1.1. Настоящее Положение определяет принципы, цели, правовые основания, состав обрабатываемых персональных данных, категории субъектов персональных данных, перечень действий с персональными данными, порядок доступа к персональным данным, способы их хранения, меры по их защите, а также порядок актуализации, блокирования, удаления, уничтожения персональных данных и реагирования на обращения субъектов персональных данных.
1.2. Положение разработано в целях обеспечения соблюдения ООО "Владснаб Хладоны" (далее – "Оператор") требований Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее – "федеральный закон"), иных нормативных правовых актов Российской Федерации, а также в целях установления единых обязательных для работников и привлеченных лиц правил обработки, защиты и хранения персональных данных.
1.3. Действие Положения распространяется на все операции с персональными данными, совершаемые Оператором как с использованием средств автоматизации, так и без использования таких средств, включая обработку персональных данных через сайт, CRM, корпоративную почту, облачные хранилища, системы управления проектами, рекламные кабинеты, сервисы рассылок, мессенджеры, телефонию, helpdesk и иные цифровые инструменты, применяемые в деятельности веб-студии.
1.4. Приложение "Матрица обработок персональных данных, сроков, мест хранения и порядка уничтожения" является неотъемлемой частью настоящего Положения и применяется для детализации каждой бизнес-функции обработки персональных данных.

2.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор - юридическое лицо или индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и операции, совершаемые с ними.
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Обработчик - лицо, осуществляющее обработку персональных данных по поручению оператора на основании договора или иного надлежащего правового основания.
2.7. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.1. Оператор обеспечивает обработку персональных данных на законной и справедливой основе, ограничивает обработку достижением конкретных, заранее определенных и законных целей, не допускает обработку персональных данных, несовместимую с целями сбора персональных данных.
3.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям.
3.3. При обработке обеспечиваются точность персональных данных, их достаточность и, при необходимости, актуальность по отношению к целям обработки. Оператор принимает разумные меры по удалению или уточнению неполных либо неточных персональных данных.
3.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом, договором или согласием субъекта персональных данных.
3.5. Обработка персональных данных допускается при наличии хотя бы одного правового основания, предусмотренного законодательством Российской Федерации, в том числе: согласия субъекта персональных данных; необходимости обработки для заключения и исполнения договора; необходимости исполнения обязанностей, возложенных на оператора законом; необходимости осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.6. Для рекламных и иных маркетинговых коммуникаций, а также для отдельных cookies и иных пользовательских идентификаторов, не относящихся к строго необходимым для функционирования сайта, Оператор получает отдельное согласие либо реализует иной надлежащий механизм легитимации обработки в соответствии с применимым регулированием.
3.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.
3.8. Не допускается объединение баз персональных данных, обработка которых осуществляется в целях, несовместимых между собой, за исключением случаев, когда такое объединение прямо допустимо законом и документально обосновано Оператором.

4.1. Посетители сайта, пользователи веб-форм, заявок, квизов, чат-виджетов и чат-ботов;
4.2. Потенциальные клиенты, клиенты - физические лица;
4.3. Представители клиентов и контрагентов - юридических лиц;
4.4. Подписчики рассылок, участники вебинаров, презентаций, воркшопов, деловых мероприятий;
4.5. Подрядчики - физические лица, самозанятые, индивидуальные предприниматели, а также представители подрядчиков - юридических лиц;
4.6. Работники и бывшие работники – физические лица, с которыми заключен или был заключен трудовой договор;
4.7. Иные лица, вступающие во взаимодействие с Оператором через цифровые каналы коммуникации, если обработка их персональных данных необходима для целей деятельности Оператора.

5.1. Оператор обрабатывает персональные данные в целях: приема и обработки заявок; подготовки и направления коммерческих предложений; переговоров до заключения договора; заключения, исполнения и прекращения договоров, в том числе трудовых; ведения клиентских проектов; коммуникации по вопросам исполнения обязательств; организации рассылок и информирования о продуктах и мероприятиях; ведения кадрового, бухгалтерского и налогового учета; администрирования сайта, CRM и иных ИТ-сервисов; обеспечения информационной безопасности и расследования инцидентов; защиты прав и законных интересов Оператора и/или третьих лиц в рамках действующего законодательства.
5.2. Для каждой самостоятельной цели обработки Оператор определяет состав персональных данных, правовое основание, перечень операций, системы хранения, срок хранения и порядок уничтожения. Данные параметры фиксируются в матрице обработок.

6.1. В зависимости от цели обработки Оператор вправе обрабатывать: фамилию, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; СНИЛС; банковские данные; трудовой стаж, заработная плата; образование, профессия; сведения о воинском учете; номер телефона; адрес электронной почты; место работы, должность, сведения о компании; сведения о проекте/запросе/брифе; никнейм в мессенджере; историю коммуникаций; технические данные устройства, IP-адрес, cookie-идентификаторы, сведения о действиях на сайте; платежные и учетные реквизиты подрядчика; иные персональные данные, прямо необходимые для достижения соответствующей цели.
6.2. Оператор не обрабатывает специальные категории персональных данных и биометрические персональные данные, если только такая обработка не требуется законом, договорной моделью конкретного проекта и не легитимирована в соответствии с законодательством Российской Федерации.
6.3. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ) уполномоченным лицам, обезличивание, блокирование, удаление и уничтожение персональных данных.

