Политика ООО «айФлекс» в отношении обработки ПДн пользователей WEB-приложения «Сердце компании»

1.1. Закон о персональных данных – Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

1.2. Настоящая Политика обработки персональных данных пользователей web-приложения «Сердце компании» (далее – Политика) регулирует, какие персональные данные мы собираем и обрабатываем, как мы их защищаем и как используем. Внимательно ознакомьтесь с текстом данной Политики до начала использования web-приложения. Продолжая использование Сайта, вы соглашаетесь с условиями настоящей Политики. Политика является общедоступным документом и опубликована по адресу: https://iflex.ru/documents/privacy-heartco . Мы вправе изменять текст Политики путем размещения новой редакции Политики по этому адресу.

1.3. «WEB-приложение» — «PWA – прогрессивное веб-приложение», это программное обеспечение, предназначенное для использования как в браузере (как сайт), так и на мобильных устройствах, таких как смартфоны и планшеты, ноутбуках или стационарных компьютерах, которое может выполнять различные функции (офлайн-доступ, push-уведомления, установка иконки на главный экран устройства) и предоставлять определённые услуги пользователям. Для целей настоящей Политики под WEB -приложением подразумевается программное обеспечение «Сердце компании».

1.4. «Пользовательское соглашение» - соглашение, заключаемое между Правообладателем и Пользователем в отношении порядка, правил и особенностей использования Пользователем WEB-приложения. Пользователь присоединяется к такому соглашению и не имеет права вносить и/или требовать внесения в него каких-либо изменений или дополнений. Пользователь может ознакомиться с условиями Пользовательского соглашения по следующей ссылке: https://iflex.ru/documents/privacy-heartco.

1.5. Вы, Пользователь – физическое лицо, которое использует WEB-приложение.

1.6. Мы, Оператор, Правообладатель — Общество с ограниченной ответственностью «айФлекс» (ОГРН 1057747786150, ИНН 7727550120, адрес: 115054, г. Москва, ул. Щипок, дом 22, строение 4, этаж 1, комната № 2, электронный адрес: personal-data@iflex.ru). Правообладателю принадлежит исключительное право использования WEB-приложения.

1.7. Согласие на обработку персональных данных – ваше согласие как субъекта персональных данных, которое вы даете Оператору на совершение действий (операций) с предоставленными им персональными данными с использованием средств автоматизации, в том числе включающие в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение персональных данных.

1.8. Термины, не определенные в настоящей Политике, имеют значение, которое придается им Законом о персональных данных. Термины могут использоваться по тексту Политики как с заглавной, так и со строчной буквы.

2.2. В отношении персональных данных, указанных в пункте 2.1. настоящей Политики, ООО «айФлекс» выступает оператором персональных данных.

2.3. В рамках процессов, охватываемых настоящей Политикой, мы не обрабатываем биометрические данные, а также персональные данные, относящиеся к специальным категориям (т.е. сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор обрабатывает ваши персональные данные на основаниях, предусмотренных в Законе о персональных данных.

3.2. Если обработка персональных данных осуществляется на основании вашего согласия, то мы исходим из того, что вы предоставляете свое согласие на обработку персональных данных на условиях настоящей Политики свободно, своей волей и в своем интересе и подтверждаете, что ваше согласие является конкретным, предметным, информированным, сознательным и однозначным.

3.3. Вы выражаете согласие в соответствующих формах путем проставления отметок в чек-боксах (галочек) и подтверждаете, что согласны с условиями обработки персональных данных, указанными в Политике.

3.4. Если вы не согласны с данными условиями, то не предоставляйте нам свои персональные данные.

3.5. Обращаем ваше внимание на то, что ваше согласие на обработку персональных данных не требуется в тех случаях, когда применяются иные основания для обработки. Мы применяем следующие правовые основания:

3.5.1. Обработка персональных данных необходима для осуществления наших прав и законных интересов, либо прав и законных интересов третьих лиц при условии, что ваши права и свободы не нарушаются.

