Политика обработки и защиты персональных данных ООО «КБ менеджмент и консалтинг»

Редакция от 01 октября 2022 г.

1. Общие положения

1.1. Настоящая политика ООО «КБ менеджмент и консалтинг» (далее - «Общество») в отношении обработки и защиты персональных данных (далее по тексту - «Политика») разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях соблюдения прав и свобод человека и гражданина при обработке его персональных данных.

1.2. Политика обязательна для исполнения работниками Общества.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации.

1.4. Неограниченный доступ к настоящей Политике имеет любой субъект персональных данных на сайте Общества в сети “Интернет”: www.complexbar.ru.

2. Термины и используемые сокращения

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Общество – ООО «КБ менеджмент и консалтинг», ИНН: 7714405608, адрес местонахождения: 129085, г Москва, ул. Годовикова, д. 9, стр 31, подъезд 31.12, эт. 3, пом 307.

2.3. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если Обработка необходима для уточнения персональных данных).

2.4. Запрос – любое обращение субъекта ПД (или его Представителя) в Общество в устной (при личном посещении офиса Общества или по телефону), письменной форме или в форме электронного документа, касающееся обработки его ПД.

2.5. Клиент – физическое лицо, пользующееся или намеревающееся воспользоваться предлагаемыми на сайте Общества товарами и (или) услугами (в т.ч. физические лица, выразившие желание пройти регистрацию на сайте Общества).

2.6. Контактные лица – физические лица, не являющиеся стороной договора (соглашения) и Клиентами, персональные данные которых предоставляются в рамках заключаемых или заключенных Обществом договоров (соглашений), или при формировании на сайте Общества заказов на товары, представленные партнерами Общества, либо обрабатываются в рамках требований законодательства Российской Федерации.

2.7. Контрагент – юридическое лицо или индивидуальный предприниматель, с которыми у Общества существуют договорные отношения или с которыми оно намерено вступить в договорные отношения.

2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.10. Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Для целей настоящей политики Общество является Оператором.

2.11. Партнеры – юридические лица, с которым у Общества заключены договоры о сотрудничестве в целях расширения и/или стимулирования активности Клиентов Общества, а также договоры о продаже их товаров/услуг через сайт/сайт-агрегатор Общества в сети Интернет.

2.12. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.13. Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.

2.14. Пользователи сайта – авторизованные пользователи сайта Общества в сети Интернет, заполнившие регистрационные формы и предоставившие свои персональные данные.

2.15. Посетители сайта – неавторизованные посетители сайта Общества, в отношении которых может формироваться профиль посетителя.

2.16. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.17. Представители – физические лица, действующие на основании доверенности, договора, в силу закона или акта уполномоченного органа.

2.18. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.19. Сайт-агрегатор – ресурс в телекоммуникационной сети Интернет, на котором собрана информация и предложения от продавцов товаров/услуг (Партнеры), предлагаемых посетителям этого ресурса.

2.20. Субъект ПД - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

2.21. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.22. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.23. Чек-бокс - элемент (кнопка с отметкой) графического пользовательского интерфейса, позволяющий пользователю интерфейса управлять параметром с двумя состояниями: «включено», «отключено» – согласие предоставлено и согласие не предоставлено. Чек-бокс также может использоваться на бумажном носителе.

3. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных в Обществе являются:

  • Конституция Российской Федерации
  • Трудовой Кодекс РФ от 31.12.2001 № 197-ФЗ
  • Федеральный закон от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
  • Федеральный закон от 07.07.2003 г. N 126-ФЗ "О связи"
  • Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Устав ООО «КБ менеджмент и консалтинг»
  • Договоры, стороной которых либо выгодоприобретателем или поручителем по которым является субъект ПД;
  • Договоры, заключенные Обществом
  • Согласие субъекта ПД на Обработку ПД
  • Права и законные интересы Общества и третьих лиц.

4. Права субъектов персональных данных

4.1. В целях обеспечения защиты ПД, обрабатываемых Обществом, субъект ПД или его Представитель имеет право:

  • на получение сведений касательно Обработки его ПД Обществом
  • требовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • запрашивать свои ПД, обрабатываемые в Обществе, и получать их в доступной форме;
  • требовать извещения Обществом всех лиц, которым ранее Обществом были сообщены неверные или неполные ПД субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжаловать действия или бездействие Общества в Роскомнадзоре или в судебном порядке;
  • отозвать свое согласие на Обработку ПД.

