Политика обработки персональный данных

Политика в отношении обработки персональных данных

 ООО «ЗдоровоеДыхание»
(утверждена приказом генерального директора ООО «ЗдоровоеДыхание» №3 от 04.04.2024)

 Дата публикации: 04.04.2024г.

1. Общие положения   

1.1. Настоящий документ (далее – «Политика») определяет политику Общества с ограниченной ответственностью «ЗдоровоеДыхание» (далее - «Общество») в области обработки персональных данных и действует в отношении всех персональных данных, которые Общество может получить от субъекта персональных данных в связи с использованием последним, как от своего лица, так и в интересах третьих лиц, услуг и/или приобретением товаров у Общества:  
• через сайт Общества по адресу: https://zdorovoedyhanie.ru (далее – «Сайт»);  
• через мобильные приложения «МАКСИПУЛЬС», MiniPulse, MAXIPULSE Light (далее – «Мобильные Приложения»);  
• через социальные сети при регистрации на Сайте и/или в Мобильных приложениях;  
• через устройства пользователя при их синхронизации с Сайтом/Мобильными приложениями;  
• путем загрузки в Мобильные приложения показаний субъектов персональных данных с пульсометров;  
• непосредственно при визите субъектов персональных данных (их уполномоченных представителей) в офис или магазин(ы) Общества;  
• иными способами.  

1.2. Действие настоящей Политики не распространяется на отношения, возникающие при обработке персональных данных сотрудников Общества и/или соискателей вакантных должностей Общества, поскольку такие отношения урегулированы отдельным локальным актом Общества.  
1.3. Общество обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».   

2. Термины и принятые сокращения
2.1.Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).  
2.2.Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:  
• сбор;  
• запись;  
• систематизацию;  
• накопление;  
• хранение;  
• уточнение (обновление, изменение);  
• извлечение;  
• использование;  
• передачу (распространение, предоставление, доступ);  
• обезличивание;  
• блокирование;  
• удаление;  
• уничтожение.   

2.3.Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.  2.4.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.  2.5.Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.  
2.6.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).  
2.7.Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.  
2.9.Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.  
2.10.Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.   

3. Цели обработки персональных данных 
3.1.Обработка персональных данных осуществляется в связи с осуществлением Обществом деятельности, предусмотренной его учредительными документами, с учетом специфики его бизнес-процессов. Основными целями обработки персональных данных являются:  
3.1.1.Заключение и исполнение гражданско-правовых договоров на оказание услуг и реализацию товаров Общества.  
3.1.2.Предоставление доступа к информации и услугам, представленным на Сайте и в Мобильных приложениях.  
3.1.3.Обеспечение субъектам ПД возможности взаимодействовать с Сайтом и Мобильными приложениями, в частности, получать доступ и осуществлять навигацию по Сайту, регистрацию на Сайте/в Мобильных приложениях, направлять уведомления, комментарии, запросы Обществу.  
3.1.4.Получение субъектами ПД обратной связи от Общества, в том числе, уведомлений, ответов, информации о статусе заказов, предложениях Общества и/или его партнеров.  
3.1.5.Предоставление субъектам ПД доступа к персонализированным ресурсам Сайта/Мобильным приложениям, в том числе специальным предложениям, любым информационным сообщениям, включая рекламу и иные сведения от имени Общества или партнеров Общества, предоставление доступа на сайты или сервисы партнеров Общества, в соответствии с пользовательскими соглашениями.  
3.1.6.Оформление заказов на сайте Общества и заключения соответствующих договоров с Обществом и их исполнения, в том числе, с привлечением третьих лиц, включая службы доставки, колл-центры, провайдеров интернет-связи, хостинга, услуг по хранению и обработке клиентских данных, систем управления продажами и коммуникациями с клиентами и т.п.  
3.1.7.Ведение Обществом бухгалтерского и налогового учета и отчетности.  
3.1.8.Защита Обществом своих законных прав и интересов.  
3.1.9.Отображение данных субъекта ПД в интерфейсе пользователя на Сайте/в Мобильных приложениях.  
3.1.10.Профайлинг и оптимизация рекламы, повышение осведомленности посетителей Сайта Общества/пользователей Мобильных приложений/клиентов и контрагентов Общества о продуктах и услугах Общества, а также информирование их об услугах Общества и его контрагентов путем осуществления прямых контактов со субъектами ПД с помощью средств связи, участия в проводимых Обществом акциях, опросах, исследованиях (включая, в числе прочего, проведение опросов, исследований посредством электронной, телефонной и сотовой связи).  
3.1.11.Иные цели, прямо или косвенно связанные с заключением субъектом персональных данных или по его поручению договоров с Обществом, использованием им каких-либо услуг или сервисов Общества, принятием решений или совершением Обществом иных действий, порождающих юридические последствия в отношении субъекта ПД.  
3.1.12.Оказания услуг по аналитической обработке данных с пульсометров и вывода результатов обработки в пользовательский интерфейс субъекта этих данных в Мобильных приложениях.  
3.2.Конкретные и детальные цели обработки персональных данных изложены в текстах согласий на обработку персональных данных, расположенных на ресурсах Общества, через которые осуществляется сбор соответствующих персональных данных.

