Privacy & Legal

Master Service Agreement (MSA)

Политика обработки персональных данных

Настоящая политика вступает в силу 25 июля 2019 года. Предыдущая версия настоящей Политики доступна здесь.

Обеспечение вашей конфиденциальности является одним из приоритетов Общества с ограниченной ответственностью «Майндбокс» (Mindbox). Ваше доверие крайне важно для нас.

В этой Политике описываются персональные данные, которые обрабатывает Mindbox, способы и цели их обработки, защита персональных данных.

  1. Общие положения

    1. Политика определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в Mindbox. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также соблюдение требований российского законодательства в области персональных данных.

    2. Политика разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», других нормативных актов.

    3. В Политике используются следующие термины и определения:

      • «Доступ к персональным данным» — ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Оператором, при условии сохранения конфиденциальности этих сведений;

      • «Заказчик» — лицо, заключившее с Оператором договор, предполагающий передачу персональных данных Заказчиком Оператору и обработку Оператором таких персональных данных;

      • «Контактное лицо Заказчика» — работник Заказчика или иное физическое лицо, с которым у Заказчика заключен гражданско-правовой договор.

      • «Клиент» — физическое или юридическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Заказчика.

      • «Пользователь» — физическое лицо, пользующееся интернет-сайтом mindbox.ru.

      • «Сервис» — компьютерная программа, созданная Оператором и являющаяся его интеллектуальной собственностью, предназначенная для размещения и обработки данных Клиентов.

      • «Сбор» — получение персональных данных непосредственно от субъекта персональных данных;

      • «Файлы Cookie» — текстовые файлы, которые браузер каждый раз пересылает серверу при попытке открыть страницу соответствующего сайта, используемые для аутентификации пользователя, хранения его персональных предпочтений и настроек, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях и т.п.

    4. Термины, не определенные в Политике, используются в значении, определенном законодательством РФ.

    5. Действие Политики распространяется на все персональные данные, обрабатываемые в Mindbox.

    6. Оператор публикует Политику на своем официальном сайте в сети Интернет по адресу mindbox.ru, а также предоставляет неограниченный доступ к ней любому лицу, обратившемуся к Оператору.

  2. Цели сбора и обработки персональных данных

    1. Оператор не осуществляет сбор персональных данных Клиентов и не обязан получать согласия на обработку таких данных согласно заключаемым с Заказчиками договорам.

    2. Оператор осуществляет обработку персональных данных Клиентов по поручению Заказчиков. Цели обработки персональных данных определяются заключенными с Заказчиками договорами, в частности, проведение маркетинговых кампаний: электронных рассылок, создания сегментов данных Клиентов, анализа данных Клиентов, — и не могут противоречить законодательству Российской Федерации.

    3. Сбор и обработка персональных данных Пользователя могут осуществляться в целях:

      • идентификации Пользователя и связи с ним;

      • направления Пользователю сообщений рекламного (информационного) характера;

      • улучшения сервисов и разделов интернет-сайта Оператора;

      • осуществления статистических и иных исследований.

    4. Обработка персональных данных Контактных лиц Заказчика может осуществляться с целью размещения публикаций информационного и рекламного содержания.

    5. Цели обработки персональных данных работников, кандидатов на работу, контрагентов определяются локальными нормативными актами Оператора.

    6. Оператор вправе осуществлять обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

    7. Оператор не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в Политике, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

  3. Правовые основания обработки персональных данных

    1. Оператор осуществляет обработку персональных данных Клиентов на основании заключенных с Заказчиками договоров, в отношении персональных данных Пользователей, контактных лиц Заказчика — на основании их согласия, которое дается до начала обработки таких данных Оператором, либо по иным основаниям, предусмотренным законом.

    2. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством Российской Федерации, не использует персональные данные во вред субъектам таких данных.

  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    1. В целях Политики субъектами персональных данных являются Клиенты и Пользователи.

