1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет политику ООО «Юзергейт» (ОГРН 1145476050961, ИНН 5408308256, адрес места нахождения: 630090 г. Новосибирск, ул. Николаева, д. 11, оф. 602, далее – Оператор) в отношении обработки персональных данных субъектов персональных данных, указанных в разделе 2 Политики.
1.2. Политика разработана в соответствии с:
1.2.1. Конституцией Российской Федерации;
1.2.2. Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»;
1.2.3. Федеральным законом от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
1.2.4. Постановлением Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
1.2.5. Постановлением Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
1.2.6. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
1.2.7. Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
1.2.8. иными нормативно-правовыми актами, регулирующими порядок обработки персональных данных.
2. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. В соответствии с Политикой Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
2.2.1. Пользователей web-сайта https://www.usergate.com и иных поддоменных ресурсов.
2.2.2. Контрагентов, представителей контрагентов Оператора.
2.2.3. Клиентов, представителей клиентов Оператора.
2.2.4. Пользователей программ UserGate для студентов.
3. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В соответствии с Политикой Оператор обрабатывает следующие общие категории персональных данных:
3.1.1. Фамилия, имя, отчество.
3.1.2. Дата рождения.
3.1.3. Серия, номер документа, удостоверяющего личность; дата и орган, выдавший документ.
3.1.4. Адрес регистрации (адрес места жительства).
3.1.5. ИНН.
3.1.6. Номер телефона, e-mail, аккаунт в мессенджере telegram, watsapp.
3.1.7. Наименование представляемой компании, подразделение, должность.
3.1.8. Для пользователей программ UserGate для студентов: наименование образовательного учреждения, учебный курс, специальность (дисциплина).
3.1.9. IP-адрес, технологии (файлы) cookies.
3.2. Сведения о перечне персональных данных субъектов персональных данных соответствующей категории содержатся в Приложении 1 к Политике.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Цели обработки персональных данных:
4.1.1. Регистрация, идентификация, аутентификация, авторизация пользователей на web-сайте Оператора.
4.1.2. Предоставление доступа к функционалу web-сайта Оператора (возможность скачивания дистрибутива программного обеспечения, ознакомления с технической и программной документацией, обращения за технической поддержкой и прочее).
4.1.3. Анализ качества предоставляемого Оператором сервиса, контроль использования предоставляемого Оператором сервиса.
4.1.4. Заключение, исполнение, прекращение гражданско-правовых договоров с субъектами персональных данных / лицами, представляемыми субъектами персональных данных, в т.ч., направление заявки и иных документов в целях заключения договора, акцепт оферты предусмотренными в ней способами.
4.1.5. Участие в маркетинговых мероприятиях (конференциях, выставках, презентациях, семинарах, тренингах, акциях, программах лояльности и прочих), включая регистрацию на web-сайте Оператора, сайте-платформе мероприятия, получение пригласительных билетов, получение оповещений о событиях мероприятия, получение рекламной информации о мероприятии, коммуникацию с организаторами и участниками мероприятия и прочее.
4.1.6. Обеспечение безопасности в рамках проведения маркетинговых мероприятий.
4.1.7. Предоставление целевой информации о товарах, сервисах, услугах Оператора, в т.ч., предоставление рекламной информации.
4.1.8. Для пользователей программ UserGate для студентов: организация практической подготовки (производственной практики, стажировки) студентов старших курсов в рамках образовательных программ основного / дополнительного образования.
4.1.9. Проведение статистических исследований с использованием обезличенных персональных данных.
5. ОБЩИЕ ТРЕБОВАНИЯ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Общие требования к обработке персональных данных:
5.2.1. Обработка персональных данных ограничивается достижением определенных Политикой целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2.2. Обработке подлежат только персональные данные, отвечающие определенным Политикой целям их обработки.
5.2.3. Содержание и объем обрабатываемых персональных данных должны соответствовать определенным Политикой целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, актуальность по отношению к целям обработки.
5.2.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
5.2.6. Персональные данные должны быть получены непосредственно у субъекта персональных данных. Если персональные данные можно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.
5.3. В целях соблюдения требований к обработке персональных данных Оператор:
5.3.1. Назначает ответственного за организацию обработки персональных данных.
5.3.2. Издает локальные акты по вопросам обработки персональных данных, в т.ч., устанавливающие процедуры ив целях предотвращения и выявления нарушений порядка обработки персональных данных.
5.3.3. Применяет правовые, организационные, технические меры по обеспечению безопасности персональных данных, предусмотренные разделом 6 Политики.
5.3.4. Обеспечивает соответствие обработки персональных данных нормативным требованиям к защите персональных данных, Политики и иным локальным актам Оператора.
5.3.5. Производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения нормативных требований к обработке персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством в области персональных данных.
5.3.6. Знакомит работников, непосредственно осуществляющих обработку персональных данных, с нормативными требованиями к обработке персональных данных, Политикой, локальными актами по вопросам обработки персональных данных.
