ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ1. ОБЩИЕ ПОЛОЖЕНИЯНастоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и статьей 18.1 и 19 указанного закона и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Ивент Технологии» (далее — Оператор).
Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящая политика Оператора в отношении обработки персональных данных (далее — Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта
https://micebooking.ru.
Реквизиты Оператора:- Полное наименование: ООО «Ивент Технологии»
- ОГРН: 1237800146033
- ИНН: 7817133917
- Адрес места нахождения: 196602, г. Санкт-Петербург, вн.тер.г. Город Пушкин, ул. Малиновская, д. 7, литера А, кв. 184
- Адрес электронной почты для обращений: hello@micebooking.ru
- Ответственный за организацию обработки персональных данных: Технический директор Школьник Владимир Константинович
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ2.1.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3.
Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по адресу
https://micebooking.ru.2.4.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5.
Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному пользователю или иному субъекту персональных данных.
2.6.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7.
Оператор — юридическое лицо (ООО «Ивент Технологии»), самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8.
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому пользователю веб-сайта
https://micebooking.ru.
2.9.
Пользователь — любое физическое лицо (включая зарегистрированных и незарегистрированных посетителей), данные о котором обрабатываются Оператором.
2.10.
Передача персональных данных — раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11.
Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.12.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.13.
Уничтожение персональных данных — действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных.
3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА3.1. Оператор имеет право:· получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
· в случае отзыва субъектом персональных данных согласия на обработку персональных данных, продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в Законе о персональных данных;
· самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством.
3.2. Оператор обязан:· предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, в соответствии с требованиями статьи 14 Закона о персональных данных;
· организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
· отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных (обычно в течение 30 календарных дней);
· сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 дней с даты получения запроса;
· публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
· принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий (см. раздел 8 «Меры безопасности»);
· прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке, предусмотренном Законом о персональных данных;
· исполнять иные обязанности, предусмотренные законодательством РФ о персональных данных.
4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Субъекты персональных данных имеют право:· получать информацию, касающуюся обработки его персональных данных, в доступной форме, в соответствии со статьей 14 Закона о персональных данных;
· требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
· на отзыв согласия на обработку персональных данных путем направления письменного уведомления Оператору;
· требовать прекращение обработки персональных данных;
· обжаловать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке неправомерные действия или бездействие Оператора при обработке персональных данных;
· на осуществление иных прав, предусмотренных законодательством РФ.
4.2. Субъекты персональных данных обязаны:· предоставлять Оператору достоверные данные о себе;
· сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных;
· уведомлять Оператора о выявленных фактах неправомерной обработки персональных данных.
4.3. Ответственность за достоверность информацииЛица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
4.4. Реализация прав субъектов персональных данныхПорядок реализации прав:Для реализации своих прав в отношении персональных данных, субъект персональных данных может обратиться к Оператору:
· путем направления письменного обращения по электронной почте:
info@micebooking.ru;
· путем направления письменного обращения по почте на адрес [внести адрес места нахождения];
· путем заполнения специальной формы на веб-сайте
https://micebooking.ru.
Обращение должно содержать:
· фамилию, имя, отчество субъекта персональных данных;
· описание сущности требуемого действия;
· контактную информацию для связи (телефон, электронная почта);
· копию документа, удостоверяющего личность (при необходимости).
Сроки рассмотрения: Оператор рассмотрит обращение и примет необходимые меры в течение 30 календарных дней со дня получения обращения. При необходимости этот срок может быть продлен, но не более чем на 60 дней.
При отзыве согласия: Если субъект персональных данных отозвал согласие на обработку, Оператор прекращает обработку его персональных данных, за исключением случаев, когда обработка должна продолжаться по требованиям федерального закона (например, для ведения налогового учета, выполнения договорных обязательств или исполнения судебных решений).
5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХОператор руководствуется следующими принципами при обработке персональных данных:
5.1.
Законность и справедливость — обработка персональных данных осуществляется на законной и справедливой основе, в полном соответствии с требованиями Закона о персональных данных.
