Политика в отношении обработки персональных данных

Настоящая политика обработки персональных данных (далее — «Политика») составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных») и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Обществом с ограниченной ответственностью «ТАНТАЛ» (далее — «Оператор»).

1.1. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая Политика применяется ко всей информации, которую Оператор может получить:

• о посетителях информационного сайта https://harmonia-b2b.ru;
• о пользователях личного кабинета https://app.harmonia-b2b.ru (далее совокупно — «Сервис»);
• об иных субъектах, чьи персональные данные передаются Оператору в связи с использованием Сервиса.

1.3. Реквизиты Оператора:

• Полное наименование: Общество с ограниченной ответственностью «ТАНТАЛ»
• Сокращённое наименование: ООО «ТАНТАЛ»
• ИНН: 9731159508
• КПП: 773101001
• ОГРН: 1257700588606
• Юридический адрес: 121205, г. Москва, вн. тер. г. Муниципальный округ Можайский, тер. Инновационного центра «Сколково», бул. Большой, д. 42, стр. 1
• Адрес электронной почты для обращений: info@harmonia-b2b.ru
• Адрес для обращений по обработке персональных данных (DPO): dpo@harmonia-b2b.ru
• Контактный телефон: +7 (495) 021-50-91
• Регистрационный номер в Реестре операторов, осуществляющих обработку персональных данных: 77-26-534962

1.4. Ответственное лицо (DPO). В соответствии со ст. 22.1 Закона о персональных данных Оператор назначил лицо, ответственное за организацию обработки персональных данных (Data Protection Officer). Контакты DPO: dpo@harmonia-b2b.ru, либо письменно на юридический адрес Оператора с пометкой «DPO». DPO координирует работу Оператора по обеспечению защиты прав субъектов ПДн, осуществляет внутренний контроль за соответствием обработки требованиям 152-ФЗ и доводит положения настоящей Политики до сведения работников Оператора.

2.1. Термины «персональные данные», «обработка персональных данных», «оператор», «субъект персональных данных», «трансграничная передача» используются в значениях, определённых ст. 3 Федерального закона № 152-ФЗ «О персональных данных».

2.2. Пользователь — посетитель сайта harmonia-b2b.ru или пользователь личного кабинета app.harmonia-b2b.ru. Заказчик — юридическое лицо или индивидуальный предприниматель, заключивший с Оператором договор на основании Публичной оферты. Сервис — программно-аппаратный комплекс «Гармония для Бизнеса» для стриминга фоновой музыки и аудио-рекламы в Локациях Заказчика.

2.3. Cookie-файлы — небольшие текстовые файлы, сохраняемые на устройстве Пользователя при посещении сайта; используются для работы сайта и аналитики.

3.1. Оператор соблюдает принципы обработки персональных данных, установленные ст. 5 Федерального закона № 152-ФЗ: законность, справедливость, целевое ограничение, точность, минимизация, ограниченный срок хранения.

Категории субъектов персональных данных. Оператор обрабатывает персональные данные следующих категорий субъектов: посетители Сайта (без регистрации); зарегистрированные Пользователи и их представители; Заказчики — индивидуальные предприниматели; представители Заказчиков — юридических лиц; получатели рассылок; кандидаты на трудоустройство; работники Оператора и лица, состоящие с Оператором в гражданско-правовых отношениях.

Категории данных, которые Оператор не обрабатывает. Оператор не обрабатывает биометрические персональные данные, а также специальные категории персональных данных (данные о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости).

4.1. Обработка заявок через формы обратной связи на сайте (включая форму «Запросить демо», форму обратной связи): связь с Пользователем, консультирование по продуктам и услугам, подготовка коммерческих предложений.

Категории субъектов: потенциальные клиенты, посетители сайта. Перечень данных: фамилия, имя, отчество; адрес электронной почты; номер телефона; название и сфера деятельности компании; сообщение, направленное Пользователем. Правовые основания: согласие субъекта ПДн; ст. 6 ч. 1 п. 5 Закона № 152-ФЗ (заключение договора по инициативе субъекта). Срок: до отзыва согласия, но не более 3 (трёх) лет с момента последнего взаимодействия с Пользователем.

4.2. Регистрация и обслуживание учётной записи в личном кабинете: предоставление доступа к Сервису, идентификация Пользователя, сохранение пользовательских настроек, ведение истории операций.

