Приложение №4 к Приказу № 03-Пдн от 14 февраля 2018

ПОЛИТИКА

ООО «ПРЕМИУМ ЭСТЕТИКС» В ОТНОШЕНИИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

г. Москва, 2018 г.

Настоящая Политика ООО «Премиум Эстетикс» в отношении обработки персональных данных и обеспечения конфиденциальности (далее — Политика) действует в отношении персональных данных (далее – ПДн), которую ООО «Премиум Эстетикс» (далее – Компания) может получить о физических лицах (далее – Субъектов ПДн), в т.ч. о пользователе во время использования им любого из сайтов, сервисов, служб, программ и продуктов Компании (далее — Сервисы). Политика является открытым (общедоступным) документом.

При обработке персональных данных пользователей Компания руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативно-правовыми актами РФ в области защиты персональных данных

Принципы, которые лежат в основе подхода к конфиденциальности и обработке ПДн:

• осуществление обработки персональных данных на законной и справедливой основе;

• ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;

• соответствие содержания и объема обрабатываемых ПДн заявленным целям их обработки, отсутствие избыточности обрабатываемых ПДн по отношению к целям их обработки;

• недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях;

• обеспечение точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;

• хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

• мы ценим доверие, которое Вы оказываете нам, предоставляя Ваши ПДн. Мы всегда будем использовать Ваши ПДн честным и достойным доверия путем;

• Вы имеете право получить достоверную информацию о том, как мы используем Ваши персональные данные. Для Вас должно всегда быть понятным то, какую информацию мы собираем, что мы с ней делаем, с кем мы делимся ею, и к кому следует обратиться, если у Вас возникли какие-либо проблемы;

• если у Вас возникли какие-либо вопросы о том, как мы используем Ваши персональные данные, мы будем рады сотрудничать с Вами, чтобы оперативно решить все вопросы;

• мы предпримем все необходимые меры для обеспечения безопасности персональных данных от неправомерного использования и сохраним ее в безопасном месте.

1. Персональные данные, обрабатываемые в Компании

1.1. Состав обрабатываемых в Компании ПДн формируется в соответствии с ФЗ №152, нормативными правовыми актами Российской Федерации, а также Уставом Компании, договорами и бизнес-процессами Компании, и состоит из следующей информации:

1.1.1. ПДн, которые физические лица предоставляют самостоятельно или через законных представителей, в т.ч. которые пользователь предоставляет о себе самостоятельно при регистрации (создании учётной записи) или в процессе использования Сервисов. Обязательная для предоставления Сервисов (оказания услуг) информация помечена специальным образом. Иная информация предоставляется пользователем на его усмотрение.

1.1.2. ПДн, которые автоматически передаются Сервисам Компании в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы.

1.2. Настоящая Политика применима только к Сервисам Компании. Компания не контролирует и не несет ответственность за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайтах Компании, в том числе в результатах поиска. На таких сайтах у пользователя может собираться или запрашиваться иные ПДн, а также могут совершаться иные действия.

1.3. Компания не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и интимной жизни, а также обработку биометрических ПДн.

2. Основания обработки персональных данных

2.1. Компания осуществляет обработку ПДн в конкретных, заранее определенных и законных целях и на законных основаниях.

2.2. Обработка ПДн в Компании осуществляется в следующих случаях:

• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

• обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;

• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

• обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

• осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - общедоступные персональные данные);

• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3. Условия обработки персональных данных пользователя и их передачи третьим лицам

3.1. Компания обрабатывает ПДн пользователей в соответствии с законодательством Российской Федерации.

3.2. В случае получения ПДн субъекта от третьей стороны, Компания уведомляет о данном факте субъекта ПДн и сообщает ему источник получения ПДн, его права в отношении обрабатываемых ПДн, наименование и адрес Компании, цели и правовое основание обработки ПДн, предполагаемых пользователей ПДн. Исключение составляют случаи, когда:

• субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

• ПДн переданы в Компанию на основании требований федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

• ПДн являются общедоступными;

• Компания осуществляет обработку ПДн по поручению третьего лица–оператора на основании договора, заключенного между Компанией и таким третьим лицом;

• предоставление субъекту ПДн сведений, перечисленных в данном пункте, нарушает права и законные интересы третьих лиц.

3.3. Компания вправе передать ПДн пользователя третьим лицам в следующих случаях:

3.3.1. Пользователь выразил свое согласие на такие действия;

3.3.2. Передача необходима для исполнения договора или оказания услуги, где стороной или выгодоприобретателем является субъект ПДн.

3.3.3. Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;

3.3.4. Такая передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученным им ПДн;

3.3.5. В целях обеспечения возможности защиты прав и законных интересов Компании или третьих лиц в случаях, когда субъект ПДн нарушает Пользовательское соглашение сервисов Компании или иные договора, стороной которой он является.

3.4. Обработка ПДн прекращается, а собранные ПДн уничтожаются или обеспечивается прекращение обработки ПДн и их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Компании) в следующих случаях и в сроки, установленные ФЗ № 152, если иное не установлено законодательством Российской Федерации:

• по истечению установленного срока обработки ПДн;

• по достижении целей обработки ПДн или при утрате необходимости в их достижении;

• при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Российской Федерации;

• по требованию субъекта ПДн или Уполномоченного органа по защите прав субъектов ПДн – если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

• в случае выявления неправомерной обработки ПДн Компанией или лицом, действующим по его поручению, если обеспечить правомерность обработки ПДн невозможно.

4. Порядок обработки ПДн

Обработка ПДн Пользователей

4.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленные им ПДн или её часть, а также параметры её конфиденциальности, воспользовавшись функцией редактирования ПДн в персональном разделе соответствующего Сервиса либо путем направления в адрес Компании уведомления об изменении (обновлении, дополнении) ПДн .

