УТВЕРЖДЕНО
приказом генерального директора ООО «Клуб Подписок»
№ 3 от «14» сентября 2021 г.



ПОЛОЖЕНИЕ
о порядке обработки и обеспечении безопасности персональных данных
в обществе с ограниченной ответственностью «Клуб Подписок»



1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Неавтоматизированная обработка персональных данных – обработка персональных данных в случае, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных);

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу/кругу лиц;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Парсинг - процесс обработки, систематизации и сортировки информации из электронных источников.



2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящий документ устанавливает порядок организации и проведения работ по обеспечению безопасности персональных данных, обрабатываемых обществом с ограниченной ответственностью «Клуб Подписок» (далее — «Общество»), а также цели, сроки хранения, порядок уточнения и уничтожения при их обработке в информационных системах Общества.

2.2. Положение разработано с целью обеспечения защиты прав и свобод граждан при обработке их персональных данных Обществом, а также с целью установления ответственности работников Общества, имеющих доступ к персональным данным, за невыполнение требований по обработке и защите персональных данных (далее также – «ПДн»).



3. ОСНОВНЫЕ УСЛОВИЯ ОБРАБОТКИ ПДН

3.1. Любая информация, которую ООО "Клуб подписок" собирает от пользователей, может быть использована одним из следующих способов:

- Мы предоставляем персонализированные предложения по услугам подписки и информацию об услугах подписки нашим клиентам. Мы обрабатываем персональные данные, необходимые для выполнения этих услуг. Помимо хранения и извлечения данных, мы осуществляем необходимую обработку для создания отчетов и анализа вашего взаимодействия с услугами подписки для поставщиков услуг подписки, а также статистической информации об использовании для вашего внутреннего пользования.

- Для персонализации вашего использования. Ваша информация помогает нам лучше реагировать на индивидуальные потребности и предоставлять вам персонализированные предложения.

- Для улучшения нашего приложения. Мы постоянно стремимся улучшить наше приложение на основе информации и отзывов, которые мы получаем от клиентов

- Для улучшения обслуживания клиентов. Ваша информация помогает нам более эффективно реагировать на потребности в обслуживании и поддержке клиентов


3.2. Автоматизированная, равно как и неавтоматизированная обработка ПДн должна осуществляться на основании принципов, определенных законодательством Российской Федерации, а именно:

законности целей и способов обработки ПДн;

соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;

соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;

достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн;

уничтожения ПДн после достижения целей обработки или в случае утраты необходимости в их достижении;

личной ответственности работников Общества ПДн за сохранность и конфиденциальность ПДн, а также носителей этой информации;

наличия четкой разрешительной системы доступа работников к документам и базам данных, содержащим персональные данные.

3.3. Общество не имеет права получать и обрабатывать персональные данные субъектов, содержащие сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, кроме как с согласия субъекта ПДн, кроме случаев, когда обработка таких ПДн возложена на Общество законодательством Российской Федерации.

3.4. Процедура оформления доступа к ПДн включает в себя:

ознакомление работников Общества под подпись с настоящим Положением, а также иными документами, регулирующими обработку и защиту ПДн в Обществе.

истребование с работников Общества письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил их обработки.

3.5. Доступ к персональным данным имеют должностные лица, непосредственно использующие их в служебных целях, в пределах своей компетенции. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора Общества, доступ к персональным данным может быть предоставлен иному работнику, должность которого не включена в Перечень должностей работников, имеющих доступ ПДн.

3.6. Передача (обмен и т.д.) ПДн осуществляется между работниками, имеющими доступ к ПДн, между работниками в адрес операторов подписочных сервисов, а также на основании согласия субъекта ПДн в организации-контрагенты, с которыми заключено соглашение о сотрудничестве.

3.7. Передача ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.8. При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.

3.9. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача ПДн без согласия субъекта допускается действующим законодательством Российской Федерации.

3.10. Ответственность за соблюдение вышеуказанного порядка предоставления ПДн несет работник, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.

3.11. Приказом генерального директора Общества назначается работник, ответственный за организацию обработки и защиту ПДн, обрабатываемых в Обществе, и утверждается перечень должностей, доступ которых к обработке ПДн необходим для выполнения ими должностных обязанностей.