6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
6.1. Обеспечение безопасности персональных данных достигается в т.ч.:
6.1.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
6.1.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
6.1.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
6.1.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
6.1.5. Учетом машинных носителей персональных данных.
6.1.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
6.1.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
6.1.9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных вправе:
7.1.1. Получать информацию, касающуюся обработки его персональных данных в порядке, предусмотренном законодательством в области персональных данных.
7.1.2. Требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.1.3. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора в случае обработки персональных данных с нарушением требований законодательства Российской Федерации или иного нарушения Оператором его прав.
7.1.4. Отозвать согласие на обработку его персональных данных.
7.1.5. Защищать свои права и законные интересы, в т.ч. путем предъявления требований о возмещение убытков и (или) компенсации морального вреда в судебном порядке.
7.2. Субъект персональных данных вправе реализовать иные права, предусмотренные законодательством Российской Федерации в области персональных данных.
8. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки.
8.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, прекращает неправомерную обработку персональных данных.
8.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
8.6. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных.
8.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта персональных данных, Оператор с момента выявления такого инцидента уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъекта персональных данных, и предполагаемом вреде, нанесенном правам субъекта персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.8. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
8.9. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
8.10. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных ФЗ «О персональных данных».
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес клиента или контрагента мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.11. В случае отсутствия возможности уничтожения персональных данных в указанные сроки, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.12. После истечения срока нормативного хранения документов, содержащих персональные, или при наступлении иных законных оснований документы подлежат уничтожению.
Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
По результатам экспертизы документы, содержащие персональные данные и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем измельчения в шредере;
- на запоминающих устройствах – посредством форматирования и утилизации устройства в соответствии с Регламентом по уничтожению данных на запоминающих устройствах.
8.13. Подтверждением уничтожения персональных данных, обрабатываемых без использования средств автоматизации (на бумажном носителе), является акт об уничтожении персональных данных.
8.14. Подтверждением уничтожения персональных данных, обрабатываемых с использованием средств автоматизации, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Политика действует со дня ее утверждения и может быть изменена Оператором в случае изменения нормативных требований к обработке персональных данных, в иных случаях на усмотрение Оператора.
9.2. Политика общедоступна, подлежит размещению на web-сайте Оператора https://www.usergate.com.
9.3. Приложения:
9.3.1. Приложение № 1: Сведения о категории, перечне, сроках обработки персональных данных.
Приложение № 1 к Политике обработки персональных данных
Сведения о категории, перечне, сроках обработки персональных данных
Категория персональных данных | Категория субъекта персональных данных | Перечень персональных данных | Срок обработки персональных данных |
---|---|---|---|
Общие | Пользователи web-сайта https://www.usergate.com и иных поддоменных ресурсов | Фамилия, имя, отчество; Номер телефона, e-mail, аккаунт в мессенджере telegram, whatsapp; Наименование компании, подразделение, должность; IP-адрес, технологии (файлы) cookies |
В течение периода взаимодействия / сотрудничества. |
Общие | Контрагенты | Фамилия, имя, отчество; Дата рождения; Серия, номер паспорта, дата и орган, выдавший паспорт; Адрес регистрации (адрес места жительства); ИНН; Номер телефона, e-mail, аккаунт в мессенджере telegram, whatsapp; IP-адрес, технологии (файлы) cookies |
В течение периода взаимодействия / сотрудничества; в последующем – в течение 5 (пяти) лет со дня истечения отчетного года |
Общие | Представители контрагентов | Фамилия, имя, отчество; Номер телефона, e-mail, аккаунт в мессенджере telegram, whatsapp; Наименование компании, подразделение, должность; IP-адрес, технологии (файлы) cookies |
В течение периода взаимодействия / сотрудничества. |
Общие | Клиенты | Фамилия, имя, отчество; Дата рождения; Серия, номер паспорта, дата и орган, выдавший паспорт; Адрес регистрации (адрес места жительства); ИНН; Номер телефона, e-mail, аккаунт в мессенджере telegram, whatsapp; IP-адрес, технологии (файлы) cookies |
В течение периода взаимодействия / сотрудничества; в последующем – в течение 5 (пяти) лет со дня истечения отчетного года |
Общие | Представители клиентов | Фамилия, имя, отчество; Номер телефона, e-mail, аккаунт в мессенджере telegram, whatsapp; Наименование компании, подразделение, должность; IP-адрес, технологии (файлы) cookies |
В течение периода взаимодействия / сотрудничества. |
Общие | Пользователи программ UserGate для студентов | Фамилия, имя, отчество; Номер телефона, e-mail, аккаунт в мессенджере telegram, watsapp; Город проживания; Наименование образовательного учреждения, учебный курс, специальность (дисциплина); IP-адрес, технологии (файлы) cookies | В течение периода взаимодействия / сотрудничества; в последующем – в течение 5 (пяти) лет со дня истечения отчетного года, если согласием на обработку персональных данных не предусмотрен иной срок |