Политика обработки персональных данных

Настоящая политика вступает в силу 2 августа 2023 года. Предыдущая версия настоящей Политики доступна здесь.

Обеспечение вашей конфиденциальности является одним из приоритетов Общества с ограниченной ответственностью «Майндбокс» (Mindbox). Ваше доверие крайне важно для нас.

В этой Политике описываются персональные данные, которые обрабатывает Mindbox, способы и цели их обработки, защита персональных данных.

1. Общие положения

   1. Настоящая политика является документом, регулирующим вопросы обработки персональных данных:

   • клиентов Заказчика,

   • представителей Заказчика,

   • представителей Партнеров,

   • представителей Поставщиков,

   • пользователей Интернет-сайта,

   • соискателей (кандидатов) на работу в Mindbox.

   2. Действие настоящей Политики не распространяется на обработку персональных данных иных субъектов, поскольку эти отношения регулируются другими внутренними нормативными актами.

   3. Политика определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в Mindbox. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также соблюдение требований российского законодательства в области персональных данных.

   4. Политика разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», других нормативных актов.

   5. В Политике используются следующие термины и определения:

   • «Персональные данные» (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

   • «Субъект персональных данных» — физическое лицо, носитель персональных дынных, чьи персональные данные переданы Обществу для обработки;

   • «Трансграничная передача персональных данных» — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

   • «Доступ к персональным данным» — ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Mindbox, при условии сохранения конфиденциальности этих сведений;

   • «Заказчик» — лицо, заключившее с Mindbox договор, предполагающий передачу персональных данных Заказчиком Mindbox и обработку Mindbox таких персональных данных;

   • «Представитель Заказчика» — работник Заказчика или иное физическое лицо, персональные данные которого переданы Заказчиком Mindbox для исполнения последним договора.

   • «Клиент Заказчика» — физическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Заказчика, либо иное физическое лицо, персональные данные которого обрабатывает Заказчик на законном основании.

   • «Представитель Поставщика» — работник Поставщика или иное физическое лицо, персональные данные которого переданы Поставщиком Mindbox для исполнения договора Поставщиком в пользу Mindbox.

   • «Представитель Партнера» — физическое лицо, заключившее с Mindbox договор, предполагающий размещение информационного материала на интернет-сайте.

   • «Пользователь Интернет-сайта» — физическое лицо, пользующееся интернет-сайтом mindbox.ru.

   • «Сервис» — программное обеспечение Mindbox, созданное Mindbox и являющееся его интеллектуальной собственностью, предназначенное для персональной коммуникации Заказчика с Клиентами.

   • «Сбор» — получение персональных данных непосредственно от субъекта персональных данных;

   • «Файлы Cookie» — текстовые файлы, которые браузер каждый раз пересылает серверу при попытке открыть страницу соответствующего сайта, используемые для аутентификации пользователя, хранения его персональных предпочтений и настроек, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях и т.п.

   6. Термины, не определенные в Политике, используются в значении, определенном законодательством РФ.

   7. Mindbox публикует Политику на своем официальном сайте в сети Интернет по адресу: mindbox.ru, а также предоставляет неограниченный доступ к ней любому лицу, обратившемуся к нему.

   8. Контроль за исполнением требований настоящей Политики осуществляется Ответственным за организацию обработки ПДн Mindbox.

2. Цели сбора и обработки персональных данных

   1. Mindbox не осуществляет сбор персональных данных Клиентов Заказчика и не обязан получать согласия на обработку таких данных согласно заключаемым с Заказчиками договорам.

   2. Обработка персональных данных Клиентов Заказчика осуществляется по поручению Заказчика. Цели обработки персональных данных определяются заключенными с Заказчиками договорами. В частности, в такие цели входит оказание услуг по договору: проведение маркетинговых кампаний, в том числе электронных рассылок, создание сегментов данных Клиентов, анализ данных Клиентов. Цели обработки персональных данных не могут противоречить законодательству Российской Федерации.

   3. Обработка персональных данных Представителей Заказчика осуществляется с целью заключения и исполнения договоров, в том числе оказания Mindbox услуг Заказчику.

   4. Обработка персональных данных Представителей Поставщиков осуществляется с целью выполнения работ, оказания работ, поставки товара и иного исполнения договора в пользу Mindbox.