    2. Оператор вправе обрабатывать персональные данные Клиентов, предоставленные Заказчиком по его поручению, такие как данные о фамилии, имени, отчестве, об адресе электронной почты, адрес проживания, телефон, дата рождения, ip адрес, данные устройства, с которого осуществляется просмотр сайта, мобильного приложения, хэш, иные.

    3. Оператор осуществляет обработку персональных данных Пользователей, таких как фамилия, имя, отчество, адрес электронной почты, номер телефона, данные об ip адресе, cookie, данные о местоположении, данные Google Analytics.

    4. Оператор осуществляет обработку персональных данных Контактных лиц Заказчика, таких как фамилия, имя, отчество, должность, фотография.

    5. Объем обрабатываемых персональных данных работников, кандидатов на работу, контрагентов определяется локальными нормативными актами Оператора.

    6. Оператор не обрабатывает персональные данные, относящиеся к специальным категориям, а именно, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов, о членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством или договором с Заказчиком.

    7. Оператор осуществляет обработку персональных данных в случае, если это не противоречит законодательству Российской Федерации.

  5. Порядок и условия обработки персональных данных

    1. Обработка персональных данных Оператором осуществляется в соответствии со следующими принципами:

      • законность и справедливая основа обработки персональных данных;

      • ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей;

      • соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

      • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

      • обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

      • хранение персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных;

      • уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено федеральными законами или договорами с субъектами.

    2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

    3. Оператор не осуществляет трансграничную передачу персональных данных, за исключением случаев, предусмотренных договором с Заказчиком.

    4. Оператор осуществляет обработку персональных данных с использованием Сервиса и иных средств автоматизации, а также без использования таких средств.

    5. Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных. Обеспечение конфиденциальности не требуется в отношении:

      • персональных данных после их обезличивания;

      • персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

      • персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.

    6. Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

    7. Правовые меры включают в себя:

      • разработку локальных актов Оператора, реализующих требования российского законодательства, в том числе Политики, и размещение ее на интернет-сайте Оператора;

      • отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Оператором.

    8. Организационные меры включают в себя:

      • назначение лица, ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в информационных системах;

      • регламентацию процессов обработки персональных данных;

      • определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз;

      • ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;

    9. Технические меры включают в себя:

      • обеспечение физической безопасности помещений и средств обработки ПДн, пропускной режим, охрана, видеонаблюдение

      • разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;

      • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, иных согласно законодательству и актам Оператора), в том числе прошедших процедуру оценки соответствия в установленном порядке;

      • резервное копирование информации для возможности восстановления;

      • учет и хранение носителей информации, исключающие их хищение, подмену, несанкционированное копирование и уничтожение

      • периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;

      • контроль за выполнением соответствующих требований (самостоятельно или с привлечением на договорной основе иных лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже чем 1 раза в 3 года.

    10. Сроки обработки и хранения персональных данных:

      • в отношении ПД Клиентов — в течение срока действия договора с Заказчиком (если иное не предусмотрено Договором);

      • в отношении ПД Пользователей — до момента отзыва согласия.

      • в отношении Контактных лиц Заказчика — до момента отзыва согласия либо прекращения иного законного основания обработки.

      • в отношении работников, кандидатов на работу, контрагентов — согласно локальным нормативным актам Оператора.

    11. Условия прекращения обработки персональных данных: достижение целей обработки ПД, прекращение договорных отношений с Заказчиком, истечение срока действия согласия или отзыв согласия, выявление неправомерной обработки ПД.

    12. Иные обязанности и права Оператора определяются законодательством Российской Федерации.

  6. Файлы Cookie и другие технологии

    1. Оператор осуществляет сбор информации во время посещения Пользователем сайта в целях сбора статистики использования и анализа эффективности, персонализации и корректировки взаимодействия, а также совершенствования своих продуктов и услуг. Сбор информации осуществляется с использованием различных технологий, в том числе файлов «cookie».

