Политика в области обработки и обеспечения безопасности персональных данных

  1. Общие положения

    1.1. ООО «Ф-Лаб» (ИНН 7447186990, адрес: 454000, г.Челябинск, ул.Братьев Кашириных, д.78а, оф.2) (далее — «Компания») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных, включающих в том числе следующие интернет-сайты Компании: https://iotredbanana.com, https://f-lab.tech, а также иные сайты Компании, которые ссылаются на данную Политику.

    1.2. В соответствии с действующим законодательством Российской Федерации Компания является оператором персональных данных. При организации и осуществлении обработки персональных данных Компания руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним иными нормативными правовыми актами.

    1.3. Для целей настоящей Политики под персональными данными понимается любая информация, предоставленная при заключении трудовых и гражданских договоров, (через интернет-сайты Компании и (или) собранная с использованием таких интернет-сайтов, также при регистрации самим пользователем в Веб-приложении Компании и при использовании Веб-портала) относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

    1.4. Настоящая Политика является соглашением между любым пользователем и Компанией, предметом которого является регулирование порядка и условий обработки Компанией персональных данных субъекта персональных данных.

    1.5. Субъекты персональных данных обязаны полностью ознакомиться с настоящей Политикой до момента совершения любых регистрационных и иных действий, влекущих передачу (размещение) любых своих данных на Сайте, Веб-приложении и Веб-портале Компании.

    1.6. Регистрация на сайте, Веб-приложении и Веб-портале, возможна после перехода пользователя по гиперссылке в текст опубликованной Политики обработки персональных данных для ознакомления. В момент ознакомления пользователь вправе выразить свое согласие на обработку персональных данных путем осуществления активного действия, нажимая кнопку «отправить», что означает полное и безоговорочное принятие субъектами персональных данных настоящей Политики в соответствии со ст. 438 Гражданского кодекса Российской Федерации.

    1.7. Политика может быть изменена Компанией в одностороннем порядке с сохранением предыдущих редакций соглашения и/или размещения сведений об истории производимых изменений. Приоритетную юридическую силу имеет соглашение, имеющее последнюю редакцию. Соглашение имеет обратную силу и распространяется на отношения, которые возникли ранее, в том числе по условиям в предыдущих редакциях. Сведения об изменениях публикуются по тексту Соглашения (в заключительных разделах) и являются надлежащим уведомлением, адресованным неопределенному кругу лиц. Компания рекомендует субъектам персональных данных регулярно проверять условия настоящей Политики на предмет её изменения. Продолжение использования сайтов, Веб-приложений и Веб-портала Компании субъектами персональных данных после внесения изменений в Политику означает принятие и согласие с такими изменениями.

    1.8. Политика является общедоступным документом для неопределенного круга лиц. Текст действующей редакции Политики размещен в сети «Интернет» на страницах сайтов https://f-lab.tech https://iotredbanana.com, что предполагает предельную открытость и легкодоступность документа.

    1.9. В этой связи считается, что Компания предприняла все необходимые меры по уведомлению о правилах обработки персональных данных. Ссылки субъектов персональных данных об отсутствии знаний о Политике персональных данных несостоятельны ввиду ненадлежащей заботы о своих правах и проявления требуемой осмотрительности и правовой внимательности при совершении юридически значимых действий.

    1.10. Субъекты персональных данных, являющиеся Работниками Компании должны быть ознакомлены с настоящей Политикой под роспись в листке ознакомления.


    2. Термины и определения

    Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

    Субъект персональных данных – физическое лицо, индивидуальный предприниматель или представитель юридического лица, заключившее с Оператором гражданский договор на выполнение работ, оказание услуг в соответствии с осуществляемыми Оператором видами деятельности, пользователи сайтов, Веб-приложений и Веб-портала, а также работники Оператора и работники контрагентов Оператора.

    Сайт – это совокупности веб-страниц, объединенных по смыслу и расположенных на одном сервере. Содержание и объем сайта зависит от того, какую задачу он должен выполнить.

    Веб-приложение — клиент-серверное приложение, в котором клиент взаимодействует с сервером при помощи браузера, а за сервер отвечает — веб-сервер.

    Веб-портал — сайт в компьютерной сети, который предоставляет пользователю различные интерактивные интернет-сервисы, которые работают в рамках этого сайта. 


    3. Правовое основание обработки персональных данных.

