1. Цель Политики
1.1. Настоящий документ определяет политику ООО «Альтус Кэпитал» (ИНН 7702394990, ОГРН 5157746158147, адрес: 127051, Россия, Москва г., муниципальный округ Мещанский вн. тер. г., Цветной б-р, д. 2, этаж, помещ. 6, I, ком.9), далее — «Общество», в отношении обработки персональных данных, обеспечения их безопасности и условия использования веб-сайтов, принадлежащих, используемых или администрируемых Обществом (далее – «Политика»).
Под персональными данными (далее — «ПД») понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
1.2. Политика разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ № 152), Федерального закона от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства РФ от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», а также иных нормативных правовых актов Российской Федерации в области ПД.
1.3. Обработка ПД осуществляется Обществом в качестве оператора ПД в соответствии с Политикой, иными локальными нормативными актами, а также законодательством Российской Федерации.
2. Общие положения
2.1. Настоящая Политика определяет принципы, условия сбора, обработки, хранения и защиты ПД посетителей веб-сайтов, действующих и потенциальных клиентов и потребителей продукции, а также иных субъектов ПД, которые могут контактировать с Обществом, и разработана с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.2. Работники Общества, должностные обязанности которых предполагают доступ к обрабатываемым в Обществе ПД, при приеме на работу и(или) при переводе на соответствующую должность/роль должны быть ознакомлены с настоящей Политикой под роспись.
2.3. Базы данных, на которых хранятся ПД, находится на территории Российской Федерации.
3. Принципы обработки персональных данных
3.1. Общество считает важнейшей задачей обеспечение законности и справедливости обработки ПД, соблюдение их конфиденциальности и безопасности процессов их обработки.
3.2. В основе обработки ПД в Обществе лежат следующие принципы:
• осуществление обработки ПД на законной и справедливой основе;
• ограничение обработки ПД достижением конкретных, заранее определенных и законных целей;
• недопустимость объединения баз данных, содержащих ПД, обработка которых осуществляется вне совместимых между собой целях;
• обработка только тех персональных данных, которые отвечают целям их обработки.
• соответствие содержания и объема обрабатываемых ПД заявленным целям их обработки, отсутствие избыточности обрабатываемых ПД по отношению к целям их обработки;
• обеспечение точности ПД, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПД;
• хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
4. Состав обрабатываемых персональных данных
4.1. В Обществе могут обрабатываться ПД исключительно в целях, для которых они были получены. Субъект ПД может информироваться об обработке ПД в Политике, в тексте согласия на обработку ПД или иным способом.
В частности, Общество может обрабатывать следующие ПД для достижения указанных целей:
• для обеспечения нормальной и безопасной работы сайтов, а также анализа использования веб-сайтов: технические данные устройств пользователей сайтов (включая идентификаторы пользовательских устройств, сведения об использовании сайтов), автоматически собираемые системами веб-аналитики, используемыми на сайтах и описанными в Политике;
• для взаимодействия с действующими и потенциальными клиентами и пользователями услуг в рамках контактирования по запросам, продвижения услуг, обработки обращений относительно качества услуг: фамилия, имя, отчество, контактные номера мобильных и рабочих телефонов, адреса электронной почты, сведения о трудоустройстве (включая наименование и адрес места работы, должность), а также иные данные, которые могут быть предоставлены путем заполнения форм обратной связи на веб-сайтах, сообщения по каналам связи, предоставления визиток и иными способами;
• для регистрации на мероприятия, организуемые Обществом, напоминания о них и оповещения об изменениях, касающихся мероприятий, на которые субъект ПД уже зарегистрирован: фамилия, имя, отчество, контактные номера мобильных и рабочих телефонов, адреса электронной почты, сведения о трудоустройстве (включая наименование и адрес места работы, должность);
• для установления контактов с потенциальными контрагентами, обеспечения коммуникаций по заключению договоров, заключения, изменения и расторжения договоров с действующими контрагентами, проверки контрагентов в рамках должной осмотрительности: фамилия, имя, отчество, место работы, должность, сведения об основании полномочий (номер и дата доверенности).
В Обществе запрещено принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъектов или иным образом затрагивающих их права и законные интересы. Общество не распространяет ПД и не размещает их в общедоступных источниках без согласий субъекта ПД.
5. Использование cookie-файлов и иных средств веб-аналитики
Cookie — это небольшие файлы, которые создаются и сохраняются браузером при посещении веб-сайтов Общества. Cookie-файлы хранятся на устройстве не более 6 месяцев и позволяют отслеживать качество работы веб-сайтов и характеристики их использования, а также оптимизировать маркетинговые активности в Интернете.
