Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Постановлением Правительства РФ от 01.11.2012 № 1119, иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.2. Оператором персональных данных является Общество с ограниченной ответственностью «Безопасный Офис» (далее — «Оператор», «Компания»).

Полное наименование	Общество с ограниченной ответственностью «Безопасный Офис»
ИНН	7701914485
ОГРН	1117746279749
Юридический адрес	г. Москва, Холодильный пер., д. 3, корп. 1, стр. 2
Email	info@bzpoffice.online
Телефон	+7 (495) 980-05-44

1.3. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Оператором, а также устанавливает права субъектов персональных данных.

1.4. Политика действует в отношении всех персональных данных, которые Оператор получает от субъектов персональных данных посредством веб-сайта https://сертификация-иб.рус (далее — «Сайт»), электронной почты, телефонной связи, а также в рамках исполнения договорных обязательств.

1.5. Используя Сайт и (или) предоставляя Оператору свои персональные данные, субъект персональных данных выражает согласие с условиями настоящей Политики. В случае несогласия с условиями Политики субъект персональных данных должен прекратить использование Сайта.

2. Правовые основания обработки персональных данных

2.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

• Конституция Российской Федерации (ст. 24);
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Трудовой кодекс Российской Федерации (гл. 14);
• Гражданский кодекс Российской Федерации;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• иные нормативные правовые акты Российской Федерации.

2.2. Оператор обрабатывает персональные данные исключительно при наличии хотя бы одного из следующих условий:

• получено согласие субъекта персональных данных на обработку его персональных данных;
• обработка необходима для исполнения договора, стороной которого является субъект персональных данных, либо для заключения договора по инициативе субъекта;
• обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка необходима для выполнения обязанностей, возложенных на Оператора законодательством Российской Федерации.

3. Цели обработки персональных данных

3.1. Оператор обрабатывает персональные данные в следующих целях:

• обработка входящих заявок и обращений физических и юридических лиц с целью оказания информационной и консультационной поддержки;
• заключение, исполнение и прекращение гражданско-правовых договоров на оказание услуг сертификации информационной безопасности, предоставления виртуальных рабочих мест и иных услуг Оператора;
• осуществление обратной связи с субъектом персональных данных, в том числе направление уведомлений, запросов, касающихся использования Сайта и оказания услуг;
• идентификация субъекта персональных данных при обращении к Оператору;
• направление информационных и маркетинговых материалов (при наличии отдельного согласия субъекта);
• проведение статистических и аналитических исследований для улучшения качества услуг;
• обеспечение функционирования и безопасности Сайта;
• выполнение требований законодательства Российской Федерации.

4. Перечень обрабатываемых персональных данных

4.1. Оператор может обрабатывать следующие категории персональных данных:

Категория данных	Состав	Цель сбора
Идентификационные данные	Фамилия, имя, отчество	Идентификация субъекта, заключение и исполнение договора
Контактные данные	Номер телефона, адрес электронной почты (email)	Связь с субъектом, обратная связь, направление уведомлений
Данные организации	Наименование организации, ИНН, должность	Заключение и исполнение договора, выставление счетов
Технические данные	IP-адрес, тип и версия браузера, параметры устройства, данные cookie-файлов	Обеспечение работоспособности Сайта, аналитика, безопасность
Данные об использовании Сайта	Посещённые страницы, время визита, источник перехода	Статистика и улучшение качества Сайта

4.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

4.3. Оператор не осуществляет обработку биометрических персональных данных.

5. Порядок обработки и хранения персональных данных

5.1. Обработка персональных данных осуществляется Оператором с использованием автоматизированных средств и (или) без использования средств автоматизации, включая следующие действия (операции): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.2. Хранение персональных данных осуществляется на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 Федерального закона № 152-ФЗ. Серверы и базы данных, содержащие персональные данные, расположены в сертифицированных центрах обработки данных на территории Российской Федерации.

5.3. Трансграничная передача персональных данных Оператором не осуществляется.

5.4. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. К таким мерам, в частности, относятся:

• использование средств шифрования при передаче данных по открытым каналам связи (протокол TLS/SSL);
• ограничение круга лиц, имеющих доступ к персональным данным, определение уровней доступа;
• применение средств межсетевого экранирования и антивирусной защиты;
• резервное копирование информационных систем и баз данных;
• журналирование действий пользователей информационных систем;
• проведение регулярного аудита информационной безопасности;
• обучение сотрудников Оператора, непосредственно осуществляющих обработку персональных данных.

5.5. В случае утраты или разглашения персональных данных Оператор информирует субъекта персональных данных об утрате или разглашении его персональных данных.

6. Права субъекта персональных данных

6.1. Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных; правовые основания и цели обработки; применяемые Оператором способы обработки; наименование и местонахождение Оператора; сведения о лицах, которые имеют доступ к персональным данным; перечень обрабатываемых персональных данных и источник их получения; сроки обработки и хранения персональных данных; порядок осуществления субъектом своих прав, предусмотренных 152-ФЗ;
• требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать своё согласие на обработку персональных данных, направив соответствующее заявление Оператору;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
• защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке.

