Загрузка ...
in English

Политика обработки и защиты персональных данных ООО «ЛОРУС Эс Си Эм»

 

Настоящая Политика в отношении обработки персональных данных (далее - «Политика») подготовлена в соответствии с Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее - «Закон») действует в отношении всей информации, размещенной на сайте в сети интернет по адресу: www.lorus-scm.com (далее – «Сайт») и определяет позицию ООО «ЛОРУС Эс Си Эм», с местонахождением по адресу: 123317, г. Москва, Тестовская ул., дом 10 подъезд 2. (далее - «Компания») в области обработки и защиты персональных данных (далее - «Данные»), соблюдения прав и свобод каждого человека.

Использование сервисов Сайта означает безоговорочное согласие Пользователя Сайта (далее – «Пользователь») с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.

1. Общие Политики

1.1. Настоящая Политика распространяет свое действие в отношении Данных, полученных как до, так и после ввода в действие настоящей Политики.

1.2. Под Данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину), т.е. к такой информации, в частности, относятся:

  • ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, номер телефона, адрес электронной почты для связи, а также другая информация.

  • Информация, которую Пользователь предоставляет о себе самостоятельно при регистрации (создании учетной записи) или в процессе использования сервисов, включая персональные данные Пользователя. Обязательная для предоставления сервисов информация помечена специальным образом. Иная информация предоставляется Пользователем на его усмотрение.

  • Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

1.3. Под обработкой Данных понимается любое действие (операция) или совокупность действий (операций) с Данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.

1.4. Под безопасностью Данных понимается защищенность Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

1.5. Настоящая Политика применяется только к Сайту. Компания не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте.

2. Правовые основания и цели обработки Данных

2.1. Обработка и обеспечение безопасности Данных в Компании осуществляется в соответствии с требованиями законодательства РФ.

2.2. Сайт собирает и хранит только ту персональную информацию, которая необходима для предоставления сервисов, услуг или исполнения соглашений и договоров с Пользователем, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.

2.3. Персональную информацию Пользователя Сайт обрабатывает в следующих целях:

2.3.1. Идентификации Пользователя, зарегистрированного на Сайте, для ведения статистических данных.

2.3.2. Предоставления Пользователю доступа к персонализированным ресурсам Сайта.

2.3.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Пользователя.

2.3.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.

2.3.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.

2.3.6. Создания учетной записи, если Пользователь дал согласие на создание учетной записи.

2.3.7.  Уведомления Пользователя Сайта об услугах Компании.

2.3.8.  Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.

2.3.9.  Осуществления рекламной деятельности с согласия Пользователя.

3.  Принципы и условия обработки Данных

3.1.  При обработке Данных Компания придерживается следующих принципов:

  • обработка Данных осуществляется на законной и справедливой основе;

  • Данные не раскрываются третьим лицам и не распространяются без согласия Пользователя Данных, за исключением случаев, требующих раскрытия Данных по запросу уполномоченных государственных органов, судопроизводства;

  • определение конкретных законных целей до начала обработки (в т.ч. сбора) Данных;

  • ведется сбор только тех Данных, которые являются необходимыми и достаточными для заявленной цели обработки;

  • объединение баз данных, содержащих Данные, обработка которых осуществляется в целях, несовместимых между собой не допускается;

  • обработка Данных ограничивается достижением конкретных, заранее определенных и законных целей;

  • обрабатываемые Данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2.  Компания может включать Данные Пользователей в общедоступные источники Данных, при этом Компания берет письменное согласие Пользователя на обработку его Данных.

3.3.  Компания вправе передать Данные Пользователя третьим лицам в следующих случаях:

3.3.1.  Пользователь выразил согласие на такие действия.

3.3.2.  Передача необходима для использования Пользователем определенного сервиса либо для исполнения определенного соглашения или договора с Пользователем.

3.3.3.  Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.3.4.  В случае продажи Сайта. При этом, к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученной им персональной информации.

3.4.  Обработка персональных данных Пользователя осуществляется без ограничения срока любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств, если иное не предусмотрено законодательством РФ.

3.5.  Компания не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

3.6.  Компания не осуществляет трансграничную передачу Данных.

3.7.  В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка Данных в Компании осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.

4.  Права и обязанности Пользователей, а также Компании в части обработки Данных

4.1.  Пользователь, Данные которого обрабатываются Компанией, имеет право:

  • получать от Компании:

  • подтверждение факта обработки Данных и сведения о наличии Данных, относящихся к соответствующему Пользователю Данных;

  • сведения о применяемых Компанией способах обработки Данных;

  • сведения о правовых основаниях и целях обработки Данных;

  • сведения о сроках обработки Данных, в том числе о сроках их хранения;

  • сведения о наименовании и местонахождении Компании;

  • перечень обрабатываемых Данных, относящихся к Пользователю;

  • иные сведения, предусмотренные Законом или другими нормативно-правовыми актами Российской Федерации;

  • требовать от Компании уточнения своих Данных, их блокирования или уничтожения в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

  • отозвать свое согласие на обработку Данных в любой момент;

  • требовать устранения неправомерных действий Компании в отношении его Данных;

4.2.  Компания в процессе обработки Данных обязана:

  • предоставлять Пользователю по его запросу информацию, касающуюся обработки его Данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса Пользователя;

  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;

  • прекратить обработку Данных и уничтожить Данные по достижении цели обработки Данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь Данных, в случае достижения цели обработки Данных;

  • прекратить обработку Данных и уничтожить Данные в случае отзыва Пользователем согласия на обработку Данных;

5.  Требования к защите Данных

5.1.  В соответствии с требованиями нормативных документов Компанией создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

5.2.  Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

5.3.  Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

5.4.  Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Данных.

