Политика обработки персональных данных

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей B2B-портала, размещённого по адресу b2b.anzhee.ru (далее — «Портал»), оператором которого является ООО «ЭНЖИ» (далее — «Оператор»).

Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и иными нормативными правовыми актами Российской Федерации, регулирующими обработку персональных данных.

Использование Портала означает безоговорочное согласие пользователя с условиями настоящей Политики и указанными в ней правилами обработки его персональных данных. В случае несогласия с условиями Политики пользователь должен воздержаться от использования Портала.

2. Понятия и определения

Термины используются в значениях, установленных статьёй 3 152-ФЗ. Для удобства чтения приводятся основные:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Оператор — ООО «ЭНЖИ», самостоятельно организующее обработку персональных данных, а также определяющее цели обработки, состав данных и совершаемые действия.
• Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Пользователь — физическое лицо, имеющее доступ к Порталу: сотрудник компании-дилера или сотрудник Оператора.
• Компания-дилер — юридическое лицо или индивидуальный предприниматель, состоящее с Оператором в коммерческих отношениях и использующее Портал для взаимодействия с Оператором.
• Согласие на обработку — свободное, конкретное, информированное и сознательное волеизъявление субъекта на обработку его персональных данных.

3. Сведения об Операторе

• Полное наименование: Общество с ограниченной ответственностью «ЭНЖИ».
• Сокращённое наименование: ООО «ЭНЖИ».
• ИНН: 9722034090.
• ОГРН: 1227700778447.
• Юридический адрес: 129337, Россия, г. Москва, ул. Красная Сосна, д. 2, корп. 1, стр. 1.
• Телефон: 8 (800) 505-70-45.
• Адрес электронной почты для обращений по вопросам обработки персональных данных: sale@anzhee.ru.

Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора, назначенным в соответствии со статьёй 22.1 152-ФЗ.

4. Категории субъектов персональных данных

В рамках работы Портала Оператор обрабатывает персональные данные следующих категорий субъектов:

• Сотрудники компаний-дилеров — физические лица, действующие от имени соответствующей компании-дилера на основании трудовых, гражданско-правовых или иных отношений и получившие доступ к Порталу для исполнения служебных обязанностей.
• Сотрудники Оператора — работники ООО «ЭНЖИ», получившие доступ к Порталу для исполнения своих трудовых обязанностей.

Персональные данные физических лиц, не относящихся к указанным категориям (в частности — конечных заказчиков компаний-дилеров, являющихся физическими лицами), Оператор на Портале не обрабатывает. Соответствующее ограничение и обязанности Пользователей раскрыты в разделе 13 настоящей Политики.

5. Состав обрабатываемых персональных данных

Оператор обрабатывает только те персональные данные, которые необходимы для достижения целей, указанных в разделе 6 настоящей Политики. В общем виде к таким данным относятся:

• идентификационные и контактные сведения Пользователя, необходимые для предоставления ему доступа к Порталу и связи с ним по вопросам исполнения договорных обязательств между Оператором и компанией-дилером;
• сведения, передаваемые Пользователем Оператору через Портал в рамках коммерческого взаимодействия;
• технические данные, формируемые автоматически при использовании Портала и необходимые для обеспечения информационной безопасности и работоспособности сервиса (включая идентификаторы пользовательских сессий и метаданные о попытках входа).

Оператор не обрабатывает на Портале специальные категории персональных данных (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимости) и биометрические персональные данные.

Пароли Пользователей в системе не хранятся: авторизация реализована по одноразовому коду доступа, направляемому на адрес электронной почты Пользователя и хранимому исключительно в виде криптографического хеша до момента успешной проверки или истечения срока действия.

6. Цели обработки персональных данных

Оператор обрабатывает персональные данные Пользователей в следующих целях:

• предоставление Пользователям доступа к функционалу Портала и идентификация Пользователей при входе;
• исполнение договорных обязательств между Оператором и компаниями-дилерами, в том числе сопровождение и координация коммерческого взаимодействия с компаниями-дилерами;
• направление Пользователям служебных уведомлений, связанных с их учётной записью и взаимодействием с Оператором через Портал;
• обеспечение информационной безопасности Портала, защита от несанкционированного доступа и автоматизированных атак, расследование инцидентов;
• ведение журналов действий Пользователей в целях аудита и исполнения требований законодательства Российской Федерации, в том числе 152-ФЗ;
• исполнение иных обязательств Оператора по договорам, стороной которых является субъект персональных данных или организация, сотрудником которой он является.

Оператор не использует персональные данные Пользователей в рекламных целях, не передаёт их рекламодателям и не осуществляет рассылки рекламного характера через Портал.

7. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

• согласие субъекта персональных данных на обработку (пункт 1 части 1 статьи 6 152-ФЗ), выраженное способом, указанным в разделе 12 настоящей Политики;
• необходимость исполнения договора, стороной которого является субъект персональных данных либо организация, сотрудником которой он является (пункт 5 части 1 статьи 6 152-ФЗ);
• достижение целей, предусмотренных международным договором Российской Федерации или законом, а также осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 152-ФЗ);
• осуществление законных интересов Оператора (пункт 7 части 1 статьи 6 152-ФЗ) — в части обработки технических данных в целях защиты от несанкционированного доступа;
• трудовое законодательство Российской Федерации (применительно к обработке персональных данных работников Оператора).

8. Сроки хранения персональных данных

Оператор хранит персональные данные не дольше, чем требуется целями обработки, и не дольше, чем установлено законодательством Российской Федерации. В частности:

• персональные данные, входящие в состав первичных учётных документов и бухгалтерской отчётности, хранятся в течение сроков, установленных законодательством Российской Федерации о бухгалтерском учёте и архивном деле;
• журналы действий Пользователей, необходимые для исполнения требований 152-ФЗ, хранятся в течение сроков, установленных внутренними регламентами Оператора, но не менее сроков, прямо предусмотренных законодательством;
• технические данные, формируемые в целях защиты от несанкционированного доступа, хранятся в течение срока, минимально необходимого для выявления и расследования инцидентов, после чего удаляются автоматически;
• одноразовые коды доступа удаляются после первой успешной проверки либо по истечении срока действия (не более 10 минут с момента выдачи);
• идентификаторы пользовательских сессий удаляются по истечении срока действия сессии либо при выходе Пользователя из учётной записи.

По истечении применимых сроков персональные данные подлежат уничтожению либо обезличиванию. Уничтожение и обезличивание фиксируются Оператором в соответствующих внутренних документах.

9. Принципы и условия обработки

Обработка персональных данных осуществляется Оператором с соблюдением принципов, установленных статьёй 5 152-ФЗ: на законной и справедливой основе; ограничивается достижением конкретных, заранее определённых и законных целей; объём обрабатываемых данных соответствует целям обработки; содержание данных — точное, достаточное и не избыточное; хранение — не дольше, чем требуется целями.

Все базы данных Портала и все обрабатываемые персональные данные размещаются и хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с частью 5 статьи 18 152-ФЗ.

Для обеспечения безопасности персональных данных Оператор применяет необходимые технические и организационные меры, в том числе:

• шифрование канала передачи данных между браузером Пользователя и Порталом (HTTPS / TLS);
• хранение одноразовых кодов доступа исключительно в виде криптографического хеша;
• разграничение доступа Пользователей по ролям и принципу минимально необходимых полномочий;
• ограничение количества попыток ввода кода доступа в единицу времени;
• ведение журнала действий Пользователей;
• ознакомление работников Оператора, имеющих доступ к персональным данным, с настоящей Политикой и внутренними регламентами;
• установленный регламент реагирования на инциденты информационной безопасности.

10. Передача персональных данных третьим лицам

Оператор вправе привлекать к обработке персональных данных российских юридических лиц на основании поручений, оформленных в соответствии с частью 3 статьи 6 152-ФЗ. Все привлекаемые обработчики являются резидентами Российской Федерации, серверы которых размещены на территории Российской Федерации; обработчики имеют доступ к данным исключительно в технических целях обеспечения работы Портала и не используют их в собственных целях.

Иным третьим лицам персональные данные Пользователей Оператором не передаются, за исключением случаев, когда такая передача прямо предусмотрена законодательством Российской Федерации (по мотивированному запросу уполномоченных государственных органов в установленном порядке).

Оператор не использует на Портале системы веб-аналитики (Яндекс.Метрика, Google Analytics и аналогичные), не передаёт сведения о действиях Пользователей в такие системы и не размещает на Портале рекламные пиксели и трекеры.

Оператор не осуществляет трансграничной передачи персональных данных Пользователей. Обработка персональных данных Пользователей не выходит за пределы территории Российской Федерации.

11. Права субъекта персональных данных

В соответствии со статьёй 14 152-ФЗ субъект персональных данных имеет право:

• получать сведения о факте обработки его персональных данных, об Операторе, целях и правовых основаниях обработки, составе обрабатываемых данных, сроках обработки и хранения, лицах, которым передаются данные;
• требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзывать ранее данное согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в Роскомнадзоре либо в судебном порядке.