3.12. Лица, по вине которых было допущено нарушение норм, регулирующих обработку ПДн, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

3.13. Мы не продаем, не обмениваем и не передаем иным образом вашу личную информацию, кроме как в соответствии с настоящим положением о ПДн. Это не относится к доверенным третьим лицам, которые помогают нам в работе нашего приложения или веб-сайта, ведении нашего бизнеса или обслуживании клиентов, при условии, что эти лица согласны сохранять конфиденциальность этой информации. Мы также можем раскрыть Вашу информацию, если считаем, что это необходимо для соблюдения закона, обеспечения соблюдения правил нашего приложения и веб сайта или защиты наших или чужих прав, собственности или безопасности. Однако информация о клиентах и посетителях, не позволяющая установить их личность, может быть предоставлена другим сторонам для маркетинга, рекламы или других целей.

3.14. ООО "Клуб подписок" принимает значимые меры предосторожности для защиты и охраны информации наших пользователей. ООО "Клуб подписок" ввело в действие физические, электронные и процедурные меры предосторожности для защиты информации, которую ООО "Клуб подписки" собирает и обрабатывает.




4. КАТЕГОРИИ СУБЪЕКТОВ ПДН, ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
ООО "Клуб подписок" никогда не собирает и не делится потенциально опасной информацией и придерживается нашей политики отказа от спама.

Мы собираем информацию от вас, когда вы регистрируетесь в приложении, производим парсинг вашей электронной почты (опционально) или добавляем ваши подписки в приложении. Любые запрашиваемые нами данные, которые не являются обязательными, будут указаны как добровольные или необязательные.

4.1. Пользователи сервиса (приложения) «SubU» (физические лица):

4.1.1. Способ обработки ПДн: автоматизированный и неавтоматизированный.

4.1.2. Источник получения ПДн: субъект ПДн.

4.1.3. Основание для обработки ПДн: п.5 ч.1 ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных).

4.1.4. Цель обработки ПДн: исполнение Пользовательского соглашения, размещенного в Приложении/на Сайте по адресу: https://subu.app/useragreement_rus

4.1.5. Содержание обрабатываемых ПДн:

фамилия, имя, отчество;

пол;

возраст;

адрес электронной почты;

номер телефона;

реквизиты документа, удостоверяющего личность;

адрес места жительства.

сведения о платежных (банковских) реквизитах.

4.1.6. Срок обработки ПДн: до момента расторжения субъектом ПДн Пользовательского соглашения, размещенного в Приложении/на Сайте по адресу: https://subu.app/useragreement_rus.

4.2. Работники Общества:

4.2.1. Способ обработки ПДн: неавтоматизированный.

4.2.2. Источник получения ПДн: субъект ПДн.

4.2.3. Основание для обработки ПДн: ч.ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение трудового договора, реализация прав и исполнение обязанностей работодателя).

4.2.4. Цель обработки ПДн: исполнение трудовых договоров с субъектами ПДн.

4.2.5. Содержание обрабатываемых ПДн:

фамилия, имя, отчество;

дата рождения;

место рождения;

гражданство;

сведения об образовании;

специальность, профессия;

стаж работы;

семейное положение;

состав семьи;

паспортные данные;

фактический адрес места жительства;

адрес регистрации;

номер телефона;

сведения о воинском учете;

сведения о заработной плате;

сведения о судимости;

сведения о состоянии здоровья;

сведения о платежных (банковских) реквизитах;

адрес электронной почты.

4.2.6. Срок обработки ПДн: до прекращения срока действия трудового договора, в части хранения кадровой документации – до истечения установленного действующим законодательством срока хранения кадровой документации

4.3. Физические лица – контрагенты по гражданско-правовым договорам:

4.3.1. Способ обработки ПДн: неавтоматизированный.

4.3.2. Источник получения ПДн: субъект ПДн.

4.3.3. Основание для обработки ПДн: ч.ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества).

4.3.4. Цель обработки ПДн: Исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества.

4.3.5. Содержание обрабатываемых ПДн:

фамилия, имя, отчество;

дата рождения;

место рождения;

гражданство;

паспортные данные;

фактический адрес места жительства;

адрес регистрации;

номер телефона;

сведения о вознаграждении согласно условиям гражданско-правового договора;

сведения о платежных (банковских) реквизитах;

адрес электронной почты.

