ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «КИ ХЭБИТС»

г. Москва
2019 г.

Общие положения

Настоящая Политика в отношении обработки персональных данных (далее – «Политика») подготовлена в соответствии с требованиями ст. 7, ч.2 ст. 18.1 и ч.1 ст. 19 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – «Закон») и определяет основные правила осуществления деятельности ООО «Ки Хэбитс» (далее – «Компания») в области обработки и защиты персональных данных (далее – «Данные»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

Настоящая Политика распространяется на Данные, полученные как до, так и после вступления в силу настоящей Политики.

Определения и термины

В настоящей Политике используются следующие определения и термины:

«Данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такими Данным, в частности, считаются: ФИО, год, месяц, дата рождения, адрес, номер телефона, адрес электронной почты, а также любая другая информация, связанная с субъектом персональных данных.

«Субъект Данных» - физические и юридические лица - посетители интернет-сайта keyhabits.ru (далее - Сайт), принадлежащего Компании, с которыми Компанией через Сайт заключаются лицензионные договоры и/или иные договоры гражданско-правового характера.

«Обработка данных» - любое действие (операция) или совокупность действий (операций) с Данными, совершаемых с использованием средств автоматизации и/или без использования таких средств, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.

«Оператор данных» - ООО «Ки Хэбитс» (Компания) в настоящей Политике.

«Безопасность данных» - защищенность Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

Правовые основания и цели обработки данных

Обработка и обеспечение безопасности Данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона в области персональных данных и других нормативных актов, определяющих случаи и особенности обработки Данных, а также распорядительных и методических документов ФСТЭК России и ФСБ России.

Компания осуществляет обработку Данных субъектов в следующих целях осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями, утвержденными Федеральным законом от 25.07.2011 г. № 261-ФЗ), Федеральным законом от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 г. № 2300-1 «О защите прав потребителей», а также Уставом и локальными актами Компании.

Компания осуществляет обработку Данных лиц, с которыми Компанией заключаются договоры гражданско-правового характера и/или лицензионные договоры, в целях исполнения таких договоров.

Компания осуществляет обработку Данных клиентов Компании - посетителей Сайта Компании в целях:

  • исполнения лицензионных и/или гражданско-правовых договоров, заключенных Компанией с ее клиентами дистанционным способом на Сайте;
  • предоставления информации по услугам, проходящим акциям и специальным предложениям;
  • анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
  • проведения аналитических исследований, психологических тестов, опросов, оценок респондентов, в том числе по заказу (запросу) Субъекта персональных данных, в области вовлеченности, мотивации, развития персонала и т.п.;
  • предоставления персонализированных услуг посетителям Сайта, клиентам Компании;
  • формирования управленческих и организационных рекомендаций в рамках исполнения договоров оказания услуг.

Принципы и условия обработки данных

При обработке Данных Компания придерживается следующих принципов:

  • обработка Данных осуществляется на законной и справедливой основе;
  • Данные не раскрываются третьим лицам и не распространяются без согласия Субъекта данных, за исключением случаев, требующих раскрытия Данных в соответствии с законодательством Российской Федерации;
  • определение конкретных законных целей обработки (в т.ч. сбора) Данных;
  • осуществляется сбор только тех Данных, которые являются необходимыми и достаточными для заявленной цели обработки;
  • объединение баз данных, содержащих Данные, обработка которых осуществляется в целях, несовместимых между собой не допускается;
  • обработка Данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • обрабатываемые Данные подлежат уничтожению или обезличиванию по достижению целей обработки, истечению срока действия или письменному отзыву Согласия на обработку персональных данных Субъекта, в случае выявления неправомерной обработки или утраты необходимости достижения целей обработки персональных данных, если иное не предусмотрено федеральным законом, а также при ликвидации Компании как юридического лица.

С письменного согласия Субъекта данных Компания может включать Данные субъектов в общедоступные источники Данных.

Компания не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

Компания не осуществляет трансграничную передачу Данных.

В случаях, предусмотренных законодательством Российской Федерации, Компания вправе осуществлять передачу Данных третьим лицам, в том числе Федеральной налоговой службе, Государственному пенсионному фонду и иным государственным органам власти.

Компания вправе поручить обработку персональных данных Субъекта с его согласия третьим лицам на основании заключаемого или заключенного с этими лицами договора.

Лица, осуществляющие обработку Данных на основании заключаемого или заключенного с Компанией договора (поручения Оператора), обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные законодательством Российской Федерации. Для каждого третьего лица в договоре определяются: перечень действий (операций) с Данными, которые будут совершаться третьим лицом, цели обработки Данных, обязанность соблюдать конфиденциальность и обеспечивать безопасность Данных при их обработке, требования к защите обрабатываемых Данных в соответствии с законодательством Российской Федерации.

В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка Данных в Компании осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.

В Компании запрещается принятие на основании исключительно автоматизированной обработки Данных решений, порождающих юридические последствия в отношении Субъекта данных или иным образом затрагивающих его права, за исключением случаев, предусмотренных законодательством Российской Федерации.

Права субъекта персональных данных

Субъект персональных данных по письменному запросу имеет право на получение от Компании информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки Данных;
  • правовые основания и цели обработки Данных;
  • применяемые Компанией способы обработки Данных;
  • сведения о наименовании и местонахождении Компании;
  • сведения о лицах (за исключением сотрудников Компании), которые имеют доступ к Данным или которым могут быть раскрыты Данные на основании договора с Компанией или на основании Федерального закона;
  • перечень обрабатываемых Данных, относящихся к Субъекту персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких Данных не предусмотрен Федеральным законом;
  • сроки обработки Данных, в том числе сроки их хранения;
  • сведения о порядке осуществления Субъектом данных прав, предусмотренных Федеральным законом;
  • наименование (Ф.И.О.) и адрес лица, осуществляющего обработку Данных по поручению Компании.

