Положение о защите и
обработке данных
пользователей сервиса RENTIKA
СОДЕРЖАНИЕ
- 1Общее описание
- 2Основные понятия
- 3Состав персональных данных пользователей сервиса
- 4Принципы обработки персональных данных
- 5Защита персональных данных
- 6Права и обязанности сторон
- 7Ответственность за нарушение настоящего Положения
1. Общее описание
Настоящее Положение о защите и обработке данных пользователей сервиса Rentika (далее – Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и других видов обработки персональных данных пользователей сервиса аренды наборов вещей через постаматы Rentika (далее – Компании). Настоящее Положение является документом, подлежащим публикации на сайте Компании.
Настоящее Положение разработано в соответствии с:
● федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;
● Политикой информационной безопасности ИП “Загайнов Артемий Алексеевич”
Цель Положения – определение порядка обработки персональных данных пользователей сервиса.
Настоящее Положение пересматривается не реже 1 раза в 2 года или в случае существенных изменений в процессе обработки персональных данных пользователей, а также в случае выявления инцидентов информационной безопасности, способных повлиять на процесс, описанный в настоящем Положении.
Настоящее Положение о защите и обработке данных пользователей сервиса Rentika (далее – Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и других видов обработки персональных данных пользователей сервиса аренды наборов вещей через постаматы Rentika (далее – Компании). Настоящее Положение является документом, подлежащим публикации на сайте Компании.
Настоящее Положение разработано в соответствии с:
● федеральным законом от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;
● Политикой информационной безопасности ИП “Загайнов Артемий Алексеевич”
Цель Положения – определение порядка обработки персональных данных пользователей сервиса.
Настоящее Положение пересматривается не реже 1 раза в 2 года или в случае существенных изменений в процессе обработки персональных данных пользователей, а также в случае выявления инцидентов информационной безопасности, способных повлиять на процесс, описанный в настоящем Положении.
2. Основные понятия
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных бданных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных бданных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Состав персональных данных пользователей сервиса
В целях предоставления сервиса аренды при регистрации пользователя в мобильном приложении Rentika (также “мобильное приложение”) собираются следующие данные:
• ФИО пользователя – для обращения к пользователю в чате поддержки;
• адрес электронной почты – для отправки электронных чеков в соответствии с
Федеральным законом «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации» от 22.05.2003 No 54-ФЗ;
• номер мобильного телефона – для идентификации пользователя в системе;
• дата рождения – для определения возраста пользователя.
Для старта аренды необходимо указать данные банковской карты. Привязка карты происходит с использованием технологии 3D Secure, то есть, с подтверждением по номеру телефона. После привязки карты в Сервисе хранится только маскированный номер карты: последние 4 цифры в формате: **** **** **** ХХХХ.
При использовании мобильного приложения также собираются данные геолокации:
● в момент запуска приложения для отображения ближайших постаматов;
● при завершении аренды для сопоставления геолокации пользователя и постамата.
Электронная почта может использоваться для отправки рекламных рассылок и предложений при условии, что пользователь дал отдельное согласие на получение маркетинговых материалов (в настройках мобильного приложения Rentika).
Указанные данные обрабатываются с использованием средств автоматизации.
ПД пользователей сервиса обрабатываются на основании принятия Оферты и согласия с Политикой конфиденциальности.
В целях предоставления сервиса аренды при регистрации пользователя в мобильном приложении Rentika (также “мобильное приложение”) собираются следующие данные:
• ФИО пользователя – для обращения к пользователю в чате поддержки;
• адрес электронной почты – для отправки электронных чеков в соответствии с
Федеральным законом «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации» от 22.05.2003 No 54-ФЗ;
• номер мобильного телефона – для идентификации пользователя в системе;
• дата рождения – для определения возраста пользователя.
Для старта аренды необходимо указать данные банковской карты. Привязка карты происходит с использованием технологии 3D Secure, то есть, с подтверждением по номеру телефона. После привязки карты в Сервисе хранится только маскированный номер карты: последние 4 цифры в формате: **** **** **** ХХХХ.
При использовании мобильного приложения также собираются данные геолокации:
● в момент запуска приложения для отображения ближайших постаматов;
● при завершении аренды для сопоставления геолокации пользователя и постамата.
