1. Общие положения Политики
1.1. Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке ПД, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика конфиденциальности:
1.2.1. разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты ПД;
1.2.2. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора по обработке и защите ПД при использовании Сайта;
1.2.3. раскрывает способы и принципы обработки Оператором ПД, права и обязанности Оператора, права Пользователей как субъектов ПД, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке.
1.3. Оператором также утверждена Политика, декларирующая концептуальные основы деятельности Оператора по организации обработки и обеспечении безопасности ПД в целом, ознакомиться с которой можно путем направления обращения к Оператору.
1.4. Используемые в настоящей Политике конфиденциальности термины даются в значении, определенном в п. 1.7 Пользовательского соглашения, размещенного по адресу: https://vedora.ru/legal-user-ageement
2. Принципы, цели и содержание обработки ПД
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст.5 152-ФЗ.
2.2. Оператор осуществляет нижеописанную целенаправленную обработку ПД при использовании Сайта в соответствии с применимым законодательством о ПД:
Цели обработки ПД:
2.2.1. Совершенствование и развитие Оператором собственной деятельности, а именно: реализация, анализ, управление эффективностью, совершенствование (оптимизация) и развитие в отношении: безопасного и продуктивного взаимодействия с пользователями/посетителями Сайта, в т.ч. осуществление идентификации, аутентификации и (или) авторизации, противодействие незаконным или несанкционированным действиям, мошенничеству, обеспечение информационной безопасности; персонализации пользовательского опыта путём предоставления сервисов, функций, возможностей, предложений и рекомендаций, адаптированных под пользовательские потребности, интересы, предпочтения и ожидания; предоставления эффективной поддержки при возникновении у пользователей различных проблем или ситуаций, мониторинг поведения целевой аудитории, обогащение данных о ней, профилирование (в т.ч. различные виды моделирования, сегментации и оценки/скоринга), прогнозирование поведения и таргетирование такой аудитории, предложение и продвижение собственной продукции и бренда на рынке с помощью маркетинговых коммуникаций, в том числе путем направления персональных предложений и рекламных сообщений, а также путем демонстрации (в т.ч. в сети Интернет) персонализированной и (или) неперсонализированной рекламы.
2.2.2. Ведение основной деятельности, включая: взаимодействие с контрагентами в рамках заключенных договоров; предоставление Пользователям сайта функционала Сайта, включая личный кабинет и оформление заказов.
Категории и перечень обрабатываемых ПД
Персональные данные: фамилия, имя, отчество, дата рождения, половая принадлежность, персональные целевые идентификаторы, контактные (коммуникационные) данные, сведения о профессиональных и (или) научных интересах, сведения об информационном (коммуникационном) взаимодействии, сведения о пользовательском устройстве, сведения о веб-браузере пользователя, сведения о подключении к сети «Интернет», сведения о посещении и использовании Интернет-ресурсов, сведения о согласиях на осуществление различных действий (обработку ПД)идентификационные, аутентификационные и авторизационные данные.
фамилия, имя, отчество, дата рождения и (или) возраст, место рождения, половая принадлежность, сведения о социальном положении, сведения о принадлежности (отнесении) к определенной категории (группе, классу) лиц, сведения о личностных знаниях, умениях и навыках, изображение (включая лицо)
контактные (коммуникационные) данные
сведения об информационном (коммуникационном) взаимодействии
идентификационные, аутентификационные и авторизационные данные
финансово-платежные сведения, сведения о личностных потребностях, интересах, предпочтениях и ожиданиях, сведения о личностных качествах, сведения о событиях жизненного пути, личном опыте и иных личностных аспектах, сведения о семейном положении, составе семьи и родственных отношениях, сведения о межличностных отношениях, сведения о питомцах, сведения о пользовательском устройстве, сведения о веб-браузере пользователя, сведения о подключении к сети «Интернет»сведения о посещении и использовании Интернет-ресурсов, сведения о согласиях на осуществление различных действий (обработку ПД)идентификационные, аутентификационные и авторизационные данные
Категории субъектов ПД
пользователи / посетители (незарегистрированные и зарегистрированные) Сайта
работники Оператора
персонал контрагентов Оператора – юридических лиц
отправители сообщений Оператору
пользователи Сайта
Правовые основания обработки ПД
согласие субъекта ПД (152-ФЗ: ст.6 ч.1 п.1; ст.10.1 ч.1)договор оператора с субъектом ПД (152-ФЗ: ст.6 ч.1 п.5)права и (или) законные интересы оператора/третьих лиц (152-ФЗ: ст.6 ч.1 п.7)
согласие субъекта ПД (152-ФЗ: ст.6 ч.1 п.1; ст.10.1 ч.1)договор оператора с субъектом ПД (152-ФЗ: ст.6 ч.1 п.5)права и (или) законные интересы оператора/третьих лиц (152-ФЗ: ст.6 ч.1 п.7)
Способы обработки и действия с ПД
обработка ПД ведется с использованием и без использования средств автоматизации путем совершения следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение)извлечение, получение, поиск, копирование, сопоставление (сравнение), объединение (связывание), использование, передача (предоставление, доступ, распространение), блокирование, удаление, уничтожение.
