Политика конфиденциальности и обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика конфиденциальности и обработки персональных данных потребителей услуг и продукции, участников партнерских (реферальных) программ ООО «ЗОЖ» (далее именуемая Политика) утверждена и применяется во исполнение требований в отношении конфиденциальности и обработки персональных данных потребителей услуг и продукции Общества с ограниченной ответственностью «ЗОЖ» (далее — Оператора), разработана в соответствии со следующими нормативно-правовыми актами:

• Конституцией Российской Федерации,
• Гражданским кодексом Российской Федерации,
• Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
• Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в частности, частью 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,
• Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
• и иными нормативно-правовыми актами, действующими на территории России.

1.2. Правовым основанием обработки персональных данных субъектов персональных данных являются:

• договоры с потребителями услуг и покупателями Оператора, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных;
• согласия субъектов персональных данных на обработку их персональных данных.

1.3. Настоящая Политика действует в отношении всей информации, которую может получить Оператор о субъектах персональных данных во время их использования:

1. На сайте Оператора, расположенного по адресу: https://vitameal.com/;
2. В Телеграм-канале Оператора, расположенного по адресу: https://t.me/vitameal_brand;
3. В сообществе Оператора в социальной сети ВКонтакте, расположенного по адресу: https://vk.com/vita_meal;
4. В сообществах Оператора в видео-хостинге, расположенном по адресу: https://youtube.com/@vitameal_, а также в период получения ими услуг и товаров Оператора;
5. При приеме оплаты через сторонние сервисы (платежные системы);
6. При оформлении услуг доставки товаров Оператора, в соответствии с Офертой Оператора;
7. При оформлении заявки на участие в партнерской (реферальной) программе Оператора по ссылке https://vitameal.com/about/spetsialistam/.

1.4. Использование субъектом персональных данных сайта, «Телеграм-канала», аккаунта в социальной сети ВКонтакте, аккаунта на YouTube, предоставление Оператору своих персональных данных для получения информации о товарах/услугах Оператора, приобретении им товаров/услуг, предоставляемых Оператором и согласия на обработку персональных данных субъекта персональных данных означает его согласие с настоящей Политикой и условиями обработки персональных данных субъекта персональных данных.

1.5. Оператор не проверяет достоверность персональных данных, предоставляемых субъектом персональных данных. Все риски предоставления недостоверной или недостаточной информации лежат на субъекте персональных данных.

1.6. Настоящая Политика и новые редакции либо изменения (дополнения) к ней утверждаются Оператором и вводятся приказом руководителя Оператора. Все сотрудники Оператора, в том числе — операторы колл-центра Оператора, имеющие доступ к персональным данным субъектов персональных данных, их представителей должны быть ознакомлены под подпись с Политикой, ее новыми редакциями либо изменениями к ней.

1.7. Настоящая Политика является публичным документом. Субъект персональных данных может ознакомиться с актуальной редакцией настоящей Политики на сайте Оператора по адресу: https://vitameal.com/policy/personal/.

2. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

В настоящей Политике используются следующие термины:

2.1. Оператор персональных данных, Оператор — Общество с ограниченной ответственностью «ЗОЖ» (ОГРН 1215000030772 от 26.03.2021 г., ИНН 5007112640, адрес: 141804, Московская область, г. о. Дмитровский, г. Дмитров, ул. Московская, д. 29, офис 412), которое организует с помощью уполномоченных сотрудников и/или третьих лиц и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.1.1. Субъект персональных данных — это физическое лицо, посетитель сайта Оператора и/или потребитель услуг/товаров Оператора, информация о котором собирается, обрабатывается или хранится Оператором персональных данных и третьими лицами, с которыми Оператор заключил договоры и соглашения о конфиденциальности с целью качественного оказания услуг, исполнения обязательств по договорам купли-продажи покупателям Оператора, в соответствии с требованиями ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»

2.1.2. Третье лицо — лицо, осуществляющее обработку персональных данных по поручению Оператора, с целью последующей их обработки в связи с выполнением, прекращением гражданско-правовых отношений Оператора и субъектов персональных данных, либо Оператора и третьих лиц в связи с исполнением Оператором и такими третьими лицами обязательств в отношение субъектов персональных данных. Обработка персональных данных третьими лицами, оказывающими услуги приема платежей, доставки и связи (хранения данных), производится этими лицами, в соответствии с правилами и политиками, принятыми к применению этими третьими лицами. Перечень третьих лиц представлен в Приложении к настоящей Политике, в нем также содержатся ссылки на политики конфиденциальности третьих лиц-партнеров оператора, условия, объем собираемых ими персональных данных, а также контактные данные для направления отзыва согласия на обработку персональных данных.

2.2. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

2.5. Интернет-ресурсы Оператора — обобщенное название площадок (сайта, мессенджера Telegram, расположенного в Телеграм-канале Оператора, аккаунт Оператора в социальной сети ВКонтакте и на платформе видео-хостинга YouTube), расположенных в сети Интернет, через которые Оператор информирует субъекта персональных данных — пользователя сети Интернет/потребителя услуг и товаров Оператора о своих услугах и товарах и условиях их приобретения.

2.6. Cookie - метод сбора небольших фрагментов данных, отправляемых веб-сервером и хранимых на компьютере или смартфоне посетителя, которые веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта/информационного ресурса. Сookie необходимы для использования Сайта/информационного ресурса в сети Интернет, навигации по Сайту/ресурсу и правильной работы их сервисов.

2.7. Лог-файлы (логи) — это текстовые файлы, в которые автоматически записывается информация о работе системы, приложения или сервиса. Это журнал событий, который фиксирует всё происходящее: ошибки, действия пользователей и другие события. В логах описываются время события, тип запроса, реакция сервера, код ответа, IP-адрес пользователя и многое другое. Если произошла ошибка, это помечается в логах отдельно.

2.8. Данные устройства и IP-адрес - сайт, мессенджер Telegram, социальная сеть ВКонтакте, видео-хостинг YouTube на платформах которых расположены интернет-ресурсы Оператора, собирает информацию об устройстве пользователя — субъекта персональных данных:

• Тип устройства (компьютер или смартфон).
• Модель устройства.
• Версия браузера.
• Технические характеристики устройства (размер экрана, тип, процессор, количество ядер, память).
• Геолокация (время, страна, город).
• Сетевые настройки (IP-адрес, использование VPN, тип подключения).

Эти данные помогают приложениям оптимизировать свою работу и предоставлять аналитику для улучшения пользовательского опыта.

2.9. Сообщения мессенджере Telegram и ВКонтакте - сообщения в обычных чатах хранятся в зашифрованном виде на серверах Telegram, ВКонтакте. Это позволяет пользователю восстановить свои сообщения при смене устройства.

2.10. Местоположение — данные о местоположении собираются и хранятся сайтом, мессенджерами, если пользователь передаёт своё местоположение через приложения.

2.11. Метаданные: сайт Оператора, Telegram, ВКонтакте, YouTube сохраняют метаданные сообщений, включая время отправки, IP-адрес, используемое устройство и другие технические данные, которые могут быть использованы для анализа поведения пользователя.

3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные субъектов персональных данных Оператор использует в целях установления прямых контактов с посетителями сайта Оператора, площадок Оператора: Телеграм-канала ВКонтакте, YouTube для информирования их об услугах, предоставляемых Оператором, и товарах, реализуемых Оператором, а также в целях заключения договоров оказания возмездных услуг и купли-продажи товаров Оператора с потребителями-субъектами персональных данных, а также идентификации субъектов персональных данных при заключении договоров возмездного оказания услуг по заданию Оператора.

3.2. Персональные данные, относящиеся к категории биометрических персональных данных, такие как фотографии, видео и рисунки с изображением потребителей, а также фотографий и видео потребителей без лица (частей тела), Оператор использует с согласия субъекта персональных данных, предоставленного им лично на бумажном носителе, в целях, установленных в п. 3.1. настоящей Политики, а также для саморекламы и продвижения своих услуг, демонстрации потенциальным потребителям процесса и результата оказания услуг, предоставляемых Оператором, а также продвижения товаров из ассортимента Оператора.

4. ПРЕДМЕТ ПОЛИТИКИ

4.1. Настоящая Политика устанавливает обязательства Оператора по неразглашению и обеспечению режима защиты персональных данных, которые посетитель интернет-ресурсов Оператора (потребитель услуги, покупатель товара) предоставляет в целях, определенных Оператором, и закрепленной настоящей Политикой.

5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОСТАВ И СПОСОБЫ ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Субъектами персональных данных в целях исполнения Политики являются физические лица:

5.1.1. Посетитель информационных ресурсов Оператора в сети Интернет — дееспособное лицо, имеющее доступ к браузерам, сайту, мессенджеру Telegram, социальной сети ВКонтакте, YouTube посредством сети Интернет и использующее данные информационные ресурсы, является потенциальным или реальным потребителем услуг и покупателем товаров Оператора.

5.1.2. Потребитель услуг/покупатель товаров — дееспособное лицо либо лицо, интересы которого представляет его законный представитель, являющееся стороной в гражданско-правовых отношениях с Оператором по договорам возмездного оказания услуг или розничной купли-продажи, в определенных случаях также бывшие потребители услуг Оператора (по основаниям, установленным п. 8.3. настоящей Политики).

5.1.2.1. Законные представители несовершеннолетних потребителей услуг, а также представители по доверенности.

5.1.2.2. Близкие родственники потребителя услуг.

5.1.3. Представители физического лица и/или работники контрагентов Оператора (юридических лиц, ИП).

5.2. В состав персональных данных, которые могут быть сообщены субъектом персональных данных Оператору в зависимости от вида предоставляемой услуги покупаемого товара и через форму обратной связи Субъекта персональных данных Оператору (через форму заявки на приобретение товаров Оператора, формы опросов, боты), входят:

• фамилия, имя, отчество (либо только имя или имя и фамилия);
• номер телефона;
• адрес электронной почты;
• почтовый адрес/адрес доставки;
• адрес в мессенджере Telegram, социальной сети ВКонтакте, в аккаунте видео-хостинга YouTube либо никнейм в мессенджерах, социальных сетях, в аккаунте видео-хостинга YouTube;
• данные банковской карты или иного платежного средства (платежные данные вводятся напрямую на странице платежного провайдера (указанного в п. 3.1. Приложения к настоящей Политике) и не поступают в распоряжение Оператора);
• ссылка (адрес, никнейм) на аккаунт субъекта персональных данных в социальной сети (для участников партнерских программ).

5.2.1. В состав персональных данных, опубликованных Субъектом персональных данных при регистрации в социальной сети ВКонтакте, на портале YouTube, мессенджере Telegram, полученных Оператором через ТГ-канал в связи с регистрацией Субъекта персональных данных без применения форм опросов и ботов, могут входить:

• фамилия, имя, отчество (либо только имя);
• номер телефона, адрес (никнейм, ссылка на аккаунт) во ВКонтакте, на портале YouTube, в мессенджере Telegram либо никнейм в мессенджере Telegram;
• фото, видеоизображение (Оператор получает доступ к данным, но не обрабатывает их в своих целях);
• иные данные.

5.2.2. Данные субъектов персональных данных, опубликованные ими в связи с регистрацией в мессенджере Telegram, в социальной сети ВКонтакте, в аккаунте портала (видео-хостинга YouTube) не требуют согласия на их обработку после их публикации в общем доступе (незакрытый профиль). Обработка персональных данных, сделанных общедоступными субъектом, осуществляется Оператором для целей, указанных в разделе 3 настоящей Политики.

5.3. Персональные данные, разрешённые к обработке в рамках настоящей Политики, могут быть предоставлены субъектом персональных данных следующим способом: посредством акцепта Оферты Оператора и предоставления согласия на обработку общих персональных данных.

5.4. При использовании любого из информационных ресурсов Оператора посетитель перед передачей своих персональных данных должен ознакомиться с настоящей Политикой и выразить свое согласие на передачу персональных данных Оператору путем проставления галочек во всех необходимых чек-боксах.

5.5. При нежелании субъекта персональных данных передавать свои персональные данные Оператору и третьему лицу посетитель информационных ресурсов Оператора может воспользоваться другими формами связи с Оператором, например, по телефону, либо лично обратиться к Оператору по адресу его места нахождения.

5.6. Фото- и видеоизображение потребителя услуг/покупателя товаров Оператора, полученное сотрудником Оператора либо самим Оператором до/после/в процессе оказания услуг/продажи товаров, относится к биометрической категории персональных данных субъекта, поскольку позволяет его идентифицировать и требует отдельного согласия на бумажном носителе.

5.7. В целях саморекламы и продвижения своих услуг Оператор получает у потребителей услуг/покупателей товаров согласие на публикацию на платформах информационных ресурсов Оператора, в социальных сетях, а также на сайтах третьих лиц фотографий, видео и рисунков с изображением потребителей, а также фотографий и видео потребителей без лица (иных частей тела).

5.8. Оператор использует биометрические персональные данные в тех пределах, которые установлены в п. 3.1. настоящей Политики, ограниченные целями, которые установит для него субъект персональных данных, при этом обработку биометрических персональных данных он может осуществлять как с использованием средств автоматизации, так и без.

6. ОБРАБОТКА ФАЙЛОВ «COOKIE» И МЕТРИЧЕСКИХ ДАННЫХ

6.1. Обработка файлов Cookie и метрических данных в моменты пребывания пользователя на Телеграм-канале, в социальной сети ВКонтакте, на платформе видео-хостинга YouTube производится самими мессенджером Telegram, социальной сетью ВКонтакте и платформой YouTube в соответствии с их Политиками конфиденциальности:

1. Telegram, расположенной по адресу: https://telegram.org/privacy/ru;
2. ВКонтакте, расположенной по адресу: https://vk.com/privacy;
3. YouTube, расположенной по адресу: https://www.youtube.com/static?template=terms;
4. Яндекс Метрики и AppMetrica, в соответствии с их Политикой конфиденциальности и пользовательским соглашением, расположенными по адресу: https://yandex.ru/legal/metrica_termsofuse/ru/.

6.1.1. Оператор несет ответственность за обработку файлов Cookie на сайте, расположенном по адресу: https://vitameal.com/, и не несет ответственности за обработку файлов Cookie на платформах, указанных в п. 6.1.

6.1.2. Оператор заключает соглашения о конфиденциальности с каждым третьим лицом, которое обрабатывает персональные данные субъектов персональных данных — пользователей информационных ресурсов Оператора в целях качественного оказания услуг и исполнения договоров купли-продажи товаров/услуг Оператором в отношении потребителей товаров и услуг Оператора.

6.2. На Сайте Оператора (согласие субъект дает посредством отметки в форме всплывающего окна) и на платформах, указанных в п. 6.1. используются только те файлы Cookie, которые необходимы сайту Оператора и платформам для работы и предоставления услуг через Интернет.

Платформы не используют файлы Cookie для составления профиля пользователя или показа рекламы на основании его предпочтений. Cookie, которые использует сайт и настоящие платформы — это небольшие текстовые файлы, которые позволяют ему предоставлять и персонализировать услуги, тем самым улучшая пользовательский опыт.

Интернет-браузеры обычно позволяют управлять настройками файлов Cookie, в том числе дают возможность принять или отклонить их использование, а также удалить их. Субъект персональных данных может заблокировать Cookie в своём браузере, но в таком случае он не сможет войти в Telegram Web и ряд сервисов ВКонтакте и YouTube.

6.3. Платформы, указанные в п. 6.1. настоящей Политики собирают: сообщения в обычных чатах и хранят их в зашифрованном виде на своих серверах; данные о местоположении пользователя; метаданные сообщений, включая время отправки, IP-адрес, используемое устройство и другие технические данные, которые могут быть использованы для анализа поведения пользователя.

6.4. Если посетитель Телеграм-канала желает отказаться от предоставления файлов «Cookie» (в том числе, запретил всплывающие окна), сбор метрических данных, он может самостоятельно отключить эти функции в интернет-обозревателе. С данной возможностью посетитель может ознакомиться в разделе «Справка» или «Настройки» своего браузера. При отключении использования файлов «Cookie» могут быть недоступны некоторые функции Сайта.

7. СБОР И ОБРАБОТКА ЛОГ-ФАЙЛОВ

7.1. Оператор обрабатывает лог-файлы с целью технической оптимизации работы сайта Оператора:

• время запроса;
• P-адрес, с которого произведён запрос к серверу;
• URL-источник запроса;
• HTTP-заголовок, содержащий информацию о запросе, включающую обезличенную информация о браузере пользователя.

7.2. Оператор производит обработку лог-файлов в автоматизированном режиме.

7.3. Оператор при обработке персональных данных выделяет такие действия, как сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, удаление и уничтожение данных. Оператор не передает, не предоставляет кому бы-то ни было доступ и не распространяет лог-файлы.

7.4. Оператор удаляет и уничтожает данные при достижении необходимых результатов при достижении цели технической оптимизации работы сайта Оператора.

8. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Порядок получения (сбора) персональных данных:

8.1.1. Оператор обрабатывает персональные данные пользователей, в случае их предоставления в соответствующих полях в настройках аккаунтов Субъекта персональных данных на платформах, указанных в п. 6.1. настоящей Политики и личном кабинете/ форме заявки/заказа на сайте Оператора и/или посредством опросных форм, и/или ботов.

8.1.2. Лично с письменного согласия субъекта персональных данных, кроме случаев, предусмотренных законами РФ, а также в соответствие с п. 8.4. и 8.5. настоящей Политики.

8.1.3. Лично с письменного согласия законного представителя несовершеннолетнего субъекта персональных данных в целях получения ими услуг и заключения договора розничной купли-продажи товаров Оператора.

8.2.1 Согласие субъекта персональных данных на обработку его биометрических персональных данных, а также согласия, предоставленные законными представителями несовершеннолетних потребителей услуг/покупателей товаров Оператора, хранится у Оператора в бумажном виде.

8.2.2. Акцептование пользователем Оферты Оператора, расположенной по адресу: https://vitameal.com/policy/offer/, установленным в Оферте способом, а равно: совершение покупок посредством заказа/заявки через сайт Оператора, путем заполнения форм с проставлением галочек в соответствующие чек-боксы, означает получение Оператором согласия Субъекта персональных данных (пользователя), на обработку его персональных данных.

8.3. Согласие субъекта на обработку персональных данных действует в течение срока действия договора (оказания услуг/купли-продажи). Оператор осуществляет обработку персональных данных не более 5 лет после прекращения договорных отношений с потребителем услуг/покупателем товаров, если это предусмотрено законодательством РФ, в частности, по основаниям п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2. ст. 11 Федерального закона

№ 152-ФЗ.

8.4. Если персональные данные субъекта возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные субъекта персональных данных, должно обладать согласием субъекта на передачу персональных данных Оператору. Оператор получает подтверждение от третьего лица, передающего персональные данные субъекта о том, что персональные данные передаются с его согласия.

8.4.1. Оператор при взаимодействии с третьими лицами по поводу персональных данных субъектов персональных данных — пользователей информационных ресурсов Оператора, клиентов Оператора, заключает с ними соглашение о конфиденциальности информации, касающейся персональных данных субъекта.

8.5. Обработка персональных данных субъектов персональных данных без их согласия осуществляется в следующих случаях:

• По требованию уполномоченных государственных органов в случаях, предусмотренных федеральным законом.
• Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Оператора.
• В иных случаях, предусмотренных законом Российской Федерации и международными договорами.

8.6. Персональные данные, относящиеся к специальным категориям персональных данных, Оператор не собирает. Оператор не получает и не обрабатывает персональные данные потребителя услуг о его половой принадлежности, состоянии здоровья, политических взглядах, религиозных или философских убеждениях, интимной жизни.

8.7. Порядок обработки персональных данных:

8.7.1. Обработка персональных данных субъектов, предоставивших свои персональные данные Оператору либо третьим лицам в целях передачи Оператору, осуществляется Оператором любым законным способом, в том числе с использованием средств автоматизации или без использования таких средств. Оператор обрабатывает такие данные следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных. В части, предусмотренной законодательством, третьи лица также обеспечивают применение мер, указанных в ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

8.7.2. К обработке персональных данных субъектов персональных данных могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными потребителей услуг и подписавшие Обязательство о неразглашении персональных данных сам Оператор, возложивший на себя ответственность за обработку персональных данных потребителя услуг; третьи лица, с которыми Оператор заключил соглашение о конфиденциальности.

8.7.3. Право доступа к персональным данным потребителей услуг/покупателей товаров Оператора имеют:

• Руководитель Оператора,
• Сотрудники Оператора, в чьи должностные обязанности входит работа с потребителями услуг и покупателями товаров Оператора.
• Третьи лица, с которыми Оператор заключает соглашения о конфиденциальности и договоры на предоставление услуг приема платежей, доставки, технического обслуживания информационных ресурсов Оператора и приема звонков Оператору, совершаемых потребителями услуг/товаров Оператора.

8.8. Защита персональных данных:

8.8.1. Под защитой персональных данных субъектов понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий третьих лиц, в том числе:

• определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• обеспечение своевременного обнаружения фактов несанкционированного доступа к персональным данным и принятие необходимых мер по предупреждению таких случаев и устранению их последствий;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности комплексной системы управления;
• публикация Политики и формы согласия на обработку персональных данных на сайте Оператора и обеспечение неограниченного доступа к ним;
• осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ о персональных данных;
• определение места хранения персональных данных;
• уничтожение сведений на бумажных носителях, утративших свою актуальность (согласия, на которые отозвана субъектом персональных данных), в конце каждого рабочего дня в шредере, с обеспеченным уровнем секретности Р-2-Р-3 либо иным способом путем многократного измельчения.

8.9. Защита персональных данных субъектов осуществляется за счёт Оператора в порядке, установленном федеральным законом Российской Федерации.

8.10. С третьими лицами, собирающими и передающими Оператору персональные данные субъектов персональных данных, имеющими доступ к персональным данным потребителей услуг Оператора, Оператор заключает соглашение о неразглашении конфиденциальных данных (соглашение о конфиденциальности), в число которых включает персональные данные потребителей услуг Оператора, устанавливает санкции за нарушение третьими лицами конфиденциальности, а также отслеживает исполнение третьими лицами соблюдение условий конфиденциальности, применение третьими лицами в отношении персональных данных субъектов необходимых правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с такими данными, включая требования к защите обрабатываемых персональных данных, предусмотренные ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

8.11. Оператор следит за тем, чтобы обработка персональных данных потребителей услуг/покупателей товаров Оператора осуществлялась третьими лицами только при условии предварительного согласия субъекта на обработку его персональных данных путем получения их согласий на сайте Оператора.

8.12. Оператор контролирует, что обработка персональных данных, полученных от субъектов, осуществляется Оператором и третьими лицами только с использованием баз данных, находящихся на территории Российской Федерации.

8.13. Процедура оформления доступа сотрудников Оператора к персональным данным субъектов включает в себя:

8.13.1. Ознакомление сотрудника Оператора под подпись с настоящей Политикой. При наличии иных локальных нормативных актов (приказов, распоряжений, инструкций и т.п.), регулирующих обработку и защиту персональных данных субъектов, с данными актами также производится ознакомление под подпись.

8.13.2. Истребование с сотрудника письменного обязательства о неразглашении персональных данных субъектов и соблюдении правил их обработки в соответствии с внутренними локальными актами Оператора, регулирующими вопросы обеспечения безопасности конфиденциальной информации.

8.14. Сотрудник Оператора и иные лица, имеющие доступ к персональным данным потребителей услуг/покупателей товаров Оператора — пользователей информационных ресурсов Оператора в связи с исполнением договорных обязанностей должны:

8.14.1. обеспечивать хранение информации, содержащей персональные данные Субъекта, исключающее несанкционированный доступ к ним третьих лиц;

8.14.2. в отсутствие его на рабочем месте обеспечивать отсутствие в свободном доступе документов, содержащих персональные данные участников сообществ/реестра потребителей услуг/товаров Оператора, расположенных на платформах информационных ресурсов Оператора (потребителей услуг/покупателей товаров Оператора); также сотрудник/сотрудник третьего лица/третье лицо должен выйти из своей учётной записи на персональном компьютере (иной ЭВМ), заблокировав возможность несанкционированного доступа к персональным данным субъектов;

8.14.3. при уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия ответственного за обработку персональных данных пользователей информационных ресурсов Оператора на своем рабочем месте, он передает документы и иные носители, содержащие персональные данные субъектов лицу, на которое локальным актом Оператора (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. Учетная запись отсутствующего сотрудника блокируется, замещающий сотрудник осуществляет разрешенные с персональными данными субъектов действия из личной учетной записи.

8.14.4. в случае если замещающий ответственный за обработку персональных данных пользователей информационных ресурсов Оператора не назначен, то документы и иные носители, содержащие персональные данные субъектов, передаются непосредственно руководителю Оператора.

8.14.5. при увольнении ответственного за обработку персональных данных пользователей информационных ресурсов Оператора, имеющего доступ к персональным данным субъектов, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным субъектов в соответствии с соглашением о конфиденциальности / по приказу руководителя Оператора.

8.14.6. в целях выполнения порученного задания и на основании соглашения о конфиденциальности / служебной записки с положительной резолюцией руководителя Оператора, доступ к персональным данным потребителей услуг/покупателей товаров Оператора может быть предоставлен иному ответственному за обработку персональных данных пользователей информационных ресурсов Оператора. Допуск к персональным данным субъектов других сотрудников Оператора/третьих лиц, не имеющих надлежащим образом оформленного доступа, запрещен.

8.14.7. в целях соблюдения требований конфиденциальности доступа к персональным данным потребителей услуг/покупателей товаров Оператор третьих лиц регламентируется соглашением о неразглашении конфиденциальных данных (соглашением о конфиденциальности), содержание которого зависит от перечня персональных данных, конфиденциальность которых должно обеспечить третье лицо.

8.15. Хранение персональных данных:

8.15.1. Персональные данные субъектов, поступившие посредством информационных ресурсов Оператора Оператору, хранятся: на выделенном сервере, расположенном на территории Российской Федерации.

8.15.2. Персональные данные субъектов, поступившие посредством информационных ресурсов Оператора третьему лицу, хранятся на серверах, расположенных на территории Российской Федерации, конкретное место расположения которых определяется третьими лицами, в зависимости от их политик конфиденциальности.

8.15.3. Персональные данные потребителей услуг на бумажных носителях, хранятся в запирающихся шкафах (сейфах) Оператора, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные субъектов, помещаются в шкафы (сейфы).

8.16. Защита доступа к электронным базам данных, содержащим персональные данные субъектов, обеспечивается:

8.16.1. Использованием лицензионных специализированных программных, программно-аппаратных средств, предназначенных для защиты от актуальных угроз и не допускающих несанкционированный вход в локальный компьютер Оператора, в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 № 1119.

8.16.2. Применением HTTPS и SSL-сертификатов, на которых работает все сайт Оператора. Сайт Оператора по умолчанию работает по защищенному протоколу HTTPS. Замочек в адресной строке браузера подтверждает наличие защиты и действительность сертификатов. Это означает, что данные между браузером посетителя сайта Оператора / потребителя услуг/товаров Оператора, и серверами Сайта передаются в зашифрованном виде. Это позволяет обеспечить защиту персональных данных субъектов персональных данных-пользователей Сайта Оператора от перехвата и получения доступа к их персональным данным в процессе их передачи от пользователя — субъекта персональных данных — Оператору. SSL-сертификаты для Сайта Оператора, продлеваются автоматически.

8.16.3. Разграничением прав доступа с использованием учетных записей для каждого сотрудника / третьего лица.

8.16.4. Установлением пароля на папку в электронной почте/облаке Оператора, содержащую персональные данные субъектов.

8.16.5. Установлением правила, в соответствии с которым копировать и делать выписки из административной части канала информационных ресурсов Оператора, содержащих персональные данные субъектов, разрешается исключительно в служебных целях.

8.16.6. Путем предоставления ответов на письменные запросы других организаций и учреждений о персональных данных субъектов только с письменного согласия самого Субъекта персональных данных, если иное не установлено законодательством Российской Федерации. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных субъектов.

8.17. Законные представители получателя услуг/покупателя товаров Оператора — субъекта персональных данных, а также его близкие родственники, которых потребитель услуг/покупатель товаров (законный представитель потребителя услуг/покупателя товаров) собственноручно укажет в согласии на обработку персональных данных, имеют право на получение информации о потребителе услуг/покупателе товаров Оператора, в том числе после его смерти.

8.18. Оператор не осуществляет трансграничную передачу персональных данных субъектов. Оператором и третьими лицами, обрабатывающими персональные данные потребителей услуг/товаров Оператора, с которыми Оператор заключил соответствующие договоры на оказание услуг и соглашение конфиденциальности, используются базы данных, находящиеся на территории Российской Федерации.

8.19. Персональные данные субъектов могут быть переданы Оператором уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

9. АКТУАЛИЗАЦИЯ, БЛОКИРОВКА, ОБЕЗЛИЧИВАНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В случае выявления неточностей в персональных данных, Субъект или его представитель могут актуализировать их путем направления Оператору уведомления на адрес электронной почты Оператора policy@vitameal.com с пометкой «Актуализация персональных данных», либо по письменному заявлению потребителя услуг/покупателя товаров Оператора.

9.2. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу, или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокировку персональных данных, относящихся к этому Субъекту персональных. Блокировка персональных данных осуществляется по письменному заявлению лиц, перечисленных в настоящем пункте Политики.

9.3. Блокировка персональных данных подразумевает:

9.3.1. Запрет редактирования персональных данных.

9.3.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовой, мобильной связи, материальных носителей).

9.3.3. Изъятие бумажных документов, относящихся к субъекту персональных данных и содержащих его персональные данные из внутреннего документооборота Оператора и запрет их использования.

9.3.4. Блокировка персональных данных субъекта персональных данных может быть временно снята, если это требуется для соблюдения законодательства РФ.

9.3.5. Разблокировка персональных данных Субъекта персональных данных осуществляется с его письменного согласия (при наличии необходимости получения согласия) или письменного заявления.

9.3.6. Повторное согласие Субъекта на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

9.4. Порядок обезличивания персональных данных:

9.4.1. Обезличивание персональных данных субъекта происходит по его письменному заявлению, при условии, что все договорные отношения завершены и с момента прекращения последнего договора прошло не менее 5 лет.

9.4.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту персональных данных.

9.4.3. Бумажные носители документов при обезличивании персональных данных уничтожаются в шредере (уровень секретности Р2-Р3, при устанавливаемой ширине фрагмента документа до 5 мм) либо иным способом путем многократного измельчения.

9.4.4. Оператор обеспечивает конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и производит обезличивание персональных данных в передаваемых разработчику информационных системах.

10. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Условием прекращения обработки персональных данных являются:

10.1.1. отзыв согласия субъекта персональных данных на обработку его персональных данных с учетом особенностей, установленных Российским федеральным законодательством и п. 8.3. настоящей Политики;

10.1.2. достижение целей обработки персональных данных;

10.1.3. выявление неправомерной обработки персональных данных;

10.1.4. ликвидация Оператора.

10.2. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора policy@vitameal.com с пометкой «Отзыв согласия на обработку персональных данных».

В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона «О персональных данных». Указанный срок может быть продлен на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10.3. После истечения срока нормативного хранения документов, которые содержат персональные данные субъектов, документы подлежат уничтожению. Для этого Оператор создает комиссию либо единолично проводит оценку ценности документов. В ходе проведения оценки комиссия либо Оператор отбирает документы с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению.

10.4. Уничтожение персональных данных субъекта подразумевает прекращение какого-либо доступа к его персональным данным.

10.5. При уничтожении персональных данных субъекта сотрудники Оператора и сам Оператор не могут получить доступ к его персональным данным в информационных системах ЭВМ и в Облачных системах хранения.

10.6. Персональные данные в электронном виде стираются с информационных носителей, в том числе из мест временного хранения удаленных файлов (из так называемой «Корзины»), либо физически уничтожаются сами носители, на которых хранится информация.

10.7. Бумажные носители документов при уничтожении персональных данных уничтожаются в шредере (уровень секретности Р2-Р3, при устанавливаемой ширине фрагмента документа до 5 мм) либо иным способом путем многократного измельчения.

10.8. Персональные данные восстановлению не подлежат. Операция уничтожения персональных данных необратима.

10.9. Срок, после которого возможна операция уничтожения персональных данных Контрагента, определяется окончанием срока, указанным в пункте 8.3. настоящей Политики.

11. ПОРЯДОК ДЕЙСТВИЙ ОПЕРАТОРА ПРИ УТРАТЕ ИЛИ
РАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА

11.1. При утрате или разглашении персональных данных субъекта Оператор информирует Субъект об утрате или разглашении его персональных данных.

11.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта, давшего согласие на обработку своих персональных данных, Оператор с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (Управление Роскомнадзора по Центральному федеральному округу):

11.2.1. В течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Управлением Роскомнадзора, по вопросам, связанным с выявленным инцидентом;

11.2.2. В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, о лицах, действия которых стали причиной выявленного инцидента (при наличии).

12. ОБЯЗАТЕЛЬСТВА ПО КОНФИДЕНЦИАЛЬНОСТИ

Оператор гарантирует:

12.1. Использовать полученную информацию исключительно для целей, указанных в настоящей Политике.

12.2. Обеспечивать хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование.

12.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Субъекта согласно порядку, обычно используемому для защиты такого рода информации в существующем деловом обороте.

12.4. Осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или запроса субъекта или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных (по заявлению субъекта персональных данных) или неправомерных действий.

13. ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА

13.1. Оператор, не исполнивший свои обязательства, несёт ответственность за убытки, понесённые субъектом персональных данных в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных настоящей Политикой.

13.2. В случае утраты или разглашения конфиденциальной информации Оператор не несёт ответственность, если данная конфиденциальная информация:

13.2.1. Стала публичным достоянием до её утраты или разглашения.

13.2.2. Была получена от третьей стороны до момента её получения Оператором.

13.2.3. Была разглашена с согласия потребителя.

13.3. Оператор несет ответственность за действия третьих лиц, которым он передает данные, как за свои собственные. Оператор обязуется заключать с такими лицами соответствующие договоры, предусмотренные ч. 3 ст. 6 Федерального закона 152-ФЗ, в том числе соглашения о конфиденциальности, и принимать все разумные меры для обеспечения надлежащего уровня защиты данных ими.

14. РАЗРЕШЕНИЕ СПОРОВ

14.1. До обращения в суд с иском по спорам, возникающим из отношений между субъектом персональных данных и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

14.2 Получатель претензии в течение 30 календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

14.3. При недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством Российской Федерации.

14.4. К настоящей Политике и отношениям между субъектами персональных данных и Оператором применяется действующее законодательство Российской Федерации.

15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

15.1. Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных.

15.2. На основании п. 2. Ст. 9 Федерального закона № 152-ФЗ «О персональных данных», в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона и с особенностями, установленными п. 8.3. настоящей Политики.

15.3. Новая Политика вступает в силу с момента ее утверждения Оператором и размещения Политики на сайте Оператора по адресу: https://vitameal.com/policy/personal/, а также ссылки на нее в разделе информации в карточке аккаунта Оператора в информационном ресурсе Оператора (в случае наличия такой технической возможности).

15.4. Все предложения или вопросы по настоящей Политике следует сообщать по адресу электронной почты policy@vitameal.com.

 

 

ПРИЛОЖЕНИЕ 

к Политике конфиденциальности и обработки персональных данных потребителей услуг и продукции, участников партнерских (реферальных) программ ООО «ЗОЖ»

 

Перечень третьих лиц, имеющих доступ к персональным данным клиентов
ООО «ЗОЖ» и реквизиты адресов для отзыва согласия на обработку персональных данных/актуализации данных субъектом персональных данных

1. Сервис обработки данных клиентов

Общество с ограниченной ответственностью «1С-Битрикс» (ИНН 7717586110), расположенное по адресу: ООО «1С-Битрикс» 109544, г. Москва, б-р Энтузиастов, д. 2, 13 этаж).

«Политика обработки персональных данных и информации» ООО «1С-Битрикс», расположена по адресу: https://www.bitrix24.ru/about/privacy.php.

Отзыв согласия на обработку персональных данных, согласия на их распространение, предоставленные субъектом персональных данных ООО «ЗОЖ» может быть направлено в ООО «ЗОЖ» по адресу электронной почты: policy@vitameal.com, а также в ООО «1С-Битрикс» по адресу электронной почты: privacy@1c-bitrix.ru.

2. Сервис электронного документооборота

Акционерное общество "ПФ «СКБ Контур» (ИНН 6663003127), расположенное по адресу: Российская Федерация, 620144, Свердловская обл., г. Екатеринбург, ул. Народной Воли, 19А.

Политика конфиденциальности https://kontur.ru/about/policy

Предложения и замечания для внесения изменений в Политику заинтересованные лица могут направлять по адресу policy@skbkontur.ru.

3. Сервис обслуживания сайта Оператора

Общество с ограниченной ответственностью «ВИПРО» (ИНН 7726417140, расположенное по адресу: 117105, г. Москва, Варшавское шоссе, д. 1, стр. 1–2, эт. 6, ком. 33 (рмх)).

Согласие на обработку персональных данных клиентов: https://www.vipro.ru/privacy/; контактные данные: +74956320224, адрес электронной почты: info@vipro.ru

4. Платежные сервисы

4.1. При оплате заказа с использованием платежной карты ввод реквизитов карты происходит на странице платежной формы банка «ТБанк», прошедшей сертификацию в платежных системах Visa, Mastercard и Мир на совершение операций с аутентификацией 3-D Secure. Представленные субъектом персональные данные полностью защищены в рамках стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard) и никто, включая Оператора персональных данных, не может их получить.

4.2. Оформление чека и сбор данных для его оформления осуществляется
ООО «ПЕТЕР-СЕРВИС Спецтехнологии» (ИНН 7841465198, расположенное по адресу: 115191, г. Москва, вн. тер. г. муниципальный округ Даниловский, пер. Холодильный, д. 3).

Политика конфиденциальности: https://static.ofd.ru/ofdru/politic/privacy_policy.pdf.

Отзыв согласия на обработку персональных данных по адресу электронной почты: ofd@ofd.ru,
Чат поддержки: @OFDru_vse_uslugi_bot

5. Почтовые/курьерские службы

5.1. ООО «СДЭК-ГЛОБАЛ» (ИНН 7722327689, Юридический адрес: 630007, Новосибирская область, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, этаж 1, 2).

Политика безопасности, расположенная по адресу: https://www.cdek.ru/ru/privacy_policy/.

Отзыв согласия на обработку персональных данных направлять по адресу электронной почты: pretenzia@cdek.ru.

5.2. ООО Яндекс.Доставка (ИНН 7716760301, Юридический адрес: 123112, г. Москва, вн. тер. г. муниципальный округ Пресненский, 1-й Красногвардейский проезд, д. 22, стр. 1, этаж 13, помещ. 13–40).

Политика конфиденциальности: https://yandex.ru/legal/confidential/.

Направить обращение лицу, ответственному за организацию обработки персональных данных (Data Protection Officer), можно по адресу электронной почты: для России: fz152@yandex-team.ru, для других стран: gdpr@yandex-team.ru.