1 Основные понятия, используемые в документе
1.1 152-ФЗ — Федеральный закон Российской Федерации от 27.07.2006г. №152-ФЗ «О персональных данных¹»;
1.2 персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
1.3 оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.4 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, обеспечение доступа), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.5 автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
1.6 распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.7 предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.8 блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.9 уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.10 обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.11 информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Сведения об ИСПДн, находящихся под управлением «БЛЭК-ГРИН», опубликованы на странице с информацией о соответствующей компании как операторе персональных данных в реестре операторов персональных данных Роскомнадзора;
1.12 трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.13 субъект персональных данных — любое определенное или определяемое физическое лицо, обладающее правоспособностью в соответствии с применимым законодательством, сторона отношений с «БЛЭК-ГРИН». Сведения об операторе ПДн на сайте Роскомнадзора (URL): https://pd.rkn.gov.ru/operators-registry/operators-list/?act=search&name_full=&inn=771812324702®n= ¹ Общеупотребимые термины в сфере персональных данных используются в тех же значениях, какими они внесены в статье 3 152-ФЗ
1.14 веб-сайт «БЛЭК-ГРИН» — веб-сайт, доступный по адресу (URL) в сети Интернет: https://black-green.ru (далее по тексту black-green.ru), и его поддомены.
1.15 файлы cookies² — небольшие по размеру текстовые файлы, хранящиеся на конкретном клиентском устройстве пользователя, сохраняющие параметры настройки интерфейса пользователя ПО и параметры браузера при посещении данным субъектом веб-сайта black-green.ru;
1.16 IP-адрес³ — сетевой адрес в глобальной информационно-телекоммуникационной сети Интернет, присвоенный сегменту сети или конкретному клиентскому устройству при подключении к сети Интернет.
1.17 регистрация [пользователя сайта] — процесс создания учётной записи (UserID) пользователя на веб сайте black-green.ru, независимо от того, постоянная это учётная запись или временная (на период сеанса использования сайта), целью которого является создание возможности различения пользователей одного от другого с точки зрения оператора сайта. В процессе создания новой, или вновь созданной учётной записи пользователя сайта, данные обрабатываются в связке. Связанные с существующей или вновь созданной учётной записью на сайте, данные пользователя обрабатываются в связке с конкретным запросом пользователя;
1.18 идентификация — действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов;
1.19 аутентификация — процесс подтверждения заявленной идентичности для гарантии того, что установленная идентичность пользователя корректна (действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации);
1.20 авторизация — процесс определения достоверности полномочий предъявителя на доступ к ресурсу или использованию услуг;
1.21 доступ — получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия;
1.22 пользователь — физическое лицо, первичная идентификация которого выполнена в конкретной среде функционирования. В частности, например, пользователем сайта black-green.ru является физическое лицо, первичная идентификация которого выполнена в конкретной ИСПДн, работающей на базе соответствующего ПО; после успешной идентификации и аутентификации пользователь (вычислительный процесс от его имени) получает доступ файлам, закрытым для скачивания, пользователям, не прошедшим идентификацию;
2 Применимое законодательство и правовые основания обработки персональных данных;
2.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями части 2 статьи 1.8.1 Федерального закона Индивидуальный предприниматель Бояринцев Евгений Анатольевич , осуществляющий деятельность по обработке персональных данных граждан Российской Федерации, регистрируются в реестре Уполномоченного органа Российской Федерации по защите прав субъектов персональных данных — Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) в качестве операторов персональных данных. Информацию об операторах любое лицо может получить через интернет, осуществив поиск в реестре по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/. В реестре указываются предусмотренные законодательством Российской Федерации сведения об операторе применительно к соответствующей «БЛЭК-ГРИН», в том числе: (а) полное наименование и местонахождение оператора персональных данных; (б) сведения о лицах, ответственных за организацию обработки персональных данных; (в) контактная информация для обращений; (г) сведения о местах расположения баз данных информационных систем персональных данных; (д) сведения об обработке персональных данных и мерах по обеспечению безопасности; (е) сведения об осуществлении трансграничной передачи персональных данных; (ж) иные предусмотренные 152-ФЗ сведения об операторах персональных данных. ² IP (англ.. Internet Protocol) — Основной протокол межсетевого взаимодействия, используемый в сети Интернет. ³ Определение данного и ряда других указанных в Политике терминов приведены по: ГОСТ Р 53632-2009. Национальный стандарт Российской Федерации. Показатели качества услуг доступа в интернет. Общие требования; ГОСТ Р 58833-2020. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Общие положения; ГОСТ Р 52872-2019. Российской Федерации от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и предназначена для предоставления неограниченного доступа к информации в отношении общих принципов, целей и объяснения отдельных деталей обработки персональных данных (ПДн), а также к сведениям о реализуемых мерах защиты прав субъектов персональных данных.