Способы обработки: смешанная (с использованием средств автоматизации и без использования средств автоматизации)
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, получение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Сроки обработки(в т.ч. хранения) ПД
до 3 (трёх) лет после прекращения использования функционала Сайта (в т.ч. после прекращения действия регистрационной/учетной записи), если иное не предусмотрено применимым законодательством, согласием субъекта ПД, договором (соглашением) между Оператором и субъектом ПД и (или) соответствующими политиками (правилами) поставщиков услуг по мониторингу действий (поведения) пользователей на Сайте (см. п. 13 Пользовательского соглашения)
до 5 лет после прекращения правоотношений сторон, если иное не предусмотрено применимым законодательством, согласием субъекта ПД или договором (соглашением) между Оператором и субъектом ПД
3. Особенности сбора и иной обработки ПД
3.1. Оператор обрабатывает ПД, источником которых могут быть:
3.1.1. сведения и документы, предоставляемые Пользователем (его представителем);
3.1.2. общедоступные и (или) открытые информационные ресурсы (соцсети, общедоступные реестры и т.п.);
3.1.3. уполномоченные органы и организации, контрагенты Оператора, иные заинтересованные лица;
3.1.4. результаты взаимодействия Пользователя с Сайтом;
3.1.5. системы мониторинга действий Пользователя (поведения Пользователя) на Сайте;
3.1.6. результаты сопоставления (сравнения) и объединения (связывания) ПД между собой (например, сведения о потенциале и перспективности сотрудничества Оператора с Пользователем).
3.2. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.3. Для обработки ПД Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т.д.), бумажные носители информации (как отдельные, так и включенные в систематизированные собрания), а также передавать ПД по внутренней сети Оператора, обеспечивающей доступ к ПД (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц, включая работников Оператора, и (или) передавать ПД с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
3.4. Оператор может направлять (при условии разумного ограничения частоты и количества направлений, в любое время и без предварительного предупреждения) субъектам ПД информационные материалы о новостях и активностях Оператора в случае наличия соответствующего согласия субъектов ПД. Информационные материалы могут направляться субъектам ПД посредством тех каналов коммуникации (контактных сведений), которые субъекты ПД предоставили Оператору. Субъекты ПД вправе в любой момент времени отказаться от получения материалов Оператора следуя инструкциям, указанным в получаемых материалах, или путем направления Оператору соответствующего обращения.
3.5. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов ПД или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их ПД.
3.6. Оператором применяются информационные технологии предоставления Пользователю информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям Пользователя (рекомендательные технологии).
3.7. Оператор не осуществляет вышеуказанные действия по обработке ПД в качестве биометрических ПД и не использует ПД для установления (биометрической идентификации) и (или) удостоверения (биометрической аутентификации) личности субъектов ПД.
4. Передача ПД
4.1. Оператор может привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем передачи ПД третьим лицам без поручения обработки ПД.
4.2. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных Документами целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства о ПД). К вышеуказанным лицам, в частности, могут относиться:
4.2.1. лица, указанные в пп.1-4 п.7.3.1 Пользовательского соглашения;
4.2.2. хостинг-провайдер Сайта;
4.2.3. сервис доставки сообщений по электронной почте в адрес Пользователя;
4.2.4. поставщики услуг по мониторингу действий (поведения) пользователей на Сайте, указанные в п. 13 Пользовательского соглашения;
4.2.5. поставщики услуг по обеспечению безопасности, функциональности, продуктивности, эффективности и персонализации Сайта, указанные в п. 13 Пользовательского соглашения.
4.3. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом ПД, согласия(ий) субъекта ПД на обработку ПД.
4.4. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД, если иное не предусмотрено применимым законодательством.