   5. Обработка персональных данных Представителей Партнеров осуществляется с целью оказания услуг по договору-оферте о маркетинговом сотрудничестве, а именно для размещения информационных материалов на сайте www.mindbox.ru.

   6. Обработка персональных данных Пользователей Интернет-сайта может осуществляться в целях:

   • Оптимизации работы сайта;

   • Адресации рекламных и информационных материалов имеющимся и потенциальным клиентам;

   • Оценки эффективности выпускаемых рекламных материалов и их адаптации под пользователей;

   • Осуществления внутренних технических работ в рамках управления платформой, проведения анализа данных, тестов, исследований, опросов, совершенствования и оптимизации сайта, в т.ч. в целях адаптации отображения материалов сайта под устройства пользователей.

   7. Mindbox вправе осуществлять обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

   8. Mindbox не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в Политике, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

3. Правовые основания обработки персональных данных

   1. Mindbox осуществляет обработку персональных данных Клиентов Заказчика на основании заключенных с Заказчиками договоров.

   2. Mindbox осуществляет обработку персональных данных представителей Заказчика на основании договора между Mindbox и Заказчиком.

   3. Mindbox осуществляет обработку персональных данных представителей Партнеров на основании договора между Mindbox и представителем Партнера.

   4. Mindbox осуществляет обработку персональных данных представителей Поставщика на основании договора между Mindbox и представителем Поставщика.

   5. Mindbox осуществляет обработку персональных данных пользователей Интернет-сайта на основании согласия субъекта на обработку ПДн, даваемого ими при заполнении форм на Интернет-сайте.

   6. Mindbox осуществляет обработку персональных данных соискателей (кандидатов) на работу в Mindbox на основании согласия субъекта на обработку ПДн.

   7. Mindbox принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством Российской Федерации, не использует персональные данные во вред субъектам таких данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

   1. В целях Политики субъектами персональных данных являются клиенты Заказчика, представители Заказчика, представители Поставщиков, представители Партнеров и пользователи Интернет-сайта, соискатели (кандидаты) на работу в Mindbox.

   2. Mindbox вправе обрабатывать персональные данные Клиентов Заказчика, предоставленные Заказчиком по его поручению, такие как: фамилия, имя, отчество; пол; e-mail; телефон; дата рождения; IP-адреса; данные устройства, с которого осуществляется просмотр сайта, мобильного приложения; другие данные предоставленные Заказчиком (не относящиеся к специальным и биометрическим ПДн). Категория ПДн — иная.

   3. Mindbox осуществляет обработку персональных данных представителей Заказчика, таких как: фамилия, имя, отчество, паспортные данные; адрес регистрации; контактные данные; e-mail; банковские реквизиты счета контрагента; должность; компания. Категория ПДн — иная.

   4. Mindbox осуществляет обработку персональных данных представителей Поставщиков, таких как: фамилия, имя, отчество; паспортные данные; адрес регистрации; контактные данные; e-mail; банковские реквизиты счета контрагента. Категория ПДн — иная.

   5. Mindbox осуществляет обработку персональных данных представителей Партнеров, таких как: фамилия, имя; фото; должность; компания. Категория ПДн — общедоступная.

   6. Mindbox осуществляет обработку персональных данных Пользователей Интернет-сайта, таких как: фамилия, имя, отчество; E-mail; телефон; должность, компания; данные cookies (ip-адрес, местоположение и т.д.). Категория ПДн — иная.

   7. Mindbox осуществляет обработку персональных данных соискателей (кандидатов) на работу, таких как: фамилия, имя, отчество; дата рождения; гражданство; пол; сведения об образовании; сведения о трудовом стаже; другие данные, указанные соискателем самостоятельно в резюме. Категория ПДн — иная.

   8. Объем и категории обрабатываемых персональных данных иных субъектов ПДн определяется локальными нормативными актами Mindbox.

   9. Mindbox не обрабатывает персональные данные, относящиеся к биометрическим и специальным категориям, а именно, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов, о членстве в общественных объединениях.

   10. Mindbox осуществляет обработку персональных данных в случае, если это не противоречит законодательству Российской Федерации.