    3.1. Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

    1) Конституции Российской Федерации;
    2) Трудового кодекса Российской Федерации;
    3) Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
    4) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
    5) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
    6) приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
    7) приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
    8) Приказ ФНС от 30.10.2015 г. № ММВ-11/485@ «Об утверждении формы сведений о доходах физического лица и порядка заполнения, формата ее предоставления в электронном виде».
    9) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;


    4. Сбор персональных данных

    4.1. Компания осуществляет сбор информации следующими способами:

    4.1.1. Персональные данные, предоставляемые пользователями:

    Компания осуществляет сбор персональных данных, которые вводят в поля при регистрации на сайтах, Веб-приложении и Веб-портале сами пользователи или иные лица по их поручению.

    4.1.2. Пассивный сбор персональных данных о текущем подключении в части статистических сведений:

    На интернет-сайтах Компании может проводиться сбор статистических данных о пользователе, включая:

    — идентификатор пользователя, присваиваемый Сайтом;
    — посещенные страницы;
    — количество посещений страниц;
    — информация о перемещении по страницам сайта;
    — длительность пользовательской сессии;
    — точки входа (сторонние сайты, с которых пользователь по ссылке переходит на Сайт);
    — точки выхода (ссылки на Сайте, по которым пользователь переходит на сторонние сайты);
    — страна пользователя;
    — регион пользователя;

    Компания не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.

    4.1.3. Персональные данные, предоставляемые работниками/работниками контрагентов Компании:

    Компания осуществляет сбор персональных данных, которые предоставляют работники Компании при приеме на работу или иные лица по их поручению.
    Компания осуществляет сбор персональных данных, которые предоставляют работники контрагентов Компании при ведении переговоров, заключении и исполнении договоров.


    5. Принципы обработки персональных данных

    5.1. Общий порядок обработки
    При организации обработки персональных данных Оператором выполняются следующие принципы и условия:

    — обработка персональных данных осуществляется на законной и справедливой основе;
    — обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
    — не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    — обработке подлежат только персональные данные, которые отвечают целям их обработки;
    — при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
    — содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
    — данные не раскрываются третьим лицам и не распространяются без согласия субъекта данных, за исключением случаев, требующих раскрытия данных по запросу уполномоченных государственных органов, судопроизводства;
    — персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.


    6. Категории, цели сбора и обработки персональных данных субъектов Оператора

    6.1. Оператор производит обработку только тех персональных данных, которые необходимы для выполнения договорных обязательств (исполнения соглашений и договоров с субъектом Оператора, исполнения обязательств перед контрагентом и работниками), ведения общехозяйственной деятельности Оператора, а также в целях исполнения требований законодательства РФ.
    Оператором производится обработка персональных данных следующих категорий субъектов персональных данных:

    • физические лица — работники Оператора;
    • физические лица – клиенты Оператора;
    • физические лица — представители юридических лиц – контрагентов Оператора.

    6.2. Оператор осуществляет обработку Данных субъектов в следующих целях:

    осуществление возложенных на Оператора законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь:
    • Гражданским кодексом Российской Федерации,
    • Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации,
    • Семейным кодексом Российской Федерации,
    • Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»,
    • Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,
    • Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»,
    • Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»,
    • Федеральным законом от 08.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью»,
    • Федеральным законом от 26.12.1995 г. №208-ФЗ «Об акционерных обществах»,
    • Федеральным законом от 12.01.1996 №7-ФЗ «О некоммерческих организациях»,
    • Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей»,
    • Федеральным законом от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»,
    • Федеральным законом от 08.08.2001 г. № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей», а также уставом и локальными актами Компании.

    6.3. Оператор осуществляет обработку Данных субъектов персональных данных — Работников Оператора в целях соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:

    — содействия работникам в трудоустройстве, обучении и продвижении по службе;
    — расчета и начисления заработной платы;
    — организация деловых поездок (командировок) работников;
    — оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
    — обеспечения личной безопасности работников;
    — контроля количества и качества выполняемой работы;
    — соблюдения пропускного режима в помещениях Компании;
    — учета рабочего времени;
    — пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами Компании;
    — добровольного страхования жизни, здоровья и/или от несчастных случаев.

    6.4. Оператор осуществляет обработку Данных субъектов персональных данных — Клиентов-физических лиц в целях:

    — заключения и исполнения договора, одной из сторон которого является физическое лицо;
    — рассмотрения возможностей дальнейшего сотрудничества
    — предоставление клиентам Оператора услуг пользования Системой.

