Политика конфиденциальности, обработки и защиты персональных данных
1. Общие положения
1.1. Настоящая Политика конфиденциальности, обработки и защиты персональных данных (далее – «Политика») определяет общие принципы и порядок обработки персональных данных (далее – «ПД») и меры по обеспечению их безопасности в Обществе с ограниченной ответственностью «Сенлер», ОГРН: 1224300005038, ИНН: 4345518915, юридический адрес: 610002, Кировская обл., г. Киров, ул. Альберта Лиханова, д. 18, пом. 1003 (далее – «Общество»).
1.2. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства РФ.
1.3. Настоящая Политика разработана с учетом требований законодательства РФ.
1.4. Настоящая Политика публикуется в свободном доступе на Сайте Общества по адресу: https://senler.ru/privacy.
1.5. Используемые в настоящей Политике слова и выражения трактуются следующим образом, если иное прямо не определено в контексте.
Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;
Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
Дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет;
Доступ к ПД – ознакомление определенных лиц (в том числе Работников) с ПД субъектов ПД, обрабатываемыми Обществом, при условии сохранения конфиденциальности этих сведений;
Информационная система ПД – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
Контрагент – 1) физическое лицо; 2) юридическое лицо; 3) индивидуальный предприниматель; 4) физическое лицо, занимающееся частной практикой в порядке, установленном законодательством РФ; 5) физическое лицо, применяющее специальный налоговый режим (самозанятый), заключившее гражданско-правовой договор с Обществом;
Конфиденциальность ПД – обязанность лиц, получивших Доступ к ПД, не раскрывать их третьим лицам и не распространять ПД без согласия Субъекта ПД, если иное не предусмотрено законодательством РФ;
Облачная вычислительная инфраструктура – общий пул конфигурируемых вычислительных ресурсов (сети передачи данных, серверы, устройства хранения данных, приложения и сервисы – как вместе, так и по отдельности), к которым обеспечен повсеместный и удобный сетевой доступ по требованию, и которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру, обладающие пятью основными свойствами: самообслуживание по требованию; универсальный доступ по сети; объединение ресурсов; эластичность; учёт потребления;
Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПД;
Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД; в настоящей Политике под Оператором понимается ООО "Сенлер", если иное не указано специально;
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
Пользователь Сайта и/или ПО – физическое лицо, посещающее Сайт и/или использующее программное обеспечение Общества;
Предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
ПО - программа для ЭВМ, являющаяся собственной разработкой Общества, предназначенная для интеграции с сообществами в социальных сетях и автоматизации общения с подписчиками. Запись в реестре российского ПО №20139 от 27.11.2023;
Работник – физические лицо, состоящее с Обществом в трудовых отношениях на основании заключенного трудового договора;
Распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц;
Сайт – сайт в информационно-телекоммуникационной сети Интернет, владельцем которого является Общество. К Сайтам относятся, в том числе: https://senler.ru/, его поддомены;
Субъект ПД – физическое лицо, к которому относятся ПД;
Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в Информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;
Уволенный работник – физическое лицо, ранее состоявшее с Обществом в трудовых отношениях на основании заключенного трудового договора.
Файлы cookie – преимущественно небольшие текстовые файлы, которые хранятся на компьютере, планшете, мобильном телефоне или другом устройстве Пользователя сайта, в которых хранится информация о его предыдущих действиях на Сайте.
2. Нормативное обоснование осуществления обработки персональных данных
Совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПД:
- Конституция Российской Федерации, принятая всенародным голосованием 12.12.1993;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- Договоры, заключаемые между Обществом и Субъектами ПД, в т.ч. лицензионное соглашение ООО "В Контакте" https://vk.com/licence, оферта об использовании VK ID https://platform.vk.com/?p=Offer, правила платформы ВКонтакте для разработчиков https://dev.vk.com/ru/rules;
- Согласие Субъектов ПД на обработку их ПД.
3. Принципы обработки персональных данных
3.1. Обработка ПД Обществом осуществляется в соответствии со следующими принципами:
3.1.1. Законность и справедливая основа обработки ПД. Общество принимает все необходимые меры по выполнению требований законодательства РФ, не обрабатывает ПД в случаях, когда это не допускается законодательством РФ и не требуется для достижения определенных Обществом целей, не использует ПД во вред Субъектам ПД.
3.1.2. Ограничение обработки ПД достижением конкретных, заранее определённых и законных целей.
3.1.3. Обработка только тех ПД, которые отвечают заранее объявленным целям их обработки; соответствие содержания и объёма обрабатываемых ПД заявленным целям обработки; недопущение обработки ПД, не совместимой с целями сбора ПД, а также избыточных по отношению к заявленным целям обработки ПД. Общество не собирает и не обрабатывает ПД, не требующиеся для достижения целей, указанных настоящей Политике, не использует ПД Субъектов ПД в каких-либо целях, кроме указанных.