5. Порядок и условия обработки персональных данных

   1. Обработка персональных данных Mindbox осуществляется в соответствии со следующими принципами:

   • законность и справедливая основа обработки персональных данных;

   • ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей;

   • соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

   • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

   • обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

   • хранение персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных;

   • уничтожение либо обеспечение уничтожения персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Mindbox допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено законом.

   2. Mindbox не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

   3. Mindbox осуществляет следующие действия с персональными данными:

   • В отношении ПДн клиентов Заказчика: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление доступа), блокирование, удаление, уничтожение ПДн

   • В отношении ПДн представителей Заказчика, представителей Партнеров, представителей Поставщиков, пользователей Интернет-сайта, соискателей (кандидатов) на работу в Mindbox: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление доступа), блокирование, удаление, уничтожение ПДн.

   4. В отношении ПДн пользователей Интернет-сайта Mindbox осуществляет трансграничную передачу данных cookies на территорию США (сервис Google Analytics).

   5. Mindbox осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

   6. Mindbox обеспечивает конфиденциальность обрабатываемых им персональных данных. Обеспечение конфиденциальности не требуется в отношении:

   • персональных данных после их обезличивания;

   • персональных данных, разрешенных субъектом персональных данных для распространения;

   • персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.

   7. Защита персональных данных, обрабатываемых Mindbox, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

   8. Правовые меры включают в себя:

   • разработку локальных актов Mindbox, реализующих требования российского законодательства, в том числе Политики, и размещение ее на интернет-сайте Mindbox;

   • отказ от обработки персональных данных, если это не соответствует целям обработки Mindbox.

   9. Организационные меры включают в себя:

   • назначение лица, ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в информационных системах;

   • регламентацию процессов обработки персональных данных;

   • определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз;

   • ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;

   10. Технические меры включают в себя:

   • обеспечение физической безопасности помещений и средств обработки ПДн, пропускной режим, охрану, видеонаблюдение;

   • разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;

   • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, иных согласно законодательству и актам Mindbox), в том числе прошедших процедуру оценки соответствия в установленном порядке;

   • резервное копирование информации для возможности восстановления;

   • учет и хранение носителей информации, исключающие их хищение, подмену, несанкционированное копирование и уничтожение

   • периодическое проведение мониторинга действий пользователей, расследование инцидентов в случае нарушения правил обработки и защиты персональных данных;

   • контроль за выполнением соответствующих требований (самостоятельно или с привлечением на договорной основе иных лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.

   11. Сроки обработки и хранения персональных данных:

   • в отношении ПДн Клиентов Заказчика — в течение срока действия договора с Заказчиком (если иное не предусмотрено договором) + 30 дней с даты окончания договора (срок удаления ПДн) + 6 месяцев с даты окончания договора (срок уничтожения заблокированных ПДн на резервных носителях (бэкапах)).

   • в отношении представителей Заказчика — бессрочно, до момента отзыва согласия либо прекращения иного законного основания обработки.

   • в отношении представителей Партнеров — бессрочно, до момента отзыва ПДн либо прекращения иного законного основания обработки.

   • в отношении представителей Поставщиков — бессрочно, до момента отзыва ПДн либо прекращения иного законного основания обработки.

   • в отношении ПДн Пользователей Интернет-сайта — бессрочно, до момента отзыва ПДн.

   • в отношении ПДн соискателей (кандидатов) на работу сайта — бессрочно, до момента отзыва ПДн.

   12. Условия прекращения обработки персональных данных: достижение целей обработки ПДн, прекращение договорных отношений с Заказчиком, истечение срока действия согласия или отзыв согласия, выявление неправомерной обработки ПДн.

   13. Иные обязанности и права Mindbox определяются законодательством Российской Федерации.

6. Файлы Cookie и другие технологии

   1. Mindbox осуществляет сбор информации во время посещения Пользователем сайта в целях сбора статистики использования и анализа эффективности, персонализации и корректировки взаимодействия, а также совершенствования своих продуктов и услуг. Сбор информации осуществляется с использованием различных технологий, в том числе файлов «cookie».

