Политика обработки персональных данных посетителей сайта

1. Общие положения
1.1. Назначение политики
Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в Обществе с ограниченной ответственностью «Креатив» (ООО «Креатив», ИНН 7 203 153 125, место нахождения: 625 026, Тюменская область, г. Тюмень, ул. Малыгина, д. 84, строение 1, помещение 84/7) (далее — Оператор; Компания).
Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором.
Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия

• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
• оператор персональных данных (Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
• пользователь — посетитель сайта www.crtweb.ru.
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• сайт — совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в рамках настоящего документа понимается Сайт, расположенный в сети Интернет по адресу: www.crtweb.ru.
• субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
• трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные права оператора
Оператор вправе:
— обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
— требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных. B случае выявления ошибочных или неполных персональных данных, Оператор имеет право прекратить все отношения с субъектом персональных данных;
— обрабатывать общедоступные персональные данные физических лиц;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.
1.4. Основные обязанности оператора
Оператор обязуется:
—  предоставлять субъекту персональных данных или его представителю по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
— по требованию субъекта персональных данных или его представителя уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
— уведомлять субъекта персональных данных или его представителя об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных или его представителя;
— в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку и уничтожить персональные данные в срок, нe превышающий тридцать дней с даты поступления указанного отзыва, если иное не предусмотрено федеральным законом;
— уведомить субъекта персональных данных об уничтожении его персональных данных;
— не обрабатывать персональные данные субъектов персональных данных, в том числе не собирать и не передавать персональные данные субъектов персональных данных третьим лицам без согласия субъекта персональных данных, если иное нe предусмотрено федеральным законом.
1.5. Основные права субъекта
Субъект персональных данных имеет право:

• запросить информацию, касающуюся обработки персональных данных Субъектов,
• потребовать уточнения, уничтожения или блокирования персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,
• отозвать предоставленные Компании согласия на обработку персональных данных,
• обжаловать действия Компании в административном или судебном порядке.

1.6. Принципы обработки персональных данных:
При обработке персональных данных Субъектов Компания руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» («Закон о персональных данных»).
Компания обрабатывает персональные данные на основании следующих принципов:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях — и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить Субъекта или иного Субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
• обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка персональных данных не используется в целях причинения имущественного и/или морального вреда Субъектам персональных данных, затруднения реализации их прав и свобод.

2. Цели сбора персональных данных
Обработка персональных данных субъектов персональных данных, может осуществляться в следующих целях:

• Предоставления Пользователю возможности взаимодействовать с Сайтом.
• Содействия в поиске работы и трудоустройстве.
• Заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения.
• Сбора статистики по типам обращения Пользователей Сайта.
• Улучшения работы Сайта, определения предпочтений Пользователя.
• Аналитики действий субъекта персональных данных на Сайте.

3. Правовые основания обработки персональных данных
Обработка персональных данных допускается в следующих случаях:

• заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных,
• с согласия субъекта персональных данных, предоставляемого при заполнении веб-форм или в ином виде,
• для выполнения функций и обязанностей, возложенных на Компанию применимым законодательством,
• для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Оператор на Сайте осуществляет на законной и справедливой основе обработку персональных данных следующих физических лиц (субъектов персональных данных):
1)  Пользователи сайта
Цели:

• Предоставление Пользователю возможности взаимодействовать с Сайтом.
• Сбора статистики по типам обращения Пользователей Сайта.
• Улучшение работы Сайта, определение предпочтений Пользователя.
• Аналитика действий субъекта персональных данных на Сайте.
• Реклама и продвижение услуг путем осуществления прямых контактов.

Специальные категории — не обрабатываются.
Биометрические персональные данные — не обрабатываются.
Иные категории — файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии
Объем — менее 100 000 субъектов.
Срок обработки — в течение срока действия согласия на обработку ПД.
Порядок уничтожения — Удаление из информационных систем.
2) Соискатели
Цели:

• Содействие в поиске работы и трудоустройстве.
• Подбор и согласование персонала на вакантные должности, включая проверку сведений, сообщенных соискателем.
• Заключение с субъектом персональных данных любых договоров и их дальнейшего исполнения.

Специальные категории — не обрабатываются.
Биометрические персональные данные — не обрабатываются.
Иные категории — Фамилия, Имя, Отчество, дата рождения, контактная информация (адрес электронной почты (e-mail), номер телефона), сведения об образовании, трудовой опыт и другие данные, предоставляемые в резюме.
Иные категории — файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии
Объем — менее 100 000 субъектов.
Срок обработки — в течение 12 месяцев с даты подачи соискателем резюме для занятия вакантной должности.
Порядок уничтожения — Удаление из информационных систем.
3) Клиенты
Цели:

• Заключение с субъектом персональных данных любых договоров и их дальнейшего исполнения.
• Взаимодействие с контрагентами и партнерами, вкл. процедуры должной осмотрительности.