Электронная почта может использоваться для отправки рекламных рассылок и предложений при условии, что пользователь дал отдельное согласие на получение маркетинговых материалов (в настройках мобильного приложения Rentika).
Указанные данные обрабатываются с использованием средств автоматизации.
ПД пользователей сервиса обрабатываются на основании принятия Оферты и согласия с Политикой конфиденциальности.
4. Принципы обработки персональных данных
4.1. Общие принципы обработки
Обработка персональных данных пользователей осуществляется в соответствии с заявленными целями.
Сбор, накопление, хранение, изменение, передача, а также другие действия, понимаемые под обработкой, осуществляются только при условии принятия пользователем Оферты, за исключением случаев, предусмотренных законодательством РФ.
Правила обработки персональных данных установлены в Инструкции пользователя ИСПД.
4.2. Получение и хранение персональных данных
При сборе ПД Компания предоставляет пользователю информацию о целях, способах обработки, перечень обрабатываемых данных, а также информацию о сроках обработки и хранения персональных данных. Информация представлена в Политике конфиденциальности.
Хранение персональных данных осуществляется в форме, позволяющей идентифицировать пользователя, не дольше, чем это требуют цели их обработки.
Пользователь передает свои ПД при регистрации в мобильном приложении Rentika. Указанные ПД уточняются при необходимости через службу технической поддержки. Обработка осуществляется в течение действия договорных отношений, если иное не предусмотрено законодательством РФ.
Первичный сбор и хранение ПД пользователей осуществляется c использованием облачной платформы FireBase.
В течение 3х лет после завершения договорных отношений, с целью исполнения действующего законодательства Оператором осуществляется хранение заблокированных персональных данных. При этом доступ к данным имеет только Ответственный за организацию обработки персональных данных в Компании.
4.3. Передача персональных данных
Персональные данные пользователей не передаются третьим лицам в отсутствие законных оснований на такую передачу в соответствии с действующим законодательством.
Компания осуществляет трансграничную передачу ПД пользователей на территорию государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов ПД (пользователей). Трансграничная передача осуществляется исключительно в порядке, предусмотренном применимым законодательством.
4.4. Уничтожение и блокирование персональных данных
Организация выводит из обработки персональные данных пользователя в случае удаления пользователем аккаунта в мобильном приложении «Rentika» в срок, не превышающий 10 рабочих дней (в соответствии с условиями Оферты). В таком случае осуществляется блокирование персональных данных, при этом данные хранятся в отдельной базе данных, доступ к которой имеет только Ответственный за организацию обработки персональных данных в Компании в соответствии с требованиями действующего законодательства.
Временное прекращение обработки ПД пользователей (блокирование) осуществляется по требованию пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных, или в иных случаях, предусмотренных законодательством РФ.
4.1. Общие принципы обработки
Обработка персональных данных пользователей осуществляется в соответствии с заявленными целями.
Сбор, накопление, хранение, изменение, передача, а также другие действия, понимаемые под обработкой, осуществляются только при условии принятия пользователем Оферты, за исключением случаев, предусмотренных законодательством РФ.
Правила обработки персональных данных установлены в Инструкции пользователя ИСПД.
4.2. Получение и хранение персональных данных
При сборе ПД Компания предоставляет пользователю информацию о целях, способах обработки, перечень обрабатываемых данных, а также информацию о сроках обработки и хранения персональных данных. Информация представлена в Политике конфиденциальности.
Хранение персональных данных осуществляется в форме, позволяющей идентифицировать пользователя, не дольше, чем это требуют цели их обработки.
Пользователь передает свои ПД при регистрации в мобильном приложении Rentika. Указанные ПД уточняются при необходимости через службу технической поддержки. Обработка осуществляется в течение действия договорных отношений, если иное не предусмотрено законодательством РФ.
Первичный сбор и хранение ПД пользователей осуществляется c использованием облачной платформы FireBase.
В течение 3х лет после завершения договорных отношений, с целью исполнения действующего законодательства Оператором осуществляется хранение заблокированных персональных данных. При этом доступ к данным имеет только Ответственный за организацию обработки персональных данных в Компании.