4.2 Сведения, указанные в пункте 4.1 Политики, предоставляются субъекту ПД или его Представителю Обществом в течение 10 (Десяти) рабочих дней с момента обращения либо получения Обществом Запроса субъекта ПД или его Представителя. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Обществом в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

4.3. Для реализации вышеуказанных прав субъекту ПД необходимо направить Обществу Запрос/заявление одним из следующих способов:

  • в письменной форме, подписанное собственноручной подписью — по адресу 129085, Россия, г. Москва, ул. Годовикова, д. 9, стр. 31, подъезд 31.12, эт. 3, пом. 307;
  • в виде электронного документа, подписанного электронной подписью — на электронную почту info@kbmik.ru.

Такие Запрос/заявление должны в обязательном порядке содержать описание требований субъекта ПД, а также следующие сведения:

  • ФИО субъекта ПД;
  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
  • подпись субъекта персональных данных или его представителя.

4.4. Общество предоставляет сведения, указанные в пункте 4.1 Политики, субъекту ПД или его Представителю в той форме, в которой направлены соответствующие Запрос или заявление, если иное не указано в Запросе/заявлении.

5. Цели обработки ПД, категории субъектов ПД и категории обрабатываемых ПД

№ п/п

Цель обработки ПД

Категории субъектов ПД

Категории обрабатываемых ПД

1

Осуществление Обществом предпринимательской деятельности

·       Клиенты

·       Контрагенты

·       Выгодоприобретатели, поручители по договорам

·       Контактные лица

·       Представители

·       Партнеры

·       Фамилия, имя, отчество

·       Должность

·       ИНН/ОГРНИП

·       Адрес регистрации

·       Адрес фактического места жительства

·       Вид, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

·       Реквизиты доверенности

·       Номер телефона

·       Адрес электронной почты

·       Записи звонков (разговоров)

2

Осуществление Обществом деятельности в области электронной коммерции в качестве владельца сайта/агрегатора информации о товарах (услугах) в сети «Интернет»

·       Клиенты

·       Контрагенты

·       Контактные лица

·       Пользователи сайтов

·       Посетители сайтов

·       Партнеры

·       Фамилия, имя, отчество

·       Номер телефона

·       Адрес электронной почты

·       Адрес доставки

·       Регистрационные и авторизационные данные (логин, пароль и т.д.), технические сведения о пользовательских устройствах и идентификаторы, в т.ч. файлы cookies,

3

Контроль качества использования сервисов сайта и услуг, предоставляемых третьими лицами с использованием сервисов сайта Общества

·       Клиенты

·       Контрагенты

·       Контактные лица

·       Представители

·       Пользователи сайтов

·       Партнеры

·       Фамилия, имя, отчество

·       Должность

·       Данные доверенности

·       Вид, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

·       Номер телефона

·       Адрес электронной почты

·       Адрес доставки

4

Рекламирование товаров/услуг, информирование о проводимых акциях, конкурсах

·       Клиенты

·       Контрагенты

·       Пользователи сайтов

·       Партнеры

·       Адрес электронной почты

6. Порядок и условия обработки персональных данных

6.1. Обработка ПД осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.

6.2. Обработка ПД осуществляется с согласия субъектов ПД на обработку их ПД. В случае отзыва субъектом ПД согласия на обработку ПД Общество вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».

6.3. Общество, являясь Оператором, получает согласие субъекта ПД в письменной форме в следующих случаях:

  • Обработки Биометрических ПД;
  • Обработки специальных категорий ПД при отсутствии иных правовых оснований, предусмотренных Федеральным законом № 152-ФЗ;
  • Трансграничной передачи ПД на территорию государства, не обеспечивающего адекватную защиту прав субъектов ПД;
  • Принятия решения на основании исключительно Автоматизированной обработки ПД, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающего его права и законные интересы;
  • Передачи ПД работника Общества третьему лицу, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством Российской Федерации.
  • Обработки ПД, разрешенных для распространения
  • Получения ПД у третьей стороны
  • Иные случаи, предусмотренные ФЗ «О персональных данных»

6.4. Согласие в письменной форме может быть получено в форме электронного документа, подписанного в соответствии с законодательством Российской Федерации  электронной подписью субъекта ПД.

