Политика конфиденциальности ООО «АЙТИКЕТ» в отношении обработки и обеспечения защиты персональных данных

1. Общие положения
1.1. Настоящая Политика в отношении обработки и обеспечения защиты персональных данных физических лиц (далее – «Субъектов персональных данных») (далее – «Политика») разработана и проводится ООО «АЙТИКЕТ» (далее - «Организация») в соответствии со ст.24 Конституции Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями), Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе» (с изменениями и дополнениями) и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.

1.2. Настоящая Политика применяется в отношении всех персональных данных, которые могут быть получены от Субъектов персональных данных Организацией в процессе осуществления деятельности, в том числе от работников и клиентов Организации, через сайт www.iticket.ru (далее – «Сайт»), по телефону Организации.

1.3. Цель Политики заключается в доведении до лиц, представляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Организацией, какие методы обеспечения их безопасности реализуются.

1.4. Политика определяет действия Организации в отношении обработки персональных данных, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Организации с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.5. Политика обеспечивает защиту прав и свобод Субъектов при обработке их персональных данных с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

1.6. Клиенты, используя сервисы, услуги Организации, сообщив Организации свои персональные данные, в том числе при посредничестве третьих лиц, признают свое согласие на обработку персональных данных в соответствии с настоящей Политикой.
Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, установленных действующим законодательством.

1.7. Настоящая Политика может быть изменена при изменении действующего законодательства РФ.

1.8. Организация представляет действующую редакцию Политики на сайте Организации: www.iticket.ru

2. Понятие и состав персональных данных
2.1. В целях настоящей Политики под персональными данными понимается любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор осуществляет обработку следующих персональных данных, предоставленных при регистрации на Интернет сайте www.iticket.ru, в том числе при осуществлении Субъектом Заказов:
- фамилия, имя;
- номер телефона;
- адрес электронной почты;
- данные об оказанных и оказываемых Субъекту персональных данных услугах, в том числе история заказов Субъекта;
- история обращений Субъекта персональных данных, в том числе присылаемые Субъектом при обращениях документы.

2.3. При использовании сервисов Сайта Организация обрабатывает также иные обезличенные данные, которые автоматически передаются в процессе использования Сайта посредством установленного на компьютере физического лица (Субъекта персональных данных) программного обеспечения:
- сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к сайту);
- IP-адрес;
- данные файлов cookie, веб-маяки и иные схожие технологии.

3. Основания и цели обработки персональных данных
3.1. Организация обрабатывает персональные данные для осуществления деятельности, реализации своих законных интересов и требований.

3.2. Организация осуществляет обработку персональных данных Субъектов персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:

3.2.1. исполнения договора, стороной которого является Субъект персональных данных, т.е. для цели обработки заказов, запросов или других действий Субъекта персональных данных, связанных с приобретением билетов на культурно-зрелищные мероприятия, реализуемые на сайте www.iticket.ru, в т.ч. для уведомления об отмене, замене или переносе мероприятий, порядке возврата денег/денежных средств за билеты на мероприятия, направления иных информационных сообщений, касающихся мероприятий, на которые Субъект персональных данных приобрел (забронировал) билеты, и т.п.;

3.2.2. исполнения законодательства Российской Федерации, включая, но не ограничиваясь, Федерального закона от 22.05.2003 N 54-ФЗ (ред. от 03.07.2016) «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа» в случае предоставления Субъектом (клиентом) до момента расчета номера телефона либо адреса электронной почты с целью направления кассового чека или бланка строгой отчетности в электронной форме Субъекту (клиенту) на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации Субъекту (клиенту) в электронной форме на адрес электронной почты);

3.2.3. в иных целях в случае, если соответствующие действия Организации не противоречат действующему законодательству, деятельности Организации, и на проведение указанной обработки получено согласие Субъекта персональных данных;

3.2.4. данные, указанные в п.2.2 настоящей Политики, обрабатываются в целях осуществления аналитики Сайта, отслеживания и понимания принципов использования Сайта посетителями, совершенствования функционирования Сайта, решения технических проблем Сайта, разработки новых продуктов, расширения услуг, выявления популярности мероприятий и определения эффективности рекламных кампаний; обеспечения безопасности и предотвращения мошенничества, предоставления эффективной клиентской поддержки

4. Правила и порядок обработки персональных данных
4.1. В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Организация использует автоматизированную, с применением средств вычислительной техники, так и неавтоматизированную, с применением бумажного документооборота, обработку персональных данных.
Принятие решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Организацией не производится.
Организация хранит персональную информацию Субъектов персональных данных в соответствии с внутренним регламентом.

4.2. Для достижения целей настоящей Политики к обработке персональных данных допущены только те сотрудники Организации, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Доступ других сотрудников может быть предоставлен только в предусмотренных законом случаях. Организация требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.

4.3. Организация начинает обработку персональных данных Субъекта с момента получения персональных данных на основании пп. 5 п. 1 ст. 6 Федерального закона «О персональных данных», а в части, не относящейся к исполнению указанного договора, - с момента получения согласия Субъекта персональных данных на их обработку.

4.4. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий. В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка осуществляется исключительно в части, необходимой для исполнения договора, стороной которого является Субъект персональных данных (т.е. для цели приобретения билета на культурно-зрелищное мероприятие и реализации права на посещения культурно-зрелищного мероприятия).

4.5. Персональные данные Субъектов персональных данных получаются Организацией:
-путем личной передачи Субъектом персональных данных при внесении сведений в учетные формы в электронном виде на Сайте по адресу: www.iticket.ru;
-путем сообщения их в устной форме по телефону в процессе оформления заказа по приобретению билетов;
-через Сайт, согласно п.2.3. настоящей Политики;
-иными способами, не противоречащими законодательству Российской Федерации и требованиям международного законодательства о защите персональных данных.

4.6. Организация осуществляет обработку персональных данных посредством совершения любого действия (операции) или совокупности действий (операций) с персональными данными, включая следующие: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

4.7. В отношении персональных данных Субъекта сохраняется конфиденциальность, кроме случаев добровольного предоставления Субъектом информации о себе для общего доступа неограниченному кругу лиц (персональные данные, сделанные общедоступными субъектом персональных данных). В данном случае Субъект персональных данных соглашается с тем, что определенная часть его персональных данных становится общедоступной и не требует получения согласия на обработку таких данных в соответствии с пп.10 п.1 ст.6 Федерального закона «О персональных данных».

4.8. Организация вправе передать персональные данные третьим лицам в следующих случаях:
- Субъект персональных данных явно выразил свое согласие на такие действия;
- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
- передача происходит в рамках продажи или иной передачи бизнеса (полностью или части). При этом к приобретателю переходят все обязательства по соблюдению настоящей Политики применительно к полученным данным.

4.9. В соответствии с настоящей Политикой Оператор может осуществлять обработку персональных данных самостоятельно, а также с привлечением третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в настоящей Политики целей. Субъект соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, в частности, ООО «СМС-Центр» (ОГРН 1117746756489), ПАО «СБЕРБАНК» (ОГРН 1027700132195), ООО «ЯНДЕКС» (ОГРН 1027700229193), ООО «Гугл» (1057749528100), хостинг-провайдерам, телекоммуникационным компаниям и прочим третьим лицам (при передаче персональных данных в случаях, предусмотренных законом) исключительно для целей, указанных в п.3.2 настоящей Политики.

4.10. Сроки обработки персональных данных определяются исходя из целей обработки в информационных системах Организации, в соответствии со сроком действия договора, соглашения с субъектом персональных данных, с Перечнем типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций с указанием сроков хранения (утв.Минкультуры РФ, Приказ № 558 от 25.08.2010г.), сроком исковой давности, а также иными требованиями законодательства и нормативными документами Организации.

5. Реализация защиты персональных данных
5.1. Деятельность Организации по обработке персональных данных неразрывно связана с защитой Организацией конфиденциальности полученной информации.

5.2. Организация требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.3. Все работники Организации обязаны обеспечивать конфиденциальность персональных данных, а также иных сведений, установленных Организацией, если это не противоречит действующему законодательству Российской Федерации.

5.4. С целью обеспечения безопасности персональных данных при их обработке Организация принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них. Организация обеспечивает, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.

5.5. При обработке персональных данных в информационных системах Организации обеспечиваются:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль уровня защищенности персональных данных.

5.6. В целях обеспечения соответствия уровня защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Организация не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения информационной безопасности персональных данных.

5.7. Организация обязуется не разглашать полученную от Субъекта персональных данных информацию. Не считается нарушением предоставление Оператором информации агентам и третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед Субъектом персональных данных, а также иных случаях, предусмотренных настоящей Политикой. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.

6. Согласие на получение рекламной информации по сетям электросвязи
6.1. Являясь пользователем www.iticket.ru, Субъект персональных данных может получать периодические рассылки (информационные, праздничные и другие) на зарегистрированный адрес электронной почты, а также автоматическое подтверждение заказов и сервисные уведомления.
Организация гарантирует, что адрес электронной почты Субъекта персональных данных не будет использоваться для рассылки спама.

6.2. Давая согласие, указанное в п. 5.1. настоящей Политики, Субъект персональных данных подтверждает, что действует свободно, своей волей и в своем интересе, а также то, что указанные персональные данные являются достоверными.

7. Заключительные положения
7.1. Настоящая Политика утверждается приказом Генерального директора ООО «АЙТИКЕТ» и вступает в силу со дня его подписания, а в отношениях с Субъектами персональных данных – с даты опубликования Политики на сайте www.iticket.ru

7.2. В данную Политику в одностороннем порядке без предварительного уведомления Субъекта персональных данных могут вноситься изменения и/или дополнения, которые утверждаются приказом Генерального директора ООО «АЙТИКЕТ», опубликовываются на сайте www.iticket.ru и вступают в силу в отношениях с Субъектами персональных данных с даты опубликования таких изменений и/или дополнений. Субъект персональных данных несет ответственность за проверку настоящего Соглашения на предмет наличия изменений в нем.

7.3.Версия Политики, опубликованная (размещенная) в открытом доступе в сети Интернет по адресу: www.iticket.ru, считается действующей в отношениях с Субъектами персональных данных в течение всего периода такого опубликования (размещения).