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральным законом; требовать уточнения, блокирования или уничтожения своих персональных данных; отзывать согласие; обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
7.2. Запросы субъектов персональных данных принимаются по адресу: 690054, г. Владивосток, ул. 4-я Пригородная, д. 5, этаж 3, помещ. 301 или адресу электронной почты sales@freon.fish. При необходимости Оператор вправе запросить сведения, необходимые для подтверждения личности заявителя или его полномочий.
7.3. Все обращения субъектов персональных данных подлежат регистрации в журнале учета обращений субъектов персональных данных. Ответственное лицо обеспечивает контроль сроков подготовки ответа, мер по уточнению, блокированию, удалению и уничтожению данных.
7.4. При выявлении неправомерной обработки персональных данных Оператор обеспечивает блокирование соответствующих персональных данных с момента обращения субъекта или получения запроса уполномоченного органа на срок проверки.

8.1. Доступ к персональным данным предоставляется только тем работникам и привлеченным лицам, которым такой доступ необходим для исполнения конкретных трудовых, функциональных обязанностей или договорных обязательств.
8.2. Предоставление доступа оформляется в реестре лиц, допущенных к обработке персональных данных, с указанием ролей, систем, объема доступа и основания его предоставления.
8.3. До предоставления доступа соответствующее лицо должно быть ознакомлено с настоящим Положением и подписать обязательство о неразглашении и соблюдении режима конфиденциальности персональных данных либо принять аналогичные обязательства в договоре.
8.4. Запрещается: выгружать базы персональных данных на личные устройства без письменного разрешения Оператора; направлять персональные данные в личные мессенджеры или на личные почтовые адреса; использовать персональные данные в целях, не предусмотренных настоящим Положением; передавать учетные данные третьим лицам.

9.1. Передача персональных данных третьим лицам допускается только в случаях, предусмотренных федеральным законом, договором с субъектом персональных данных, отдельным согласием субъекта персональных данных либо договором поручения обработки персональных данных.
9.2. Если Оператор привлекает подрядчика, SaaS-сервис или иного обработчика для обработки персональных данных, Оператор до начала такой обработки проверяет правовой режим обработки, состав обрабатываемых данных, территорию размещения баз данных, наличие достаточных обязательств по конфиденциальности и безопасности, а также заключает договор/условия поручения, отвечающие требованиям законодательства.
9.3. При сборе персональных данных граждан Российской Федерации с использованием сайта, веб-форм, мобильных или иных интернет-интерфейсов Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации, если иное не предусмотрено федеральным законом.
9.4. Трансграничная передача персональных данных допускается только при наличии надлежащего правового основания, оценки допустимости такой передачи, документированного маршрута передачи и соблюдения требований законодательства Российской Федерации.

10.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, с учетом характера и объема обрабатываемых данных, актуальных угроз, архитектуры ИСПДн и используемых сервисов.
10.2. К организационным мерам относятся: назначение ответственного за организацию обработки персональных данных; ведение реестров и локальных актов; разграничение прав доступа; фиксация допущенных лиц; заключение обязательств о конфиденциальности; внутренний контроль; порядок резервного копирования и восстановления; порядок реагирования на инциденты; порядок уничтожения персональных данных и носителей.
10.3. К техническим мерам относятся: управление доступом и учетными записями; использование антивирусной защиты и средств обнаружения вредоносной активности; журналирование событий безопасности; резервное копирование; ограничение неуспешных попыток входа; контроль конфигураций и обновлений; защита каналов передачи данных; использование прошедших оценку соответствия средств защиты информации при необходимости.
10.4. При неавтоматизированной обработке персональные данные отделяются от иной информации на отдельных материальных носителях либо в специальных разделах/полях форм и бланков. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

11.1. Сроки хранения персональных данных определяются с учетом целей обработки, требований законодательства о бухгалтерском учете, налогового законодательства, исковой давности, условий договоров, сроков действия согласий и иных обязательных правил хранения.
11.2. По достижении целей обработки либо при утрате необходимости в достижении этих целей, а также в иных случаях, предусмотренных законом, персональные данные подлежат удалению, блокированию, обезличиванию либо уничтожению.
11.3. Уничтожение персональных данных оформляется в порядке, предусмотренном внутренними документами Оператора, с использованием акта об уничтожении персональных данных и, если применимо, выписки из журнала регистрации событий ИСПДн.
11.4. Документы, подтверждающие уничтожение персональных данных, хранятся в сроки, установленные применимым регулированием и локальными актами Оператора.

12.1. Любое лицо, обнаружившее признаки несанкционированного доступа, утраты носителей, ошибочной рассылки, компрометации учетной записи, некорректной публикации данных, выгрузки базы, а также иного события, способного повлечь нарушение безопасности персональных данных, обязано незамедлительно сообщить об этом ответственному за организацию обработки персональных данных и в ИТ-функцию (при ее наличии).
12.2. Оператор обеспечивает фиксацию инцидента, первичное сдерживание последствий, сохранение доказательств, оценку объема затронутых данных, проведение внутреннего расследования, оценку вреда субъектам персональных данных, а также подготовку и направление уведомлений в Роскомнадзор в случаях и сроки, установленные законом.
12.3. Порядок реагирования на инциденты детализируется отдельным регламентом и картой инцидента, являющимися частью стандартного пакета документов Оператора.

13.1. Настоящее Положение утверждается генеральным директором ООО "Владснаб Хладоны", вступает в силу с даты утверждения и действует до принятия новой редакции.
13.2. Изменения в Положение вносятся по мере изменения законодательства, организационной структуры Оператора, состава используемых сервисов, способов обработки персональных данных, а также по итогам внутренних проверок и инцидентов.
13.3. Ответственное лицо обеспечивает актуальность настоящего Положения и его приложений, а также контроль ознакомления работников и привлеченных лиц, имеющих доступ к персональным данным.