Главная > Политика конфиденциальности

Политика конфиденциальности - NanoReview

1. Общие положения

1.1. Настоящий документ, именуемый далее «Политика», составлен в соответствии с подпунктом 2 части 1 статьи 18.1 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» (далее — «Закон»). Он отражает принципы и подходы, которых придерживается Иванова Петра Евгеньевича (место регистрации: г. Москва, улица Вавилова 19, офис 211), а также его аффилированные лица (в дальнейшем – «Компания») в сфере обращения с персональной информацией. Цель документа — обеспечить защиту персональных данных (далее — «Данные») и гарантировать соблюдение прав граждан, включая право на частную жизнь, защиту личной и семейной тайны.

2. Сфера действия

2.1. Настоящий документ охватывает информацию личного характера, поступившую как до утверждения настоящих положений, так и после их вступления в силу.

2.2. Осознавая значимость и чувствительность персональной информации, а также уважая основные права граждан Российской Федерации и иностранных государств, Компания прилагает все усилия для обеспечения высокого уровня защиты таких сведений.

3. Термины и пояснения

3.1. Под термином «Данные» подразумевается совокупность сведений, позволяющих прямо или через дополнительные признаки установить личность человека. К ним могут относиться ФИО, адрес электронной почты, изображение (фотография), IP-адрес и иные идентификаторы.

3.2. «Обработка» охватывает любые действия, выполняемые в отношении Данных, как с помощью технических средств, так и вручную. Это включает в себя: сбор, фиксацию, структурирование, хранение, обновление, извлечение, использование, передачу (в том числе распространение и предоставление доступа), обезличивание, ограничение доступа, удаление и окончательное уничтожение.

3.3. «Защита Данных» означает комплекс мер, направленных на предотвращение несанкционированного доступа, искажения, копирования, распространения либо иных действий, противоречащих установленному порядку обращения с информацией.

4. Юридические основания и назначение обработки

4.1. Компания организует работу с Данными, строго придерживаясь положений Конституции РФ, Федерального закона №152-ФЗ, Трудового кодекса РФ, а также иных нормативных актов и методических рекомендаций, регулирующих обработку персональных данных, в том числе разработанных ФСТЭК и ФСБ России.

4.2. Обработка распространяется на Данные следующих категорий лиц:

4.3. Основные задачи, для которых осуществляется обработка, включают:

Компания осуществляет действия в рамках своей компетенции, определённой действующими нормативными актами Российской Федерации. Это включает выполнение требований различных кодексов и законов, включая, но не ограничиваясь: Гражданским, Налоговым, Трудовым, Семейным кодексами, а также федеральными законами, такими как: № 27-ФЗ от 01.04.1996 «Об индивидуальном учёте в системе обязательного пенсионного страхования», № 152-ФЗ от 27.07.2006 «О персональных данных», № 53-ФЗ от 28.03.1998 «О воинской обязанности и военной службе», № 31-ФЗ от 26.02.1997 «О мобилизационной подготовке», № 14-ФЗ от 08.02.1998 «Об обществах с ограниченной ответственностью», № 2300-1 от 07.02.1992 «О защите прав потребителей», № 129-ФЗ от 21.11.1996 «О бухгалтерском учете», № 326-ФЗ от 29.11.2010 «Об обязательном медицинском страховании».

5. Принципы и подходы при работе с Данными

5.1. Компания придерживается подхода, при котором все действия с персональной информацией осуществляются с уважением к частной жизни и в рамках закона. Данные не передаются и не становятся доступными посторонним без получения согласия от их владельцев, за исключением случаев, предусмотренных государственными регламентами. Сбор и обработка информации происходят исключительно для чётко определённых задач, соответствующих заявленным целям, при этом избыточные данные не запрашиваются. Объединение информационных массивов, не связанных единым назначением, не допускается. После достижения поставленных целей или при утрате их актуальности информация удаляется или подвергается анонимизации, если только законодательством не предусмотрено иное.

5.2. Компания вправе включать данные в открытые информационные источники исключительно с предварительного согласия лиц, к которым они относятся. Такое согласие может быть получено как в письменной форме, так и посредством явного волеизъявления, выраженного, например, нажатием соответствующего элемента на веб-странице.

5.3. Не осуществляется работа с категориями данных, отражающими расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, интимную жизнь или участие в общественных и профсоюзных организациях.

5.4. Сведения биометрического характера (например, уникальные физиологические характеристики, с помощью которых можно идентифицировать личность) в рамках внутренних процессов Компанией не используются.

5.5. Компания может передавать информацию за пределы Российской Федерации только в те юрисдикции, где установлены и действуют правовые нормы, обеспечивающие надлежащий уровень защиты прав и свобод физических лиц при обработке персональных данных, в соответствии с международными соглашениями.

5.6. В ситуациях, прямо оговорённых действующим правом, Компания вправе предоставить доступ к определённым сведениям уполномоченным инстанциям — включая налоговые, пенсионные и иные регулирующие органы.

5.7. При необходимости Компания может делегировать обработку информации сторонним организациям, при условии получения согласия от владельца данных. Такое взаимодействие оформляется официальным соглашением, либо выражается в принятии публичной оферты или пользовательского соглашения на веб-ресурсе.

5.8. Все третьи стороны, которым поручена работа с данными, обязаны строго соблюдать условия конфиденциальности. Договора с такими лицами подробно фиксируют, какие действия они вправе совершать с данными, с какой целью, а также налагают требования по обеспечению технической и организационной безопасности в процессе обработки.

5.9. Компания применяет как автоматизированные, так и неавтоматизированные способы при работе с данными. Это охватывает весь цикл обработки: от первичного получения и хранения до возможного удаления или обезличивания.

5.10. Компания не принимает решений, затрагивающих юридические права и интересы лиц, исключительно на основе автоматизированной обработки информации, за исключением ситуаций, прямо предусмотренных федеральным законодательством.

6. Права пользователей и обязанности Компании при работе с их персональной информацией

6.1. Каждый человек, чьи данные находятся в распоряжении Компании, вправе рассчитывать на:

— получение от Компании следующей информации:

  • Подтверждение того, что его данные действительно обрабатываются, и какие именно сведения имеются в наличии.
  • Пояснение, на каком основании и с какой целью проводится обработка, какие технологии или подходы при этом применяются, а также кто именно отвечает за обработку и где он находится.
  • Информацию о том, кто (помимо сотрудников Компании) может получить доступ к этим данным по закону или по договору.
  • Перечень всех данных, собранных о нем, и, если это возможно, указание, откуда эти данные были получены.
  • Сроки хранения и обработки этих данных.
  • Разъяснение о том, как можно реализовать свои права, установленные законом.
  • ФИО и адрес ответственного лица, если обработка делегирована третьей стороне.
  • Другие предусмотренные законом сведения.

— право требовать от Компании:

  • Исправления, удаления или временной блокировки информации, если она неточная, устарела, получена незаконно или более не требуется.
  • Прекращения обработки данных и отзыва ранее выданного согласия в любое время.
  • Защиты своих интересов, если действия Компании кажутся неправомерными — вплоть до подачи жалобы в Роскомнадзор или обращения в суд.

— защиту своих прав, включая возможность взыскания убытков или компенсации морального вреда через суд.

6.2. Компания обязуется выполнять следующие действия при работе с персональными данными:

  • Предоставлять всю необходимую информацию по запросу владельца данных либо, если есть законные основания, отказывать в течение 30 дней с момента получения запроса.
  • Пояснять возможные юридические последствия, если человек решит не предоставлять определённые данные.
  • Если данные получены не напрямую от человека, заранее проинформировать его (за исключением ситуаций, когда это не требуется по закону):
    1) кто именно их обрабатывает (наименование и контактные данные);
    2) зачем и на каком основании это делается;
    3) кто будет иметь доступ к этим данным;
    4) какие у человека есть права;
    5) откуда была получена информация.
  • Обеспечивать защиту данных от несанкционированного доступа, утечек и любых других рисков с помощью технических, организационных и юридических мер.
  • Открыто размещать политику по обработке данных в Интернете и делать её общедоступной.
  • Давать возможность ознакомиться с личными данными бесплатно по запросу — в течение 30 дней.
  • При обнаружении нарушений в обработке данных — оперативно приостанавливать доступ к ним и проводить проверку.
  • Вносить корректировки в данные в течение недели, если человек или его представитель предоставили подтверждённую информацию об ошибке.
  • Прекращать обработку и устранять нарушения в течение трёх рабочих дней после их обнаружения.
  • Удалять данные, если достигнута цель обработки, либо если человек отозвал своё согласие, и других оснований для хранения нет.
  • Вести журнал всех обращений по персональным данным — фиксируя, кто запрашивал информацию и когда она была предоставлена.

7. Требования к защите Данных

7.1. Компания при обработке Данных принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

7.2. К таким мерам в соответствии с Законом, в частности, относятся:

  • назначение лица, ответственного за организацию обработки Данных, и лица, ответственного за обеспечение безопасности Данных;
  • разработка и утверждение локальных актов по вопросам обработки и защиты Данных;
  • применение правовых, организационных и технических мер по обеспечению безопасности Данных:
  • определение угроз безопасности Данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных;
  • учет машинных носителей Данных, если хранение Данных осуществляется на машинных носителях;
  • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных.
  • контроль за принимаемыми мерами по обеспечению безопасности Данных и уровнем защищенности информационных систем персональных данных;
  • оценка вреда, который может быть причинен субъектам Данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям Данных и обеспечивающих сохранность Данных;
  • ознакомление работников Компании, непосредственно осуществляющих обработку Данных, с положениями законодательства Российской Федерации о Данных, в том числе с требованиями к защите Данных, локальными актами по вопросам обработки и защиты Данных, и обучение работников Компании.

8. Сроки обработки (хранения) Данных

8.1. Сроки обработки (хранения) Данных определяются исходя из целей обработки Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями федеральных законов, требованиями операторов Данных, по поручению которых Компания осуществляет обработку Данных, основными правилами работы архивов организаций, сроками исковой давности.

8.2. Данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение Данных после прекращения их обработки допускается только после их обезличивания.

9. Порядок получения разъяснений по вопросам обработки Данных

9.1. Лица, чьи Данные обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих Данных, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании: г. Киев, улица Героев Днепра 3, дом 7, офис 211.

9.2. В случае направления официального запроса в Компанию в тексте запроса необходимо указать:

  • фамилию, имя, отчество субъекта Данных или его представителя;
  • номер основного документа, удостоверяющего личность субъекта Данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие наличие у субъекта Данных отношений с Компанией; информацию для обратной связи с целью направления Компанией ответа на запрос;
  • подпись субъекта Данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

10. Особенности обработки и защиты Данных, собираемых Компанией с использованием сети Интернет

10.1. Компания обрабатывает Данные, поступающие от пользователей Cайта с ресурса: https://nanoreview.info (далее совместно – Cайт), а также поступающие на адрес электронной почты Компании: contact@nanoreview.info, через форму обратной связи Компании, расположенную по адресу: https://nanoreview.info/ru/contact.

10.2. Сбор Данных

Существуют два основных способа, с помощью которых Компания получает Данные с помощью сети Интернет:

10.2.1. Предоставление Данных

Предоставление Данных (самостоятельный ввод данных):

  • Фамилия
  • Имя
  • Отчество
  • Электронная почта
  • Фотография

10.2.2. Субъектами Данных путем поступления на адрес электронной почты Компании: contact@nanoreview.info, через форму обратной связи Компании, расположенную по адресу: https://nanoreview.info/ru/contact.

10.3. Автоматически собираемая информация

Компания может собирать и обрабатывать сведения, не являющимися персональными данными:

  • ip адрес
  • информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Компанией с целью предоставления актуальной информации клиентам Компании при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются наибольшим спросом у клиентов Компании;
  • обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта.

Компания автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом, переписки по электронной почте и т. п. Речь идет о технологиях и сервисах, таких как веб-протоколы, куки, веб-отметки, а также приложения и инструменты указанной третьей стороны.

При этом веб-отметки, куки и другие мониторинговые технологии не дают возможность автоматически получать Данные. Если пользователь Сайта по своему усмотрению предоставляет свои Данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб- сайтами и/или для совершенствования взаимодействия с пользователями.

10.4. Использование Данных

Компания вправе пользоваться предоставленными Данными в соответствии с заявленными целями их сбора при наличии согласия субъекта Данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области Данных.

Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров и услуг, реализуемых Компанией и улучшения качества обслуживания.

10.5. Передача Данных

Компания может поручать обработку Данных третьим лицам исключительно с согласия субъекта Данных. Также Данные могут передаваться третьим лицам в следующих случаях:

а) B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.

б) Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта Данных.

10.6. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация. При этом действие настоящей Политики не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с политиками об обработке Данных, размещенными на таких сайтах.

10.7. Пользователь Сайта может в любое время отозвать свое согласие на обработку Данных, направив сообщение на адрес электронной почты Компании: contact@nanoreview.info, через форму обратной связи Компании, расположенную по адресу: https://nanoreview.info/ru/contact, либо направив письменное уведомление по адресу Компании: г. Москва, улица Вавилова 19, офис 211. После получения такого сообщения обработка Данных пользователя будет прекращена, а его Данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством. Заключительные положения Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте Компании. Настоящая Политика может быть пересмотрена в любом из следующих случаев:

  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
  • в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
  • по решению руководства Компании;
  • при изменении целей и сроков обработки Данных;
  • при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
  • при применении новых технологий обработки и защиты Данных (в т. ч. передачи, хранения);
  • при появлении необходимости в изменении процесса обработки Данных, связанной с деятельностью Компании.

В случае неисполнения положений настоящей Политики Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки Данных Компании, а также за безопасность персональных данных.