    6.5. Оператор осуществляет обработку Данных субъектов персональных данных Представителей юридических лиц – контрагентов Компании в целях:

    — ведения переговоров, заключение и исполнение договоров, по которым предоставляются данные работников такого юридического лица для целей исполнения договора по различным направлениям деятельности Компании.


    7. Условия обработки персональных данных субъектов персональных данных и передачи их третьим лицам

    7.1. Оператор обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.

    7.2. Оператор в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Оператором извещает представителей Оператора об изменении своих персональных данных.

    7.3. Оператор не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, личной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

    7.4. Оператор может осуществлять обработку данных о состоянии здоровья субъекта Данных в следующих случаях:

    1) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
    2) для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц если получение согласия субъекта персональных данных невозможно;
    3) для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
    4) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

    7.5. В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность, согласно ст. 7 Федерального закона «О персональных данных», а также оператором принимаются меры, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных». Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных. В случае реорганизации, продажи или иной передачи бизнеса (полностью или части) Оператора к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.

    7.6. Оператор может поручить обработку персональных данных другому лицу при выполнении следующих условий:

    — получено согласие субъекта на поручение обработки персональных данных другому лицу;
    — поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27 июля 2006 года № 152 «О персональных данных».

    7.7. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил обработку персональных данных.

    7.8. При обработке персональных данных субъектов Оператора руководствуется Федеральным законом РФ от 27 июля 2006 года № 152 «О персональных данных».

    7.9. Оператор вправе осуществлять передачу персональных данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду, органам дознания и следствия и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

    7.10. Обработка персональных данных может прекращаться при достижении целей обработки персональных данных, истечения срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.


    8. Права субъекта персональных данных

    8.1. Субъект персональных данных имеет право (если иное не предусмотрено законом):

    • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
    • требовать перечень своих персональных данных, обрабатываемых Компанией, и источник их получения;
    • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
    • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
    • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
    • отозвать свое согласие на обработку персональных данных в любой момент;
    • требовать устранения неправомерных действий Компании в отношении его персональных данных;
    • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

    8.2. Оператор персональных данных не несет ответственности за недостоверную информацию, предоставленную субъектом персональных данных.


    9. Обеспечение безопасности персональных данных

    9.1. Безопасность персональных данных, обрабатываемых Оператора, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

    9.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

    • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
    • ограничение состава лиц, имеющих доступ к персональным данным;
    • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
    • организация учета, хранения и обращения носителей информации;
    • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
    • разработка на основе модели угроз системы защиты персональных данных;
    • проверка готовности и эффективности использования средств защиты информации;
    • разграничение доступа пользователей к информационным ресурсам и программно- аппаратным средствам обработки информации;
    • регистрация и учет действий пользователей информационных систем персональных данных;
    • использование антивирусных средств и средств восстановления системы защиты персональных данных;
    • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
    • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
    • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите и обработке персональных данных;


    10. Сроки обработки (хранения) Данных

    10.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

    10.2. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки данных, в соответствии со сроком действия договора с субъектом данных и требованиями федеральных законов.

    10.3. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.


    11. Порядок получения разъяснений по вопросам обработки Данных

    11.1. Лица, чьи Данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих Данных, обратившись лично или направив соответствующий письменный запрос по адресу местонахождения Оператора: адрес: 454000, г. Челябинск, ул. Братьев Кашириных, д.78а, оф.2

    11.2. В случае направления официального запроса в тексте запроса необходимо указать:

    — фамилию, имя, отчество субъекта персональных данных или его представителя;
    — номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
    — сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией;
    — информацию для обратной связи с целью направления ответа на запрос;
    — подпись субъекта персональных данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.


    12. Заключительные положения

    12.1. Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

    12.2. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

    12.3. Настоящая Политика вступает в силу:

    • для пользователей сайтов, Веб-портала и Веб-приложений с момента совершения соответствующих действий в порядке п. 1.6. и действуют в течение неопределенного срока.
    • для Субъектов персональных данных, являющихся Работниками Оператора с момента ознакомления с настоящей Политикой под роспись в листке ознакомления.
    • для индивидуальных предпринимателей или представителей-физических лиц юридического лица, заключивших с Оператором гражданский договор на выполнение работ с момента ознакомления при заключении договора.

    12.4. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте Компании.

    12.5. Настоящая Политика может быть пересмотрена в любом из следующих случаев:

    — при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
    — в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
    — по решению руководства Компании;
    — при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Компании.

    12.6. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки персональных данных Компании, а также за безопасность персональных данных.