Политика АО «Бизнес-Контакт»
в отношении обработки персональных данных
Редакция от 20.09.2023 г.
1. Назначение и область действия документа
1.1. Политика АО «Бизнес-Контакт» (ОГРН 1045005518018) (далее по тексту - "Общество") в
отношении обработки персональных данных (далее по тексту - "Политика") определяет позицию и намерения
Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод
субъекта персональных данных, в особенности таких, как право на неприкосновенность частной жизни, личную и
семейную тайну, защиту чести и достоинства.
1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных
подразделений, филиалов и представительств Общества.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в
Обществе с применением средств автоматизации и без применения таких средств.
1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с
использованием сети Интернет.
1.5. По мере необходимости Общество актуализирует настоящую Политику и вправе в одностороннем
порядке в любой момент изменять ее условия, поэтому Общество рекомендует регулярно проверять содержание
настоящей Политики на предмет ее возможных изменений. Если иное не предусмотрено Политикой, все вносимые в
нее изменения вступают в силу с даты, указанной в Политике.
1.6. Во всем ином, что не предусмотрено настоящей Политикой, Общество руководствуется
положениями действующего законодательства Российской Федерации.
2. Термины
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, относятся:
Ф.И.О., год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении,
сведения об образовании, профессии, доходах, а также иная информация, позволяющая по совокупности определить
(идентифицировать) субъекта указанных персональных данных.
2.2. Обработка персональных данных - любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление,
изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление и уничтожение персональных данных.
2.3. Субъект персональных данных - физическое лицо, чьи персональные данные обрабатываются.
2.4. Оператор - лицо, самостоятельно или совместно с иными лицами организующее и (или)
осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Для целей настоящей Политики Общество, обрабатывая персональные данные, является оператором, если иное прямо
не указано в Политике.
2.5. Обработчик - любое лицо, которое на основании договора с оператором осуществляет обработку
персональных данных по поручению оператора, действуя от имени и (или) в интересах последнего при обработке
персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия или
бездействия обработчика, а обработчик несет ответственность перед оператором.
2.6. Прочие термины используются в настоящей Политике в соответствии со значениями,
определяемыми действующим законодательством Российской Федерации, если иное прямо не указано в Политике.
3. Порядок и условия обработки персональных данных
3.1. Под безопасностью персональных данных Общество понимает защищенность персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении
персональных данных и необходимые правовые, организационные и технические меры, необходимые для обеспечения
безопасности персональных данных.
3.2. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в
соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ "О персональных
данных", и иных правовых актов, таких как законы Российской Федерации, руководящие и методические документы
Правительства Российской Федерации, Минцифры России, Роскомнадзора, ФСТЭК России и ФСБ России, определяющих
порядок обработки персональных данных.
3.3. При обработке персональных данных Общество руководствуется следующими принципами:
- законности и справедливости;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и
законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых
осуществляется в целях, несовместимых между собой;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям
обработки;
- недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям
обработки;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и
актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или
уточнению неполных или неточных данных;
- прозрачности обработки персональных данных: возможность субъекта персональных данных
ознакомиться с информацией, касающейся обработки его персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта
персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.4. Общество обрабатывает персональные данные на следующих условиях:
Цель обработки персональных данных
|
Категории субъектов персональных данных
|
Категории и перечень персональных данных
|
---|---|---|
Заключение и исполнение договоров купли-продажи, в т.ч. дистанционным способом; Предоставление скидок и иных преференций участникам программы лояльности для покупателей; |
Лица, заключившие и исполнившие договор купли-продажи, в т.ч. дистанционным способом |
ФИО, Пол, Дата рождения, Адрес доставки товара, Контактная информация (номер телефона, адрес электронной почты, почтовый адрес); ИНН, иные данные, самостоятельно предоставленные такими пользователями Обществу, сведения о приобретенных товарах (услугах), в том числе у третьих лиц. |
Заключение и исполнение трудовых и гражданско-правовых договоров |
Работники Общества, Близкие родственники работников Общества, Бывшие работники Общества, Кандидаты на замещение вакантных должностей Общества, Работники по гражданско-правовым договорам, Иные субъекты персональных данных, каким-либо образом взаимодействующие с Обществом в рамках заявленной цели. |