Категории субъектов: Заказчики, представители Заказчиков (сотрудники, имеющие доступ к личному кабинету). Перечень данных: ФИО, должность, адрес электронной почты, номер контактного телефона организации, идентификаторы учётной записи, история действий в личном кабинете, IP-адрес и технические идентификаторы устройств. Правовые основания: ст. 6 ч. 1 п. 5 Закона № 152-ФЗ; договор возмездного оказания услуг. Срок: в течение срока действия Подписки и 3 (трёх) лет после её прекращения.

4.3. Заключение и исполнение договора возмездного оказания услуг: ведение клиентского документооборота, выставление счетов, формирование актов оказанных услуг, обработка платежей.

Категории субъектов: Заказчики, контактные лица Заказчиков. Перечень данных: реквизиты юридического лица или ИП, контактные данные представителей, банковские реквизиты для оплаты по счёту, история платежей, реквизиты документов, подтверждающих полномочия. Правовые основания: ст. 6 ч. 1 п. 5 Закона № 152-ФЗ; Гражданский кодекс РФ. Срок: в течение срока действия договора и 5 (пяти) лет после его прекращения; для бухгалтерских документов — 5 лет в соответствии с Налоговым кодексом РФ и Федеральным законом «О бухгалтерском учёте».

4.4. Обработка платежей за подписку Сервиса: приём оплаты от Заказчиков через платёжный сервис ЮKassa, по счёту через банк.

Категории субъектов: плательщики (Заказчики и/или их представители). Перечень данных: ФИО плательщика, адрес электронной почты, идентификатор платежа, сумма и дата платежа. Реквизиты банковских карт Оператор не обрабатывает и не хранит — они обрабатываются непосредственно платёжным сервисом ЮKassa в соответствии с требованиями PCI DSS. Правовые основания: ст. 6 ч. 1 п. 5 Закона № 152-ФЗ; Гражданский кодекс РФ. Срок: 5 (пять) лет после совершения платежа в соответствии с требованиями Налогового кодекса РФ.

4.5. Направление информационных и рекламных сообщений о продуктах и услугах Оператора (только при наличии отдельного согласия Пользователя).

Категории субъектов: подписчики, потенциальные клиенты. Перечень данных: ФИО, адрес электронной почты, номер телефона. Правовые основания: согласие субъекта ПДн; ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе». Срок: до отзыва согласия Пользователем.

4.6. Аналитика посещаемости и улучшение работы веб-сайта (cookie-файлы, идентификаторы устройств, IP-адрес, технические данные браузера).

Категории субъектов: посетители сайта. Перечень данных: cookie-идентификаторы, IP-адрес, тип и версия браузера, язык браузера, операционная система, источник перехода, поведенческие данные на сайте. Правовые основания: согласие, выраженное активным действием Пользователя (использование cookie-баннера). Срок: до 12 (двенадцати) месяцев с момента последнего посещения сайта, после чего данные обезличиваются или уничтожаются.

4.7. Обеспечение безопасности Сервиса и расследование инцидентов: журналирование действий пользователей в личном кабинете и API, мониторинг попыток несанкционированного доступа.

Категории субъектов: пользователи Сервиса. Перечень данных: журналы доступа (IP-адрес, время, тип запроса, идентификатор учётной записи). Правовые основания: ст. 6 ч. 1 п. 7 Закона № 152-ФЗ (законные интересы оператора). Срок: 12 (двенадцать) месяцев.

4.8. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без таковых. Хранение персональных данных граждан Российской Федерации осуществляется на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о персональных данных.

5.1. Для оказания услуг Оператор привлекает следующих лиц, обрабатывающих персональные данные по поручению Оператора на основании заключённых договоров поручения, отвечающих требованиям ч. 3 ст. 6 Закона о персональных данных:

• ООО «Яндекс.Облако» (ИНН 7704414297) — услуги облачной инфраструктуры (хостинг Сервиса, объектное хранилище, резервные копии). Серверы расположены на территории Российской Федерации.
• ООО НКО «ЮMoney» (ИНН 7750005725) — платёжный сервис ЮKassa, оператор по обработке банковских транзакций.
• ООО «ЯНДЕКС» (ИНН 7736207543) — услуги корпоративной электронной почты «Яндекс 360» и веб-аналитики «Яндекс.Метрика». Политика конфиденциальности доступна по адресу https://yandex.ru/legal/confidential/.
• АО «Точка» (ИНН 7727630636) — услуги расчётно-кассового обслуживания.

5.2. Перечень привлекаемых лиц может изменяться Оператором. Актуальный перечень публикуется в настоящем разделе.