Запросы по реализации прав направляются на адрес электронной почты sale@anzhee.ru либо по почтовому адресу Оператора, указанному в разделе 3 настоящей Политики. В запросе должны быть указаны: фамилия, имя, отчество субъекта (или его представителя); сведения, подтверждающие участие субъекта в отношениях с Оператором (например, адрес электронной почты учётной записи на Портале); подпись субъекта или его представителя (для запросов на бумажном носителе). Ответ направляется в срок, не превышающий 10 (десяти) рабочих дней со дня получения запроса; в случаях, предусмотренных частью 8 статьи 14 152-ФЗ, срок может быть продлён, о чём субъект уведомляется.

12. Способ дачи и отзыва согласия

Согласие на обработку персональных данных даётся Пользователем в форме совершения конклюдентного действия — установки отметки в поле «Даю согласие на обработку персональных данных» при входе на Портал, сопровождающейся вводом адреса электронной почты и получением одноразового кода доступа. Совершение указанных действий означает, что Пользователь ознакомился с настоящей Политикой, понимает её содержание и принимает её условия.

Отзыв согласия осуществляется путём направления письменного обращения на адрес электронной почты sale@anzhee.ru с темой «Отзыв согласия на обработку персональных данных» либо по почтовому адресу Оператора. После получения отзыва Оператор прекращает обработку персональных данных Пользователя в целях, для которых требуется согласие, и удаляет учётную запись Пользователя в срок, не превышающий 30 (тридцати) дней с момента получения обращения. Персональные данные, которые Оператор обязан хранить в соответствии с законодательством Российской Федерации (в частности, в составе первичных учётных документов, бухгалтерской отчётности и журналов действий Пользователей, ведение которых обязательно), сохраняются в течение установленных законом сроков и используются исключительно в указанных целях.

13. Ограничения на ввод персональных данных третьих лиц

Портал предназначен для коммерческого взаимодействия между юридическими лицами и не предназначен для обработки персональных данных физических лиц, не являющихся Пользователями Портала (в частности — конечных заказчиков компаний-дилеров).

Пользователю запрещается вводить в свободные текстовые поля Портала персональные данные третьих лиц — фамилии, имена, отчества, контактные данные, паспортные сведения, иные идентификаторы физических лиц.

В указанных полях допустимо указывать:

• наименование юридического лица заказчика;
• тип объекта (концертный зал, дом культуры, ресторан и т.п.);
• адрес объекта (без привязки к проживанию физического лица);
• краткие технические требования и иные бизнес-сведения.

При обнаружении персональных данных третьих лиц в свободных полях Портала Оператор оставляет за собой право удалить такие сведения без предварительного уведомления и направить Пользователю запрос на корректировку соответствующей записи. Систематическое нарушение настоящего запрета может являться основанием для приостановления или прекращения доступа Пользователя и/или компании-дилера к Порталу.

Компания-дилер обязуется довести требования настоящего раздела до сведения всех своих сотрудников, получающих доступ к Порталу, и обеспечить их соблюдение.

14. Использование cookies и иных идентификаторов

Портал использует строго необходимые (функциональные) файлы cookie, без которых его работа невозможна, — в частности, сессионный cookie аутентификации, содержащий идентификатор активной пользовательской сессии. Атрибуты такого cookie: HttpOnly (недоступен JavaScript-коду), Secure (передаётся только по HTTPS), SameSite=Lax (защита от межсайтовой подделки запросов). Cookie удаляется при выходе Пользователя из учётной записи либо по истечении срока действия сессии.

Аналитические, рекламные и трекинговые cookies, а также cookies третьих лиц на Портале не используются. Получение отдельного согласия Пользователя на использование функциональных cookies российским законодательством не требуется; о факте их использования Пользователь информируется настоящей Политикой.

15. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики всегда доступна по адресу: b2b.anzhee.ru/legal/privacy.

О существенных изменениях Политики Оператор уведомляет Пользователей одним или несколькими из следующих способов: размещением информационного сообщения в интерфейсе Портала, направлением сообщения на адрес электронной почты учётной записи Пользователя. Продолжение использования Портала после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики.

Если Пользователь не согласен с изменениями, он вправе отозвать согласие на обработку персональных данных в порядке, указанном в разделе 12 настоящей Политики.

16. Контакты для обращений

По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться к Оператору:

• Электронная почта: sale@anzhee.ru (с темой «Персональные данные» или аналогичной).
• Почтовый адрес: 129337, Россия, г. Москва, ул. Красная Сосна, д. 2, корп. 1, стр. 1, ООО «ЭНЖИ».
• Телефон: 8 (800) 505-70-45.

Запросы рассматриваются в порядке и в сроки, установленные 152-ФЗ и разделом 11 настоящей Политики.