2.2 В Политике, помимо требований 152-ФЗ, его подзаконных актов и нормативно-методических документов государственных органов Российской Федерации, уполномоченных в сфере информационной безопасности и защиты прав субъектов персональных данных, по возможности также учитываются положения иного применимого к затрагиваемой Политикой деятельности законодательства в области обработки персональных данных, например, европейского Общего регламента о защите персональных данных (далее – GDPR), или местного законодательства отдельных стран в части, не противоречащей 152-ФЗ.
2.3 Правовыми основаниями обработки персональных данных являются, в частности: Гражданский Кодекс Российской Федерации; Налоговый Кодекс Российской Федерации; Трудовой Кодекс Российской Федерации; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования»; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»; Постановление Правительства Российской Федерации от 23.09.2020 №1526; Договоры согласия субъектов персональных данных на обработку их персональных данных.
2.4 В отдельных случаях обработки персональных данных, например, для разрешения возможных противоречий между различными законодательствами отдельных государств, порядок и принципы обработки персональных данных могут дополнительно к Политике регулироваться и детализироваться в специальных разделах заключаемых договоров или соглашений, относящихся к таким отдельным случаям и выполняющих для таких случаев роль соглашений об обработке данных (Data Processing Agreement, далее – DPA) в терминологии GDPR.
3 Общие положения и область действия Политики
3.1 Настоящая Политика действует с даты утверждения, указанной на титульном листе. В предложенную Вашему вниманию Политику в любое время могут быть внесены изменения или дополнения. Пожалуйста, не забывайте регулярно читать обновленную редакцию данного документа, публикуемую в информационно-телекоммуникационной сети Интернет по адресу постоянного размещения (URL), указанному на титульном листе.
3.2 Настоящая Политика распространяет своё действие на процессы обработки ПДн «БЛЭК-ГРИН», описывает порядок обработки и защиты персональных данных в связи с заключением договоров и исполнением договорных обязательств «БЛЭК-ГРИН» в рамках осуществления уставной деятельности, соответствующих «БЛЭК-ГРИН», включая:
3.2.1 процессы обработки ПДн с использованием ЭВМ;
3.2.2 процессы обработки персональных данных на веб-сайте black-green.ru;
3.2.3 коммуникации через мессенджеры: отправка сообщений и общение с субъектами ПДн через различные указываемые субъектами ПДн в качестве канала коммуникации мессенджеры для более удобного и оперативного взаимодействия;
3.2.4 выполнение работ и предоставление прочих услуг, в процессе которых ведётся обработка персональных данных.
3.3 Обработка персональных данных в «БЛЭК-ГРИН» осуществляется на основе следующих принципов:
3.3.1 наличие законных оснований для обработки персональных данных, а именно:
3.3.1.1 получено согласие субъекта на обработку его персональных данных;
3.3.1.2 обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
3.3.1.3 обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на «БЛЭК-ГРИН» как оператора ПДн функций, полномочий и обязанностей;
3.3.1.4 обработка персональных данных необходима для осуществления прав и законных интересов оператора («БЛЭК-ГРИН») или третьих лиц либо для достижения общественно значимых целей (например, защиты от нарушения авторских прав, мошенничества и иного недобросовестного поведения, противодействия отмыванию доходов, борьбе с терроризмом, экстремизмом и иными угрозами безопасности государства) при условии, что при этом не нарушаются права и свободы субъекта;
3.3.1.5 обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
3.3.1.6 обработка персональных данных осуществляется в связи с участием субъекта персональных данных в гражданском и арбитражном судопроизводстве;
3.3.1.7 обработка персональных данных необходима для исполнения судебного акта в соответствии с законодательством Российской Федерации об исполнительном производстве;
3.3.1.8 обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта ПДн невозможно;
3.3.1.9 осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
3.3.2 ограниченность обработки персональных данных достижением конкретных, заранее определенных и законных целей;
3.3.3 недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
3.3.4 обработка только тех персональных данных, которые отвечают целям их обработки;
3.3.5 соответствие содержания и объема (недопущение избыточности) обрабатываемых персональных данных заявленным целям обработки;
3.3.6 обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
3.3.7 хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, тороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.4 Возрастные ограничения:
3.4.1 «БЛЭК-ГРИН» не производит обработку персональных данных лиц, которые не достигли возраста 14 лет.