4.2. Пользователь также может удалить предоставленную им в рамках определенной учетной записи ПДн, воспользовавшись функцией «Удалить аккаунт» в персональном разделе соответствующего Сервиса (если соответствующий Сервис предусматривает возможность создания и поддержания персонального аккаунта). При этом удаление аккаунта может повлечь невозможность использования некоторых Сервисов Компании.

Обработка ПДн всех категорий субъектов ПДн

4.3. Компания может поручить обработку ПДн третьему лицу, если иное не предусмотрено законодательством Российской Федерации. При этом:

• обработка третьим лицом ПДн, предоставленных Компании субъектом ПДн (его законным представителем), может осуществляться только с согласия субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями ФЗ № 152;

• обработка ПДн третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с ПДн, и цели обработки, а также положения по обеспечению безопасности ПДн, в том числе требования не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 ФЗ № 152.

4.4. Компания может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством Российской Федерации, договорами и соглашениями с международными организациями или компаниями. При этом в указанные договоры и соглашения должны быть включены положения по обеспечению адекватной защиты прав субъектов ПДн (в том числе положения по обеспечению безопасности ПДн).

4.5. Компания осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн.

4.6. В случае выявления неточных ПДн субъектом ПДн и при обращении субъекта ПДн или его законного представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

4.7. В случае подтверждения факта неточности ПДн на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Компания обеспечивает их уточнение в установленный ФЗ №152 срок со дня предоставления таких сведений и снимает их блокирование.

4.8. В случае, если факт неточности ПДн не подтверждается на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Компания снимает их блокирование.

4.9. Хранение ПДн в форме, позволяющей идентифицировать субъекта ПДн, осуществляется не дольше, чем того требует достижение целей их обработки, если иное не установлено законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

4.10. При сборе ПДн запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов ПДн, включая граждан Российской Федерации, осуществляются с использованием баз данных, расположенных на территории Российской Федерации.

5. Меры, применяемые для обеспечения безопасности персональных данных пользователей

5.1. При обработке ПДн Компания принимает необходимые правовые и достаточные организационные и технические меры для защиты ПДн пользователя и других субъектов ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

5.2. К мерам обеспечения безопасности ПДн в Компании относятся в том числе следующие:

• назначение лица, ответственного за организацию обработки ПДн в Компании;

• предоставление неограниченного доступа к настоящей Политике;

• учет обрабатываемых в Компании ПДн, категорий субъектов, ПДн которых обрабатываются;

• учет информационных систем, в которых обрабатываются ПДн;

• формализация и контроль выполнения порядка обработки ПДн в Компании;

• формализация и контроль выполнения требований по уничтожению ПДн и их носителей;

• обеспечение ознакомления под роспись работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн и настоящей Политикой;

• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• включение положений по обеспечению безопасности ПДн в договоры с третьими лицами, которым передаются ПДн, в том числе требования по соблюдению конфиденциальности переданных ПДн;

• организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующий возможности неконтролируемого проникновения;

• осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности ПДн действующему законодательству Российской Федерации в области обработки и обеспечения безопасности ПДн:

• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;

• — обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;

• — установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

• — контролем за принимаемыми мерами по обеспечению безопасности ПДн в рамках установленного уровня защищенности ПДн при их обработке в ИСПДн.

6. Права и обязанности

6.1. Субъект ПДн имеет право:

• принимать решение о предоставлении своих ПДн и давать согласие на их обработку свободно, своей волей и в своём интересе;

• требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

• получать информацию, касающуюся обработки своих ПДн, на основании запроса и в порядке, установленном ФЗ № 152;

• на отзыв согласия на обработку своих ПДн, если наличие такого согласия требуется в соответствии с законодательством Российской Федерации;

• требовать извещения всех лиц, обрабатывающих ПДн по поручению Компании, которым ранее были сообщены неверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;

• обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

• осуществлять иные права, предусмотренные законодательством Российской Федерации.

6.2. Субъект ПДн обязан:

• предоставлять достоверные ПДн;

• своевременно информировать Копании об изменении своих ПДн.

6.3. Компания, как оператор ПДн, имеет право:

• отстаивать свои интересы в суде;

• предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

• отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;

• обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации;

• осуществлять иные права, предусмотренные законодательством Российской Федерации.

6.4. Компания, как оператор ПДн, обязана:

• осуществлять обработку и защиту ПДн в соответствии с требованиями нормативных правовых актов Российской Федерации в области обработки и обеспечения безопасности ПДн;

• уведомлять субъекта об обработке его ПДн в случае получения ПДн от третьих лиц, если иное не установлено законодательством Российской Федерации;

• предоставлять субъекту ПДн информацию, касающуюся обработки его ПДн, по запросу субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации;

• разъяснять субъекту ПДн юридические последствия отказа в предоставлении его ПДн, если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации;

• организовать прием и обработку обращений и запросов субъектов ПДн или их представителей;

• организовать прием и обработку запросов уполномоченных органов.

7. Изменение Политики. Применимое законодательство

7.1. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на странице по адресу http://www.premium-a.ru/policy.html.

7.2. К настоящей Политике и отношениям между субъектами ПДн и Компанией, возникающим в связи с применением настоящей Политики, подлежит применению право Российской Федерации.

8. Обратная связь. Вопросы и предложения

8.1. Вопросы, касающихся обработки ПДн Компанией, субъекты ПДн могут направить по адресу электронной почты:  info@premium-a.ru или на почтовый адрес Компании: 123298, г. Москва, пр-т Маршала Жукова, 51, ООО «Премиум Эстетикс» (в случае изменения адреса информация будет размещена на web-сайте в сети Интернет: https://www.premium-a.ru/contacts/.