5.2.
Определенность целей — обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3.
Несовместимость целей — не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4.
Соответствие целям — обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5.
Недопустимость избыточности — содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям.
5.6.
Точность и актуальность — при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.
5.7.
Ограничение сроков хранения — хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок не установлен федеральным законом или договором. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
6. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХОператор осуществляет обработку следующих категорий персональных данных:
6.1. Основные персональные данные:· фамилия, имя, отчество;
· адрес электронной почты (включая служебный);
· номера телефонов (включая служебные);
· должность и наименование организации, которую представляет субъект персональных данных;
· информация из заполняемых форм на веб-сайте (заявки, обратная связь, регистрация);
· содержимое сообщений, отправленных через формы связи на веб-сайте.
6.2. Технические данные (собираются автоматически):· IP-адрес пользователя;
· информация об операционной системе и браузере;
· информация об устройстве доступа (тип, модель);
· файлы cookie и локальное хранилище (см. раздел 6.3);
· данные об использовании веб-сайта (посещаемые страницы, время посещения, способ перехода на сайт);
· уникальные идентификаторы устройства.
6.3. Cookie и онлайн-идентификаторыВиды используемых cookie:1.
Строго необходимые cookie — обеспечивают базовую функциональность веб-сайта (авторизация, управление сессией). Используются без согласия пользователя.
2.
Функциональные cookie — сохраняют предпочтения пользователя и другую информацию для улучшения удобства использования сайта. Требуют согласия при первом посещении.
3.
Аналитические cookie — помогают Оператору понять, как пользователи взаимодействуют с веб-сайтом (например, Яндекс.Метрика, Google Analytics). Используются только при согласии пользователя.
4.
Маркетинговые и рекламные cookie — используются для отслеживания поведения пользователей в целях целевой рекламы. Используются только при согласии пользователя.
Управление cookie: Пользователь может управлять cookie:
· через интерфейс согласия на веб-сайте (баннер cookie согласия);
· путем изменения настроек браузера;
· путем отключения аналитики и маркетинговых cookie.
При отзыве согласия на использование аналитических и маркетинговых cookie, Оператор прекращает использование таких идентификаторов для указанных целей.
6.4. Специальные категории данныхОператор
не собирает и не обрабатывает:
генетические данные;
биометрические данные (в целях идентификации);
данные о расовой принадлежности или этническом происхождении;
политические взгляды;
религиозные убеждения;
информацию о состоянии здоровья;
данные о половой жизни.
7. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПРАВОВЫЕ ОСНОВАНИЯЦель обработки | Категории данных | Правовое основание | Срок хранения |
Заключение и исполнение договоров (договоры оказания услуг, услуг по бронированию мероприятий и прочие гражданско-правовые договоры) | ФИО, телефон, e-mail, должность и организация | Исполнение договора (ст. 23 п. 1(1)ж ФЗ-152) | Срок действия договора + 6 лет (в соответствии с требованиями налогового законодательства) |
ИнформированиеПользователя (отправка информационных писем, уведомлений о статусе заказа/бронирования) | ФИО, e-mail, телефон | Исполнение договора или согласие на обработку | По усмотрению пользователя; при отзыве согласия — немедленно |
Предоставление доступа к сервисам и сервисам сайта | ФИО, e-mail, телефон, данные регистрации | Исполнение договора (ст. 23 п. 1(1)ж ФЗ-152) | Срок использования учетной записи + 1 год после её удаления |
Рассылка маркетинговой информации и предложений | ФИО, e-mail, телефон | Согласие на обработку (ст. 23 п. 1(1)а ФЗ-152) | Срок действия согласия, при отзыве — немедленно |
Аналитика и улучшение услуг | IP-адрес, данные о использовании сайта, технические данные, cookie | Согласие на обработку (ст. 23 п. 1(1)а ФЗ-152) и законные интересы Оператора (ст. 23 п. 1(1)б ФЗ-152) | Не более 3 лет; в целях статистики — в обезличенном виде без ограничений |
Выполнение обязательств по налоговому законодательству | ФИО, реквизиты платежей, информация о выполненных работах | Требования Налогового кодекса РФ и Закона о бухгалтерском учете (ст. 23 п. 1(1)д ФЗ-152) | 6 лет |
Обработка платежей | ФИО, телефон, e-mail, реквизиты платежа (через платежный агрегатор) | Исполнение договора и требования законодательства о платежах | Срок действия договора + 6 лет |
Соответствие требованиям законодательства | В зависимости от требования | Требования федерального закона (ст. 23 п. 1(1)д ФЗ-152) | В соответствии с требованиями закона |
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных (ст. 19 Закона о персональных данных).