Гражданство; ФИО; Пол; Дата и место рождения; Данные документов, удостоверяющих личность; Сведения, содержащиеся в документах миграционного учета; Адрес регистрации по месту жительства и адрес фактического проживания; Контактная информация (номер телефона, адрес электронной почты, почтовый адрес); Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные; Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Обществу, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством РФ; Сведения о воинском учете и сведения, содержащиеся в документах воинского учета; Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; ИНН, СНИЛС; Банковские реквизиты; Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Общества; Сведения о доходах у Общества; Сведения о деловых и иных личных качествах, носящие оценочный характер; Биографические сведения; Сведения о временной нетрудоспособности и о состоянии здоровья; Фото- и видеоизображения |
Обеспечение корректности работы веб-сайта и мобильного приложения и удобства их использования пользователем | Пользователи веб-сайта и мобильного приложения | Регистрационные и авторизационные данные (логин, пароль и т.д.), технические сведения о пользовательских устройствах и идентификаторы, в т.ч. IP-адрес, файлы cookies, веб-маяки, информация о пользовательском местоположении, и т.п. |
Для соблюдения и исполнения требований действующего законодательства Российской Федерации |
Покупатели товаров и услуг, в том числе у третьих лиц, Работники Общества, Близкие родственники работников Общества, Бывшие работники Общества, Кандидаты на замещение вакантных должностей Общества, Работники по гражданско-правовым договорам, Иные субъекты персональных данных, каким-либо образом взаимодействовавшие и предоставившие свои персональные данные, Пользователи сайта |
Гражданство; ФИО; Пол; Дата и место рождения; Данные документов, удостоверяющих личность; Сведения, содержащиеся в документах миграционного учета; Адрес регистрации по месту жительства и адрес фактического проживания; Контактная информация (номер телефона, адрес электронной почты, почтовый адрес); Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные; Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Обществу, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством РФ; Сведения о воинском учете и сведения, содержащиеся в документах воинского учета; Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; ИНН, СНИЛС; Банковские реквизиты; Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Общества; Сведения о доходах у Общества; Сведения о деловых и иных личных качествах, носящие оценочный характер; Биографические сведения; Сведения о временной нетрудоспособности и о состоянии здоровья; Фото- и видеоизображения, Регистрационные и авторизационные данные (логин, пароль и т.д.), технические сведения о пользовательских устройствах и идентификаторы, в т.ч. файлы cookies, информация о пользовательском местоположении, сведения о приобретенных товарах (услугах), в том числе у третьих лиц, иные данные, самостоятельно предоставленные такими пользователями Обществу. |
3.5. Общество обрабатывает персональные данные только при наличии хотя бы одного из условий
ниже в течение следующих сроков:
Правовое основание обработки персональных данных
|
Срок обработки и хранения персональных данных
|
---|---|
С согласия субъекта персональных данных на обработку его персональных данных | В течение двадцати лет с даты предоставления согласия на обработку персональных данных |
Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей | В течение срока, установленного соответствующими международными договорами или законами |
При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом | В течение срока, установленного соответствующими законами |
Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве | В течение срока, необходимо для исполнения соответствующего акта |
В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах | В течение срока участия в соответствующем судопроизводстве, включая сроки обжалования (оспаривания) судебных актов, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации |
Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем | В течение срока действия такого договора, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации |
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно | До момента, когда получение согласия субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие жизни, здоровью или иным жизненно важным интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше) |
Для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных |
В течение срока, необходимого для осуществления прав и обеспечения законных
интересов
Конкретный срок определяется Обществом с учетом положений настоящей Политики, внутренних документов и локальных нормативных актов Общества, а также принципов обработки персональных данных и требований действующего законодательства Российской Федерации, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определенных и законных целей такой обработки |
3.6. Общество вправе поручить обработку персональных данных третьим лицам -
обработчикам - на основании заключаемых с такими лицами договоров. К обработчикам, в частности, относятся
поставщики услуг, которые помогают Обществу в его деятельности: поставщики услуг хостинга, контактного
центра по работе с клиентами и т.д. Обработчики также будут обязаны соблюдать принципы и правила обработки
персональных данных, предусмотренные Федеральным законом № 152-ФЗ "О персональных данных" (включая ст. 18.1
и ч. 5 ст. 18), иными законами и подзаконными актами. Для каждого обработчика договором будут определены:
- перечень обрабатываемых персональных данных;
- цели их обработки;
- перечень действий (операций), которые обработчик будет вправе совершать с персональными
данными;
- обязанности по соблюдению конфиденциальности и обеспечению безопасности персональных данных
при их обработке, а также перечень обязательных для принятия обработчиком мер по обеспечению защиты
обрабатываемых им персональных данных, включая требование об уведомлении Общества об инцидентах с
персональными данными;
- обязанность предоставления по запросу Общества документов и иной информации, подтверждающих
принятие и соблюдение обработчиком мер в целях исполнения требований, установленных Федеральным законом №
152-ФЗ "О персональных данных".