6.5. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе Обществом признается не только согласие в форме электронного документа, подписанного электронной подписью, но и явно выраженное согласие, данное посредством:

  • заполнения электронной формы при регистрации на сайте Общества
  • отправки электронного письма в адрес Общества
  • нажатия субъектом ПД на кнопку "Подтверждаю", "Согласен", "Принимаю", "Продолжить" и т.п. в интерфейсе сайта Общества после процедуры ознакомления с текстом согласия на Обработку ПД;
  • проставления субъектом ПД отметки в Чек-боксе рядом с текстом согласия на Обработку ПД в интерфейсе сайта Общества;
  • подтверждения согласия голосом, если с согласия субъекта ведется запись разговора и клиент предварительно был идентифицирован;
  • иных способов, позволяющих Обществу подтвердить факт получения согласия субъекта ПД

6.6. Общество осуществляет Обработку ПД с использованием средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, анализ и использование, передачу (распространение, предоставление, доступ) и поручение Обработки третьим лицам, получение от третьих лиц, обезличивание, блокирование, удаление, уничтожение Персональных данных в сроки, необходимые для достижения целей Обработки Персональных данных.

6.7. К обработке персональных данных допускаются работники Общества, в должностные обязанности которых входит обработка персональных данных.

6.8. Общество вправе поручить Обработку ПД другому лицу с согласия Субъекта ПД, а также вправе получать ПД Субъекта ПД от третьих лиц.

6.9. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.

 Общество осуществляет передачу ПД Контрагентов/Клиентов/Пользователей сайта своим Партнерам в целях исполнения обязательств перед Контрагентами/Клиентами/Пользователями сайта по продаже, оплате, возврате/обмену товаров, представленных на сайте, и их доставке.

6.10. Общество вправе осуществлять трансграничную передачу ПД на территорию иностранных государств:

  • - являющихся сторонами Конвенции Советы Европы о защите физических лиц при автоматизированной обработке ПД;
  • - содержащихся в перечне иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и обеспечивающих адекватную защиту прав субъектов ПД, утвержденном уполномоченным органом по защите прав субъектов ПД.

6.11. Хранение ПД осуществляется Обществом с момента предоставления согласия субъекта ПД на обработку его ПД и до момента достижения цели обработки ПД или прекращения необходимости в достижении цели обработки ПД, если иной срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Если иное не предусмотрено законодательством Российской Федерации, Общество прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:

  • достижения целей обработки ПД
  • утраты необходимости в достижении цели обработки ПД
  • истечения срока действия согласия субъекта ПД
  • отзыва согласия субъекта ПД на обработку его ПД, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ «О персональных данных».
  • выявления неправомерной обработки ПД
  • ликвидации Общества;
  • реорганизации Общества, влекущей прекращение его деятельности;
  • отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.

Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.

6.12. Общество может собирать техническую информацию, когда Пользователь посещает сайт Общества. К такой информации относятся: IP-адрес, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся сайтов, путь, по которому пользователь проходит через сайты, геолокация и другая информация. Общество может также использовать такие технологии, как файлы cookie, веб-маяки для сбора информации об использовании сайта. Файлы cookie позволяют Обществу предоставлять пользователям соответствующую информацию по мере использования ими сайта Общества (например, открывать и загружать соответствующие страницы). Веб-маяки позволяют узнавать, была ли посещена определенная страница, было ли открыто электронное письмо или были ли эффективны рекламные баннеры на сайте Общества и других сайтах.

Общество использует данную информацию для обеспечения работоспособности своего сайта, для повышения качества оказываемых услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом Общество не преследует цели идентифицировать конкретного пользователя сайта.

6.13. При обработке ПД Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, внутренних документов и локальных нормативных актов Общества в области персональных данных;
  • принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
  • издает внутренние документы, определяющие политику Общества в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • осуществляет ознакомление работников Общества, его филиалов, представительств и структурных подразделений, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, внутренних документов и локальных нормативных актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
  • проводит регулярные обязательные тренинги для своих работников по вопросам персональных данных;
  • осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Общества в области персональных данных;
  • публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
  • прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Российской Федерации;
  • совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

6.14. При сборе ПД, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

7. Сведения о мерах по защите персональных данных

Общество при обработке ПД принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества.

К таким мерам, в частности, относятся:

  • разработка моделей угроз;
  • определение угроз безопасности ПД при их обработке в информационных системах ПД;
  • применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПД;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
  • обнаружение фактов несанкционированного доступа к ПД и принятием мер;
  • восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;
  • контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД;
  • учет машинных носителей ПД;
  • антивирусная защита;
  • резервное копирование и восстановление ПД;
  • защита среды виртуализации;
  • защита технических средств;
  • выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и/или возникновению угроз безопасности ПД, и реагированию на них;
  • поддержание технических средств охраны, сигнализации в постоянной готовности;
  • проведение мониторинга действий Пользователей сайта, проведение разбирательств по фактам нарушения требований безопасности ПД.