов Компании или представителя такого пользователя (далее – пользователь), подтверждает свое согласие на получение Компанией персональной информации пользователя от третьих лиц, в целях предоставления пользователю функциональной возможности сервиса по получению (в т.ч. по результатам поиска) релевантных интересам пользователя товарных предложений и информации. Используя веб-сервисы Компании, пользователь подтверждает своё согласие на передачу внесённой информации в веб-сервисы Компании, третьем лицам. К таким третьим лицам могут относиться:

• Партнеры, такие как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляющие Компании услуги, связанные с размещением и отображением рекламы на сайтах, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими;
• Рекламодатели или другие Партнеры, которые отображают рекламу на Сайтах и/или на Сервисах Компании, а также такие Партнеры как поставщики информационных сервисов.

При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

4.12 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

4.13 Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• назначение ответственного за организацию обработки персональных данных;
• издание политики обработки персональных данных;
• издание локальных актов по вопросам обработки персональных данных;
• применение правовых, технических и организационных мер по обеспечению безопасности персональных данных;
• определение угроз персональным данным;
• применение средств защиты информации;
• мониторинг фактов неправомерного доступа к персональным данным;
• установление правил доступа к персональным данным;
• осуществление контроля и прохождение аудита по вопросам обработки персональных данных.

4.14 Компания осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации или договором (соглашением).

4.15 Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).

4.16 Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

4.17 При обращении субъекта персональных данных в Компанию с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Компания направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

4.18 При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

5. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

5.1 Подтверждение факта обработки персональных данных Компанией, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Компанией субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Компания направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. При этом, запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;
• подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Компания предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с в ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

5.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора, Компания осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

5.3 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Компания осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

5.4 При выявлении Компанией, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Компания:

• в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Компанией на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

5.5 Порядок уничтожения персональных данных, приведен в Приложении № 2 к Политике.

6. Конфиденциальность и ответственность

6.1 Компания и иные лица, получившие доступ к персональным данным, обязаны соблюдать положения Политики, не раскрывать третьим лицам и не распространять персональные данные без законных на то оснований.

6.2 Лица, допущенные к обработке персональных данных или получившие доступ к персональным данным по каким-либо иным причинам, несут ответственность за нарушение положений Политики, режима конфиденциальности персональных данных в соответствии с законодательством Российской Федерации и положениями Политики.

6.3 Компания вправе предъявить требования о возмещении реального ущерба и упущенной выгоды к лицам, нарушившим положения Политики, а также применить иные способы защиты в соответствии с законодательством Российской Федерации.

7. Заключительные положения

7.1 Настоящая Политика может быть изменена Компанией. Обновленная редакция Политики публикуется в сети Интернет по адресу https://evotor.ru/legal/

7.2 Предложения и вопросы по поводу настоящей Политики, а также правомерные запросы: на уточнение, блокирование или уничтожение персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; на получение персональных данных, относящихся к субъекту, и информации, касающейся их обработки;

Пользователь вправе направлять по следующим адресам: 119021, г. Москва, ул. Тимура Фрунзе, д. 24;
security@evotor.ru.

7.3 Адреса размещения оферт для заключения договоров об использовании Сервиса Компании: https://evotor.ru/legal/Приложение № 1

Политика в отношении обработки персональных данных

в ред. от 22 марта 2024 г.

Перечень обработчиков персональных данных