3.5.2. Обработка персональных данных необходима для заключения договора.

3.5.3. Обработка ваших персональных данных необходима для осуществления наших обязанностей, функций, полномочий, которые возложены на нас законодательством.

4. ПОРЯДОК ОБРАБОТКИ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Мы осуществляем следующие действия с вашими персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.2. Мы осуществляем обработку персональных данных автоматизированным способом.

4.3. Мы можем хранить ваши персональные данные в электронных базах данных, можем воспроизводить соответствующие данные на электронных носителях информации, а также можем передавать их по электронным каналам связи.

4.4. Мы передаем ваши персональные данные (предоставляем доступ к персональным данным) следующим компаниям в следующих целях:

4.5. Компании, указанные в пункте 4.4. настоящей Политики, обрабатывают ваши персональные данные до достижения цели обработки персональных данных или вашего отзыва согласия на обработку персональных данных или получения вашего требования о прекращении обработки персональных данных, но в любом случае исключительно в период действия договорных отношений с ООО «айФлекс».

4.6. Предоставляя согласие ООО «айФлекс» на условиях настоящей Политики, вы также предоставляете согласие на передачу персональных данных указанным третьим лицам, а также согласие на передачу персональных данных указанными третьими лицами иным третьим лицам во исполнение вышеуказанных целей.

5. ОБРАБОТКА ФАЙЛОВ COOKIE

5.1. Мы собираем и обрабатываем данные, которые автоматически передаются WEB-приложению в процессе его использования, в том числе IP-адрес, данные файлов cookie, информацию о браузере субъекта персональных данных, технические характеристики оборудования и программного обеспечения, используемого вами и иную подобную информацию. Файлы cookie – это фрагменты информации, которая хранится непосредственно на используемом вами устройстве.
Мы используем эти данные для обеспечения работоспособности WEB-приложения, а также для анализа пользования WEB-приложением (сайтов, сервисов, связанных с Оператором), подбора релевантного контента и рекламы, для обеспечения корректной работы WEB-приложения, для анализа трафика и поведения Пользователя для улучшения качества наших услуг и сервисов, для сохранения настроек, которые доступны Пользователю. Файлы cookie содержат информацию о том, как и кем используется WEB-приложение, а также информацию о ваших действиях, совершенных в WEB-приложении.

5.2. Файлы cookie используются исключительно в указанных целях и не используются в любых иных.

5.3. Основание обработки данных, собранных посредством файлов cookie: При регистрации в WEB-приложении вы увидите интерактивное окно – cookie-баннер, который означает, что в WEB-приложении используются файлы cookie, которые могут обрабатывать ваши персональные данные. Продолжая использование WEB-приложения, вы соглашаетесь с использованием файлов cookie на изложенных в настоящей Политике условиях.

5.4. Вы вправе по своему желанию отказаться от приема на свое устройство файлов cookie. Для этого вы можете отказаться от использования WEB-приложения или ввести соответствующие настройки в своем браузере.

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Вы имеете право на получение информации, касающейся обработки ваших персональных данных, в том числе содержащей:

6.1.1. подтверждение факта обработки персональных данных Оператором;

6.1.2. правовые основания и цели обработки персональных данных;

6.1.3. цели и применяемые нами способы обработки персональных данных;

6.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании закона;

6.1.5. обрабатываемые персональные данные, относящиеся к вам, источник их получения;

6.1.6. сроки обработки персональных данных, в том числе сроки их хранения;

6.1.7. порядок осуществления вами прав в отношении обработки ваших персональных данных;

6.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;

6.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

6.1.10. информацию о способах исполнения Оператором обязанностей, предусмотренных статьей 18.1 Закона о персональных данных;

6.1.11. иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

6.2. Вы имеете право требовать от Оператора уточнения (обновления, изменения) ваших персональных данных или их уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Вы имеете право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае осуществления Оператором обработки его персональных данных с нарушением требований законодательства о персональных данных или иным нарушением ваших прав и свобод.