4. Правовые основания обработки персональных данных.
4.1.Правовым основанием обработки персональных данных являются:  
• устав Общества  
• Гражданский кодекс РФ;  
• Налоговый кодекс РФ;  
• договоры с лицами, которым Общество поручает в соответствии с требованиями законодательства РФ обработку персональных данных;  
• пользовательские соглашения, размещенные на Сайте и в Мобильных приложениях;  
• согласия на обработку персональных данных, получаемые Обществом от субъектов персональных данных через ресурсы, указанные в пункте 1.1 настоящего Положения;  
• договоры, заключаемые Обществом с субъектами персональных данных или третьими лицами, от лица которых действуют субъекты персональных данных.  

4.2.Обработка персональных данных осуществляется:  
• с согласия субъекта персональных данных на обработку его персональных данных;  
• в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;  
• в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.   

5. Объем и категории обрабатываемых ПД, категории субъектов ПД   
5.1.Категория 1: физические лица - пользователи Мобильных приложений. Обрабатываемые персональные данные для Категории 1:  
• имя;  
• пол;  
• дата рождения;  
• IP-адрес;  
• уникальный идентификатор устройства (idfa/aid, udid);  
• вес;  
• рост;  
• пульс.  

5.2.Категория 2: физические лица – посетители Сайта. Обрабатываемые персональные данные для Категории 2:  
• имя, указанное при регистрации на Сайте и/или оформлении заказа;  
• номер телефона;  • адрес электронной почты;  
• почтовый адрес (страна, город, улица, номер дома, номер квартиры);  
• данные о пользовательском устройстве (в том числе, разрешение, версия и другие свойства, характеризующие пользовательское устройство);  
• данные геолокации;  
• источник захода на Сайт и информация поискового или рекламного запроса;  
• пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;  
• данные, характеризующие аудиторные сегменты;  
• параметры сессии;  
• данные о времени посещения;  
• идентификатор пользователя, хранимый в cookie;  
• персональные файлы cookie и данные интернет-сессий;  
• условия заказа в случае его оформления.  

5.3.Категория 3: физические лица, с которыми заключен либо предполагается к заключению договор гражданско-правового характера. Обрабатываемые персональные данные для Категории 3:  
• фамилия, имя, отчество;  
• номер телефона;  
• адрес электронной почты;  
• адрес (индекс, страна, город, улица, номер дома, номер квартиры);  
• данные расчетного счета;  
• СНИЛС;  
• ИНН;  
• данные документа, удостоверяющего личность;  
• дата и место рождения;  
• пол.  

5.4.Категория 4: представители/законные представители/работники клиентов и контрагентов Общества (юридических лиц, ИП, физических лиц). Обрабатываемые персональные данные для Категории 3:  
• фамилия, имя, отчество;  
• номер телефона;  
• адрес электронной почты;  
• адрес (индекс, страна, город, улица, номер дома, номер квартиры);  
• место работы;  
• должность;  
• данные документа, удостоверяющего личность  
• дата и место рождения;  
• пол.  

5.5.Данные, собираемые для Категории 1, а именно: вес, рост, пульс - обрабатываются исключительно с целью оказания услуг по аналитической обработке данных с пульсометров и вывода результатов обработки в пользовательский интерфейс субъекта этих данных в Мобильных приложениях. Эти данные не используются для идентификации субъектов ПД.   