Посещение и использование веб-сайтов по умолчанию предусматривает генерацию и сохранение cookie-файлов. Однако пользователь в любой момент может удалить cookie-файлы с устройства через настройки используемого браузера. Пользователь также может отказаться от принятия cookie-файлов, однако при этом не гарантирована работа всех функций веб-сайтов (например, запоминание языковых предпочтений посетителя).
На веб-сайтах Общества используются следующие виды средств веб-аналитики:
Технические и функциональные cookie-файлы
Эти файлы, генерируемые движками сайтов, используются для обеспечения бесперебойной работы сайтов, а также для запоминания выбранных пользователем настроек (в частности, контроля языка и всплывающих баннеров).
Маркетинговые и аналитические cookie-файлы
Для сбора и статистического анализа данных, связанных с использованием веб-сайтов, используются сервисы Яндекс.Метрика и Google Analytics. Сведения, получаемые с помощью сервисов, не позволяют идентифицировать пользователей.
6. Основания обработки персональных данных в Обществе
6.1. Обработка ПД в Обществе осуществляется в следующих случаях:
• обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
• обработка ПД, разрешенных субъектом для распространения, осуществляется с согласия на обработку ПД, при этом соблюдаются условия и запреты обработки ПД, разрешенных субъектом для распространения, которые могут быть установлены субъектами ПД;
• обработка необходима для выполнения функций и обязанностей, возложенных на Общество применимым законодательством;
• обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
• обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
• обработка ПД необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
7. Общий порядок обработки персональных данных
7.1. Общество осуществляет обработку ПД как с использованием средств автоматизации, так и без использования таких средств. Обществом также осуществляется смешанная обработка ПД.
7.2. В случае получения ПД субъекта от третьей стороны, Общество уведомляет о данном факте субъекта ПД и сообщает ему источник получения ПД, его права в отношении обрабатываемых ПД, цели и правовое основание обработки ПД, предполагаемых пользователей ПД, за исключением случаев, установленных законодательством.
7.3. Общество может поручить обработку ПД третьему лицу, если иное не предусмотрено законодательством Российской Федерации. При этом:
• обработка третьим лицом ПД, предоставленных Обществу субъектом ПД (его законным представителем), может осуществляться только с согласия субъекта ПД (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями ФЗ № 152;
• обработка ПД третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с ПД, и цели обработки, а также положения по обеспечению безопасности ПД, в том числе требования не раскрывать и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 ФЗ № 152.
К числу подобных третьих лиц могут относиться, в частности, контрагенты Общества (в частности, оказывающие услуги поддержки используемых информационных систем), а также органы государственной власти в случаях, установленных законодательством. Компании также вправе получать ПД от подобных третьих лиц.
7.4. Общество обрабатывает ПД работников, размещенных на веб-сайтах Общества, на основании согласия работников на обработку ПД, разрешенных для распространения исключительно для целей установления бизнес-контактов, связанных с деятельностью Общества, и продвижения услуг Общества. Последующее распространение ПД работников Общества в иных целях не допускается.
7.5. Общество осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПД с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПД.
7.6. Изменения в ПД вносятся уполномоченным работником Общества только на основании предоставленных надлежащим образом оформленных оригиналов документов или их заверенных копий. В случае предоставления/изменения субъектом своих ПД при подписке на информационные и рекламные коммуникации на веб-сайтах Общества ответственность за достоверность данных несет непосредственно субъект ПД.
7.7. В случае выявления неточных ПД субъектом ПД и при обращении субъекта ПД или его законного представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД Общество обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.
7.8. В случае подтверждения факта неточности ПД на основании сведений, предоставленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов, Общество обеспечивает их уточнение в установленный ФЗ № 152 срок со дня предоставления таких сведений и снимает их блокирование.
7.9. В случае, если факт неточности ПД не подтверждается на основании сведений, предоставленных субъектом ПД или его представителем либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов, Общество снимает их блокирование.
7.10. При сборе ПД запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПД субъектов ПД, включая граждан Российской Федерации, осуществляются с использованием баз данных, расположенных на территории Российской Федерации.
8. Обеспечение безопасности персональных данных
8.1. В Обществе принят комплекс правовых, организационных и технических мер по обеспечению безопасности ПД, направленных на предотвращение несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними, в том числе со стороны третьих лиц, в соответствии с требованиями ФЗ № 152 и его подзаконными актами.