7. ОБЯЗАННОСТИ ОПЕРАТОРА

7.1. При обработке ваших персональных данных мы принимаем необходимые правовые, организационные и технические
меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Мы обязуемся:

7.2.1. предоставить вам безвозмездно возможность ознакомления с персональными данными, относящимися к вам;

7.2.2. в срок, не превышающий 7 (Семи) рабочих дней со дня предоставления вами сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения;

7.2.3. в срок, не превышающий 7 (Семи) рабочих дней со дня представления вами сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные;

7.2.4. уведомить вас о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ваши персональные данные были переданы;

7.2.5. в случае выявления неточных персональных данных или неправомерной обработки персональных данных при поступлении вашего обращения, либо по запросу уполномоченного органа по защите прав субъектов персональных данных, осуществить блокирование таких персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает ваши права и законные интересы или третьих лиц;

7.2.6. в случае выявления неправомерной обработки персональных данных, в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных; в случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные, о чем мы вас уведомим;

7.2.7. прекратить обработку персональных данных и уничтожить персональные данные в случае достижения цели обработки персональных данных в срок, не превышающий 30 (Тридцати) дней с даты получения нами соответствующего требования, если у нас отсутствуют иные правовые основания для обработки ваших персональных данных;

7.2.8. в случае вашего обращения к нам с требованием о прекращении обработки персональных данных прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), если у нас отсутствуют иные правовые основания для обработки ваших персональных данных в срок, не превышающий 10 (Десяти) рабочих дней с даты получения нами соответствующего требования. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления нами в ваш адрес мотивированного уведомления с указанием причин продления срока;

7.2.9. в случае отсутствия возможности уничтожения ваших персональных данных в установленные сроки осуществить блокирование таких персональных данных или обеспечить их блокирование и уничтожение в срок не более чем 6 (Шесть) месяцев, если иной срок не установлен федеральными законами.

7.2.10. прекратить обработку персональных данных и уничтожить персональные данные в случае вашего отзыва согласия на обработку ваших персональных данных в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва;

7.2.11. обеспечивать конфиденциальность и безопасность ваших персональных данных при их обработке;

7.2.12. не раскрывать третьим лицам и не распространять персональные данные без вашего согласия, если иное не предусмотрено законом.

7.2.13. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение ваших прав, мы обязуемся с момента выявления такого инцидента нами, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

7.2.14. в течение 24 (Двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение ваших прав и предполагаемом вреде, нанесенном вашим правам, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном нами на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

7.2.15. в течение 72 (Семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8. ПОРЯДОК НАПРАВЛЕНИЯ ОБРАЩЕНИЙ И КОНТАКТНЫЕ ДАННЫЕ

8.1. В целях получения информации, касающейся обработки персональных данных, а также реализации других прав, вы или ваш представитель вправе направить запрос уполномоченному лицу в письменной форме по следующему адресу: 115054, г. Москва, ул. Щипок, дом 22, строение 4, этаж 1, комната №2, либо на адрес электронной почты: personal-data@iflex.ru.

8.2. Мы сообщим вам информацию о наличии персональных данных, относящихся к вам, а также предоставим возможность ознакомления с этими персональными данными в течение 10 (Десяти) рабочих дней с момента вашего обращения или даты получения вашего запроса. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней при условии направления в ваш адрес мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Мы предоставим вам информацию в той же форме, в которой были направлены ваше обращение или запрос, если иное не будет указано в обращении или запросе.