   2. Файл cookie представляет собой элемент данных, отправляемый веб-сайтом браузеру Пользователя, который затем может храниться на компьютере в качестве метки, идентифицирующей компьютер. Файлы cookie часто используются исключительно для анализа использования веб-сайта (в частности, для определения числа Пользователей и продолжительности посещения) и его эффективности (в частности, для определения тем, которые больше всего интересуют Пользователя), а также для упрощения навигации по сайту и его использования и в данном качестве не ассоциируются с персональными данными. Файлы cookie также используются для персонализации взаимодействия с Пользователем посредством их сопоставления с данными профиля или предпочтениями пользователя. Со временем эти данные оказываются крайне полезными для оптимизации взаимодействия с пользователями.

   3. Файлы cookie, делятся на «файлы cookie сеанса» и «постоянные cookie». Файлы cookie сеанса помогают Пользователю эффективнее осуществлять навигацию по сайту и отслеживать перемещения между страницами, чтобы не приходилось заново вводить информацию, уже предоставленную во время текущего посещения сайта или необходимую для совершения транзакции. Файлы cookie сеанса хранятся во временной памяти и удаляются при закрытии браузера. Постоянные cookie, напротив, хранят предпочтения Пользователя для текущего и последующих посещений сайтов. Они записываются на жесткий диск устройства Пользователя и сохраняют корректность при повторном запуске браузера.

   4. При посещении Сайта или пользовании Пользователь может задать варианты использования файлов cookie и других аналогичных технологий с помощью параметров и инструментов, предусмотренных в браузере. Для удаления имеющихся файлов cookie можно воспользоваться параметрами настройки браузера.

   5. Пользователь может указать предпочтительные варианты использования большинства файлов cookie и аналогичных технологий через браузер. Информация о контроле над файлами cookie содержится в разделе «Настройки» (или подобном) используемого браузера. В большинстве случаев Пользователь можете настроить уведомления браузера о получении файла cookie и в каждом конкретном случае решать, следует ли принять этот файл или нет. Пользователь можете полностью отключить файлы cookie в браузере. При блокировке, отключении или ином запрете использования файлов cookie сайт может отображаться неправильно.

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

   1. В соответствии с заключаемыми с Заказчиками договорами актуализацию, исправление, и удаление персональных данных Клиентов Заказчика осуществляет Заказчик.

   2. Mindbox осуществляет удаление персональных данных Клиентов Заказчика в течение 30 дней после прекращения договора с Заказчиком, если иной срок не установлен договором или законом. После удаления Mindbox осуществляет блокирование персональных данных Клиентов Заказчика и обеспечивает их уничтожение в течение 6 месяцев.

   3. В отношении ПДн всех остальных субъектов ПДн, кроме Клиентов Заказчика, актуализация и исправление персональных данных осуществляются Mindbox в случае подтверждения факта их неточности, а удаление и уничтожение — в случае достижения всех целей их обработки и/или отзыва согласия на их обработку, если иное не предусмотрено Политикой и законодательством.

   4. Персональные данные, предоставленные Пользователем Интернет-сайта Mindbox, могут использоваться Mindbox для проведения маркетинговых мероприятий, например, для информирования о мероприятиях, услугах и решениях. Пользователь имеет возможность запретить использовать эту информацию подобным образом. Пользователь вправе отписаться от рассылки, перейдя по ссылке из письма, или обратиться напрямую к Mindbox, используя контактную информацию на сайте.

   5. При получении Mindbox мотивированных запросов от органов власти, если это предусмотрено законодательством, Mindbox предоставляет требуемые персональные данные в установленном объеме, порядке и сроки. Согласия субъектов на предоставление их персональных данных в рамках таких запросов не требуется.

8. Внесение изменений в Политику

   1. Положения Политики могут пересматриваться по мере необходимости либо в случае изменений законодательства в сфере персональных данных.

   2. При внесении изменений в положения Политики учитываются:

   • сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных;

   • изменение условий и особенностей обработки персональных данных Mindbox в связи с изменением внутренних процессов, информационной инфраструктуры, использованием новых информационных систем, процессов и технологий.

   3. Mindbox вправе внести изменения в Политику, разместив новую редакцию Политики на интернет-сайте.

__________________________

Чтобы отозвать согласие на обработку персональных данных, задать вопрос или сделать предложение по улучшению политики на сайте, напишите нам по адресу dpo@mindbox.ru