    2. Файл cookie представляет собой элемент данных, отправляемый веб-сайтом браузеру Пользователя, который затем может храниться на компьютере в качестве метки, идентифицирующей компьютер. Файлы cookie часто используются исключительно для анализа использования веб-сайта (в частности, для определения числа Пользователей и продолжительности посещения) и его эффективности (в частности, для определения тем, которые больше всего интересуют Пользователя), а также для упрощения навигации по сайту и его использования и в данном качестве не ассоциируются с персональными данными. Файлы cookie также используются для персонализации взаимодействия с Пользователем посредством их сопоставления с данными профиля или предпочтениями пользователя. Со временем эти данные оказываются крайне полезными для оптимизации взаимодействия с пользователями.

    3. Файлы cookie, делятся на «файлы cookie сеанса» и «постоянные cookie». Файлы cookie сеанса помогают Пользователю эффективнее осуществлять навигацию по сайту и отслеживать перемещения между страницами, чтобы не приходилось заново вводить информацию, уже предоставленную во время текущего посещения сайта или необходимую для совершения транзакции. Файлы cookie сеанса хранятся во временной памяти и удаляются при закрытии браузера. Постоянные cookie, напротив, хранят предпочтения Пользователя для текущего и последующих посещений сайтов. Они записываются на жесткий диск устройства Пользователя и сохраняют корректность при повторном запуске браузера.

    4. При посещении Сайта или пользовании Пользователь может задать варианты использования файлов cookie и других аналогичных технологий с помощью параметров и инструментов, предусмотренных в браузере. Для удаления имеющихся файлов cookie можно воспользоваться параметрами настройки браузера.

    5. Пользователь может указать предпочтительные варианты использования большинства файлов cookie и аналогичных технологий через браузер. Информация о контроле над файлами cookie содержится в разделе «Настройки» (или подобном) используемого браузера. В большинстве случаев Пользователь можете настроить уведомления браузера о получении файла cookie и в каждом конкретном случае решать, следует ли принять этот файл или нет. Пользователь можете полностью отключить файлы cookie в браузере. При блокировке, отключении или ином запрете использования файлов cookie сайт может отображаться неправильно.

  7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    1. В соответствии с заключаемыми с Заказчиками договорами актуализацию, исправление, и удаление персональных данных Клиентов осуществляет Заказчик.

    2. Оператор осуществляет удаление и уничтожение персональных данных Клиентов в разумный срок после расторжения договора с Заказчиком либо в срок, установленный таким договором или законом.

    3. Актуализация и исправление персональных данных осуществляются Оператором в случае подтверждения факта их неточности, а удаление и уничтожение — в случае достижения всех целей их обработки и/или отзыва согласия на их обработку, если иное не предусмотрено Политикой и законодательством.

    4. Персональные данные, предоставленные Пользователем Оператору, а также персональные данные, собранные косвенным образом, могут использоваться Оператором для проведения маркетинговых мероприятий, например, для информирования о мероприятиях, услугах и решениях. Пользователь имеет возможность запретить использовать эту информацию подобным образом. Пользователь вправе отписаться от рассылки, перейдя по ссылке из письма, сообщить об этом во время звонка или обратиться напрямую к Оператору, использую контактную информацию на сайте.

    5. При получении Оператором мотивированных запросов от органов власти, если это предусмотрено законодательством, Оператор предоставляет требуемые персональные данные в установленном объеме, порядке и сроки. Согласия субъектов на предоставление их персональных данных в рамках таких запросов не требуется.

  8. Внесение изменений в Политику

    1. Положения Политики могут пересматриваться по мере необходимости либо в случае изменений международного или национального законодательства в сфере персональных данных.

    2. При внесении изменений в положения Политики учитываются:

      • сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных;

      • изменение условий и особенностей обработки персональных данных Оператором в связи с изменением информационной инфраструктуры, использованием новых информационных систем, процессов и технологий.

    3. Оператор вправе внести изменения в Политику, разместив новую редакцию Политики на интернет-сайте.


__________________________

Чтобы отозвать согласие на обработку персональных данных, задать вопрос или сделать предложение по улучшению политики на сайте, напишите нам по адресу dpo@mindbox.ru