Субъект персональных данных имеет вправе:

  • требовать путем направления письменного запроса от Компании уточнения своих Данных, их блокирования или уничтожения в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое Согласие на обработку персональных данных в любой момент;
  • требовать устранения неправомерных действий Компании в отношении его Данных;
  • любыми правовыми способами осуществлять защиту своих прав и законных интересов в соответствии с законодательством Российской Федерации.

Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 № 152-ФЗ «О персональных данных» (с изменениями, утвержденными Федеральным законом от 25.07.2011 г. № 261-ФЗ).

Обязанности оператора в части обработки персональных данных

Компания в процессе обработки Данных обязана:

  • предоставлять субъекту Данных по его письменному запросу информацию, касающуюся обработки его Данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса Субъекта данных или его законного представителя;
  • в случаях, предусмотренных Законом, до начала обработки Данных (если Данные получены не от Субъекта персональных данных) предоставить Субъекту следующую информацию:
  • наименование (Ф.И.О.) и адрес лица, осуществляющего обработку Данных;
  • правовые основания и цели обработки Данных;
  • сведения о предполагаемых пользователях Данных;
  • установленные Законом права Субъектов персональных данных;
  • источник получения Данных.

Компания обязана:

  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;
  • опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему политику Компании в отношении обработки Данных, к сведениям о реализуемых требованиях к защите Данных;
  • предоставить Субъектам данных и/или их законным представителям возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
  • осуществить блокирование неправомерно обрабатываемых Данных;
  • уточнить Данные либо обеспечить их уточнение (если обработка Данных осуществляется третьими лицами, действующими по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование Данных, в случае подтверждения факта неточности Данных на основании сведений, представленных Субъектом данных или его представителем;
  • прекратить неправомерную обработку Данных или обеспечить прекращение неправомерной обработки Данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки Данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
  • прекратить обработку Данных или обеспечить ее прекращение (если обработка Данных осуществляется третьими лицами, действующими по договору с Компанией) и уничтожить Данные или обеспечить их уничтожение и обезличивание по достижении цели обработки Данных;
  • прекратить обработку Данных или обеспечить ее прекращение и уничтожить Данные или обеспечить их уничтожение в случае отзыва Субъектом данных Согласия на обработку персональных данных, если иное не предусмотрено Федеральным законом;
  • вести журнал учета обращений Субъектов данных, в котором должны фиксироваться запросы Субъектов данных, а также факты предоставления Данных и выполнения иных действий по запросам Субъектов персональных данных.

Требования к обработке и защите персональных данных

Компания при обработке Данных принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

К таким мерам, в частности, относятся:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • разработка и утверждение документов и локальных актов, определяющих Политику Компании в отношении обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, а также устранение последствий таких нарушений;
  • определение угроз безопасности Данных при их обработке в информационных системах персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и иным локальным актам Компании в отношении обработки персональных данных;
  • применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных;
  • учет машинных носителей Данных, если хранение Данных осуществляется на машинных носителях;
  • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности Данных и уровнем защищенности информационных систем персональных данных;
  • оценка вреда, который может быть причинен субъектам Данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям Данных и обеспечивающих сохранность Данных;
  • ознакомление сотрудников Компании, непосредственно осуществляющих обработку Данных, с положениями законодательства Российской Федерации в области обработки и защиты персональных данных, документами и локальными актами, определяющими Политику Компании в отношении обработки и защиты персональных данных, и/или обучение указанных сотрудников Компании.

Сроки обработки (хранения) данных

Сроки обработки (хранения) Данных определяются исходя из целей обработки Данных, в соответствии со сроком действия и условиями договора с Субъектом данных и/или Согласия на обработку персональных данных Субъекта, требованиями федеральных законов и иных нормативных актов в области обработки и защиты персональных данных, основными правилами работы архивов организаций, сроками исковой давности.

Данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством Российской Федерации. Хранение Данных после прекращения их обработки допускается только после их обезличивания.

Порядок получения разъяснений по вопросам обработки данных

Субъекты персональных данных, Данные которых обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих Данных, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании: 127015 г. Москва, ул. Новодмитровская, д.2, корп.1, пом. XLI, этаж 5, ком. 1

В случае направления официального запроса в Компанию в тексте запроса необходимо указать:

  • фамилию, имя, отчество Субъекта данных или его законного представителя;
  • номер основного документа, удостоверяющего личность Субъекта данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие наличие у Субъекта данных отношений с Компанией;
  • информацию о способе обратной связи с целью направления Компанией ответа на запрос;
  • подпись Субъекта данных или его законного представителя с приложением документа, подтверждающего полномочия представителя.

Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Заключительные положения

Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на интернет-сайте Компании.

В случае неисполнения положений настоящей Политики Компания и ее сотрудники несут ответственность в соответствии с действующим законодательством Российской Федерации.

Контроль исполнения требований настоящей Политики осуществляется лицами Компании, ответственными за организацию обработки и обеспечение безопасности персональных данных.

KeyHabits
office@psycho.ru
+7 (495) 177-45-16