8.2. Организационные меры защитыОператор принимает следующие организационные меры:
Разграничение доступа — персональные данные доступны только авторизованным работникам Оператора, которые имеют отношение к обработке этих данных в рамках своих функций. Каждому работнику выдается уникальный пароль и логин для входа в информационные системы.
Регулярное обучение — все сотрудники, имеющие доступ к персональным данным, проходят обучение по соблюдению требований Закона о персональных данных и внутренних политик конфиденциальности, а также практики безопасности при работе с данными.
Внутренние документы— Оператор разработал и внедрил внутренние локальные акты, регламентирующие процедуры обработки персональных данных, включая инструкции по безопасности, порядок уничтожения данных и процедуры при выявлении инцидентов безопасности.
Контроль и аудит — Оператор регулярно проводит аудиты соответствия требованиям законодательства о персональных данных и проверяет соблюдение внутренних политик сотрудниками.
Ответственность персонала — работники Оператора несут личную ответственность за соблюдение режима конфиденциальности персональных данных. Нарушения могут повлечь дисциплинарные санкции, вплоть до увольнения, а также гражданскую и уголовную ответственность в соответствии с законодательством РФ.
8.3. Технические меры защитыОператор реализует следующие технические меры:
Шифрование данных — персональные данные, передаваемые по открытым каналам связи (интернет), защищены протоколом HTTPS (TLS/SSL) с использованием криптографических алгоритмов. Чувствительные данные в хранилище защищены шифрованием.
Резервное копирование— Оператор выполняет регулярное резервное копирование данных для защиты от их потери при техническом сбое или аварии. Резервные копии хранятся отдельно от основных хранилищ данных.
Антивирусная защита — все компьютеры, серверы и устройства, используемые для обработки персональных данных, защищены современными антивирусными программами и системами обнаружения вторжений (IDS/IPS).
Ограничение физического доступа— помещения, в которых расположены серверы и хранилища персональных данных, имеют ограниченный доступ с использованием систем контроля (пропуска, биометрия и т.п.).
Учет и контроль носителей данных — все физические носители информации (жесткие диски, СД-диски, USB-флешки и т.п.), содержащие персональные данные, учитываются и хранятся в защищенном помещении. При выводе из строя или утилизации носителей данные уничтожаются необратимо.
Журналы и логирование — Оператор ведет журналы регистрации всех операций с персональными данными, включая доступ, модификацию и удаление. Журналы хранятся в защищенном виде и недоступны для несанкционированного доступа.
Мониторинг безопасности — система информационной безопасности Оператора постоянно мониторит попытки несанкционированного доступа к персональным данным и срабатывает при обнаружении подозрительной активности.
8.4. Локализация персональных данныхРазмещение на территории РФ: В соответствии с требованиями Закона о персональных данных, персональные данные граждан Российской Федерации первоначально размещаются и хранятся на серверах, расположенных на территории Российской Федерации. Оператор не осуществляет первичное размещение персональных данных российских граждан на иностранных серверах.
Трансграничная передача: Оператор не осуществляет трансграничную передачу персональных данных, за исключением случаев, прямо предусмотренных федеральным законодательством. Если в будущем возникнет необходимость в трансграничной передаче, Оператор уведомит Роскомнадзор о своем намерении в порядке, установленном Законом о персональных данных, и будет действовать в соответствии с его требованиями.