3.4.2 Если субъект персональных данных считает, что «БЛЭК-ГРИН» могли быть получены персональные данные от лица, не достигшего возраста, с которого он может предоставлять самостоятельное согласие на обработку, субъект ПДн сообщает нам об этом, воспользовавшись одним из способов, описанных в разделе «13» Политики.
4 Категории субъектов персональных данных, затрагиваемых настоящей Политикой
4.1 «БЛЭК-ГРИН» берет на себя обязательство обрабатывать и защищать ПДн следующих субъектов персональных данных:
4.1.2 клиентов и контрагентов «БЛЭК-ГРИН» и их представителей, включая:
4.1.2.1 пользователей и покупателей товаров, работ, услуг, работающих и работавших с нами;
4.1.2.2 потенциальных клиентов;
4.1.3 посетителей веб-сайта black-green.ru;
4.1.4 отправителей запросов (заявителей с обращениями);
5 Основные права и обязанности оператора и субъекта(-ов) персональных данных
5.1 Права и обязанности «БЛЭК-ГРИН»
5.1.1 «БЛЭК-ГРИН», выступая в качестве оператора ПДн, имеет право:
5.1.1.1 самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами;
5.1.1.2 поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено 152-ФЗ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению «БЛЭК-ГРИН» в соответствии с частью 3 статьи 6 152-ФЗ обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством о персональных данных;
5.1.1.3 в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в 152-ФЗ.
5.1.2 «БЛЭК-ГРИН», выступая в качестве оператора ПДн, обязана:
5.1.2.1 организовывать обработку персональных данных в соответствии с требованиями 152-ФЗ: мы осознаем, что сторона взаимоотношений с «БЛЭК-ГРИН» может вверять нам важную информацию личного содержания (персональные данные относятся к категории конфиденциальной информации), и с целью соблюдения и защиты прав и свобод человека, в частности, прав на неприкосновенность частной жизни, личную и семейную тайну, защиту чести, достоинства, мы гарантируем ответственный подход к нашим обязанностям по защите этой информации;
5.1.2.2 отвечать на обращения и Запросы субъектов персональных данных и их законных представителей в соответствии с требованиями 152-ФЗ;
5.1.2.3 сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по собственной инициативе или по запросу этого органа необходимую информацию в течение срока, предусмотренного законодательством о персональных данных;
5.2 Права и обязанности субъектов персональных данных
5.2.1 Субъект персональных данных имеет право:
5.2.1.1 получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных «БЛЭК-ГРИН» в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен 152-ФЗ;
5.2.1.2 требовать от «БЛЭК-ГРИН» уточнения персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
5.2.1.3 выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
5.2.1.4 обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие конкретной компании «БЛЭК-ГРИН», выступающей в качестве оператора ПДн, при обработке персональных данных субъекта ПДн;
5.2.1.5 вступать в коммуникацию с «БЛЭК-ГРИН», в том числе подписываться и получать сообщения (рассылки), направляемые по инициативе «БЛЭК-ГРИН» только в случае, если субъект ПДн предоставил явное согласие на их получение; в любой момент, на безвозмездной основе, субъект ПДн вправе отказаться от получения уведомлений, рассылок информации о продукции и услугах «БЛЭК ГРИН», используя специальную процедуру отказа от таких рассылок (в случае рассылок по электронной почте — предусмотренную и указанную непосредственно в тексте (теле) писем соответствующих рассылок).
5.2.2 Если субъект персональных данных не согласен с условиями Политики, субъекту персональных данных следует воздержаться от пользования веб-сайтом и (или) иными товарами/ работами/ услугами «БЛЭК-ГРИН».
6 Цели обработки персональных данных
6.1 Производимая «БЛЭК-ГРИН» обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Допускается обработка персональных данных, совместимая с нижеуказанными целями.
6.2 Общие цели обработки ПДн в процессе осуществления предусмотренной Уставом конкретной «БЛЭК-ГРИН» деятельности:
6.2.1 осуществление и выполнение возложенных законодательством Российской Федерации на «БЛЭК ГРИН» как оператора персональных данных функций, полномочий и обязанностей;
6.2.2 исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
6.2.3 осуществление прав и законных интересов «БЛЭК-ГРИН» как операторов ПДн, в частности для исполнения «БЛЭК-ГРИН» своих договорных обязательств, проведения платежей, исполнения налоговых обязательств, защиты от претензий и исков третьих лиц;
6.2.4 выполнение поручений на обработку персональных данных от других операторов ПДн.