8.2. К мерам обеспечения безопасности ПД в Обществе относятся, в том числе, следующие:
• учет обрабатываемых в Обществе категорий и перечня ПД, категорий субъектов, ПД которых обрабатываются, сроков хранения и порядка уничтожения таких ПД;
• учет машинных носителей ПД и информационных систем Общества, в которых обрабатываются ПД;
• определение необходимого уровня защищенности ПД, обрабатываемых в информационных системах ПД Общества;
• определение угроз безопасности ПД при их обработке в информационных системах;
• определение и внедрение перед введением новых процессов обработки ПД и новых информационных систем ПД технических и организационных мер, обеспечивающих защиту ПД;
• осуществление и документирование оценки вреда, который может быть причинен субъектам ПД в случае нарушения ФЗ № 152, соотношение указанного вреда и принимаемых Обществом мер;
• установление правил доступа к ПД, обрабатываемым в информационных системах, а также обеспечение регистрации и учета действий, совершаемых с ПД в информационных системах;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• обнаружение фактов несанкционированного доступа к ПД и других инцидентов, принятие мер по ликвидации и митигации последствий;
• восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• учет должностей работников Общества, доступ которых к ПД, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей;
• обеспечение ознакомления под роспись работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе требованиями к защите ПД, настоящей Политикой и иными локальными актами Общества по вопросам обработки и защиты ПД, обучение работников Общества;
• контроль и оценка эффективности применяемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
• осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности ПД действующему законодательству Российской Федерации в области обработки и обеспечения безопасности ПД.
8.3. В Обществе назначено лицо, ответственное за организацию обработки и обеспечение безопасности ПД.
9. Сроки обработки персональных данных
9.1. Сроки обработки ПД определяются в соответствии требованиями действующего законодательства Российской Федерации, внутренними документами Общества, условиями договоров, заключенных с субъектами ПД и сроками согласий на обработку ПД.
9.2. Срок действия согласий на обработку ПД, предоставляемых субъектом ПД при заполнении форм на веб-сайтах Общества, составляет 3 года с момента последнего использования субъектом ПД соответствующей формы. При отзыве согласия на обработку ПД в порядке, установленном в разделе 10 Политики, оно автоматически прекращает свое действие.
10. Права субъектов персональных данных
10.1. Общество способствует реализации законных прав субъектов ПД и осуществляет реагирование на запросы и обращения субъектов ПД, в том числе предоставление им информации, связанной с обработкой их ПД, в соответствии с требованиями законодательства Российской Федерации.
10.2. Субъект ПД имеет право:
• получать информацию, касающуюся обработки своих ПД, на основании запроса и в порядке, установленном ФЗ № 152;
• требовать уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;отказаться от обработки ПД для осуществления прямых контактов (в том числе, в целях продвижения товаров, работ, услуг), если ПД субъектов обрабатываются в таких целях;
• отозвать согласие на обработку своих ПД (
Приложение № 1 - форма Отзыва согласия на обработку ПД)
• обжаловать в уполномоченный орган по защите прав субъектов ПД или в судебном порядке неправомерные действия или бездействия при обработке его ПД;
• защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсацию морального вреда в судебном порядке;
• осуществлять иные права, предусмотренные законодательством Российской Федерации.
10.3. Субъекты ПД могут направлять все запросы, касающиеся обработки их ПД:
• по адресу электронной почты:
info@ufgwm.com с адреса электронной почты, указанной субъектом ПД при заполнении форм на веб-сайтах, или
• на почтовый адрес Общества: 127051, Россия, Москва г., муниципальный округ Мещанский вн. тер. г., Цветной б-р, д. 2, этаж, помещ. 6, I, ком.9.
10.4. При наличии подписок на получение информационных и рекламных коммуникаций, дополнительно к указанным выше способам субъект ПД может обратиться с просьбой об отписке от таких коммуникаций путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме, содержащем коммуникацию. В этом случае прекращается направление коммуникаций на адрес электронной почты, с которого была активирована функция.
10.5. Общество отвечает на запросы субъектов ПД в сроки, установленные ФЗ № 152. В случае возникновения обстоятельств, которые требуют установления дополнительной информации, Общество в случаях, установленных ФЗ № 152, вправе продлить срок ответа на запрос субъекта ПД на срок до 5 рабочих дней при условии направления субъекту ПД мотивированного уведомления о причинах продления срока.
