УТВЕРЖДЕНО

Приказом № 03-Пдн

от 14 февраля 2018

 

в редакции Приложения №1 к

Приказу №01- Пдн от 01.06.2023г.

 

 

 

 

 

 

 

 

 

ПОЛИТИКА

ООО «ПРЕМИУМ ЭСТЕТИКС» В ОТНОШЕНИИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 

 

 

 

 

 

 

 

 

 

г. Москва, 2023 г.

 


1. Общие положения

1.1. Настоящая Политика Общества с ограниченной ответственностью «Премиум Эстетикс» в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и действует в отношении персональных данных (далее – ПДн), которые ООО «Премиум Эстетикс» (далее – Компания) может получить о физических лицах (далее – Субъектов ПДн), в т.ч. о пользователе во время использования им любого из сайтов, сервисов, служб, программ и продуктов Компании (далее — Сервисы). Политика является открытым (общедоступным) документом.

1.2. При обработке персональных данных пользователей Компания руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативно-правовыми актами РФ в области защиты персональных данных.

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Компании.

1.4. Основные принципы, которые лежат в основе подхода к конфиденциальности и обработке ПДн:

§  осуществление обработки персональных данных на законной и справедливой основе;

§  ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;

§  соответствие содержания и объема обрабатываемых ПДн заявленным целям их обработки, отсутствие избыточности обрабатываемых ПДн по отношению к целям их обработки;

§  недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях;

§  обеспечение точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;

§  хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

1.5. Основные понятия и сокращения, используемые в Политике

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Права и обязанности субъекта персональных данных

2.1. Субъект ПДн имеет право:

¾    получать информацию, касающуюся обработки своих ПДн, на основании запроса и в порядке, установленном ФЗ № 152. Сведения предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

¾    требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

¾    дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;

¾    отозвать согласие на обработку своих ПДн, если наличие такого согласия требуется в соответствии с законодательством Российской Федерации;

¾    требовать извещения всех лиц, обрабатывающих ПДн по поручению Компании, которым ранее были сообщены неверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;

¾    обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;

¾    осуществлять иные права, предусмотренные законодательством Российской Федерации.

2.2. Субъект ПДн обязан:

¾    предоставлять достоверные ПДн;

¾    своевременно информировать Копании об изменении своих ПДн.

 

3. Права и обязанности Компании

3.1. Компания, как оператор ПДн, имеет право:

¾    самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

¾    поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

¾    в случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

¾    предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

¾    отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;

¾    обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации;

¾    осуществлять иные права, предусмотренные законодательством Российской Федерации.

3.2. Компания, как оператор ПДн, обязана:

¾    организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

¾    отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

¾    сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Компания направляет в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

¾    в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

¾    уведомлять субъекта об обработке его ПДн в случае получения ПДн от третьих лиц, если иное не установлено законодательством Российской Федерации;

¾    предоставлять субъекту ПДн информацию, касающуюся обработки его ПДн, по запросу субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации;

¾    разъяснять субъекту ПДн юридические последствия отказа в предоставлении его ПДн, если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации;

¾    организовать прием и обработку обращений и запросов субъектов ПДн или их представителей;

¾    организовать прием и обработку запросов уполномоченных органов.

 

4. Основания обработки персональных данных

4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных, в том числе:

§  Конституция Российской Федерации;

§  Гражданский кодекс Российской Федерации;

§  Трудовой кодекс Российской Федерации;

§  Налоговый кодекс Российской Федерации;

§  Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";

§  Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

§  Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

§  иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.

4.2. Основанием обработки персональных данных также являются:

§  Устав Компании;

§  договоры, заключаемые между Компанией и субъектами персональных данных;

§  согласия субъектов персональных данных на обработку их персональных данных.