6.3 Цели обработки ПДн клиентов и контрагентов «БЛЭК-ГРИН», в том числе пользователей веб сайта black-green.ru, а также получателей оказываемых сопутствующих услуг:
6.3.1 заключение, исполнение и прекращение гражданско-правовых договоров (в том числе на оказание платных или бесплатных услуг субъекту персональных данных) в случаях, предусмотренных законодательством Российской Федерации и уставом «БЛЭК-ГРИН»;
6.3.2 осуществление и выполнение возложенных на «БЛЭК-ГРИН» договорами (соглашениями) прав и обязанностей, в том числе с целью исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6.4.3 осуществление расчетов с субъектом персональных данных;
6.4.4 предоставление субъекту персональных данных доступа к использованию функциональности веб сайта «БЛЭК-ГРИН»;
6.4.5 регистрация, идентификация, аутентификация, авторизация субъекта персональных данных на веб-сайте black-green.ru;
6.4.6 анализ и мониторинг использования веб-сайта black-green.ru;
6.4.7 развитие и улучшение качества веб-сайта black-green.ru, а также оказываемых сопутствующих услуг, в том числе: поддержка, модернизация, предотвращение инцидентов, устранение ошибок, обеспечение безопасности;
6.5 Цели обработки ПДн посетителей веб-сайта black-green.ru, отправителей Запросов (заявителей с обращениями:
6.5.1 проведение статистических и иных исследований на основе обезличенных персональных данных;
6.5.2 продвижение товаров «БЛЭК-ГРИН» на рынке, путем осуществления прямых контактов с субъектами персональных данных. Коммуникации с субъектом ПДн могут включать:
6.5.2.1 направление субъекту ПДн по одному или нескольким каналам коммуникации (посредством электронной почты и других видов коммуникаций, в частности, SMS, информации и запросов, связанных с деятельностью «БЛЭК-ГРИН»;
7 Категории, состав и объём обрабатываемых персональных данных
7.1 Обработка специальных и биометрических персональных данных субъектов ПДн в «БЛЭК-ГРИН» не ведётся. Ведётся обработка иных категорий персональных данных.
7.2 Состав обрабатываемых персональных данных посетителей сайта black-green.ru:
7.2.1 фамилия, имя, отчество;
7.2.2 адрес;
7.2.3 контактные данные;
7.3 Состав обрабатываемых персональных данных клиентов/ контрагентов «БЛЭК-ГРИН» и их представителей; пользователей Интернет-сервисов и посетителей веб-сайта black-green.ru; заявителей с обращениями, организованных «БЛЭК-ГРИН», содержит следующие категории персональных данных:
7.3.1 фамилия, имя, отчество;
7.3.2 контактные данные (телефон, e-mail);
7.3.3 файлы cookies⁴ посетителей веб-сайта black-green.ru, техническая информация о клиентских устройствах пользователей и другие дополнительные данные, такие как: параметры устройства и веб приложений, IP-адрес, геолокация, параметры сессии подключения; информация о пользователях сайта black-green.ru, такая как: дата регистрации, результаты тестирования, результаты голосования, история сообщений, статус пользователя и т.п.); подробные сведения о сборе технической информации и обработке cookies сосредоточены в Приложении №1 к настоящей Политике).
8 Действия с персональными данными
8.1 Общая информация о порядке и условиях обработки персональных данных
8.1.1 При обработке персональных данных в «БЛЭК-ГРИН», осуществляются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
8.1.2 Персональные данные обрабатываются как на материальных (бумажных) носителях, так и в электронном виде (в информационных системах персональных данных, на машинных носителях) с передачей по внутренней сети юридического лица.
8.2 Сбор персональных данных
8.2.1 Сбор персональных данных осуществляется следующими способами:
8.2.1.1 непосредственно от самого субъекта персональных данных;
8.2.1.2 от иных лиц в порядке поручения на обработку;
8.2.1.3 от иных лиц в порядке передачи.
8.2.2 Если предоставление субъектом ПДн или его законным представителем персональных данных такого субъекта ПДн является обязательным в соответствии с законодательством Российской Федерации, субъекту ПДн разъясняются юридические последствия отказа в предоставлении таких данных.
