Политика обработки персональных данных

1. Общие положения

Настоящая Политика обработка персональных данных (далее – Политика) подготовлена в соответствии с Федеральным законом «О персональных данных» №152-ФЗ от 27.07.2006 (далее – 152-ФЗ), определяет случаи и особенности обработки персональных данных Владельцем сервиса (далее – Оператор) и направлена на обеспечение законных прав и свобод субъектов персональных данных.

2. Цели и условия обработки персональных данных

С целью предоставления Пользователям сервиса Оператора, в том числе создания личного аккаунта, проведения опросов и конкурсов, определения предпочтений пользователей, обработки обращений в техническую поддержку, улучшения качества сервиса, предоставления Пользователям информации об оказываемых услугах, о новых продуктах и услугах, осуществляется сбор следующих персональных данных Пользователей: ID пользователя, имя пользователя/имя из социальной сети, локация пользователя, дата рождения, адрес электронной почты, пол, фотография(в случае самостоятельной загрузки в личном кабинете), номер мобильного телефона, идентификатор социальной сети, статус и тип подписки, сведения о покупках, данные об устройстве (тип, модель, название, ID), данные об операционной системе (тип, версия), данные о браузере (название, версия), IP-адрес устройства, музыкальные предпочтения (любимые треки, история прослушиваний, созданные и сохраненные плейлисты, любимые артисты, коллекция альбомов, список подкастов), действия пользователей, данные, характеризующие аудиторные сегменты, результаты опросов.

Обработка персональных данных осуществляется c использованием средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, передачу (предоставление, доступ) партнерам Оператора, заключившим с Оператором договор, для достижения вышеуказанной цели обработки персональных данных.

Оператор не осуществляет обработку изображений Пользователей с целью идентификации (установления личности).

Оператор осуществляет создание публичного профиля Пользователя, включающего следующие персональные данные: ID, имя, фотография (в случае самостоятельной загрузки в личном кабинете), музыкальные предпочтения с учетом настроек желаемого уровня конфиденциальности. В настройках личного кабинета Пользователь может редактировать приватность коллекций и плейлистов.

Правовым основанием обработки персональных данных является согласие пользователя на обработку персональных данных при регистрации. Условия обработки персональных данных определены настоящей Политикой.

Срок обработки персональных данных – до 30 дней с момента удаления личного кабинет пользователем.

Удаление персональных данных пользователей осуществляется по истечении сроков обработки, а также в случае отзыва пользователем согласия на обработку персональных данных.

Оператор не принимает на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

3. Обеспечение конфиденциальности и безопасности персональных данных при их обработке

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается принятием правовых, организационных и технических мер, определенных действующим законодательством Российской Федерации, а также внутренними нормативными документами Оператора в области защиты информации.

Обеспечение Оператором защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • назначение лица, ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных;
  • определение перечня работников, имеющих доступ к персональным данным;
  • разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки персональных данных;
  • определение перечня мест хранения материальных носителей персональных данных;
  • организация порядка уничтожения персональных данных по истечению срока их обработки;
  • учет машинных носителей персональных данных;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
  • проведение внутренних проверок за соблюдением требований по обеспечению безопасности персональных данных;
  • ознакомление работников Операторов, осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации, организационно-распорядительными документами Оператора, определяющими порядок обработки и обеспечения безопасности персональных данных;
  • повышение уровня осведомленности работников о требованиях по обеспечению безопасности персональных данных;
  • проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
  • физическая защита помещений, в которых осуществляется обработка персональных данных (пропускной режим, электронная система доступа в помещения, видеонаблюдение);
  • обеспечение антивирусной защиты информационных систем персональных данных;
  • обновление программного обеспечения на регулярной основе;
  • защита сетевой инфраструктуры (разграничение доступа, межсетевое экранирование);
  • обеспечение отказоустойчивости и резервного копирования;
  • определение правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
  • регистрация и учет событий информационной безопасности;
  • определение порядка реагирования на инциденты информационной безопасности;
  • проведение внешних тестирований на проникновение.

Обеспечение конфиденциальности персональных данных, обрабатываемых Оператором, является обязательным требованием для всех работников Оператора, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.

4. Права и обязанности субъекта персональных данных

Субъект персональных данных имеет право:

  • принимать решение о предоставлении своих персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
  • отозвать свое согласие на обработку персональных данных;
  • получить у Оператора сведения, касающиеся обработки его персональных данных;
  • требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • потребовать ограничить обработку его персональных данных в целях маркетинговых активностей;
  • заявить возражение против решения, принятого исключительно на основании автоматизированной обработки персональных данных;
  • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы.

Субъект персональных данных обязан:

  • сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации в объеме, необходимом для цели обработки;
  • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

5. Права и обязанности Оператора в процессе обработки персональных данных

Оператор персональных данных обязан:

  • не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
  • предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, с учетом ограничений, установленных в 152-ФЗ;
  • немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях маркетинговых активностей;
  • разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
  • разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;
  • если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных 152-ФЗ, до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
    • наименование и адрес Оператора;
    • цель обработки персональных данных и правовое основание;
    • предполагаемые пользователи персональных данных;
    • права субъекта персональных данных;
    • источник получения персональных данных;
  • обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ;
  • принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
  • принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти дней с даты получения такого запроса;
  • осуществлять обработку запросов субъектов персональных данных;
  • устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.

Оператор персональных данных имеет право:

  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить их обработку без согласия субъекта персональных данных при наличии правовых оснований, установленных законодательством Российской Федерации;
  • получить персональные данные от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия правовых оснований, установленных законодательством Российской Федерации.

6. Порядок обработки запросов субъектов персональных данных

Субъект персональных данных может обращаться к Оператору по вопросам обработки своих персональных данных в следующих случаях:

  • для получения информации, касающейся обработки его (субъекта) персональных данных:
    • подтверждение факта обработки персональных данных Оператором;
    • сведения о правовых основаниях и целях обработки персональных данных;
    • сведения о применяемых Оператором способов обработки персональных данных;
    • сведения о наименовании и местонахождении Оператора;
    • сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
    • перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
    • сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
    • сведения о порядке осуществления субъектом персональных прав, предусмотренных 152-ФЗ;
    • наименование (Ф.И.О.) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;
    • иные сведения, предусмотренные 152-ФЗ или другими нормативно-правовыми актами Российской Федерации;
  • для уточнения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
  • для подачи жалобы на неправомерную обработку Оператором его (субъекта) персональных данных;
  • для отзыва своего согласия на обработку персональных данных.

Пользователи могут направить запрос Оператору, ООО «Звyк», по адресу местонахождения: 21170, г. Москва, ул. Поклонная, д. 3, секция Е4, 6 этаж, или написав в техническую поддержку в личном кабинете.

Ответ на обращение направляется субъекту персональных данных или его представителю в письменной форме по почте на адрес, указанный в обращении, или в личном кабинете пользователя в срок до 10 рабочих дней с возможностью продления до 15 рабочих дней.

При отказе в запросе, субъекту направляется мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

7. Изменение Политики

Оператор имеет право вносить изменения в Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.

04.10.2022