6. Порядок и условия обработки персональных данных
6.1.Сбор персональных данных  
6.1.1.Персональные данные получаются непосредственно от субъекта либо с его предварительного разрешения через сторонние ресурсы или третьих лиц.  
6.1.2. Общество начинает обработку ПД Субъекта с момента получения его согласия.  
6.1.3.Согласие на обработку ПД может быть дано Субъектом ПД в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом ПД конклюдентных действий.  В частности, согласие на обработку ПДН считается предоставленным Субъектом посредством совершения Субъектом ПД следующих конклюдентных действий на Сайте и в Мобильных приложениях: проставление «галочки» в специальном поле при оформлении заказа и нажатии кнопки «Согласен(-на) с Политикой обработки персональных данных» в Мобильных приложениях и «Я согласен с условиями обработки персональных данных» на Сайте.  
6.1.4.В случае отсутствия согласия Субъекта на обработку его ПД такая обработка не осуществляется.  
6.1.5.Получение Обществом персональных данных от иных лиц, а равно передача поручения по обработке ПД осуществляется на основании договора, содержащего условия о порядке обработки и сохранения конфиденциальности полученных ПД.  
6.1.6. Общество сообщает субъекту ПД о целях обработки, предполагаемых источниках и способах их получения, характере подлежащих получению ПД, перечне действий с ними, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на их получение.  
6.1.7.Документы, содержащие персональные данные, создаются путем:  
• внесения субъектом ПД или по его поручению сведений в учетные формы на Сайте/в Мобильных приложениях;  
• получения скан- или фотокопий документов;  
• копирования оригиналов документов;  
• получения оригиналов необходимых документов.   

6.2.Действия, осуществляемые с персональными данными  
6.2.1.Обработка персональных данных ведется:  
• с использованием средств автоматизации;  
• без использования средств автоматизации.  

6.2.2.Способы обработки ПД включают осуществление любых действий с ПД в соответствии с действующим законодательством РФ, включая:  
• сбор,  
• запись,  
• систематизацию,  
• накопление,  
• хранение,  
• уточнение (обновление, изменение),  
• извлечение,  
• использование,  
• предоставление (передачу (включая трансграничную передачу), распространение, доступ),  
• комбинирование,  
• ограничение,  
• обезличивание,  
• блокирование,  
• удаление, уничтожение персональных данных.   

6.3.Хранение персональных данных.  
6.3.1.ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как в электронном виде, так и на бумажных носителях.  
6.3.2.ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа. ПД субъектов, обрабатываемые в разных целях, хранятся в разных папках.  
6.3.3.Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
6.3.4.Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.  
6.3.5.Срок хранения персональных составляет:  
• для ПД лиц Категории 1 – 10 (Десять) лет с даты прекращения использования Мобильных приложений (удаления его со всех устройств пользователя);  
• для ПД лиц Категории 2 – 3 (Три) года с даты прекращения использования Сайта, за исключением случаев, когда через Сайт был оформлен заказ на товары/услуги Общество. В таком случае применяется срок хранения ПД, предусмотренный для Категории 3;  
• для ПД лиц Категории 3 – 10 (Десять) лет с даты прекращения договора, заключенного с Обществом, если с Обществом заключено несколько договоров – с даты прекращения последнего из них. Если договор с Обществом не был заключен, то срок обработки персональных данных составляет 10 (Десять) лет с даты вступления в силу согласия на их обработку;  
• для ПД лиц Категории 4 – 10 (Десять) лет с даты прекращения договора, заключенного с Обществом лицом, представляемым субъектом ПД, если с Обществом заключено несколько таких договоров – с даты прекращения последнего из них. Если договор с Обществом не был заключен, то срок обработки персональных данных составляет 10 (Десять) лет с даты вступления в силу согласия на их обработку.   