Специальные категории — не обрабатываются.
Биометрические персональные данные — не обрабатываются.
Иные категории — Имя, контактная информация (адрес электронной почты (e-mail), номер телефона), наименование компании.
Иные категории — файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии
Объем — менее 100 000 субъектов.
Срок обработки — В течение 5 лет с даты окончания отношений по договору.
Порядок уничтожения — Удаление из информационных систем.
В Компании не обрабатываются биометрические данные, а также сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Субъектов персональных данных.
Компания не размещает персональные данные в общедоступных источниках и не распространяет персональные данные без согласия Субъекта или соответствующих требований законодательства. При предоставлении Субъектами персональных данных согласий на обработку персональных данных, разрешенных для распространения, условий и запретов не было установлено.

5. Порядок и условия обработки персональных данных
5.1. Перечень действий с персональными данным ‚ осуществляемых Оператором
Оператор осуществляет следующие действия с персональными данными: сбор, запись, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ), удаление и уничтожение.
5.2. Способы обработки персональных данных
Оператор применяет следующие способы обработки персональных данных:

• Обработка персональных данных на Сайте осуществляется с использованием средств автоматизации.

5.3. Передача персональных данных третьим лицам
1) ООО «Яндекс»
Условия передачи персональных данных:
— Политика конфиденциальности Яндекс yandex.ru/legal/confidential/
— Местонахождение третьего лица: 119 021 г. Москва, ул. Льва Толстого, 16.
— Трансграничная передача персональных данных не осуществляется.
— Цели передачи персональных данных: Сбор статистики по посетителям Сайта.
— Объем передаваемых данных: менее 100 000 субъектов.
— Категории передаваемых данных: файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии
— Перечень действий, разрешенных третьему лицу: сбор, запись, систематизация, накопление, хранение, использование, передача (предоставление, доступ), обезличивание, удаление.
— Способы обработки персональных данных третьим лицом: автоматизированная обработка персональных данных с передачей по сети Интернет.
— Требования к защите персональных данных третьим лицом: установлены политикой конфиденциальности ООО «Яндекс» yandex.ru/legal/confidential/index.html
2) ООО «Тильда паблишинг»
Условия передачи персональных данных:
— Политика конфиденциальности tilda.ru/ru/privacy/
— Местонахождение третьего лица: 107 031, город Москва, ул Петровские Линии, д. 2, помещ. 4/1
— Трансграничная передача персональных данных не осуществляется.
— Цели передачи персональных данных: Рассмотрение обращений Субъектов персональных данных относительно обработки их персональных данных Пользователями на Платформе, анализ статистики посещения сайтов Администрации.
— Объем передаваемых данных: менее 100 000 субъектов.
— Категории передаваемых данных: ФИО, номер телефона, E-mail, Персональные данные, обработка которых является предметом обращения, IP, Город/Страна (по IP), Версия браузера, Язык, Параметры UTM, Тег партнера, Адрес страницы сайта, с которой Пользователь произвел переход на Платформу, Данные cookie, используемые для идентификации Пользователя.
— Перечень действий, разрешенных третьему лицу: Сбор, запись, накопление, хранение, обезличивание, блокирование, удаление.
— Способы обработки персональных данных третьим лицом: автоматизированная обработка персональных данных с передачей по сети Интернет.
— Требования к защите персональных данных третьим лицом: установлены политикой конфиденциальности ООО «Тильда паблишинг» https://tilda.ru/ru/privacy/
3) контрагенты Компании, оказывающие услуги поддержки используемых информационных систем (CRM-систем и др.), хостинга, организации пропускного режима, юридические, аудиторские, иные услуги, приобретаемые Компанией в указанных выше целях.
4) контрагенты Компании, оказывающие услуги хранения, хостинга сайтов и поддержки используемых информационных систем, горячей линии и колл-центра, организации мероприятий, организации рассылки, по сбору и обработке отзывов Субъектов, проведению опросов и исследований среди Субъектов, иные услуги, приобретаемые Компанией в указанных выше целях.;
Компания имеет право привлекать третьих лиц к обработке полученных персональных данных и/или передавать им полученные данные, а также получать от них данные в указанных целях без дополнительного согласия Субъекта при условии обеспечения указанными третьими лицами конфиденциальности и безопасности персональных данных при обработке. Допускается обработка персональных данных указанными третьими лицами с использованием и без использования средств автоматизации, а также совершение ими любых действий по обработке персональных данных, не противоречащих законодательству Российской Федерации. Обработка персональных данных третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с персональными данными, и цели обработки, положения по обеспечению безопасности персональных данных, в том числе требования не раскрывать и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено законодательством Российской Федерации, а также требования статьи 19 Закона о персональных данных.
В Компании запрещено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта или иным образом затрагивающих его права и законные интересы.
Компания не размещает персональные данные в общедоступных источниках без письменного согласия Субъекта или иного Субъекта персональных данных.