3.1.4. Недопущение объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
3.1.5. Обеспечение точности, достаточности и актуальности ПД по отношению к целям обработки ПД. Общество принимает все разумные меры по поддержке актуальности обрабатываемых ПД, включая (без ограничения) реализацию права каждого Субъекта ПД получать для ознакомления свои ПД и требовать от Общества их уточнения, блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки без объяснения причин такого требования.
3.1.6. Хранение ПД в форме, позволяющей определить Субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПД.
3.1.7. Уничтожение ПД осуществляется: по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законодательством РФ порядка обработки ПД, отзыве согласия на обработку Субъектом ПД, истечении срока обработки ПД, установленных согласием на обработку ПД, если иное не предусмотрено законодательством РФ. Персональные данные уничтожаются путем стирания их из Информационной системы без возможности восстановления путем использования встроенных средств Информационной системы. Документом, подтверждающим Уничтожение ПД, является акт об уничтожении ПД.
4. Условия обработки ПД
4.1 Обработка ПД Обществом допускается в следующих случаях:
4.1.1. С согласия Субъекта ПД на обработку его ПД.
Согласие, получаемое Обществом о Субъекта ПД оформляется путем совершения конклюдентных действия при использовании Сайта или ПО. Кроме того, согласие может быть получено в форме электронного документа, подписанного электронной подписью в соответствии с законодательством об электронной подписи.
4.1.2. Иных случаях, установленных в части 1 статьи 6 Федерального закона 152-ФЗ.
4.2. Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Такое согласие Субъект ПД предоставляет Оператору непосредственно.
4.3. Общество не раскрывает третьим лицам ПД без согласия Субъекта ПД, если иное не предусмотрено законодательством РФ.
4.4. Органам государственной власти, включая правоохранительные органы и суды, ПД предоставляются (передаются) в соответствии с требованиями законодательства РФ.
Согласие Субъектов ПД на Предоставление их ПД не требуется при получении Обществом, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством РФ.
4.5. При сборе ПД Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД с использованием баз данных, находящихся на территории Общества и в Дата-центрах на территории Российской Федерации.
4.6. Общество вправе осуществлять Трансграничную передачу ПД в соответствии с процедурой, установленной законодательством РФ, при условии выполнения требований статьи 12 Федерального закона 152-ФЗ. В настоящее время Общество Трансграничную передачу персональных данных не осуществляет.
5. Перечень действий, осуществляемых Оператором с полученными персональными данными
5.1. Общество осуществляет автоматизированную обработку ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
5.2. Обработка ПД может включать в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), блокирование, удаление, уничтожение.
5.3. Также на сайте происходит сбор и обработка данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и других по выбору Оператора).
6. Цели обработки персональных данных, категории персональных данных, перечень Субъектов
6.1. Общество осуществляет обработку следующих персональных данных в целях:
| Цели | Категории ПД | Субъекты ПД |
|---|---|---|
| - Обеспечение соблюдения трудового законодательства - Обеспечение соблюдения пенсионного законодательства - Ведение кадрового и бухгалтерского учета и отчетности |
Общие Иные |
- Работники Общества - их близкие родственники - уволенные Работники |
| Подготовка, заключение и исполнение гражданско-правового договора | Общие Иные |
Контрагенты и их представители |
| Предоставление функционала ПО | Общие Иные |
Клиенты, пользователи социальной сети ВКонтакте |
| Продвижение товаров, работ, услуг на рынке | Общие Иные |
Клиенты |
| Улучшение работы Сайта | Иные | Посетители Сайта |
6.2 Общество не обрабатывает ПД, относящиеся к специальным категориям - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья.
6.3 Общество не осуществляет обработку Биометрических ПД - сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
7. Права и обязанности Сторон
7.1 Субъект ПД имеет право на:
7.1.1 осуществление защиты персональных данных Оператором от неправомерного или случайного доступа;
7.1.2 полную информацию персональных данных Субъекта, обрабатываемых Оператором;
7.1.3 доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
7.1.4 изменение, уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
7.1.5 отзыв согласия на обработку персональных данных;
7.1.6 принятие предусмотренных законом мер по защите своих прав;
7.1.7 обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства РФ в области защиты персональных данных;
7.1.8 осуществление иных прав, предусмотренных законодательством РФ.
7.2 Обязанности Общества:
7.2.1 Общество обязано предоставить Субъекту ПД или его представителю сведения, предусмотренные законодательством РФ.
7.2.2 В случае выявления неправомерной обработки ПД Общество обязано осуществить Блокирование неправомерно обрабатываемых ПД, относящихся к этому Субъекту ПД.
7.2.3 В случае предоставления Субъектом ПД или его представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие ПД и уведомить Субъекта ПД или его представителя о внесенных изменениях и предпринятых мерах, принять разумные меры для уведомления третьих лиц, которым ПД этого Субъекта ПД были переданы.
7.2.4 В случае выявления неправомерной обработки ПД, осуществляемой Обществом, или лицом, действующим по его поручению, Общество обязано прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества.