11. Порядок уничтожения персональных данных
11.1. Уничтожение ПД производится в случаях:
11.1.1. выявление неправомерной обработки ПД, в том числе по обращению субъекта ПД или его представителя либо запросу уполномоченного органа по защите прав субъектов ПД, если обеспечить правомерность обработки ПД невозможно;
11.1.2. требования субъекта ПД, если его ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
11.1.3. отзыва субъектом ПД согласия на обработку его ПД, если сохранение ПД более не требуется для целей обработки ПД;
11.1.4. достижения цели обработки ПД или утраты необходимости в достижении этих целей;
11.1.5. истечения сроков хранения ПД, установленных нормативными правовыми актами Российской Федерации;
11.1.6. признания недостоверности ПД или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов ПД;
11.1.7. в иных установленных законодательством случаях.
11.2. Для выявления случаев, указанных в п. 11.1 настоящей Политики, в Обществе назначается ответственное лицо, которое отслеживает работу с ПД, выявляет случаи, когда необходимо уничтожить данные, обрабатывает запросы от работников Общества, государственных органов и субъектов ПД по поводу уничтожения ПД.
11.3. В случае необходимости уничтожения ПД ответственное, указанное в п. 11.2 настоящей Политики, в течение 5 (Пяти) рабочих дней с момента возникновения запроса об уничтожении ПД обращается в комиссию, созываемую в количестве 3 (Трех) человек, состоящую из работников, ответственных за обработку ПД в Обществе.
11.4. Комиссия в течение 10 (Десяти) рабочих дней с момента получения обращения проверяет обоснованность необходимости уничтожения ПД и выносит соответствующее решение.
11.5. Решение комиссии об отказе в уничтожении ПД может быть обжаловано в судебном порядке в соответствии с действующим законодательством Российской Федерации.
11.6. Решение комиссии об уничтожении ПД должно быть исполнено в течение 5 (Пяти) рабочих дней с момента получения лицом, указанным в 11.2 настоящей Политики.
11.7. Уничтожение ПД может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
- физическое уничтожение носителя (пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения, уничтожение съемного носителя и т.п.);
- уничтожение информации с носителя (стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем и т.п).
11.8. Уничтожение части ПД, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих ПД, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
11.9. Документом, подтверждающим уничтожение ПД, является Акт по форме
Приложения № 2 или
Приложения № 4;
11.9.1. Акт об уничтожении персональных данных в информационной системе персональных данных и/или на материальных носителях (в бумажном виде) составляется по форме
Приложения № 2 к настоящей Политике и должен соответствовать п. 3 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179.
После подписания Акта об уничтожении персональных в информационной системе персональных данных осуществляется выгрузка из журнала регистрации событий в информационной системе персональных данных (форма выгрузки приведена в Приложении № 3 к настоящей Политике).
11.9.2. Акт об уничтожении съемных носителей персональных данных составляется по форме
Приложения № 4 к настоящей Политике.
После подписания Акта об уничтожении съемных носителей персональных данных в журнал учета уничтожения съемных носителей персональных данных вносится запись об их уничтожении. Журнал ведется по форме Приложения № 5 к настоящей Политике.
11.10. Лицо, указанное в п. 11.2 настоящей Политики, уведомляет лицо, обратившееся с запросом об уничтожении ПД, об уничтожении ПД путем направления письменного уведомления на электронный адрес субъекта ПД, либо, в случае отсутствия такой почты, на адрес, указанный в заявлении об уничтожении ПД субъекта, не позднее 3 (Трех) рабочих дней с момента составления Акта.
11.11. Акты и выгрузки из журнала в информационной системе персональных данных подлежат хранению в течение 3 (Трех) лет с момента уничтожения ПД.
12. Заключительные положения
12.1. Настоящая Политика утверждается приказом Генерального директора Общества и публикуется на веб-сайтах Общества в открытом доступе по адресу:
http://event.ufgwm.com/privacypolicy.
12.2. Ответственность за контроль соблюдения настоящей Политики возлагается на лицо, ответственное за организацию обработки ПД в Обществе.
12.3. Политика пересматривается и актуализируется при изменении законодательства Российской Федерации в области обработки и обеспечения безопасности ПД, а также при изменении процессов обработки ПД в Обществе, но не реже, чем раз в 3 (три) года.
12.4. Любые изменения и/или дополнения в настоящую Политику вступают в силу с даты опубликования новой версии документа, утвержденной Генеральным директором Общества.
12.5. Вопросы, которые не урегулированы настоящей Политикой, разрешаются в соответствии с законодательством Российской Федерации.
Список приложений:
Приложение № 1 – Форма отзыва согласия на обработку ПД
Приложение № 2 – Форма Акта об уничтожении персональных данных
Приложение № 3 – Форма Выгрузки из журнала регистрации событий в информационной системе персональных данных
Приложение № 4 – Форма Акта уничтожения съемных носителей персональных данных
Приложение № 5 – Форма учета съемных носителей персональных данных