6.2. Для реализации своих прав субъект персональных данных может направить запрос Оператору по электронной почте info@bzpoffice.online или почтовым отправлением по адресу: г. Москва, Холодильный пер., д. 3, корп. 1, стр. 2.

6.3. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта (его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе; информацию, подтверждающую участие субъекта в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором; подпись субъекта (его законного представителя). Оператор обязан предоставить ответ в течение 10 (десяти) рабочих дней с момента получения запроса.

7. Cookie-файлы

7.1. Сайт Оператора использует cookie-файлы — небольшие текстовые файлы, размещаемые на устройстве пользователя при посещении Сайта. Cookie-файлы позволяют Сайту «запоминать» действия и настройки пользователя.

7.2. На Сайте используются следующие типы cookie-файлов:

Тип cookie	Назначение	Срок хранения
Строго необходимые	Обеспечение корректной работы Сайта, защита от CSRF-атак, сохранение сессии пользователя	До закрытия сессии браузера
Функциональные	Сохранение предпочтений пользователя (согласие на cookie, выбранные параметры)	До 1 года
Аналитические	Сбор обезличенных статистических данных о посещении Сайта (Яндекс.Метрика)	До 1 года

7.3. Пользователь может управлять cookie-файлами через настройки своего браузера: отключить приём cookie-файлов, удалить ранее сохранённые cookie-файлы, настроить уведомления при получении новых cookie-файлов. Инструкции по управлению cookie-файлами доступны на сайтах разработчиков браузеров.

7.4. Отключение cookie-файлов может привести к ограничению функциональности Сайта.

8. Передача данных третьим лицам

8.1. Оператор не передаёт персональные данные третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой и действующим законодательством Российской Федерации.

8.2. На Сайте установлен счётчик «Яндекс.Метрика» (ООО «ЯНДЕКС», ОГРН 1027700229193), который осуществляет сбор обезличенных статистических данных о посещении Сайта. Политика конфиденциальности Яндекса доступна по адресу: https://yandex.ru/legal/confidential/.

8.3. Передача персональных данных третьим лицам допускается в следующих случаях:

• субъект персональных данных выразил своё согласие на такие действия;
• передача предусмотрена российским или иным применимым законодательством в рамках установленной процедуры;
• передача необходима для исполнения договора, стороной которого является субъект персональных данных;
• передача осуществляется по запросу уполномоченных государственных органов в рамках их компетенции и в соответствии с действующим законодательством.

8.4. При привлечении третьих лиц к обработке персональных данных Оператор обеспечивает заключение договора, предусматривающего обязанность таких лиц соблюдать конфиденциальность персональных данных и обеспечивать безопасность при их обработке.

9. Сроки обработки и хранения персональных данных

9.1. Персональные данные обрабатываются и хранятся Оператором в течение срока, необходимого для достижения целей обработки, но не более 3 (трёх) лет с момента последнего взаимодействия с субъектом персональных данных, если иной срок не установлен договором или действующим законодательством Российской Федерации.

9.2. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных Оператор обязан прекратить обработку и уничтожить персональные данные в срок не более 30 (тридцати) календарных дней с даты получения отзыва, за исключением случаев, когда обработка может быть продолжена на иных законных основаниях.

9.3. По истечении сроков хранения персональные данные подлежат уничтожению, если иное не предусмотрено федеральным законом. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.

10. Порядок уведомления об инцидентах

10.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор обязан:

• в течение 24 (двадцати четырёх) часов с момента выявления инцидента уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлёкших нарушение прав субъектов персональных данных, и о предполагаемом вреде, нанесённом правам субъектов персональных данных;
• в течение 72 (семидесяти двух) часов с момента выявления инцидента уведомить Роскомнадзор о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при их установлении).

10.2. Оператор ведёт журнал учёта инцидентов, связанных с нарушением безопасности персональных данных, в котором фиксируются дата и время выявления инцидента, характер инцидента, объём затронутых данных, принятые меры реагирования и результаты расследования.

10.3. Оператор принимает меры по уведомлению субъектов персональных данных, чьи данные были затронуты инцидентом, в разумные сроки после выявления инцидента.

11. Заключительные положения

11.1. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте по адресу: https://сертификация-иб.рус/politika.php, если иное не предусмотрено новой редакцией Политики. Продолжение использования Сайта после внесения изменений означает принятие субъектом персональных данных новой редакции Политики.

11.2. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.

11.3. По всем вопросам, связанным с обработкой персональных данных, субъект персональных данных может обратиться к Оператору:

• по электронной почте: info@bzpoffice.online
• по телефону: +7 (495) 980-05-44
• почтовым отправлением по адресу: г. Москва, Холодильный пер., д. 3, корп. 1, стр. 2

11.4. Субъект персональных данных может направить жалобу в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): https://rkn.gov.ru/.