5.4. Обеспечение безопасности персональных данных
Компания обязуется принимать необходимые правовые, организационные и технические меры для защиты получаемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, иных неправомерных действий в отношении персональных данных, и соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и иными применимыми нормативными актами.
К мерам обеспечения безопасности персональных данных в Компании относятся, в том числе, следующие:

• учет обрабатываемых в Компании категорий и перечня персональных данных, категорий Субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных;
• учет мест хранения персональных данных и информационных систем Компании, в которых обрабатываются персональные данные;
• определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Компании;
• определение угроз безопасности персональных данных при их обработке в информационных системах;
• определение и внедрение технических и организационных мер, обеспечивающих защиту персональных данных, перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных;
• осуществление и документирование оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Компанией мер;
• установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационных системах;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• обнаружение фактов несанкционированного доступа к персональным данным и других инцидентов, принятие мер по ликвидации и митигации последствий;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• учет должностей работников Компании, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей;
• ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными локальными актами Компании по вопросам обработки и защиты персональных данных, обучение работников Компании;
• контроль и оценка эффективности применяемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• осуществление регулярного внутреннего контроля аудита соответствия обработки и обеспечения безопасности персональных данных действующему законодательству Российской Федерации в области обработки и обеспечения безопасности персональных данных.

В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
Во внутренних документах, обязательных для исполнения всеми работниками Компании, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются процедуры:

• предоставления доступа к информации;
• внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки;
• уничтожения либо блокирования персональных данных в случае необходимости выполнения такой процедуры;
• обработки обращений и Субъектов персональных данных (их законных представителей) для случаев, предусмотренных Законом о персональных данных, в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному Субъекту, информации, необходимой для предоставления возможности ознакомления Субъектом (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
• обработки запроса уполномоченного органа по защите прав Субъектов персональных данных;
• получения согласия Субъекта персональных данных на обработку персональных данных;
• передачи персональных данных третьим лицам;
• работы с материальными носителями персональных данных;
• необходимые для осуществления уведомления уполномоченного органа по защите прав Субъектов персональных данных в сроки, установленные Законом о персональных данных.

При сборе персональных данных Компания обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.5. Сроки обработки персональных данных
Персональные данные субъектов, обрабатываемые Оператором, подлежат удалению/уничтожению в случае:

• достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
• отзыва субъектом персональных данных согласия на обработку его персональных данных;
• прекращения деятельности Оператора.

6. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей
В случае возникновения любых вопросов и обращений касательно обработки персональных данных, в том числе для отзыва согласий на обработку персональных данных, Субъекты могут обратиться по адресу электронной почты mail@crtweb.ru.
Компания отвечает на запросы Субъектов в сроки, установленные законодательством РФ. В случае возникновения обстоятельств, которые требуют установления дополнительной информации, Компания в случаях, установленных законодательством РФ, вправе продлить срок ответа на запрос Субъекта на срок до 5 рабочих дней при условии направления Субъекту мотивированного уведомления о причинах продления срока.

7. Регламент реагирования на запросы обращения уполномоченных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.

8. Использование cookie-файлов и иных средств веб-аналитики
Cookie — это небольшие файлы, которые создаются и сохраняются браузером при посещении веб-сайтов Компании. Cookie-файлы хранятся на устройстве не более 13 месяцев и позволяют отслеживать качество работы веб-сайта и характеристики его использования, а также оптимизировать маркетинговые активности в Интернете.
Посещение и использование веб-сайтов по умолчанию предусматривает генерацию и сохранение cookie-файлов. Однако Субъект в любой момент может удалить cookie-файлы с устройства через настройки используемого браузера. Субъект также может отказаться от принятия cookie-файлов, однако при этом не гарантирована работа всех функций веб-сайтов (например, запоминание города Субъекта, аутентификация в личных кабинетах).
На веб-сайтах и в мобильных приложениях Компании используются следующие виды средств веб-аналитики:

Подробнее ознакомиться с именами cookies и условиями хранения собираемой информации вы можете в Политике конфиденциальности Tilda, пункт 4 https://tilda.ru/ru/privacy/".