4.3.6. Срок обработки ПДн: до прекращения срока действия гражданско-правового договора, в части хранения договора и первичной документации для целей исполнения законодательства о налогообложении и бухгалтерском учете – до истечения установленного действующим законодательством срока хранения договора и первичной документации.

4.4. Физические лица – представители контрагентов:

4.4.1. Способ обработки ПДн: неавтоматизированный.

4.4.2. Источник получения ПДн: субъект ПДн или работодатель (доверитель) субъекта ПДн.

4.4.3. Основание для обработки ПДн: ч.7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (реализация прав и законных интересов Общества).

4.4.4. Цель обработки ПДн: Исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества.

4.4.5. Содержание обрабатываемых ПДн:

фамилия, имя, отчество;

реквизиты документа, удостоверяющего личность;

иные сведения, указанные в доверенности.

4.4.6. Срок обработки ПДн: до прекращения срока действия гражданско-правового договора, в части хранения договора и первичной документации для целей исполнения законодательства о налогообложении и бухгалтерском учете – до истечения установленного действующим законодательством срока хранения договора и первичной документации.

4.5. Физические лица – участники Общества:

4.5.1. Способ обработки ПДн: неавтоматизированный.

4.5.2. Источник получения ПДн: субъект ПДн.

4.5.3. Основание для обработки ПДн: ч.ч.2,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение обязанностей, возложенных на Общество законодательством Российской Федерации).

4.5.4. Цель обработки ПДн: исполнение обязанностей, возложенных на Общество законодательством Российской Федерации, реализация прав и законных интересов Общества.

4.5.5. Содержание обрабатываемых ПДн:

фамилия, имя, отчество;

реквизиты документа, удостоверяющего личность;

адрес регистрации;

контактные данные;

платежные реквизиты;

иные сведения, предусмотренные требованиями законодательства Российской Федерации.

4.5.6. Срок обработки ПДн: до момента ликвидации Общества.

4.6. Физические лица – соискатели на замещение вакантных должностей, открытых в Обществе:

4.6.1. Способ обработки ПДн: неавтоматизированный.

4.6.2. Источник получения ПДн: субъект ПДн.

4.6.3. Основание для обработки ПДн: ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие Субъекта ПДн).

4.6.4. Цель обработки ПДн: заключение трудового договора.

4.6.5. Содержание обрабатываемых ПДн:

фамилия, имя, отчество;

сведения об образовании;

сведения о предыдущей трудовой деятельности;

сведения о регистрации в системе индивидуального (персонифицированного) учета;

номер контактного телефона;

сведения о судимости;

адрес электронной почты.

4.6.6. Срок обработки ПДн: до момента заключения трудового договора.

4.7. Метаданные и данные для взаимодействий:

● Адреса электронной почты и имена участников

● Заголовки электронных писем, содержащие Персональные данные

● Метаданные об электронных письмах (время отправки и т. д.), которые связаны с персональными данными

● Структурированные данные, хранящиеся Компанией о Субъектах данных, включая текстовые заметки о Субъектах данных, содержащие Персональные данные, и структурированные данные о Субъектах данных (например, колонки и "волшебные колонки"), содержащие Персональные данные.

ООО "Клуб подписок" не хранит содержание (тело) ваших электронных писем. ООО "Клуб подписок" временно хранит метаданные электронной почты (получатели, тема письма) с единственной целью индексирования и сортировки вашей электронной почты, прежде чем представить и визуализировать эти данные обратно вам в приложении.

4.8. Мы можем использовать Cookies. Cookies - это небольшие файлы, которые сайт или его поставщик услуг передает на жесткий диск вашего компьютера через ваш веб-браузер (если вы это разрешаете), что позволяет сайтам или поставщикам услуг распознавать ваш браузер, собирать и запоминать определенную информацию.

4.9. Парсинг почты Gmail. У нас есть опция, которую вы можете использовать или не использовать для автоматического сканирования вашей почты Gmail и поиска существующих услуг подписки для автоматического добавления в вашу учетную запись ООО "Клуб подписок".

Для этого мы используем Gmail API (OAuth API), запрашивая у вас разрешение на подключение к вашему аккаунту Google, и аутентифицируем это подключение через Google Apps OAuth. Ваша учетная запись ООО "Клуб подписок" при этом имеет такую же лучшую в отрасли безопасность входа, как и ваша учетная запись Google.


