Политика общества с ограниченной ответственностью «СИТОРА» в отношении обработки персональных данных

Общие положения
1. Настоящая Политика Общества с ограниченной ответственностью «СИТОРА» (ООО «СИТОРА») в отношении обработки персональных данных (далее - Политика) подготовлена в соответствии со статьёй 18.1 Федерального закона от 27 июля 2006 года No 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина (субъекта персональных данных) при обработке его персональных данных. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «СИТОРА» (далее – Оператор, Компания).
2. Политика публикуется в свободном доступе в сети Интернет на сайте Оператора и является неотъемлемой частью Публичной оферты и Соглашения об использовании Сайта, размещенных на сайте Оператора в сети Интернет по адресу: https://citora.ru/ (далее – Сайт).
3. Использование сервисов Сайта означает безоговорочное согласие субъекта персональных данных (далее - Субъект, Пользователь) с настоящей Политикой и указанными в ней условиями обработки персональных данных, в случае несогласия с этими условиями Субъект должен воздержаться от использования сервисов Сайта (далее - Сервисов).
4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
5. Политика применяется к Сайту. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые Субъект может перейти по ссылкам, доступным на Сайте.
6. В Политике используются следующие термины и определения:
  Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);
  Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не передавать их без согласия субъекта;
  Передача персональных данных – действия, направленные на раскрытие персональных данных определенному кругу лиц (предоставление персональных данных) или на раскрытие персональных данных неограниченному кругу лиц (распространение персональных данных);
  Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
  Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Правовые основания обработки персональных данных
1. Правовыми основаниями обработки персональных данных Оператором являются:
  - Конституция РФ;
  - Трудовой кодекс РФ;
  - Гражданский кодекс РФ;
  - Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
  - Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  - Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
  - Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
  - уставные документы Компании;
  - договоры, заключаемые между Оператором и Субъектами, в том числе в результате присоединения Субъектов к оферте, размещенной на Сайте;
  - договоры поручения на обработку персональных данных, полученные от других Операторов;
  - согласия субъектов персональных данных на обработку персональных данных;
  - иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
Состав обрабатываемых персональных данных
1. Сведениями, составляющими персональные данные, у Оператора является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), которую Субъект, предоставляет о себе самостоятельно, в том числе при регистрации (создании учетной записи) и/или в процессе использования Сервисов. Обязательная для предоставления Сервисов информация помечена специальным образом.
2. В рамках своей деятельности Оператор также вправе обрабатывать данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Субъекта программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Субъекта (или иной программе, с помощью которой осуществляется доступ к Сервисам), технические характеристики оборудования и программного обеспечения, используемых Субъектом, дата и время доступа к Сервисам, адреса запрашиваемых страниц и иная подобная информация.
3. Оператор может обрабатывать персональные данные следующих категорий Субъектов:
  - работники Оператора, родственники работников Оператора, в пределах, определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
  - лица, входящие в органы управления Оператора и не являющимися работниками;
  - физические лица, с которыми Оператором заключаются договоры гражданско-правового характера;
  - представители юридических лиц – контрагентов Оператора;
  - клиенты – потребители, в том числе посетители Сайта.
Цели обработки персональных данных
1. Подготовка, заключение и исполнение гражданско-правовых договоров с Субъектами.
  1. В рамках указанной цели Компания собирает в том числе данные, которые необходимы ее партнерам для оформления клиентам банковских карт.
  2. В рамках указанной цели Компания обрабатывает персональные данные в следующем объеме:
    - Персональные данные клиентов: ФИО; дата и место рождения; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; адрес регистрации; адрес проживания; гражданство; ИНН; номер телефона; адрес электронной почты; семейное и социальное положение, профессия, источник дохода, место работы;
    - Персональные данные посетителей сайта: ФИО; адрес электронной почты; номер телефона; данные cookie.
  3. Компания хранит персональные данные, полученные в целях подготовки, заключения и исполнения гражданско-правового договора на протяжении действия договора и в течение 3х лет после его прекращения.
  4. Компания вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), обезличивание, блокирование, уничтожение, удаление.
  5. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Компания осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
  6. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, Компания осуществляет уничтожение материальных носителей таких персональных данных с использованием шредера.
2. Подготовка, заключение и исполнение гражданско-правовых договоров с Субъектами (банковские карты).
  1. В рамках указанной цели Компания собирает в том числе данные, которые необходимы для оказания услуги «Подписка на обслуживание».