 

5. Цели сбора, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

 

5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.4. Персональные данные обрабатываются Компанией в следующих целях:

Цель обработки

 персональных данных

Категории субъектов персональных данных

Категории и перечень персональных данных

Для заключения и исполнения договоров с участием субъектов персональных данных в качестве сторон, выгодоприобретателей или поручителей по таким договорам

·  Физические лица, являющиеся клиентами и контрагентами Компании;

·  Стороны, выгодоприобретатели или поручители по договорам;

·  Физические лица, оказывающие услуги Компании

 

Общая категория:

·  ФИО;

·  Пол;

·  Дата и место рождения;

·  Данные документов, удостоверяющих личность;

·  Адрес регистрации по месту жительства и адрес фактического проживания;

·  Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес);

·  Банковские реквизиты;

·  Реквизиты доверенностей;

·  ИНН, СНИЛС, ОГРНИП, идентификаторы пользователей сервисов и продуктов Компании

 

Для осуществления иной обычной хозяйственной деятельности как юридического лица, в том числе путем рекламирования себя, своих товаров и услуг, организации пропускного режима, обеспечения безопасности

посетителей на своей территории, взаимодействия с субъектами персональных данных, контрагентами и третьими лицами, в соответствии с действующим законодательством Российской Федерации, уставом, внутренними документами и локальными нормативными актами

 

·  Представители/работники  клиентов и контрагентов Компании, государственных органов, субъектов персональных данных и третьих лиц;

·  Посетители территории Компании;

·  Иные субъекты персональных данных, каким-либо образом взаимодействующих с Компанией в рамках заявленной цели

 

Для оформления и регулирования трудовых отношений Компании с субъектами персональных данных и иных непосредственно связанных с ними отношений, в том числе для исполнения обязательств и реализации прав сторон в рамках трудовых договоров между ними, включая, но не ограничиваясь, для расчета и выплаты заработной платы, направления субъектов персональных данных в командировки, для обеспечения безопасности субъектов персональных данных, Компании и третьих лиц, для контроля количества и качества выполняемой работы и обеспечения сохранности имущества субъектов персональных данных, Компании и третьих лиц, для получения субъектами персональных данных различных гарантий и льгот

 

 

·  Работники Компании;

·  Близкие родственники работников Компании;

·  Бывшие работники Компании;

·  Кандидаты на замещение вакантных должностей Компании

 

Общая категория:

·  Гражданство;

·  ФИО;

·  Пол;

·  Дата и место рождения;

·  Данные документов, удостоверяющих личность;

·  Адрес регистрации по месту жительства и адрес фактического проживания;

·  Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес);

·  Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные;

·  Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Компании, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством РФ;

·  Сведения о воинском учете и сведения, содержащиеся в документах воинского учета;

·  Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

·  ИНН, СНИЛС;

·  Банковские реквизиты;

·  Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника в Компании;

·  Сведения о доходах;

·  Сведения о деловых и иных личных качествах, носящие оценочный характер;

·  Сведения о временной нетрудоспособности;

·  Фото- и видеоизображения

 

Специальная категория:

·  Сведения о состоянии здоровья

 

Для продвижения товаров, работ и услуг Компании

·  Пользователи веб-сайтов и иных онлайн-сервисов Компании;

·  Подписчики и пользователи аккаунтов Компании в соц. сетях;

·  Участники рекламных и/или промо-акций, проводимых Компанией;

·  Участники конкурсов, проводимых Компаний;

·  Участники онлайн и очных мероприятий, организуемых Компанией;

·  Физические лица, являющиеся моделями при демонстрации работы товаров Компании;

·  Иные субъекты персональных данных, каким-либо образом взаимодействующих с Компанией в рамках заявленной цели

 

Общая категория:

·  ФИО,

·  адрес электронной почты,

·  контактный телефон,

·  возраст;

·  пол;

·  сведения об аккаунтах в соц. сетях,

·  метрики,

·  место работы и занимаемая должность,

·  фотоизображение;

·  видеоизображение

 

Обеспечение доступа к вэб-сайтам и их отдельным функциям

·  Пользователи веб-сайтов и иных онлайн-сервисов Компании

Общая категория:

·  Регистрационные и авторизационные данные в сервисах (логин, пароль и т.д.),

·  Метрики, технические сведения о пользовательских устройствах и идентификаторы, в т.ч. файлы cookies, и иные данные, самостоятельно предоставленные такими пользователями в адрес Компании

 

5.5. Обработка Компанией биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

5.6. Компанией не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

 

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется Компанией в соответствии с требованиями законодательства Российской Федерации.