8.2.3 «БЛЭК-ГРИН», получает персональные данные от субъектов ПДн при посещении субъектом ПДн веб-сайта black-green.ru, при создании учетной записи пользователя для заключения соглашений /договоров с «БЛЭК-ГРИН», а также когда субъект ПДн направляет ⁴ несмотря на то, что в отрыве от определённого субъекта ПДн отдельные виды данных (сведения, которые могут быть получены с помощью файлов cookies, сведения об IP-адресе) не являются персональными, в случаях, когда на основе таких данных на определяемого ими субъекта ПДн направляется индивидуальная коммуникация — данные рассматриваются как относящиеся к персональным данным, настоящая Политика распространяет свое действие на процессы обработки таких данных. Запросы и использует Сопутствующие услуги.
8.2.4 Получение персональных данных у иных лиц возможно только при наличии законных оснований. При получении персональных данных у иных лиц субъект уведомляется об этом лицом, передавшим данные на обработку в «БЛЭК-ГРИН».
8.2.5 При сборе и обработке персональных данных, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8.3 Хранение персональных данных
8.3.1 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, на срок не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен законодательством Российской Федерации либо договором, стороной которого является субъект ПДн.
8.3.2 Хранение ПДн осуществляется с учетом обеспечения режима их конфиденциальности.
8.3.3 ПДн передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации либо договором, стороной которого является субъект ПДн.
8.4 Доступ к персональным данным
8.4.1 Право доступа к персональным данным, обрабатываемым в «БЛЭК-ГРИН», имеют работники «БЛЭК-ГРИН», для которых обработка персональных данных необходима в связи с исполнением их должностных обязанностей.
8.4.2 Допуск работников «БЛЭК-ГРИН», к персональным данным осуществляется руководством отдельным внутренним актом.
8.5 Условия и порядок передачи персональных данных
8.5.1 Передача (распространение, предоставление, доступ) персональных данных от «БЛЭК-ГРИН», третьим лицам осуществляется только в случаях, предусмотренных настоящей Политикой, с согласия субъекта персональных данных или в случаях, прямо предусмотренных применимым законодательством Российской Федерации.
8.5.2 Передача персональных данных органу государственной власти, органу местного самоуправления, органу безопасности и правопорядка, государственному учреждению и фонду, а также иному уполномоченному органу допускается по основаниям, предусмотренным законодательством Российской Федерации.
8.5.3 Обработка персональных данных может быть поручена «БЛЭК-ГРИН», третьему лицу для участия в процессах обработки «БЛЭК-ГРИН», персональных данных с согласия субъекта персональных данных либо по основаниям, предусмотренным законодательством Российской Федерации. Так, «БЛЭК-ГРИН», может привлекать поставщиков, исполнителей, провайдеров сервисов и услуг, партнёров (далее – Обработчики19), чтобы исполнить обязательства перед субъектами персональных данных, а также в целях обеспечения своих обоснованных законных интересов. Лицо, осуществляющее обработку персональных данных по поручению, не обязано получать согласие субъекта на обработку его персональных данных. «БЛЭК-ГРИН», остаются ответственными за обработку персональных данных перед субъектами персональных данных, поручив обработку ПДн таких субъектов ПДн обработчикам.
8.5.4 Обработчикам передаётся строго ограниченный набор данных, необходимый для исполнения их функций.
8.5.5 Перед привлечением разработчика «БЛЭК-ГРИН», выполняет все зависящие действия, чтобы заручиться гарантией принятия Обработчиком необходимых и достаточных мер по соблюдению требований законодательства о персональных данных.
8.5.5.1, в частности, о достаточности принимаемых Обработчиком мер для безопасной обработки ПДн может свидетельствовать наличие у Обработчика (а) системы управления связанными с угрозами информационной безопасности и непрерывности бизнеса рисками, (б) организованного процесса информирования об инцидентах, связанных с нарушением защищенности переданных ПДн.
8.5.6 Перечень Обработчиков ПДн, действующих по поручению «БЛЭК-ГРИН», а также лиц, получающих ПДн в порядке передачи от «БЛЭК-ГРИН» и действующих как самостоятельные (независимые) операторы ПДн, приведён в Приложении №2 к настоящей Политике и может обновляться и дополняться без дополнительного уведомления.
8.5.7 Политика не распространяется на процессы обработки ПДн с использованием информационных систем вне контроля «БЛЭК-ГРИН», в частности, на предоставляемые третьими лицами сервисы взаимодействия/ интеграции с ПО «БЛЭК-ГРИН», платформы, веб- сайты, социальные сети, услуги, которые могут быть доступны через ПО или веб-сайты «БЛЭК-ГРИН» или взаимодействовать с ними, равно ссылки на них (далее – сторонние сервисы). Например, для проведения оплаты субъект персональных данных может быть перенаправлен на сайт пункта приёма платежей (платёжной системы). Те поставщики услуг и сторонние сервисы, которым «БЛЭК-ГРИН» не поручает обработку персональных данных и, следовательно, чьи принимаемые меры обеспечения безопасной обработки ПДн находятся вне контроля «БЛЭК-ГРИН», — являются самостоятельными операторами (в терминах GDPR — контролёрами) персональных данных и действуют на основании собственных политик обработки персональных данных.