  2. В рамках указанной цели Компания обрабатывает следующие персональные данные клиентов: ФИО; номер телефона; адрес электронной почты; банковские реквизиты.
  3. Компания хранит персональные данные, полученные в целях подготовки, заключения и исполнения гражданско-правового договора на протяжении действия договора и в течение 3х лет после его прекращения.
  4. Компания вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), обезличивание, блокирование, уничтожение, удаление.
  5. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Компания осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
  6. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, Компания осуществляет уничтожение материальных носителей таких персональных данных с использованием шредера.
3. Подготовка, заключение и исполнение гражданско-правовых договоров с Субъектами (налоговое сопровождение).
  1. В рамках указанной цели Компания собирает в том числе данные, которые необходимы для оказания услуги «Налоговое сопровождение» (оказание услуги по подаче отчетности в ФНС).
  2. В рамках указанной цели Компания обрабатывает следующие персональные данные клиентов: ФИО; паспортные данные; номер телефона; адрес электронной почты; ИНН; банковские реквизиты, в т.ч. дата и номер договора с банком.
  3. Компания хранит персональные данные, полученные в целях подготовки, заключения и исполнения гражданско-правового договора на протяжении действия договора и в течение 3х лет после его прекращения.
  4. Компания вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), обезличивание, блокирование, уничтожение, удаление.
  5. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Компания осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
  6. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, Компания осуществляет уничтожение материальных носителей таких персональных данных с использованием шредера.
4. Обеспечение соблюдения трудового законодательства РФ.
  1. В целях соблюдения трудового законодательства Компания обрабатывает следующие персональные данные работников: ФИО, дата рождения, место рождения, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, сведения о трудовой деятельности, сведения об образовании.
  2. Компания хранит персональные данные работников на протяжении действия трудового договора и далее в соответствии с законодательством об архивном деле.
  3. Компания вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), распространение, блокирование, уничтожение, удаление.
  4. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Компания осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
  5. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, Компания осуществляет уничтожение материальных носителей таких персональных данных с использованием шредера.
5. Маркетинговая коммуникация, предоставление субъектам персональных данных информации (в том числе рекламного характера) о разработке Компанией услуг.
  1. В целях маркетинговой коммуникации Компания обрабатывает следующие персональные данные клиентов и пользователей сайта: ФИО; адрес электронной почты; номер телефона.
  2. Компания хранит персональные данные в целях осуществления маркетинговой активности до отзыва субъектами согласия на обработку их персональных данных.
  3. Компания вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, блокирование, уничтожение, удаление.
  4. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Компания осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
  5. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, Компания осуществляет уничтожение материальных носителей таких персональных данных с использованием шредера.
6. Консультирование клиентов после заявки в форме обратной связи.
  1. В целях консультирования клиентов Компания обрабатывает следующие персональные данные клиентов и пользователей сайта: ФИО; адрес электронной почты; номер телефона.
  2. Компания хранит персональные данные в целях осуществления маркетинговой активности до отзыва субъектами согласия на обработку их персональных данных.
  3. Компания вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, блокирование, уничтожение, удаление.
  4. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Компания осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
  5. При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется без использования средств автоматизации, Компания осуществляет уничтожение материальных носителей таких персональных данных с использованием шредера.
Обработка данных cookie
1. Файлы cookie — это небольшие файлы, состоящие из букв и цифр, загружаемые на устройство, когда субъект обращается к веб-сайту Компании.
2. Основанием для обработки данных cookie является согласие на обработку персональных данных, предоставляемого субъектом-пользователем сайта Компании путем совершения конклюдентных действий - продолжение пользования сайтом.
3. Компания обрабатывает следующие данные cookie:
  - BITRIX_CONVERSION_CONTEX_s1 - используется для отслеживания конверсий и маркетинговой деятельности на сайте. Срок хранения: 1 год. Провайдер: citora.ru
  - BX_USER_ID - хранит информацию об уникальном идентификаторе неавторизированного пользователя сайта. Срок хранения: 1 год. Провайдер: citora.ru.
  - PHPSESSID - хранит информацию об уникальном идентификаторе сессии пользователя сайта. Срок хранения: 1 день. Провайдер: citora.ru.
  - _ym_d -запоминает дату первой пользовательской сессии. Срок хранения: 1 год. Провайдер: yandex.ru.