ООО "Клуб подписок" при использовании и передаче любым другим приложениям информации, полученной от Google API, будет придерживаться Политики в отношении пользовательских данных служб API Google, включая требования ограниченного использования. Подробности и положения требований Google к ограниченному использованию можно найти здесь - https://developers.google.com/terms/api-services-user-data-policy?hl=ru.

ООО "Клуб подписок" не вносит никаких изменений в вашу почту Gmail, Диск, Контакты или Календарь без вашего явного разрешения.

ООО "Клуб подписчиков" принимает все разумные и необходимые меры для защиты всех приложений или систем, использующих Службы API Google, от несанкционированного или незаконного доступа, использования, уничтожения, потери, изменения или раскрытия.



5. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПДН

5.1. Защита ПДн представляет собой совокупность организационных и технических мер, предупреждающих нарушение установленного режима доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивающая безопасность информации в процессе обработки ПДн Обществом.

5.2. Объектами защиты являются:

документы, содержащие персональные данные;

персональные данные, а также технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации в составе информационных систем ПДн, в которых осуществляется обработка ПДн.

5.3. Работники, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей:

обеспечивают хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц, за исключением случаев, предусмотренных п. 3.5 настоящего положения;

при выходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом генерального директора Общества будет возложено исполнение его трудовых обязанностей;

обеспечивают защиту сведений, хранящихся в электронных базах данных от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, а том числе путем разграничения прав доступа.
● неправомерных действий, а том числе путем разграничения прав доступа.

5.4. ООО "Клуб подписок" размещает свои центры обработки данных в Российской Федерации, г. Санкт-Петербург, и, используя наше приложение и услуги, вы прямо поручаете нам обрабатывать персональные данные на территории Российской Федерации и даете согласие на их обработку в соответствии с настоящей положением о ПДн.

Мы стремимся поддерживать самые высокие стандарты защиты данных, и наши центры обработки данных полностью соответствуют нашей политике конфиденциальности и правилам обработки персональных данных, требуемым законодательством.



6. ПОРЯДОК РЕАГИРОВАНИЯ НА ЗАПРОСЫ СУБЪЕКТОВ ПДН

6.1. При направлении субъектом ПДн запроса информации, касающейся обработки его ПДн (предусмотренных частью 7 Ст. 14 ФЗ № 152-ФЗ «О персональных данных»), а именно:

о подтверждении факта обработки ПДн Обществом;

о наличии правовых оснований и о целях обработки ПДн;

о применяемых Обществом способах обработки ПДн;

наименовании и месте нахождения Общества, сведений о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

о перечне обрабатываемых ПДн, источниках их получения;

сроках обработки ПДн, в том числе сроках их хранения;

информации об осуществленной или о предполагаемой трансграничной передаче данных;

наименовании или фамилии, имени, отчества и адреса лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами,

лицом, ответственным за обработку ПДн должен быть подготовлен ответ по существу запроса в адрес субъекта персональных данных. Каждое такое обращение должно регистрироваться в отдельном журнале учета обращений субъектов ПДн. Отметка об ответе на обращение регистрируется в журнале учета обращений субъектов в отдельной графе.



7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Настоящее Положение вступает в силу с момента утверждения и вводится в действие приказом генерального директора Общества.

7.2. Требования настоящего Положения распространяются на всех работников Общества, имеющих доступ к персональным данным;

7.3. Общество вправе вносить изменения и дополнения в настоящее Положение. Работники и пользователи приложения должны быть поставлены в известность о вносимых изменениях и дополнениях посредством издания работодателем приказа и ознакомления с ним всех работников. Кроме того, мы опубликуем эти изменения на нашей веб-странице и в приложении. Изменения в политике будут применяться только к информации, собранной после даты изменения.

7.4. Используя наше приложение, вы соглашаетесь с нашей политикой конфиденциальности и положением о ПДн. Если вы не согласны на сбор и обработку информации, требуемой для обработки, мы не сможем предоставить вам наше приложение или услугу, и вам не следует пользоваться нашим приложением.


Реквизиты Администрации:

Наименование: ООО «Клуб Подписок»
Юридический адрес: 123308, г. Москва, 3-я Хорошёвская улица, дом 2, строение 1, этаж 3, помещение 21, ком. 2, офис 34
ИНН 7734439764
КПП 773401001
ОГРН 1217700004389
D&B D-U-N-S® Number: 893070964