8.3. В случае отказа в предоставлении информации о наличии ваших персональных данных мы дадим в письменной форме мотивированный ответ, содержащий ссылку на положения федерального законодательства, являющегося основанием для такого отказа, в срок, не превышающий 10 (Десяти) рабочих дней со дня вашего обращения либо с даты получения вашего запроса. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней при условии направления в ваш адрес мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.4. Вы вправе отозвать свое согласие на обработку персональных данных, направив соответствующее требование по адресу: 115054, г. Москва, ул. Щипок, дом 22, строение 4, этаж 1, комната №2, либо на адрес электронной почты: personal-data@iflex.ru. Мы прекратим обработку персональных данных и обеспечим их уничтожение в течение 30 (Тридцати) дней с даты поступления отзыва.

8.5. Вы вправе обратиться к Оператору с требованием о прекращении обработки ваших персональных данных в соответствии с частью 5.1 статьи 21 Закона о персональных данных, направив соответствующее требование по адресу: 115054, г. Москва, ул. Щипок, дом 22, строение 4, этаж 1, комната №2, либо на адрес электронной почты: personal-data@iflex.ru. Мы прекратим обработку персональных данных и обеспечим их уничтожение в срок, не превышающий 10 (Десяти) рабочих дней с даты получения нами соответствующего требования. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления нами в ваш адрес мотивированного уведомления с указанием причин продления срока.

8.6. После получения вашего отзыва согласия или требования о прекращении обработки мы вправе осуществлять дальнейшую обработку персональных данных в соответствии с пунктами 2-9.1 части 1 статьи 6 Закона о персональных данных, если такая обработка необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, а также при наличии иных законных оснований.

9.1. С момента размещения новой редакции Политики предыдущая редакция считается утратившей свою силу. Продолжая использование WEB-приложения, Вы подтверждаете, что ознакомились с изменениями и приняли их.

9.2. В случае изменения действующего законодательства настоящая Политика действует в части, не противоречащей действующему законодательству.

9.3. Неотъемлемой частью настоящей Политики является Приложение «Сведения о реализуемых требованиях к защите персональных данных», которое приведено ниже.

Приложение. Сведения о реализуемых требованиях к защите персональных данных

Мы принимаем соответствующие технические и организационно-правовые меры в соответствии с требованиями действующего законодательства Российской Федерации о персональных данных для обеспечения безопасности ваших персональных данных, в частности, для предотвращения их несанкционированного изменения, повреждения или нарушения конфиденциальности.

Мы реализуем следующие организационно-правовые меры:

1) назначено должностное лицо, ответственное за обеспечение безопасности персональных данных;

2) принята Политика обработки персональных данных, иные локальные нормативные акты устанавливающие правовой режим обработки персональных данных и определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не содержат положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

3) утвержден перечень лиц, доступ которых к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей;

4) проводится ознакомление работников и иных лиц с правилами Политики обработки персональных данных и требованиями законодательства к обработке и защите персональных данных;

5) создана система защиты персональных данных;

6) организован учет машинных носителей персональных данных;

7) проводится оценка вреда в соответствии с требованиями, установленными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных;

8) осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных 21 Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным нормативным актам Оператора;

9) организовано обучение и проведение методической работы с работниками обособленных подразделений Оператора, занимающими должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка персональных данных.

Мы реализуем следующие технические меры:

1) организация режима обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

2) организовано хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

3) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

4) принятие мер в случае обнаружения фактов несанкционированного доступа к персональным данным;

5) идентификация и аутентификация субъектов доступа и объектов доступа, управление доступом субъектов доступа к объектам доступа;

6) использование средств антивирусной защиты с помощью использования программного обеспечения антивирусной защиты на рабочих станциях и серверах и межсетевого экрана в серверной комнате;

7) использование защищенного протокола https;

8) обеспечение целостности информационной системы персональных данных;

9) управление конфигурацией информационной системы персональных данных и системы защиты персональных данных.

Мы не несем ответственности за утечку, потерю, неправомерный или случайный доступ третьих лиц, уничтожение, блокирование, изменение, искажение, копирование, распространение персональных данных, вызванные Вашими действиями, действиями третьих лиц, иными обстоятельствами вне разумного контроля Оператора.