Политика в отношении обработки персональных данных

ООО «Юридические и информационные технологии»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152) и устанавливает порядок обработки персональных данных, категории субъектов и обрабатываемых данных, цели обработки, а также меры по обеспечению их безопасности.

1.2. Оператором персональных данных является Общество с ограниченной ответственностью «Юридические и информационные технологии» (ООО «ЮИТ», ОГРН 1131690079289, ИНН 1657135648), далее — «Оператор».

1.3. Настоящая Политика применяется ко всей информации, которую Оператор получает о субъектах персональных данных в процессе:

• использования веб-сайта https://divechat.ru и поддоменов;
• взаимодействия с программным обеспечением «DiveChat»;
• заключения и исполнения договоров;
• трудовых отношений с работниками;
• взаимодействия с представителями контрагентов и посетителями сайтов клиентов.

1.4. В настоящей Политике используются следующие понятия (в соответствии с ФЗ-152 и иными нормативными актами):

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).
• Обработка персональных данных — любое действие (операция) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление, уничтожение.
• Автоматизированная обработка — обработка с использованием средств вычислительной техники.
• Трансграничная передача — передача персональных данных на территорию иностранного государства.
• Конфиденциальность — обязательство не раскрывать персональные данные без согласия субъекта, если иное не предусмотрено законом.

1.5. Субъекты персональных данных имеют право:

• получать информацию о целях, способах и сроках обработки;
• требовать уточнения, блокирования или уничтожения своих данных;
• отозвать согласие на обработку;
• обжаловать действия Оператора в Роскомнадзоре или суде.

1.6. Субъекты обязаны:

• предоставлять достоверные персональные данные;
• своевременно уведомлять об их изменении.

1.7. Оператор обязан:

• обеспечивать защиту персональных данных;
• предоставлять информацию по запросу субъекта в течение 10 рабочих дней;
• вести журнал обращений субъектов;
• уничтожать данные по достижении цели или по требованию субъекта;
• уведомлять субъекта, если данные получены не от него.

2. Цели обработки персональных данных

2.1. Обработка персональных данных осуществляется только в целях, совместимых с заявленными и предусмотренными законодательством.

2.2. Конкретные цели, категории субъектов, состав персональных данных, правовые основания, сроки хранения и порядок уничтожения приведены в Приложении №2 к настоящей Политике.

2.3. Обработка осуществляется в соответствии с требованиями:

• ФЗ-152 «О персональных данных»;
• Трудового кодекса РФ (в части работников);
• Налогового кодекса РФ;
• ФЗ № 402-ФЗ «О бухгалтерском учёте»;
• ФЗ № 125-ФЗ «Об архивном деле в РФ»;
• Приказа Росархива от 20.12.2019 № 236;
• Гражданского кодекса РФ;
• иных нормативных актов РФ.

2.4. По достижении целей обработки персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством.

3. Порядок и условия обработки

3.1. Персональные данные поступают:

• непосредственно от субъекта (регистрация, формы, обращения);
• автоматически (логи, cookies, метрики);
• от третьих лиц — только при наличии согласия или договора.

3.2. Обработка осуществляется с согласия субъекта, за исключением случаев, предусмотренных ч. 2–11 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ-152.

3.3. Согласие может быть дано:

• в письменной форме (отдельный документ или в составе договора);
• в электронной форме (в т.ч. через интерфейс Сервиса);
• через конклюдентные действия (например, заполнение формы с отметкой о согласии).

3.4. Согласие может быть отозвано в любой момент. В этом случае обработка прекращается в течение 10 рабочих дней, за исключением случаев, когда она допускается без согласия по закону.

3.5. Оператор не принимает решений, порождающих юридические последствия для субъекта, исключительно на основе автоматизированной обработки.

3.6. Доступ к персональным данным имеют только уполномоченные сотрудники, прошедшие обучение по защите персональных данных.

3.7. Передача персональных данных третьим лицам допускается:

• по договору (хостинг, аналитика, рассылки);
• по требованию уполномоченных органов;
• при наличии согласия субъекта.

3.8. Все третьи лица, получающие данные, обязаны соблюдать конфиденциальность и обеспечивать защиту в соответствии с поручением Оператора.

3.9. Трансграничная передача персональных данных не осуществляется.

3.10. Персональные данные не используются для причинения вреда, дискриминации или нарушения прав граждан.

3.11. Сроки обработки определяются:

• целью обработки;
• сроком действия договора;
• сроками хранения, установленными законодательством (в т.ч. Приказом Росархива № 236);
• сроком действия согласия;
• сроком исковой давности (3 года).

3.12. При обработке без средств автоматизации персональные данные фиксируются на отдельных материальных носителях, не смешиваются с данными других категорий и сопровождаются информацией о цели, сроках и составе обработки.

4. Защита персональных данных

4.1. Оператор обеспечивает защиту персональных данных от:

• неправомерного доступа;
• уничтожения, изменения, копирования;
• распространения и иных угроз.

4.2. Защита реализуется комплексом организационных и технических мер, включая:

• разграничение доступа;
• шифрование данных при передаче;
• антивирусную защиту;
• резервное копирование;
• обучение сотрудников.

4.3. Информационная система персональных данных соответствует 3-му уровню защищенности согласно Постановлению Правительства РФ от 01.11.2012 № 1119.

5. Актуализация, исправление и уничтожение данных

5.1. По запросу субъекта Оператор обязан:

• подтвердить наличие его данных;
• предоставить доступ к ним;
• уточнить, заблокировать или уничтожить неточные/незаконные данные.

5.2. Запрос должен содержать:

• ФИО, дату рождения;
• реквизиты документа, удостоверяющего личность;
• контактные данные;
• подпись (или ЭЦП при отправке по email).

5.3. Типовая форма запроса приведена в Приложении №1.

5.4. Запросы направляются:

• по почте: 420133, г. Казань, ул. Адоратского, д. 10, пом. 1200;
• на email: legal@divechat.ru (с ЭЦП).

5.5. Ответ предоставляется в течение 10 рабочих дней. Срок может быть продлен на 5 дней с уведомлением субъекта.

5.6. Уничтожение персональных данных осуществляется в присутствии комиссии с составлением акта об уничтожении.

6. Изменение Политики

6.1. Оператор вправе вносить изменения в настоящую Политику.

6.2. Новая редакция вступает в силу с момента размещения на сайте https://divechat.ru/docs.

6.3. К Политике применяется законодательство Российской Федерации.

7. Обратная связь

• Email: legal@divechat.ru
• Почтовый адрес: 420133, г. Казань, ул. Адоратского, д. 10, пом. 1200

Приложение №1

Форма письменного запроса субъекта персональных данных

Генеральному директору
ООО «Юридические и информационные технологии»
Адрес: 420133, г. Казань, ул. Адоратского, д. 10, пом. 1200

Запрос на получение информации о персональных данных

В соответствии с ФЗ-152 от 27.07.2006 прошу предоставить информацию о наличии и обработке моих персональных данных в вашей организации.

Суть запроса:

• Предоставить перечень обрабатываемых данных
• Предоставить копии документов с моими данными
• Уточнить/заблокировать/уничтожить данные (указать какие)

Дата: ____________

Подпись: ____________

Приложение №2

Цели, категории субъектов, состав данных, правовые основания, сроки хранения