8.5.8 «БЛЭК-ГРИН» передаёт информацию третьим лицам только в объёме, необходимом, исходя из цели передачи. Так, передача допускается:
8.5.8.1 провайдерам дополнительных услуг, действующих по поручению «БЛЭК-ГРИН». Например, сервисам, производящим email-рассылки, мониторинг активности в Интернет-сервисах, субподрядчикам «БЛЭК-ГРИН». Такие провайдеры будут использовать персональные данные только в соответствии с инструкциями «БЛЭК-ГРИН» и в целях, указанных в этой Политике. Дополнительная информация о лицах, которым данные могут быть переданы, цели обработки и составе передаваемых данных содержится в разделе «Обработчики» в Приложении №2 к настоящей Политике;
8.5.8.2 в целях соблюдения применимого законодательства. Так, данные могут быть раскрыты в случае поступления запроса компетентного органа;
8.5.8.3 аффилированным лицам «БЛЭК-ГРИН» в целях исполнения обязательства перед пользователем. Например, для осуществления технической поддержки. Аффилированные лица подлежат раскрытию в Приложении №2;
8.5.8.4 в целях предотвращения незаконных действий, защиты прав и обеспечения безопасности «БЛЭК-ГРИН» и иных лиц, защиты от претензий и исков;
8.5.8.5 при передаче информации во время реорганизации какой-либо компании «БЛЭК-ГРИН», а равно заключении соглашений о передаче прав по договорам. В этом случае соответствующая «БЛЭК-ГРИН» вправе раскрыть информацию лицу, приобретающему права по договорам, а также лицу, которое образуется в результате реорганизации;
8.5.8.6 обобщённых, агрегированных и не персонализированных данных. «БЛЭК-ГРИН» вправе раскрывать не персонализированные статистические данные, например, о наиболее часто используемых функциях ПО.
8.5.7 Раскрытие персональных данных третьему лицу без согласия соответствующего субъекта не допускается, за исключением случаев, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.
8.5.8 Раскрытие персональных данных субъектов ПДн третьим лицам в коммерческих целях без согласия субъекта ПДн не допускается.
8.5.9 Обработка персональных данных в целях продвижения товаров, работ, услуг «БЛЭК-ГРИН» осуществляется только при условии предварительного согласия на это субъекта ПДн.
8.5.10 Трансграничная передача персональных данных на территории иностранных государств не осуществляется.
8.6 Уточнение персональных данных
8.6.1 В случае подтверждения факта неточности персональных данных такие персональные данные подлежат актуализации.
8.6.2 «БЛЭК-ГРИН» в общем случае не проверяет достоверность персональной информации, предоставляемой субъектами ПДн, и не осуществляет контроль за дееспособностью субъектов ПДн. Однако «БЛЭК-ГРИН» исходит из того, что субъект ПДн предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым для заполнения посредством регистрационных форм, или направляя информацию в адрес «БЛЭК-ГРИН» по электронной почте, и поддерживает эту информацию в актуальном состоянии. «БЛЭК-ГРИН» вправе в любой момент, в том числе в целях предупреждения нарушений законодательства, обеспечения возможности защиты прав и законных интересов «БЛЭК-ГРИН» и/ или третьих лиц в случаях, когда субъект ПДн нарушает договоры с «БЛЭК-ГРИН», попросить субъекта ПДн предоставить доказательства достоверности предоставленной персональной информации.
8.6.2.1 В целях подтверждения волеизъявления субъекта ПДн при реализации отдельных сценариев использования ПО и веб-сайта «БЛЭК-ГРИН» (в процессе регистрации, подписки и др.), в частности при вводе контактных данных в предлагаемые к заполнению в ПО и веб-сайтах «БЛЭК-ГРИН» веб-формы, субъекту ПДн может быть предложено явно подтвердить свой выбор через механизм «одинарного» или процесс «двойного подтверждения» (double opt-in). Процесс «двойного подтверждения» после отправки формы в «БЛЭК-ГРИН» предполагает автоматическое направление субъекту ПДн на указанные им контактные данные сообщения с просьбой и указанием на способ подтвердить запрошенное действие (регистрацию, подписку).