6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

6.3. Компания обрабатывает персональные данные только при наличии хотя бы одного из условий ниже в течение следующих сроков:

Правовое основание обработки персональных данных

 

Срок обработки и хранения персональных данных

С согласия субъекта персональных данных на обработку его персональных данных

В течение срока, на который было дано согласие на обработку персональных данных

 

Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей

 

В течение срока, установленного соответствующими международными договорами или законами

 

При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом

 

В течение срока, установленного соответствующими законами

 

Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве

 

В течение срока, необходимо для исполнения соответствующего акта

 

Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем

 

В течение срока действия такого договора, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации

 

Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно

 

До момента, когда получение согласия субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие жизни, здоровью или иным жизненно важным интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше)

Для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных

 

В течение срока, необходимого для осуществления прав и обеспечения законных интересов

Конкретный срок определяется Компании с учетом положений настоящей Политики, внутренних документов и локальных нормативных актов Компании, а также принципов обработки персональных данных и требований действующего законодательства Российской Федерации, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определенных и законных целей такой обработки

6.4. Компания осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

·         неавтоматизированная обработка персональных данных;

·         автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

·         смешанная обработка персональных данных.

6.5. К обработке персональных данных допускаются работники Компании, в должностные обязанности которых входит обработка персональных данных.

6.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

6.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

6.8. Компания осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

6.8.1. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

6.8.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6.9. Компания прекращает обработку персональных данных в следующих случаях:

·         выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;

·         достигнута цель их обработки;

·         истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

6.10. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Компания прекращает обработку этих данных, если:

·         иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

·         Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

·         иное не предусмотрено другим соглашением между Компанией и субъектом персональных данных.

6.11. При обращении субъекта персональных данных к Компании с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Компанией соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Компании необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

6.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

6.13. Компания вправе передать ПДн пользователя третьим лицам в следующих случаях:

6.13.1. Субъект ПДн выразил свое согласие на такие действия;

6.13.2. Передача необходима для исполнения договора или оказания услуги, где стороной или выгодоприобретателем является субъект ПДн.

6.13.3. Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;

6.13.4. Такая передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученным им ПДн;

6.13.5. В целях обеспечения возможности защиты прав и законных интересов Компании или третьих лиц в случаях, когда субъект ПДн нарушает условия договора, стороной которого он является.

6.14. Компания может поручить обработку ПДн третьему лицу, если иное не предусмотрено законодательством Российской Федерации. При этом:

§  обработка третьим лицом ПДн, предоставленных Компании субъектом ПДн (его законным представителем), может осуществляться только с согласия субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями ФЗ № 152;

обработка ПДн третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с ПДн, и цели обработки, а также положения по обеспечению безопасности ПДн, в том числе требования не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 ФЗ № 152.

6.15. Компания может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством Российской Федерации, договорами и соглашениями с международными организациями или компаниями. При этом в указанные договоры и соглашения должны быть включены положения по обеспечению адекватной защиты прав субъектов ПДн (в том числе положения по обеспечению безопасности ПДн).

С 1 марта 2023 года трансграничная передача персональных данных может осуществляться исключительно при условии соблюдения Компанией требований ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции, действующей на указанную дату.

6.16. В случае получения ПДн субъекта от третьей стороны, Компания уведомляет о данном факте субъекта ПДн и сообщает ему источник получения ПДн, его права в отношении обрабатываемых ПДн, наименование и адрес Компании, цели и правовое основание обработки ПДн, предполагаемых пользователей ПДн. Исключение составляют случаи, когда:

§  субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

§  ПДн переданы в Компанию на основании требований федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

§  ПДн являются общедоступными;

§  Компания осуществляет обработку ПДн по поручению третьего лица–оператора на основании договора, заключенного между Компанией и таким третьим лицом;

§  предоставление субъекту ПДн сведений, указанных в данном пункте, нарушает права и законные интересы третьих лиц.

6.17. Хранение ПДн в форме, позволяющей идентифицировать субъекта ПДн, осуществляется не дольше, чем того требует достижение целей их обработки, если иное не установлено законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

 

7. Меры, применяемые для обеспечения безопасности персональных данных

7.1. При обработке ПДн Компания принимает необходимые правовые и достаточные организационные и технические меры для защиты персональных данных пользователей и других субъектов ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

7.2. К мерам обеспечения безопасности ПДн в Компании относятся в том числе следующие:

¾    назначение лица, ответственного за организацию обработки ПДн;

¾    предоставление неограниченного доступа к настоящей Политике;