8. Конфиденциальность персональных данных
8.1 Работниками Общества, получившими Доступ к ПД, должна быть обеспечена Конфиденциальность ПД.
8.2 Общество вправе с согласия Субъекта ПД поручить обработку ПД другому лицу, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку ПД по поручению Общества, соблюдать принципы, правила обработки ПД и требования к обработке, предусмотренные законодательством РФ. Объем передаваемых другому лицу для обработки ПД и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Обществом.
8.3 В поручении Общества должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, перечень обрабатываемых по поручению ПД, должна быть установлена обязанность такого лица соблюдать Конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, по запросу Общества в течение срока действия поручения, в том числе до обработки ПД, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных статьей 6 Федерального закона 152-ФЗ, должны быть указаны требования об уведомлении Оператора о фактах неправомерной или случайной передачи (Предоставления, распространения, Доступа) ПД, повлекшей нарушение прав Субъектов ПД, а также требования к защите обрабатываемых ПД в соответствии со статьей 19 указанного закона.
8.4 При выполнении поручения Общества на обработку ПД лицо, которому такая обработка поручена, вправе использовать для обработки ПД свои Информационные системы, соответствующие требованиям безопасности, установленным законодательством РФ, что отражается Обществом в заключаемом договоре поручения на обработку ПД.
8.5 Общество вправе разместить свои Информационные системы ПД в Дата-центре (Облачной вычислительной инфраструктуре). В этом случае в договор с Дата-центром (провайдером облачных услуг) в качестве существенного условия может включаться требование о запрете доступа персонала Дата-центра к Информационным системам ПД Общества, размещаемых в Дата-центре (облачной инфраструктуре).
9. Сведения о принимаемых мерах для защиты ПД
9.1 Общество проводит и документально оформляет в соответствии с требованиями, действующего законодательства, определение типа угроз безопасности ПД, актуальных для Информационных систем ПД, с учетом оценки возможного вреда Субъектам ПД, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности ПД и требований к защите ПД при их обработке в Информационных системах, исполнение которых обеспечивает установленные уровни защищенности ПД.
9.2 Безопасность ПД, обрабатываемых Обществом, обеспечивается принятием правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства РФ в области защиты ПД для третьего уровня защищенности ПД (УЗ 3).
9.3 Размещение Информационной системы реализовано в Дата-центре (облачной инфраструктуре), принадлежащем ООО "Проклауд" (ИНН 7702412488 ОГРН 1177746096835), физический адрес размещения серверного оборудования - г. Москва, Варшавское шоссе, д. 125, стр. 16. В связи с размещением информационной системы в облачной инфраструктуре часть мер безопасности принимается Дата-центром (провайдером облачных услуг), что отражается в договоре между ООО "Сенлер" и ООО "Проклауд" (провайдером облачных услуг).
10. Заключительные положения
10.1 Иные обязанности и права Общества как Оператора ПД и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области ПД.
10.2 Настоящая Политика пересматривается по мере необходимости. Обязательный пересмотр настоящей Политики проводится в случае существенных изменений законодательства РФ, а также изменения в информационной инфраструктуре и (или) в используемых Обществом информационных технологиях.
10.3 Общество вправе вносить изменения в настоящую Политику в одностороннем порядке. Новая редакция настоящей Политики вступает в силу с момента ее размещения по адресу https://senler.ru/privacy. Субъект ПД обязуется самостоятельно знакомиться с актуальной редакцией Политики, размещенной и постоянно доступной Сайте Общества.
10.4 Соглашаясь с данной Политикой Оператора субъект персональных данных также соглашается со следующими положениями политики конфиденциальности: https://yandex.ru/legal/confidential/ и https://vk.com/privacy.
10.5 Субъекты ПД, вправе направлять запросы/обращения по поводу неточности ПД, неправомерности их обработки, отзыва согласия и доступа Субъекта ПД к своим ПД, иные обращения, связанные с ПД Субъектов ПД, следующими способами:
- на электронный адрес Общества: support@senler.ru;
- на почтовый адрес Общества: 610002, Кировская обл., г. Киров, ул. Альберта Лиханова, д. 18, пом. 1003.
Запросы/обращения должны быть подписаны Субъектами ПД собственноручно. В случае направления запроса/обращения на электронную почту Общества, направлению подлежит скан-копия соответствующего запроса/обращения, подписанного субъектом ПД.
Субъект ПД соглашается, что Общество вправе направить ответ на электронную почту, с которой Субъектом ПД был направлен соответствующий запрос/обращение.
10.6 Уполномоченные органы вправе направлять запросы/обращения следующими способами:
- на почтовый адрес Общества: 610002, Кировская обл., г. Киров, ул. Альберта Лиханова, д. 18, пом. 1003.
10.7 Сроки реагирования на запросы/обращения Субъекта ПД определяются законодательством РФ.
10.8 Формы запросов/обращений Субъектов ПД изложены в Приложении №1 к настоящей Политике.
10.9 Приложения к настоящей Политике:
10.9.1 Приложение №1 - Формы запросов и согласий Субъектов ПД.