4.3. Передача персональных данных
Персональные данные пользователей не передаются третьим лицам в отсутствие законных оснований на такую передачу в соответствии с действующим законодательством.
Компания осуществляет трансграничную передачу ПД пользователей на территорию государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов ПД (пользователей). Трансграничная передача осуществляется исключительно в порядке, предусмотренном применимым законодательством.
4.4. Уничтожение и блокирование персональных данных
Организация выводит из обработки персональные данных пользователя в случае удаления пользователем аккаунта в мобильном приложении «Rentika» в срок, не превышающий 10 рабочих дней (в соответствии с условиями Оферты). В таком случае осуществляется блокирование персональных данных, при этом данные хранятся в отдельной базе данных, доступ к которой имеет только Ответственный за организацию обработки персональных данных в Компании в соответствии с требованиями действующего законодательства.
Временное прекращение обработки ПД пользователей (блокирование) осуществляется по требованию пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных, или в иных случаях, предусмотренных законодательством РФ.
5. Защита персональных данных
5.1. Общие принципы защиты персональных данных
При обработке персональных данных пользователей Компания принимает организационные и технические меры для соблюдения конфиденциальности, целостности и доступности информации в соответствии с требованиями, устанавливаемых законодательством РФ.
Защита ПД при их обработке в ИСПД регламентирована внутренними документами Компании в части защиты информации, в частности в Политике конфиденциальности, Инструкции администратора информационной безопасности, Инструкции пользователя ИСПД и других.
Реагирование на инциденты информационной безопасности, в том числе утечки персональных данных, осуществляет отдел Информационной безопасности. При необходимости могут привлекаться сотрудники других отделов и консультанты (с соблюдением режима доступа к конфиденциальной информации).
В Компании проводится периодическая оценка эффективности принятых мер по защите персональных данных, на основании которой регулируются процессы безопасности и защиты информации.
5.2. Доступ сотрудников Компании к персональным данным пользователя
Доступ к ПД пользователей имеют только те сотрудники Компании, которым он необходим для выполнения должностных обязанностей. Доступ выдается исходя из принципа «минимальных привилегий» и только после ознакомления сотрудником со внутренними документами, регулирующих процесс обработки персональных данных, в том числе с настоящим Положением.
5.3. Доступ пользователей к своим персональным данным
Для получения доступа к своим персональным данным пользователь или его представитель направляет в Компанию запрос или обращение.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
Компания предоставляет персональные данные пользователю в доступной форме, в них не содержатся персональные данные, относящиеся к третьим лицам.
В случае, если персональные данные пользователя являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана удовлетворить требование пользователя по устранению нарушений обработки персональных данных
5.1. Общие принципы защиты персональных данных
При обработке персональных данных пользователей Компания принимает организационные и технические меры для соблюдения конфиденциальности, целостности и доступности информации в соответствии с требованиями, устанавливаемых законодательством РФ.
Защита ПД при их обработке в ИСПД регламентирована внутренними документами Компании в части защиты информации, в частности в Политике конфиденциальности, Инструкции администратора информационной безопасности, Инструкции пользователя ИСПД и других.
Реагирование на инциденты информационной безопасности, в том числе утечки персональных данных, осуществляет отдел Информационной безопасности. При необходимости могут привлекаться сотрудники других отделов и консультанты (с соблюдением режима доступа к конфиденциальной информации).
В Компании проводится периодическая оценка эффективности принятых мер по защите персональных данных, на основании которой регулируются процессы безопасности и защиты информации.
5.2. Доступ сотрудников Компании к персональным данным пользователя
Доступ к ПД пользователей имеют только те сотрудники Компании, которым он необходим для выполнения должностных обязанностей. Доступ выдается исходя из принципа «минимальных привилегий» и только после ознакомления сотрудником со внутренними документами, регулирующих процесс обработки персональных данных, в том числе с настоящим Положением.
5.3. Доступ пользователей к своим персональным данным
Для получения доступа к своим персональным данным пользователь или его представитель направляет в Компанию запрос или обращение.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
Компания предоставляет персональные данные пользователю в доступной форме, в них не содержатся персональные данные, относящиеся к третьим лицам.
