ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ООО «СТАРК»

1. Общие положения

1.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО «Старк» (далее - Общество) является одной из приоритетных задач организации. Данная политика является основой для определения требований к организации процессов обработки и хранения персональных данных, которые выражаются во внутренних нормативных документах и обязательны для исполнения всеми работниками Общества.

1.2. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в сфере защиты персональных данных, и в соответствии с локальными Общества.

1.3. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей, контрагентов, потребителей, посетителей сайта Общества и иных лиц, чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона Nº 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в Обществе, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Обществу или субьектам персональных данных.

1.5. Основные понятия, используемые в политике:

Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.

Авторизация - подтверждение прав пользователя н а совершение действий на сайте (оплата товара, заказ доставки, ознакомление и совершение действий с информацией, отображаемой в личном кабинете и пр.) путем прохождения пользователем процедур идентификации и аутентификации.

Аутентификация - проверка подлинности пользователя путём сравнения введённого им логина и пароля с логином и паролем, сохранённым в базе данных пользовательских логинов сайта.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность информации - состояние защищености информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Доступ к персональным данным - возможность получения информации и ее использования.

Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Защита персональных данных - жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предьявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система - взаимосвязанная совокупность средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субьекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Контрагент - юридическое лицо, ИП, физическое лицо с которым заключается договор на оказание услуг поставку товаров для нуж Общества.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона — это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Модель угроз-перечень возможных угроз информации.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обьект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Потребитель - физическое лицо, либо имеющее намерение заказать или приобрести, либо заказывающее, приобретающее или использующее товары, работы, услуги исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Работник - физическое лицо, вступившее в трудовые отношения с работодателем (Обществом).

Работодатель - физическое лицо либо юридическое лицо (Обществом), вступившее в трудовые отношения с работником.

Сайт - совокупность программ для электронных вычислительных машин, баз данных, графических и текстовых материалов, объединённых единым назначением и обеспечивающих доступ к информации посредством сети Интернет по определённому сетевому адресу (URL - ссылки).

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субьект персональных данных - физическое лицо, к которому относятся обрабатываемые персональные данные.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угроза или опасностью утраты персональных данных - единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов персональных данных или в результате которых уничтожаются материальные носители персональных данных;

Уполномоченные должностные лица - работники Общества, которым необходим доступ к персональным данным субъектов персональных данных для выполнения функциональных обязанностей.

Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать низменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

URL - это унифицированный указатель ресурса, представляющий собой символьное обозначение, определяющее адрес сайта в сети Интернет, включающее в себя информацию о способе доступа к ресурсу, его местоположении на сервере, а также, при необходимости, дополнительные параметры, идентифицирующие запрашиваемые данные.

Действие данной политики распространяется на сайты, расположенные по следующему URL адресу: https://starkpay.ru

2. Понятие и состав персональных данных

2.1. Перечень персональных данных, подлежащих защите в Обществе, определятся целями их обработки, Федеральным законом Nº 152-ФЗ «О защите персональных данных» и другими нормативно-правовыми актами.

2.2. В Обществе обрабатываются следующие персональные данные с целями, в обьеме, составе, на правовых основаниях и видах обработки.

3. Сроки обработки персональных данных

3.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Федерального Архивного Агентства от 20 декабря 2019 года N 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

3.2. В Обществе создаются и хранятся типовые формы документов, содержащие сведения о субьектах персональных данных. Требования к использованию данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 Nº 687 «О б утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4. Права и обязанности

4.1. Общество как оператор персональных данных в праве:

- отстаивать свои интересы в суде;

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (федеральные органы законодательной, исполнительной, судебной, правоохранительной власти);

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

- использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

4.2. Общество как оператор персональных данных обязано:

- обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;

- вносить необходимые изменения, уничтожать или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомлять о своих действиях субъекта персональных данных;

- выполнять требования законодательства Российской Федерации.

4.3. Субъект персональных данных имеет право:

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;

- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

- назначено лицо, ответственное за организацию обработки персональных данных;

- назначен администратор безопасности информационной системы персональных данных;

- утверждены документы, определяющие политику Общества в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства.

- устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных;

- внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;

- для информационных систем персональных данных разработаны модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

- для информационных систем персональных данных разработаны техническое задание на создание системы защиты информации;

- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных,

- правила доступа к персональным данным утверждены в соответствующем положении и реализуются с использованием необходимых технических средств;

- сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

7. Использование cookie-файлов

7.1. Cookies — это небольшие текстовые файлы, содержащие данные, которые сохраняются на устройстве пользователя (например, ПК, смартфоне или планшете) при посещении веб-страницы. Эти файлы позволяют веб-ресурсу сохранять информацию о действиях или предпочтениях пользователя на протяжении определённого периода времени, обеспечивая реализацию функциональности сайта и оптимизацию пользовательского опыта.

7.2. Cookies используются для:

- Идентификации устройств пользователя: Веб-ресурсы могут использовать cookies для определения повторных посещений пользователем, сохраняя настройки и предпочтения для улучшения пользовательского опыта при повторных визитах.

- Сбора аналитических данных: Cookies используются для сбора статистики о взаимодействии пользователей с сайтом, включая данные о просмотрах страниц, времени на сайте и взаимодействии с контентом. Эти данные применяются для оптимизации контента, улучшения дизайна и повышения функциональности ресурса.

- Обнаружения и устранения ошибок: Использование cookies позволяет мониторить технические проблемы и ошибки на сайте, что способствует быстрому их выявлению и устранению, обеспечивая стабильность и надежность работы веб-ресурса.

8. Трансграничная передача персональных данных

8.1. Трансграничная передача персональных данных Обществом осуществляется в рамках аналитики использования пользователями сайта сервисом Google Analytics. Информация, хранящаяся в cookie-файлах, может быть передана и сохранена на серверах Google. Эта передача данных осущесляется в рамках соблюдения требований законодательства о защите персональных данных.

8.2. Сервис Google Analytics, доступный по адресу https://analytics.google.com, предоставляет инструменты для анализа взаимодействия пользователей с сайтом. Google Analytics использует файлы cookie для сбора и анализа данных о поведении посетителей на сайте, таких как тип/версия браузера, операционная система, URL реферера, хост- компьютера, время запроса к серверу и другие параметры.

8.3. Пользователи могут ограничить или полностью заблокировать сбор данных Google Analytics, установив надстройку для браузера. Это позволяет предотвратить сбор данных о посещениях сайта. Кроме того, посетители могут самостоятельно управлять передаваемыми данными с помощью настроек браузера или устройства.

8.4. Google соблюдает строгие принципы безопасности и конфиденциальности данных пользователей. Для получения дополнительной информации о том, как Google обрабатывает данные, можно ознакомиться с Политикой конфиденциальности Google, доступной по адресу: https://policies.google.com/privacy. Также можно ознакомиться с условиями использования Google Analytics по ссылке: https://www.google.com/analytics/terms/us.html.

8.5. Google и другие сторонние аналитические сервисы несут ответственность за обработку данных в рамках своей деятельности, если иное не предусмотрено условиями использования конкретного сервиса.

9. Особенности обработки персональных данных при использовании внешних сервисов авторизации

9.1. Для авторизации и идентификации пользователей на сайте Общества может использоваться сторонний функционал.

10. Заключительные положения

10.1. К настоящей Политике обеспечивается неограниченный доступ.

10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

10.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных Общества.

10.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «Старк».