5.3. Передача персональных данных указанным лицам осуществляется исключительно в объёме, необходимом для исполнения возложенных на них функций, и с обеспечением соответствующих требований к безопасности данных.

6.1. Обработка персональных данных осуществляется при наличии хотя бы одного из следующих условий:

• согласия субъекта персональных данных;
• необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
• необходимости осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• необходимости исполнения возложенных на Оператора законодательством Российской Федерации функций, полномочий и обязанностей.

6.2. Передача персональных данных третьим лицам, не указанным в разделе 5, может осуществляться только при наличии согласия субъекта персональных данных или по требованию уполномоченных государственных органов в рамках, установленных законодательством Российской Федерации.

7.1. Оператор принимает правовые, организационные и технические меры, необходимые для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, в соответствии с требованиями ст. 18.1 и 19 Федерального закона № 152-ФЗ и Приказа ФСТЭК России от 18.02.2013 № 21. Реализованные меры включают: назначение DPO; локальные нормативные акты по обработке ПДн; ограничение доступа к ПДн на основе принципа минимальных прав и ролевой модели; учёт носителей; регулярное резервное копирование; обновление ПО; ведение журналов событий безопасности; периодическую оценку эффективности принимаемых мер.

7.2. Реагирование на инциденты. В случае выявления инцидента, связанного с нарушением безопасности персональных данных, Оператор:

• проводит внутреннее расследование;
• принимает меры по устранению последствий;
• уведомляет Роскомнадзор о произошедшем инциденте в течение 24 часов с момента обнаружения и о результатах внутреннего расследования в течение 72 часов в соответствии с ч. 3.1 ст. 21 Закона о персональных данных;
• информирует затронутых субъектов персональных данных, если это предусмотрено законом.

8.1. Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в том числе перечень обрабатываемых данных, цели, сроки обработки, состав привлекаемых третьих лиц;
• требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения товаров, работ и услуг;
• отозвать согласие на обработку персональных данных в любое время;
• требовать прекращения обработки персональных данных в случаях, предусмотренных Законом о персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

8.2. Для реализации указанных прав субъект персональных данных направляет Оператору запрос одним из следующих способов:

• по электронной почте: dpo@harmonia-b2b.ru (для обращений, связанных с обработкой ПДн);
• по электронной почте: info@harmonia-b2b.ru (общие обращения);
• в письменной форме на юридический адрес Оператора с пометкой «DPO».

Запрос должен содержать сведения, позволяющие идентифицировать субъекта персональных данных (фамилию, имя, отчество при наличии, сведения о взаимодействии с Оператором — логин в личном кабинете, ИНН или иное). Оператор обязан дать мотивированный ответ в течение 10 (десяти) рабочих дней со дня получения обращения. Указанный срок может быть продлён не более чем на 5 (пять) рабочих дней с уведомлением субъекта о таком продлении и причинах его необходимости. Оператор вправе отказать в удовлетворении обращения, если выполнение требования противоречит требованиям закона, с предоставлением мотивированного письменного ответа.

8.3. Субъект персональных данных вправе самостоятельно актуализировать свои данные через личный кабинет на https://app.harmonia-b2b.ru.

9.1. На веб-сайте Оператора используются cookie-файлы и аналогичные технологии (пиксельные теги, локальное хранилище браузера) для следующих целей:

• технически необходимые cookie — обеспечение корректной работы сайта (авторизация, сохранение пользовательских настроек языка и темы оформления);
• аналитические cookie — сбор обезличенной статистики посещаемости и поведенческой аналитики через «Яндекс.Метрику»;
• маркетинговые cookie — улучшение пользовательского опыта и таргетирование коммуникаций (при наличии).

9.2. До получения согласия Пользователя cookie-файлы аналитических и маркетинговых категорий не активируются. Пользователь вправе в любой момент изменить настройки cookie-файлов в своём браузере или отозвать ранее данное согласие путём очистки cookie-файлов.

10.1. Оператор не осуществляет трансграничную передачу персональных данных граждан Российской Федерации.

10.2. Хранение персональных данных граждан Российской Федерации осуществляется на серверах, расположенных на территории Российской Федерации.

11.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

12.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@harmonia-b2b.ru.

12.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены её новой версией.

12.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://harmonia-b2b.ru/privacy-policy.

12.4. О существенных изменениях настоящей Политики Оператор уведомляет Пользователей путём размещения уведомления на сайте и/или направления уведомления по электронной почте.