В случае, если персональные данные пользователя являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана удовлетворить требование пользователя по устранению нарушений обработки персональных данных
6. Права и обязанности сторон
6.1. Права и обязанности Компании
Компания имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если это предусмотрено действующим законодательством.
В случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении пользователя или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Компания устраняет допущенные нарушения, а также уведомляет о своих действиях пользователя или уполномоченный орган.
Сотрудники Компании, в обязанность которых входит обработка запросов и обращений пользователей, обеспечивают каждому обратившемуся возможность ознакомиться с документами и материалами, содержащими их персональные данные, в соответствии с внутренним регламентом «Правила рассмотрения запросов субъектов персональных данных», если иное не предусмотрено законом.
В случае предоставления пользователем неполных, устаревших, недостоверных или незаконно полученных персональных данных Компания вносит необходимые изменения, уничтожает или блокирует данные.
Решения, порождающие юридические последствия в отношении пользователей, или иным образом затрагивающие их права и законные интересы, не принимаются на основании исключительно автоматизированной обработки.
По запросу уполномоченного органа по защите прав субъектов персональных данных. Компания предоставляет ему необходимую информацию.
6.2. Права и обязанности пользователей
Пользователь обязуется предоставлять достоверные и актуальные данные. Пользователь может получить сведения о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к нему, а также имеет право на ознакомление с такими персональными данными. Пользователь вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Доступ к своим персональным данным предоставляется пользователю или его законному представителю при обращении либо при получении запроса от пользователя или его законного представителя.
Пользователь имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
• способы обработки персональных данных, применяющихся в Компании;
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Если пользователь считает, что Компания осуществляет обработку его персональных данных с нарушением требований применимого законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Пользователь имеет право на защиту своих прав и законных интересов в установленном законом порядке.
Право пользователя на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает права и законные интересы третьих лиц, а также по иным предусмотренным применимым законодательством основаниям.
6.1. Права и обязанности Компании
Компания имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если это предусмотрено действующим законодательством.
В случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении пользователя или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Компания устраняет допущенные нарушения, а также уведомляет о своих действиях пользователя или уполномоченный орган.
Сотрудники Компании, в обязанность которых входит обработка запросов и обращений пользователей, обеспечивают каждому обратившемуся возможность ознакомиться с документами и материалами, содержащими их персональные данные, в соответствии с внутренним регламентом «Правила рассмотрения запросов субъектов персональных данных», если иное не предусмотрено законом.
В случае предоставления пользователем неполных, устаревших, недостоверных или незаконно полученных персональных данных Компания вносит необходимые изменения, уничтожает или блокирует данные.
Решения, порождающие юридические последствия в отношении пользователей, или иным образом затрагивающие их права и законные интересы, не принимаются на основании исключительно автоматизированной обработки.
По запросу уполномоченного органа по защите прав субъектов персональных данных. Компания предоставляет ему необходимую информацию.
6.2. Права и обязанности пользователей
Пользователь обязуется предоставлять достоверные и актуальные данные. Пользователь может получить сведения о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к нему, а также имеет право на ознакомление с такими персональными данными. Пользователь вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Доступ к своим персональным данным предоставляется пользователю или его законному представителю при обращении либо при получении запроса от пользователя или его законного представителя.
Пользователь имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
• способы обработки персональных данных, применяющихся в Компании;
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Если пользователь считает, что Компания осуществляет обработку его персональных данных с нарушением требований применимого законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Пользователь имеет право на защиту своих прав и законных интересов в установленном законом порядке.
Право пользователя на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает права и законные интересы третьих лиц, а также по иным предусмотренным применимым законодательством основаниям.
7. Ответственность за нарушение настоящего Положения
Компания несет гражданскую, уголовную, административную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования персональных данных.
Сотрудники Компании, виновные в нарушении правил обработки и защиты персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность, предусмотренную применимым законодательством.
Компания несет гражданскую, уголовную, административную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования персональных данных.
Сотрудники Компании, виновные в нарушении правил обработки и защиты персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность, предусмотренную применимым законодательством.