8.7 Условия и порядок прекращения обработки, уничтожение персональных данных
8.7.1 Срок или условие прекращения обработки персональных данных определяется следующими условиями или обстоятельствами:
8.7.1.1 прекращение деятельности юридического лица;
8.7.1.2 достижение цели обработки персональных данных;
8.7.1.3 наступление срока прекращения обработки персональных данных в соответствии с договором или согласием;
8.7.1.4 отзыв согласия субъекта персональных данных на обработку его персональных данных.
8.7.2 В случае достижения цели обработки персональных данных обработка таких персональных данных прекращается, а персональные данные должны уничтожаются в срок 30 (тридцать) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между «БЛЭК-ГРИН» и субъектом персональных данных либо если компании «БЛЭК-ГРИН» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
8.7.3 В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных должна быть прекращена, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между «БЛЭК-ГРИН» и субъектом персональных данных либо если «БЛЭК-ГРИН» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
8.7.4 в случае выявления неправомерной обработки персональных данных обработка таких персональных данных должна быть прекращена в течение 3 (трех) рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки.
8.7.5 в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.7.1 - 8.7.4 настоящей Политики, должно быть обеспечено блокирование таких персональных данных и их уничтожение в срок не более 6 (шести) месяцев, если иной срок не установлен законодательством Российской Федерации.
8.7.6 в случае выявления факта неправомерности обработки персональных данных такие персональные данные подлежат уничтожению в трехдневный срок.
9 Порядок взаимодействия с субъектами персональных данных
9.1 Любой субъект, персональные данные которого обрабатываются в «БЛЭК-ГРИН», имеет право доступа к своим персональным данным, в том числе к следующей информации:
9.1.1 подтверждение факта обработки персональных данных;
9.1.2 правовые основания и цели обработки персональных данных;
9.1.3 цели и применяемые способы обработки персональных данных;
9.1.4 наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников соответствующего оператора ПДн), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором ПДн или на основании законодательства Российской Федерации;
9.1.5 перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту ПДн, и источник их получения;
9.1.6 сроки обработки персональных данных;
9.1.7 порядок осуществления субъектом прав, предусмотренных законодательством Российской Федерации; ²
9.1.8 информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
9.1.9 наименование лица, осуществляющего обработку персональных данных по поручению «БЛЭК ГРИН», в случае если обработка поручена третьему лицу.
9.2 «БЛЭК-ГРИН» предоставляет сведения, указанные в п.9.1 настоящей Политики, по Запросу субъекта ПДн или его законного представителя в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.3 Запрос субъекта ПДн или его представителя должен содержать:
9.3.1 обязательный элемент: адрес электронной почты или иной связанный с субъектом ПДн уникальный идентификатор пользователя/ UserID⁵ в наших ИСПДн22;
9.3.1.1 В случае направления запроса, связанного с субъектом с конкретным адресом электронной почты или иным уникальным идентификатором, такой запрос должен производится с того же адреса электронной почты/ иного идентификатора для связи с субъектом, в отношении которого направляется запрос.
9.3.2 Ф.И.О. субъекта ПДн или его представителя;
9.3.3 указание на документ, удостоверяющий личность субъекта ПДн или его представителя (тип документа, серия и номер, кем и когда выдан);
9.3.4 сведения, подтверждающие участие субъекта ПДн в отношениях с «БЛЭК-ГРИН» (номер договора, дата заключения договора или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных «БЛЭК-ГРИН» и/ или указание на факт взаимоотношений, в ходе которых мы получили персональные данные;
9.3.5 подпись субъекта персональных данных или его представителя. Запрос, отправляемый по электронной почте, должен быть в форме электронного документа, подписанного в соответствии с положениями законодательства Российской Федерации об электронной подписи.
9.4 «БЛЭК-ГРИН» будет стремиться рассматривать поступающие обращения в максимально короткий срок, но в любом случае не более одного месяца, если более короткий срок не установлен применимым законодательством Российской Федерации.⁵ Например, если уникальным UserID является номер телефона или иной уникальный идентификатор пользователя, используемый на территории Российской Федерации в соответствии с ч.2 ст.1 Федерального закона от 31.07.2023 №406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О связи"» (URL: http://publication.pravo.gov.ru/document/0001202307310022) — потребуется указать такой идентификатор в Запросе.
9.5 «БЛЭК-ГРИН» рассматривает обращения, дает разъяснения и предпринимает меры по защите данных. В случае претензий и жалоб со стороны субъекта персональных данных, «БЛЭК-ГРИН» принимает все необходимые меры для устранения возможных нарушений, установления виновных лиц и урегулирования спорных ситуаций в досудебном порядке.