5.5.  Основными мерами защиты Данных, используемыми Компанией, являются:

5.5.1.  Назначение лица, ответственного за обработку Данных, которое осуществляет организацию обработки Данных, обучение и инструктаж, внутренний контроль за соблюдением Компанией и ее работниками требований к защите Данных.

5.5.2.  Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

5.5.3.  Соблюдение условий, обеспечивающих сохранность Данных и исключающих несанкционированный доступ к ним.

5.5.4.  Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

5.5.5.  Восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

5.5.6.  Доведение до сведения работников Компании, непосредственно осуществляющих обработку персональных данных, положений законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Компании в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

5.5.7.  Осуществление внутреннего контроля и аудита.

5.6.  Для целей Политики под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность неправомерного и/или несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе персональных данных.

5.7.  Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

  • учетом машинных носителей персональных данных;

  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.8.  Защищаемые сведения о субъекте персональных данных.

К защищаемым сведениям о субъекте персональных данных на Сайте относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Политикой.

5.9.  Защищаемые объекты персональных данных.

5.9.1.  К защищаемым объектам персональных данных на Сайте относятся:

  • объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;

  • информационные ресурсы (базы данных, файлы и др.), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

  • каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;

  • отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.

5.9.2.  Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:

  • сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;

  • управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

  • технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

  • характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;

  • информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;

  • служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.

5.10.  Требования к системе защиты персональных данных.

Система защиты персональных данных должна соответствовать требованиям постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.10.1.  Система защиты персональных данных должна обеспечивать:

  • своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

  • возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • постоянный контроль за обеспечением уровня защищенности персональных данных.

5.10.2.  Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.

5.11.  Методы и способы защиты информации в информационных системах персональных данных.

5.11.1.  Методы и способы защиты информации в информационных системах персональных данных Компании должны соответствовать требованиям:

  • приказа ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (в случае определения Компанией необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).

5.11.2.  Основными методами и способами защиты информации в информационных системах персональных данных Пользователей являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

5.11.3.  Выбор и реализация методов и способов защиты информации на Сайте осуществляется в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых Компанией угроз безопасности персональных данных модели угроз) и в зависимости от класса информационной системы.

5.11.4.  Выбранные и реализованные методы и способы защиты информации на Сайте должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке.

5.12.  Меры защиты информации, составляющей персональные данные.

5.12.1.   Меры по охране баз данных, содержащих персональные данные, принимаемые Компанией, должны включать в себя:

  • определение перечня информации, составляющей персональные данные;

  • ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.

5.12.2.  Меры по охране конфиденциальности информации признаются разумно достаточными, если:

  • исключается доступ к персональным данным любых третьих лиц без согласия Компании;

  • обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;

  • при работе с Пользователем устанавливается такой порядок действий Компании, при котором обеспечивается сохранность сведений, содержащих персональные данные Пользователя.

5.12.3.   Персональные данные не могут быть использованы в целях, противоречащих требованиям Закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

5.13.  Ответственность.

5.13.1.  Все сотрудники Компании, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с настоящей Политикой, требованиями законодательства РФ.

5.13.2.  Лица, виновные в нарушении требований настоящей политики, несут предусмотренную законодательством РФ ответственность.

5.13.3.  Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку персональных данных.

6.  Особенности обработки и защиты Данных, собираемых Компанией с использованием сети Интернет

6.1.  Компания обрабатывает и защищает Данные, поступающие от пользователей Сайта.

6.2.  Сбор Данных

Существуют два основных способа, с помощью которых Компания получает Данные с помощью сети Интернет:

6.2.1.  Предоставление Данных

Предоставление Данных (включая фамилию, имя, должность, место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) Пользователями путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Компании.

6.2.2.  Автоматически собираемая информация

Компания может собирать и обрабатывать сведения, не являющимися персональными данными:

информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта;

обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта.

6.3. Использование Данных.

Компания вправе пользоваться предоставленными Данными в соответствии с заявленными целями их сбора при наличии согласия Пользователя Данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области Данных.

Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей Пользователей.

Пользователи, чьи Данные обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих Данных, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании: 123317, г. Москва, Тестовская ул., дом 10 подъезд 2.

6.4. Передача Данных.

Компания может поручать обработку Данных третьим лицам исключительно с согласия Пользователя. Также Данные могут передаваться третьим лицам в следующих случаях:

а) B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.

б) Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия Пользователя Данных.

6.5. Пользователь может в любое время отозвать свое согласие на обработку Данных, направив электронное сообщение по адресу электронной почты: legal@lorus-scm.com, либо направив письменное уведомление по адресу Компании: 123317, г. Москва, Тестовская ул., дом 10 подъезд 2.

После получения такого сообщения обработка Данных пользователя будет прекращена, а его Данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством.

Заключительные положения

Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте Компании.

Настоящая Политика может быть пересмотрена в любом из следующих случаев:

  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

  • в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;

  • по решению руководства Компании;

  • при изменении целей и сроков обработки Данных;

  • при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

  • при применении новых технологий обработки и защиты Данных (в т. ч. передачи, хранения);

  • при появлении необходимости в изменении процесса обработки Данных, связанной с деятельностью Компании.

В случае неисполнения положений настоящей Политики Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки Данных Компании, а также за безопасность персональных данных.