6.4.Прекращение обработки персональных данных и их уничтожение.  
6.4.1.Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.  
6.4.2.Субъект ПД может отозвать согласие на обработку своих персональных данных, направив соответствующий запрос на адрес электронной почты Общества: ooo.zdorovoedyhanie@yandex.ru. Отзыв будет считаться совершенным (момент отзыва) по истечении 30 (Тридцати) рабочих дней с даты получения соответствующего письма Обществом. При этом такой отзыв не влияет на законность обработки, осуществлявшейся до момента отзыва.
6.4.3.При наступлении одного из условий прекращения обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:  
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;  
• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;  
• иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.  
6.4.4.Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.  
6.4.5.ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.  
6.4.6.Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.  
6.5.Передача персональных данных.  
6.5.1. Общество передает ПД третьим лицам, включая трансграничную передачу данных, в следующих случаях:  
• субъект выразил свое согласие на такие действия;  
• передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.   
6.5.2 Третьи лица, которым передаются персональные данные:  
• Компании, осуествляющие обработку ПД по поручению Общества, включая службы доставки, колл-центры, провайдеров интернет-связи, хостинга, услуг по хранению и обработке клиентских данных, систем управления продажами и коммуникациями с клиентами, банки-партнеры, службы аналитики и т.п.   

7. Защита персональных данных  
7.1.В соответствии с требованиями нормативных документов Обществом создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты. 
7.2.Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД. 
7.3.Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами. 
7.4.Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД. 
7.5.Основными мерами защиты ПД, используемыми Обществом, являются: 
7.5.1.Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД. 
7.5.2.Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД. 
7.5.3.Разработка политики в отношении обработки персональных данных. 
7.5.4.Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД. 
7.5.5.Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями. 
7.5.6.Применение соответствия средств защиты информации, прошедших в установленном порядке процедуру оценки. 
7.5.7.Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами. 
7.5.8.Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ. 
7.5.9.Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер. 
7.5.10.Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 
7.5.11.Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документом, определяющим политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. 
7.5.12.Осуществление внутреннего контроля и аудита.  

8. Основные права и обязанности субъекта персональных данных и Общества  
8.1.Права субъекта персональных данных. Субъект ПД имеет право: 
8.1.1.на доступ к его персональным данным и следующим сведениям: 
• подтверждение факта обработки ПД Обществом; 
• правовые основания и цели обработки ПД; 
• цели и применяемые Обществом способы обработки ПД; 
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Обществом или на основании федерального закона; 
• сроки обработки персональных данных, в том числе сроки их хранения; 
• порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом; 
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу; 
• обращение к Обществу и направление ему запросов; 

8.1.2.на обжалование действий или бездействия Общества; 
8.1.3.на исправление или уничтожение своих персональных данных; 
8.1.4.на ограничение на обработку своих персональных данных; 
8.1.5.возражать против обработки своих персональных данных; 
8.1.6.потребовать у Общества переноса своих персональных данных. Для осуществления прав, указанных в п.п. 8.1.1-8.1.6 субъект ПД направляет соответствующий запрос на адрес электронной почты Общества: ooo.zdorovoedyhanie@yandex.ru. 
8.2.Обязанности субъекта персональных данных. Субъект персональных данных обязан: 
8.2.1.передавать Обществу достоверные персональные данные. Общество вправе проверять достоверность предоставленных ПД в порядке, не противоречащем законодательству РФ, однако он исходит из того, что Субъект ПД предоставляет достоверные и достаточные ПД для осуществления целей их обработки и поддерживает эту информацию в актуальном состоянии; 
8.2.2.своевременно сообщать Обществу об изменении своих ПД. 
8.2.3.субъект ПД принимает решение о предоставлении своих ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. 8.3.Обязанности Общества. Общество обязано: 
8.3.1.при сборе ПД предоставить информацию об обработке ПД; 
8.3.2.в случаях, если ПД были получены не от субъекта ПД, уведомить об этом субъекта; 
8.3.3.при отказе в предоставлении ПД субъекту ПД разъясняются последствия такого отказа; 
8.3.4.опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД; 
8.3.5.принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД; 
8.3.6.давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.  

9. Заключительные положения  
9.1.Настоящая Политика действует для Общества с даты ее утверждения, для остальных лиц – с даты опубликования на Сайте. Дата опубликования указана в начале документа. 
9.2. Общество имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции («Дата публикации»). Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики. 
9.3.Если Пользователь не согласен с условиями настоящей Политики, то он должен немедленно направить Обществу требование об удалении его ПД и прекратить использование Сайта и Мобильных приложений, в противном случае продолжение использования Пользователем Сайта и/или Мобильных приложений означает, что Пользователь согласен с условиями настоящей Политики. 
9.4.В случае изменения применимого законодательства, внесения изменений в нормативные акты по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с такими изменениями.