9.6 Субъект ПДн вправе повторно обратиться в «БЛЭК-ГРИН» с запросом сведений, указанных в п.9.1 настоящей Политики, не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального Запроса.
9.7 Субъект ПДн вправе требовать уточнения его персональных данных, их блокирования и/ или удаления в случае, если обрабатываемые в «БЛЭК-ГРИН» персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной «БЛЭК-ГРИН» цели обработки.
9.8 Субъект ПДн вправе обжаловать наши действия или наше бездействие как оператора персональных данных в территориальном органе Роскомнадзора.
9.9 Субъект ПДн вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес «БЛЭК-ГРИН» и должен содержать сведения, указанные в п.9.3 настоящей Политики. В случае отзыва субъектом согласия на обработку персональных данных «БЛЭК-ГРИН» вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
10 Выполнение предусмотренных законодательством обязанностей по защите персональных данных
10.1 С целью выполнения «БЛЭК-ГРИН» обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, принимаются следующие правовые, организационные и технические меры, направленные на обеспечение безопасной обработки персональных данных, предусмотренные, в частности, статьями 1.8.1 и 19 152-ФЗ, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
10.1.1 назначено лицо, ответственное за организацию обработки персональных данных;
10.1.2 изданы документы, определяющие политику в отношении обработки персональных данных (в том числе, настоящая Политика), приняты локальные нормативные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
10.1.3 проводится периодическая оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации;
10.1.4 выполняются организационные и технические мероприятия по обеспечению безопасной обработки ПДн в соответствии с требованиями к установленным уровням защищенности ИСПДн, а именно:
10.1.4.1 определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
10.1.4.2 ведётся учет машинных носителей персональных данных;
10.1.4.3 установлены правила доступа к персональным данным, обрабатываемым в ИСПДн;
10.1.4.4 ведётся регистрация (учёт/ протоколирование в соответствующих журналах) действий, совершаемых с персональными данными в ИСПДн;
10.1.4.5 проводится мониторинг с целью обнаружения фактов несанкционированного доступа к персональным данным, реагирование на данные инциденты;
10.1.4.6 осуществляется резервирование и восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.1.4.7 осуществляется периодическая оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн.
10.1.5 осуществляется внутренний контроль соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации, контроль за принимаемыми мерами по обеспечению безопасности персональных данных в соответствии с установленным уровнем защищенности персональных данных в каждой ИСПДн;
10.1.6 работники «БЛЭК-ГРИН» регулярно знакомятся с положениями законодательства Российской Федерации и локальными актами «БЛЭК-ГРИН» в отношении обработки персональных данных;
10.1.7 осуществляется периодический (не реже чем 1 раз в 3 года) внешний контроль (аудит) процессов обработки персональных данных на соответствия требованиям законодательства и локальных актов.
11 Ответственность
11.1 За нарушение требований, установленных законодательством Российской Федерации, настоящей Политикой и другими локальными актами «БЛЭК-ГРИН», работники и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с Законодательством Российской Федерации.
12 Заключительные положения
12.1 к настоящей Политике и Приложениям к ней обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.
12.2 Настоящая Политика вступает в силу с момента её утверждения и действует бессрочно или до принятия обновлённой редакции Политики. Изменения в Политику вносятся отдельными актами каждого из Обществ, входящих в группу компаний «БЛЭК-ГРИН». Новая редакция Политики вступает в силу с момента её подписания уполномоченным лицом и официального опубликования электронной версии на веб-сайте «БЛЭК-ГРИН» по адресу постоянного размещения в сети «Интернет»: https://www.black-green.ru/privacy-policy.pdf, указанных в блоке утверждений на титульном листе документа.
12.3 Настоящая Политика составлена на русском и может быть переведена и представлена для удобства на английском языке в качестве выбранного языка международного общения. В случае возникновения разночтений или каких-либо несовпадений в смысловом содержании условий настоящей Политики преимуществом обладает текст настоящей Политики на русском языке.
13 Реквизиты и контактная информация
Для реализации прав, предусмотренных законодательством для субъектов ПДн субъект может написать Запрос в адрес той или иной компании «БЛЭК-ГРИН» и использовать следующие контакты для оперативной связи с нами:
Индивидуальный предприниматель Бояринцев Евгений Анатольевич
ОГРН 325774600008835
ИНН 7743331252
Юридический адрес: 107589 Москва. Красноярская 1
Email: zakaz@black-green.ru
Телефон: +7 (962) 934-95-75