Обработчик не обязан получать согласие субъекта персональных данных на обработку его
персональных данных, поскольку по договору с Обществом если для обработки персональных данных необходимо
получение согласия субъекта персональных данных, то такое согласие обязано получить непосредственно
Обществу.
3.7. В случаях, установленных законодательством Российской Федерации, Общество
вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам
обработки персональных данных.
3.8. Если иное не предусмотрено законодательством Российской Федерации, Общество
прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в
случаях:
- ликвидации Общества;
- реорганизации Общества, влекущей прекращение его деятельности;
- отпадения правовых оснований обработки персональных данных и/или достижения целей обработки
персональных данных.
Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные,
в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах
персональных данных, определяются Обществом в его внутренних документах и локальных нормативных актах.
3.9. Веб-сайт, посещаемый субъектом персональных данных, и мобильное приложение,
используемое субъектом персональных данных, могут собирать техническую информацию о субъекте персональных
данных, такую как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип
браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому проходит
пользователь веб-сайта или мобильного приложения. Веб-сайт, посещаемый субъектом персональных данных, и
мобильное приложение, используемое субъектом персональных данных, также могут собирать и использовать файлы
cookie, веб-маяки и идентификаторы мобильных устройств для обеспечения работоспособности веб-сайта и
мобильного приложения, повышения качества оказываемых с их помощью услуг, исправления ошибок и сбора
статистических данных, при этом Общество не преследует цели идентифицировать конкретного пользователя
веб-сайта или мобильного приложения.
3.10. Общество при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований
законодательства Российской Федерации, внутренних документов и локальных нормативных актов Общества в
области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении
персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
- издает внутренние документы, определяющие политику Общества в отношении обработки персональных
данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие
процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации,
устранение последствий таких нарушений;
- осуществляет ознакомление работников Общества, его филиалов, представительств и структурных
подразделений, непосредственно осуществляющих обработку персональных данных, с положениями законодательства
Российской Федерации, внутренних документов и локальных нормативных актов Общества в области персональных
данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
- проводит регулярные обязательные тренинги для своих работников по вопросам персональных
данных;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных
требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым
актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным
нормативным актам Общества в области персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных
законодательством Российской Федерации;
- совершает иные действия, предусмотренные законодательством Российской Федерации в области
персональных данных.
4. Права субъекта персональных данных
Лицо, персональные данные которого обрабатываются Обществом, имеет:
- право на отзыв ранее данного им согласия на обработку персональных данных, однако, согласно ч.
2 ст. 9, ч. 4 и 5 ст. 21 Федерального закона № 152-ФЗ "О персональных данных" Общество вправе продолжить
обработку персональных данных при наличии иных правовых оснований;
- право на получение информации, касающейся обработки персональных данных;
- право требовать уточнения своих персональных данных, их блокирования или уничтожения, если
персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются
необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных,
если цель такой обработки достигнута Обществом.
Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен
соответствующим документом между ними (например, договором или текстом согласия на обработку персональных
данных), для реализации указанных выше прав субъекту персональных данных необходимо направить Обществу
заявление:
- в письменной форме и подписанное собственноручной подписью по адресу: 141021, Московская обл,
Мытищи г, Хлебозаводская ул, владение 4А, строение 1, офис 108
либо
- в виде электронного документа и подписанное электронной подписью на адрес электронной почты:
biznes8645@gmail.com.
Такое заявление может быть составлено в произвольной форме, но должно в обязательном порядке
содержать описание требований субъекта персональных данных, а также следующие сведения:
- Ф.И.О. субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его
представителя, сведения о дате выдачи указанного документа и выдавшем его органе либо иные данные,
позволяющие однозначно идентифицировать субъекта персональных данных;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо
сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества,
нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов
персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.
5. Сведения о реализуемых требованиях к защите персональных данных
Общество при обработке персональных данных принимает необходимые правовые, организационные и
технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных
неправомерных действий в отношении персональных данных. Общество регулярно пересматривает и актуализирует
принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры
описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества. К таким
мерам, в частности, относятся:
- разработка моделей угроз;
- определение угроз безопасности персональных данных при их обработке в информационных системах
персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных, необходимых для выполнения требований к
защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни
защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты
информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода
в эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе
персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными
данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня
защищенности информационных систем персональных данных;
- учет машинных носителей персональных данных;
- организация пропускного и внутриобъектового режимов на территории Общества;
- размещение технических средств обработки персональных данных в пределах охраняемой
территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения
требований безопасности персональных данных.
***