¾    учет обрабатываемых в Компании ПДн, категорий субъектов, ПДн которых обрабатываются;

¾    учет информационных систем, в которых обрабатываются ПДн;

¾    формализация и контроль выполнения порядка обработки ПДн в Компании;

¾    формализация и контроль выполнения требований по уничтожению ПДн и их носителей;

¾    обеспечение ознакомления под роспись работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн и настоящей Политикой;

¾    восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

¾    включение положений по обеспечению безопасности ПДн в договоры с третьими лицами, которым передаются ПДн, в том числе требования по соблюдению конфиденциальности переданных ПДн;

¾    организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующий возможности неконтролируемого проникновения;

¾    осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности ПДн действующему законодательству Российской Федерации в области обработки и обеспечения безопасности ПДн:

¾    применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;

¾    обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;

¾    установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

¾    контролем за принимаемыми мерами по обеспечению безопасности ПДн в рамках установленного уровня защищенности ПДн при их обработке в ИСПДн.

7.3. Третьи лица могут обрабатывать персональные данные строго в соответствии с инструкциями Компании и в случаях, когда они принимают в отношении персональных данных меры защиты, аналогичные мерам, предусмотренным настоящей Политикой.

7.4. Компания ограничивает доступ к персональным данным пользователей и других субъектов ПДн только теми сотрудниками, агентами, подрядчиками и другими третьими лицами, которым это требуется в связи с деловыми целями или целями, предусмотренными законодательством.

7.5. Доступ к информационным системам, содержащим персональные данные, обеспечивается системой паролей. Пароли устанавливаются уполномоченными сотрудниками Компании и индивидуально сообщаются работникам Компании, имеющим доступ к персональным данным.

7.6. Компания использует процедуры по работе с любыми подозрениями о нарушениях требований безопасности в отношении персональных данных, а также уведомляет субъектов ПДн и соответствующие регулирующие органы о таких нарушениях в случаях, когда этого требует законодательство.

 

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов

      8.1. Компания осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн.

8.2.  В случае выявления неточных ПДн субъектом ПДн и при обращении субъекта ПДн или его законного представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

8.3. В случае подтверждения факта неточности ПДн на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Компания обеспечивает их уточнение в течение семи рабочих дней со дня предоставления таких сведений и снимает их блокирование.

8.4. В случае, если факт неточности ПДн не подтверждается на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Компания снимает их блокирование.

8.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Компания  осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

8.6. При выявлении Компанией, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Компания:

в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Компанией на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

8.7. Порядок уничтожения персональных данных Компанией

8.7.1. Условия и сроки уничтожения персональных данных Компанией:

достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;

достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;

предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;

отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

8.8. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

иное не предусмотрено другим соглашением между Компанией и субъектом персональных данных.

8.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора Компании.

8.10. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Компании.

8.11. Подтверждение факта обработки персональных данных Компанией, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Компанией субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Компания направляет субъекту ПДн мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

§  номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

§  сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;

§  подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Компания предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9. Изменение Политики. Применимое законодательство

9.1. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на странице по адресу http://www.premium-a.ru/confidential/.

Пользователь обязуется самостоятельно следить за изменениями Политики путем ознакомления с ее актуальной редакцией.

9.2. Если по тем или иным причинам одно или несколько положений Политики будут признаны недействительными, это не оказывает влияния на действительность остальных положений Политики.

9.3. К настоящей Политике и отношениям между субъектами ПДн и Компанией, возникающим в связи с применением настоящей Политики, подлежит применению право Российской Федерации.

9.4. Вопросы, касающихся обработки ПДн Компанией, субъекты ПДн могут направить по адресу электронной почты:  info@premium-a.ru  или на почтовый адрес Компании: 123298, г. Москва, пр-т Маршала Жукова, 51, ООО «Премиум Эстетикс». В случае изменения адреса информация будет размещена на web-сайте в сети Интернет: https://www.premium-a.ru/contacts/

        10. Контактная информация Компании

ООО «ПРЕМИУМ ЭСТЕТИКС»

ОГРН: 1127746486273

ИНН: 7703770655

Адрес местонахождения: 123154, г. Москва, проспект Маршала Жукова, дом 51, пом.XVI, ком.11

Электронная почта: info@premium-a.ru

Телефон: +7 (495) 846-79-16/80