  - _ym_isad - используется чтобы определить, использует ли посетитель блокировщики рекламы. Срок хранения: 2 дня. Провайдер: yandex.ru.
  - _ym_uid - используется для идентификации пользователя. Срок хранения: 1 год. Провайдер: yandex.ru.
  - cookies_accepted - хранит информацию о согласии пользователя сайта на сбор cookie. Срок хранения: 3 года. Провайдер: citora.ru.
4. По достижении указанных сроков обработки cookie-файлы уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной системы.
5. В случае отказа в обработке данных cookie субъект вправе отключить сбор данных cookie в настойках браузера.
Условия обработки персональных данных
1. Компания обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным в Политике целям обработки и, в случае необходимости, принимает меры по устранению избыточности объема данных по отношению к заявленным целям обработки.
2. Компания не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья, а также обработку биометрических персональных данных.
3. В случае обработки персональных данных по поручению, Компания соблюдает все предусмотренные поручением оператора условия и требования к защите.
4. Компания осуществляет обработку персональных данные с использованием средств автоматизации и без использования средств автоматизации.
5. Обработка персональных данных осуществляется Компанией при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
6. Компания вправе передать персональные данные субъекта персональных данных третьим лицам в случаях, когда:
  - Субъект персональных данных явно выразил свое согласие на такую передачу;
  - Передача данных третьим лицам предусмотрена действующим законодательством Российской Федерации в рамках установленной процедуры.
7. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.
8. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.
9. Согласие может быть отозвано субъектом персональных данных путем письменного уведомления Компании.
10. Компания при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока, длящегося не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
12. При достижении целей обработки персональных данных, а также в случае отзыва субъектом Согласия Компания прекращает обработку персональных данных и уничтожает их.
13. На стороне Компании доступ к персональным данным субъектов имеет ограниченное количество лиц, для которых такой доступ является необходимым в целях реализации возложенных на них трудовых обязанностей.
14. При хранении персональных данных Оператор использует базы данных, находящиеся на территории РФ.
15. Компания осуществляет трансграничную передачу персональных данных на территории иностранных государств с соблюдением требования законодательства Российской Федерации.
  Страны, в которые передаются персональные данные: Армения, Белоруссия, Казахстан, Киргизия, Китай, Сербия, Таджикистан, Турция, Узбекистан.
16. При уничтожении персональных данных Компания составляет Акт об уничтожении персональных данных в соответствии с требованиями законодательства.
17. Оператор принимает необходимые организационные и технические меры для защиты персональной информации Субъекта от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
18. Оператор совместно с Субъектом принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Субъекта.
19. Оператор имеет право направлять Субъекту сообщения о новых продуктах и услугах, специальных предложениях и различных событиях (при условии получения отдельного согласия Субъекта на рекламную рассылку). Пользователь в любое время вправе отказаться от получения сообщений, направив Оператору письмо на адрес электронной почты info@citora.ru.
Права субъекта персональных данных
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  - Подтверждение факта обработки персональных данных Компанией;
  - Правовые основания и цели обработки персональных данных;
  - Применяемые Компанией способы обработки персональных данных;
  - Наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
  - Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  - Сроки обработки персональных данных, в том числе сроки их хранения;
  - Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  - Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  - Информация, касающаяся обработки персональных данных субъекта персональных данных, предоставляемая субъекту персональных данных, не должна содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
  - Информация, касающаяся обработки персональных данных субъекта персональных данных, предоставляется Компанией субъекту персональных данных или его законному представителю при обращении, либо при получении соответствующего запроса.
2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в договорных отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя.
3. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4. В случае получения от Субъекта уведомления об отзыве согласия на обработку персональных данных Оператор, Оператор прекращает обработку персональных данных в срок, не превышающий 10 (Десять) рабочих дней с момента получения соответствующего уведомления.
Заключительные положения
1. До обращения в суд с иском по спорам, возникающим из отношений между субъектом персональных данных, Пользователем Сайта и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
2. Получатель претензии в течение 30 (Тридцати) календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
3. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, но не реже одного раза в три года. Оператор вправе вносить изменения в настоящую Политику без согласия Пользователя. Новая Политика вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.
4. Контроль исполнения требовании настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.
5. Ответственность работников Оператора, осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требовании норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.
6. К настоящей Политике применяется законодательство Российской Федерации.
7. Все предложения или вопросы по настоящей Политике следует сообщать ответственному в Компании лицу по электронной почте: info@citora.ru.