8.5. Получатели персональных данных (категории третьих лиц)Персональные данные могут быть переданы следующим категориям получателей:
Категория получателя | Цель передачи | Тип данных |
Хостинг-провайдер(облачный сервис) | Размещение веб-сайта, хранение данных на серверах | Все категории персональных данных |
Платежные агрегаторы и процессоры | Обработка платежей и операций (при необходимости) | ФИО, телефон, e-mail, реквизиты платежа (обработка осуществляется в соответствии с их политикой конфиденциальности) |
Сервис отправки электронной почты (e-mail сервис) | Отправка информационных писем, уведомлений | ФИО, e-mail |
Сервис аналитики (если используется) | Анализ поведения пользователей, улучшение сайта | IP-адрес, технические данные, cookie (в обезличенном виде) |
Служба поддержки /Колл-центр | Ответы на вопросы пользователей, техническая поддержка | ФИО, телефон, e-mail, содержимое обращений |
Юридическиеконсультанты иаудиторы | Юридическое и бухгалтерское сопровождение | В объеме, необходимом для выполнения функций |
Органы государственной власти | Выполнение требований законодательства | При получении обоснованного запроса на основе закона |
Передача персональных данных третьим лицам осуществляется только в целях, указанных в настоящей Политике, и на основе договоров об обработке персональных данных, которые содержат требования по защите этих данных, соответствующие требованиям Закона о персональных данных.
8.6. Сроки хранения персональных данныхПерсональные данные хранятся не дольше, чем этого требуют цели их обработки. Сроки хранения установлены в таблице раздела 7. По истечении сроков хранения персональные данные удаляются или обезличиваются.
8.7. Процедура удаления и обезличивания персональных данныхОснования для удаления: истечение срока хранения, установленного для данной категории персональных данных;
отзыв субъектом персональных данных согласия на обработку (если обработка была основана на согласии);
требование субъекта персональных данных о прекращении обработки;
выявление неправомерной обработки персональных данных.
Процедура:· Оператор удаляет или обезличивает персональные данные в течение 30 календарных дней с момента наступления основания для удаления.
· Удаление осуществляется путем необратимого уничтожения данных таким образом, чтобы исключить возможность восстановления информации.
· При обезличивании данные обрабатываются таким образом, что становится невозможно идентифицировать субъекта персональных данных без использования дополнительной информации.
8.8. Конфиденциальность при обработкеОператор обязуется соблюдать конфиденциальность персональных данных. Все лица, получившие доступ к персональным данным (сотрудники, контрагенты, получатели), обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8.9. Условия прекращения обработкиОбработка персональных данных прекращается при наступлении одного или нескольких условий:
· достижение целей обработки персональных данных;
· истечение срока действия согласия субъекта персональных данных;
· отзыв согласия субъектом персональных данных;
· направление субъектом требования о прекращении обработки;
· выявление неправомерной обработки персональных данных;
· прекращение деятельности Оператора.
При прекращении обработки персональные данные подлежат удалению или обезличиванию в соответствии с процедурой, указанной в разделе 8.7.
9. ВИДЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХОператор осуществляет со своими персональными данными следующие операции (виды обработки):
9.1.
Автоматизированная обработка:· сбор персональных данных через веб-формы, при регистрации, входе в учетную запись;
· запись персональных данных в базы данных;
· систематизация и накопление персональных данных;
· хранение в информационных системах;
· уточнение (обновление, изменение) данных;
· извлечение данных по запросам субъектов персональных данных;
· использование данных для исполнения договоров и целей, указанных в разделе 7;
· передача (распространение, предоставление, доступ) третьим лицам, указанным в разделе 8.5;
· обезличивание для аналитики;
· блокирование данных при выявлении проблем;
· удаление и уничтожение данных по достижении целей.
9.2.
Неавтоматизированная обработка:· архивирование и хранение документов, содержащих персональные данные;
· ведение реестров и журналов операций;
· рассмотрение обращений субъектов персональных данных.