5. Условия прекращения обработки ПД и порядок уничтожения ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
5.1.1. достижение целей обработки ПД и (или) максимальных сроков хранения ПД;
5.1.2. утрата необходимости в достижении целей обработки ПД;
5.1.3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или отсутствия необходимости ПД для заявленной цели обработки ПД;
5.1.4. невозможность обеспечения правомерности обработки ПД;
5.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
5.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
5.1.7. истечение сроков давности (в т.ч. исковой) для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
5.1.8. ликвидация или некоторые формы реорганизации Оператора;
5.1.9. Прекращение обработки ПД, регулируемой нормами 152-ФЗ, происходит:
(1) путем блокирования ПД;
(2) путем уничтожения ПД;
(3) в случаях, предусмотренных законодательством об архивном деле в РФ.
5.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение ПД производится способом, исключающим возможность восстановления этих ПД. Если ПД невозможно уничтожить без такого повреждения их материального носителя ПД, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель ПД.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6. Меры по надлежащей организации обработки и обеспечению безопасности ПД
6.1. Оператор при обработке ПД на Сайте принимает все необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
6.1.1. назначением лица, ответственного за организацию обработки ПД, а также назначением лиц(а), ответственных(ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
6.1.2. изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных актов Оператора по вопросам обработки ПД, а также локальных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений;
6.1.3. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
6.1.4. осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
6.1.5. ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
6.1.6. определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
6.1.7. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
6.1.8. применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
6.1.9. применением для уничтожения ПД прошедших в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации;
6.1.10. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
6.1.11. определением мест хранения материальных (в том числе машинных) носителей ПД, обеспечением учета и сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.1.12. воспрещением объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
6.1.13. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
6.1.14. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента;
6.1.15. установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
6.1.16. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
6.1.17. установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
6.1.18. информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными актами Оператора;
6.1.19. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.1.20. уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ.
6.2. Сведения о средствах (способах) обеспечении безопасности ПД при их обработке:
6.2.1. формирование модели(ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
6.2.2. разработка на основе модели(ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
6.2.3. установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
6.2.4. обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
6.2.5. учет применяемых СЗИ, эксплуатационной и технической документации к ним;
6.2.6. учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
6.2.7. контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
6.2.8. проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машинных) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
6.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
6.4. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
7. Права субъектов ПД
7.1. Субъект ПД имеет право на получение сведений об обработке его ПД Оператором.
7.2. Субъект ПД вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
7.4. Субъект ПД вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное(ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
7.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым способом, указанным в п.1.6 Пользовательского соглашения.
7.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
7.7. Субъект ПД вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
7.8. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Лицо, ответственное за организацию обработки ПД
8.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст.22.1 152-ФЗ и локальными актами Оператора в сфере обработки и защиты ПД.
8.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением Оператора. При назначении лица, ответственного за организацию обработки ПД, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
8.3. Лицо, ответственное за организацию обработки ПД:
8.3.1. организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД, в том числе требований к защите ПД;
8.3.2. обеспечивает доведение до сведения лиц, осуществляющих обработку ПД в предусмотренных Оператором целях, положения применимого законодательства о ПД, локальных актов Оператора по вопросам обработки ПД, требований к защите ПД;
8.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПД или их представителей.
9. Порядок утверждения и внесения изменений в Политику
9.1. Политика утверждается и вводится в действие решением Оператора и действует до ее отмены.
9.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее – «Изменения»). Изменения утверждаются решением Оператора. В таком случае измененная редакция Политики публикуется на Сайте с указанием срока начала ее действия.
9.3. Субъекты ПД обязуется самостоятельно отслеживать Изменения. Посещение/использование Сайта субъектами ПД после начала действия измененной редакции Политики означает ознакомление такими субъектами ПД с положениями измененной редакции Политики.
9.4. Политика пересматривается по мере необходимости, но не реже одного раза в 3 (три) года с момента проведения предыдущего пересмотра Политики.
9.5. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
(1) изменений в нормативном правовом регулировании обработки и защиты ПД в РФ;
(2) изменений в иных локальных актах Оператора, прямо или косвенно регламентирующих обработку и защиту ПД;
(3) изменений в фактическом порядке организации Оператором обработки и защиты ПД;
(4) изменений в деятельности и организационной структуре Оператора;
(5) изменений в взаимоотношениях Оператора с субъектами ПД, контрагентами и иными лицами;
(6) причин и содержания отклонений в соблюдении локальных актов Оператора;
(7) причин и содержания выявленных (компьютерных) инцидентов ПД;
(8) иных факторов, могущих существенным образом оказать негативное влияние на обработку и защиту ПД Оператором.
10. Ответственность
10.1. Учредители Оператора и участники его деятельности, а также иные лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ.