ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Наименование оператора: ООО «Скай-ИТ»
ИНН: 5408227631
Адрес: 630099, НОВОСИБИРСКАЯ ОБЛАСТЬ, Г. НОВОСИБИРСК, УЛ. ЯДРИНЦЕВСКАЯ, Д. 54, ЭТАЖ 1, ОФИС 4
Электронная почта: wow@wearewowagency.com



1. Общие положения
1.1. Настоящая Политика определяет политику оператора в отношении обработки персональных данных и содержит сведения о реализуемых требованиях к защите персональных данных, и доступна для ознакомления неограниченному кругу лиц в сети Интернет.
1.2. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Требования настоящей Политики обязательны для ознакомления и исполнения всеми работниками оператора, осуществляющими обработку персональных данных.
1.4. Нажатие кнопки подтверждения согласия в окне с текстом Политики конфиденциальности или установка флажка в соответствующем чек-боксе, означает ваше безоговорочное согласие с условиями и правилами настоящей Политики.
2. Основные понятия
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
оператор - лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных обрабатываемых данных, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
личный кабинет – индивидуальный раздел пользователя на сайте, защищенный параметрами авторизации, доступ к которому осуществляется путем ввода идентифицирующих данных (логин и пароль). Личный кабинет регистрируется на адрес электронной почты пользователя после прохождения регистрации пользователя на сайте;
логин и пароль – наборы латинских букв и цифр, необходимые для доступа в личный кабинет, которые в сочетании служат идентифицирующими данными пользователя. Действия, совершенные в личном кабинете с использованием логина и пароля пользователя, признаются действиями пользователя;
пользователь – дееспособное физическое лицо, использующее информационные системы владельца сайта;
сайт – совокупность средств и информации, текстов, графических элементов, дизайна, изображений, фото- и видеоматериалов, иных результатов интеллектуальной деятельности, а также программ для ЭВМ, предназначенных для публикации в сети Интернет и отображаемой в определенной текстовой, графической или звуковой формах, объединенных под уникальным электронным адресом.
3. Цели сбора персональных данных
3.1. Оператор осуществляет сбор персональных данных в следующих целях:
доступ к электронному контенту;
предоставление индивидуальных консультаций;
предоставление функциональности интернет-сайтов wow.wearewowagency.com, promo.wearewowagency.com, wowbranding.ru, а также иных сайтов, на которых размещается настоящая Политика;
настройка email-рассылок;
аналитика email-рассылок;
отправка email-рассылок;
отправка рекламных сообщений;
отправка информационных сообщений;
оформление заказов;
доставка заказов;
предоставление технической поддержки;
оказание услуг;
оптимизация и поддержка работоспособности интернет-сайтов и интернет-сервисов.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки персональных данных оператором являются:
Устав оператора;
Гражданский кодекс Российской Федерации;
иные нормативные акты Российской Федерации;
согласие субъекта персональных данных;
договор возмездного оказания услуг ООО «Скай-ИТ»;
иные соглашения между субъектом и оператором;
законный интерес оператора.
5. 5.Категории субъектов персональных данных
5.1. Оператор обрабатывает персональные данные следующих субъектов:
■ - пользователи интернет-сайтов оператора;
■ - пользователи интернет-сервисов оператора;
■ - контрагенты оператора;
■ - клиенты оператора;
■ - представители контрагентов оператора;
■ - подписчики email-рассылок.
6. Категории персональных данных
6.1. Оператор обрабатывает следующие категории персональных данных:
■ идентификаторы пользователей сайтов;
■ сведения об устройствах пользователей интернет-сайтов;
■ сведения о программном обеспечении пользователей интернет-сайтов;
■ данные cookie-файлов;
■ идентификаторы пользователей интернет-сервисов;
■ сведения об устройствах пользователей интернет-сервисов;
■ сведения о программном обеспечении пользователей интернет-сервисов;
■ адреса электронной почты;
■ фамилии, имена, отчества;
■ должности;
■ номера телефонов;
■ адреса;
■ история взаимодействия с интернет-сайтом;
■ история взаимодействия с интернет-сервисом;
■ ОГРНИП;
■ ИНН;
■ содержание email-сообщений;
■ метаданные email-сообщений;
■ история переписки с оператором;
■ страна местонахождения;
■ IP-адрес;
■ часовые пояса;
■ информация о способах оплаты;
■ баланс счета;
■ идентификаторы платежных транзакций
■ информация об оформленных заказах.
6.2. Оператор не обрабатывает специальные категории персональных данных и биометрические персональные данные.
7. Способы обработки персональных данных
7.1. Оператор осуществляет обработку персональных данных следующими способами с использованием средств автоматизации или без использования таких средств: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8. Сроки обработки персональных данных
8.1. Оператор осуществляет обработку персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
8.2. При достижении целей обработки персональных данных, а также в случае отзыва согласия на обработку, персональные данные подлежат уничтожению, за исключением случаев, предусмотренных законодательством.
8.3. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч.5 ст.18 Федерального закона "О персональных данных".
9. Права и обязанности оператора и субъектов персональных данных
9.1. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
9.2. Если в соответствии с законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа.
9.3. Если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
■ наименование и адрес оператора или его представителя;
■ цель обработки персональных данных и ее правовое основание;
■ перечень персональных данных;
■ предполагаемые пользователи персональных данных;
■ установленные ФЗ «О персональных данных» права субъекта персональных данных;
■ источник получения персональных данных.
9.4. Оператор не обязан предоставлять сведения, указанные в п. 3.3, в следующих случаях:
■ субъект персональных данных уведомлен об обработке его персональных данных иным оператором;
■ персональные данные получены на основании закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
■ обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением соответствующих запретов и условий;
■ оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
■ предоставление данных сведений нарушает права и законные интересы третьих лиц.
9.5. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта, а также:
устанавливающие обработку персональных данных несовершеннолетних (если иное не предусмотрено законодательством РФ);
допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
9.6. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем (прямого маркетинга) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Оператор обязан доказать, что такое согласие было получено. Оператор обязан немедленно прекратить обработку персональных данных в указанных целях по требованию субъекта.
9.7. Оператор не вправе принимать решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных, без получения письменного согласия, если иное не установлено законом.
9.8. Оператор обязан разъяснить субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Оператор обязан рассмотреть возражение субъекта в течение тридцати дней со дня его получения, и уведомить субъекта о результатах рассмотрения.
9.9. Субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Актуализация, исправление, удаление и уничтожение персональных данных
10.1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.2. В случае подтверждения факта неточности персональных данных, оператор осуществляет их актуализацию.
10.3. В случае подтверждения факта неправомерности обработки персональных данных, оператор прекращает их обработку.
10.4. Персональные данные уничтожаются при достижении целей обработки персональных данных, а также в случае отзыва согласия субъектом персональных данных, если:
■ иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
■ оператор не вправе осуществлять обработку на иных законных основаниях.
10.5. В течение семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
10.6. В течение семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
10.7. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
11. Порядок работы с запросами субъектов персональных данных и уполномоченных органов
11.1. Субъект персональных данных имеет право на получение следующих сведений по запросу:
■ подтверждение факта обработки персональных данных оператором;
■ правовые основания и цели обработки персональных данных;
■ цели и применяемые оператором способы обработки персональных данных;
■ наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
■ обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
■ сроки обработки персональных данных, в том числе сроки их хранения;
■ порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
■ информацию об осуществленной или о предполагаемой трансграничной передаче данных;
■ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
■ информацию о способах исполнения оператором обязанностей, установленных ст.18.1 ФЗ «О персональных данных»;
■ иные сведения, предусмотренные федеральными законами.
11.2. Оператор вправе не предоставлять сведения по запросу субъекта, если в соответствии с федеральными законами:
■ обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
■ обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
■ обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
■ доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
■ обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
11.3. Сведения, предоставляемые по запросу субъекта, должны быть предоставлены в доступной форме. В предоставляемых сведениях не должны содержаться персональные данные третьих лиц, если не имеется законных оснований для раскрытия таких персональных данных.
11.4. Сведения предоставляются в течение 10 рабочих дней с даты получения запроса. Данный срок может быть продлен не более, чем на пять рабочих дней, в случае направления оператором в адрес данных мотивированного уведомления с указанием причин продления срока.
11.5. Запрос должен содержать:
■ номер основного документа, удостоверяющего личность субъекта или его представителя;
■ сведения о дате выдачи указанного документа и выдавшем его органе;
■ сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
■ подпись субъекта персональных данных или его представителя.
11.6. Запрос может быть направлен в форме электронного документа и подписан электронной подписью. Запрос направляется в свободной форме на электронную почту или адрес оператора. Рекомендованных форм запросов оператором не предусмотрено. Если запрос направляется представителем субъекта, к запросу должен прилагаться документ, подтверждающий полномочия представителя.
11.7. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
11.8. Cубъект персональных данных вправе обратиться к оператору повторно не ранее чем через тридцать дней после первоначального обращения. Если сведения были предоставлены субъекту не в полном объёме, субъект вправе обратиться к оператору повторно до истечения указанного срока.
11.9. Оператор вправе мотивированно отказать субъекту в выполнении повторного запроса. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
11.10. Оператор безвозмездно обязан предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, в порядке, аналогичным порядку предоставления сведений по запросу субъекта. В случае отказа оператор должен предоставить мотивированный ответ со ссылкой на норму закона, являющуюся основанием для отказа. Ответ об отказе предоставляется в течение 10 рабочих дней с даты получения запроса. Данный срок может быть продлен не более, чем на пять рабочих дней, в случае направления оператором в адрес данных мотивированного уведомления с указанием причин продления срока.
11.11. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
12. Реализуемые требования к защите персональных данных
12.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
назначение ответственного за организацию обработки персональных данных;
издание политики обработки персональных данных и локальных актов в сфере обработки персональных данных, определяющих для каждой цели обработки персональных данных (1) категории и перечень обрабатываемых персональных данных, (2) категории субъектов, персональные данные которых обрабатываются, (3) способы обработки персональных данных, (4) сроки обработки и хранения персональных данных, (5) порядок уничтожения персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение, выявление и устранение последствий нарушений законодательства РФ, устранение последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществление внутреннего контроля соответствия обработки персональных данных закону и локальным актам оператора;
оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
ознакомление (или соответствующее обучение) работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе c требованиями к защите персональных данных, политикой обработки и иными локальными актами по вопросам персональных данных, локальными актами по вопросам обработки персональных данных;
обработка персональных данных пользователей осуществляется безопасным способом с применением современных методов шифрования.
12.2. Оператор реализует правовые, организационные и технические меры по обеспечению безопасности персональных данных, исходя из уровней защищенности и актуальных угроз безопасности персональных данных:
определение угроз безопасности персональных данных при их обработке в информационных системах;
применение организационных и технических мер по обеспечению безопасности персональных данных исходя из уровней защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (при необходимости);
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак и инцидентов в информационных системах;
восстановление персональных данных после несанкционированного доступа к ним;
установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
контроль за мерами по обеспечению безопасности персональных данных и уровнями защищенности информационных систем;
взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
13. Заключительные положения
13.1. Настоящая Политика является локальным нормативным актом оператора и является общедоступной.
13.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия настоящей Политики;
по решению руководства оператора;
при изменении целей и сроков обработки персональных данных;
при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
при применении новых технологий обработки и защиты персональных данных, в т. ч. передачи, хранения;
иных случаях, требующих пересмотра настоящей политики.

Редакция от 20 «ноября» 2024 г.