1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных и конфиденциальности (далее — Политика) определяет порядок и условия обработки персональных данных, а также меры по обеспечению их безопасности, применяемые Обществом с ограниченной ответственностью «БОЛЬШАЯ ИГРА» (далее — Оператор).
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными применимыми нормативными правовыми актами Российской Федерации.
1.3. Сведения об Операторе:
– полное наименование: Общество с ограниченной ответственностью «БОЛЬШАЯ ИГРА»;
– ОГРН: 1227300004755;
– ИНН: 7300001047;
– адрес: 432071, г. Ульяновск, ул. Федерации, д. 8, офис 15;
– адрес электронной почты для обращений по вопросам персональных данных: info@igra.show.
1.4. Политика применяется к обработке персональных данных, осуществляемой Оператором при использовании любых электронных ресурсов, которые принадлежат Оператору, администрируются им либо используются им в деятельности, в том числе веб-сайтов, лендингов, электронных форм, форм обратной связи, страниц и сообществ в социальных сетях, мессенджеров, виджетов, рекламных и регистрационных форм, иных информационных ресурсов и цифровых каналов взаимодействия (далее совместно — Электронные ресурсы).
1.5. Если взаимодействие происходит на платформе третьего лица (например, в социальной сети, мессенджере, на билетной или иной внешней платформе), такое третье лицо может самостоятельно обрабатывать данные пользователя в соответствии со своими документами и правилами. Настоящая Политика регулирует только обработку, осуществляемую ООО «БОЛЬШАЯ ИГРА» как Оператором.
1.6. Политика является общедоступным документом. Оператор обеспечивает доступ к актуальной версии Политики на Электронных ресурсах, где осуществляется сбор персональных данных, посредством ссылки, интерфейса формы либо иным технически доступным способом.
1.7. Ознакомление с Политикой или использование Электронного ресурса само по себе не является согласием на обработку персональных данных в случаях, когда законодательство требует получения согласия. Такое согласие оформляется отдельно от иных информации и документов. Согласие на получение рекламных сообщений также оформляется отдельно.
2. Основные понятия
2.1. Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных: временное прекращение обработки персональных данных, кроме случаев, когда обработка необходима для их уточнения.
2.3. Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Обезличивание персональных данных: действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту.
2.5. Обработка персональных данных: любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
2.6. Персональные данные: любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
2.7. Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.8. Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.9. Субъект персональных данных: физическое лицо, к которому относятся персональные данные.
2.10. Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства иностранному органу власти, иностранному физическому или юридическому лицу.
2.11. Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) уничтожаются материальные носители персональных данных.
2.12. Cookie: небольшие фрагменты данных, которые сохраняются на устройстве пользователя и могут использоваться для работы Электронного ресурса, запоминания настроек, аналитики и иных заявленных целей.
3. Принципы и правовые основания обработки персональных данных
3.1. обработка осуществляется на законной и справедливой основе;
3.2. обработка ограничивается достижением конкретных, заранее определенных и законных целей;
3.3. не допускается объединение баз данных, обработка которых осуществляется в несовместимых целях;
3.4. обрабатываются только персональные данные, которые необходимы и достаточны для заявленных целей;
3.5. не допускается избыточность персональных данных;
3.6. Оператор принимает меры по обеспечению точности и актуальности персональных данных;
3.7. персональные данные хранятся не дольше, чем этого требуют цели обработки или применимое законодательство;
3.8. по достижении целей обработки персональные данные уничтожаются либо обезличиваются, если отсутствуют законные основания для их дальнейшей обработки.
3.9. Правовыми основаниями обработки персональных данных являются, в зависимости от конкретной цели:
– согласие субъекта персональных данных;
– необходимость заключения или исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также действия по инициативе субъекта до заключения договора;
– исполнение обязанностей и осуществление полномочий, возложенных на Оператора законодательством Российской Федерации;
– осуществление прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
– иные основания, прямо предусмотренные законодательством Российской Федерации.
3.10. Обязанность подтвердить наличие согласия или иного законного основания обработки персональных данных лежит на Операторе.
4. Категории субъектов и состав обрабатываемых персональных данных
4.1. Оператор может обрабатывать персональные данные следующих категорий субъектов:
– посетители и пользователи Электронных ресурсов;
– лица, направляющие заявки, обращения, вопросы, отзывы и иные сообщения;
– лица, заинтересованные в мероприятиях, проектах и услугах Оператора;
– получатели информационных и рекламных сообщений, предоставившие соответствующее отдельное согласие;
– клиенты, заказчики, контрагенты и представители контрагентов — в части взаимодействия через Электронные ресурсы;
– участники акций, конкурсов, розыгрышей и иных активностей, если такие активности проводятся Оператором.
4.2. В зависимости от цели и способа взаимодействия Оператор может обрабатывать следующие категории персональных данных:
– фамилия, имя, отчество — если они сообщены субъектом или необходимы для конкретной цели;
– номер телефона;
– адрес электронной почты;
– город и (или) регион;
– идентификатор, имя пользователя или иные сведения профиля в социальной сети или мессенджере, доступные Оператору в связи с обращением субъекта;
– содержание обращения, заявки, отзыва или переписки;
– сведения о выбранном мероприятии, интересе к проекту, заявке или ином действии пользователя;
– технические данные: IP-адрес, сведения о браузере и устройстве, операционной системе, языке, дате и времени доступа, адресе страницы перехода, действиях на Электронном ресурсе, cookie и аналогичных идентификаторах.
4.3. Оператор не осуществляет целенаправленную обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни, а также не осуществляет целенаправленную обработку биометрических персональных данных.
4.4. Если субъект по собственной инициативе сообщает Оператору сведения, не требуемые для заявленной цели, Оператор вправе не использовать их и удалить, если отсутствует законное основание и необходимость дальнейшей обработки.
4.5. Оператор не запрашивает сведения о возрасте или дате рождения без необходимости. Такие сведения могут обрабатываться только если это объективно требуется для конкретного мероприятия, акции, возрастного ограничения или иной законной цели и отдельно предусмотрено соответствующей формой или документом.
5. Цели, состав данных, основания и сроки обработки
5.1. Обработка заявок, обращений и обратной связи.
Субъекты: пользователи Электронных ресурсов и лица, обратившиеся к Оператору.
Данные: имя и иные сообщенные идентификационные сведения, телефон, электронная почта, город или регион, сведения профиля в социальной сети или мессенджере, содержание обращения и иные данные, добровольно сообщенные в пределах цели обращения.
Цель: ответ на обращение, обработка заявки, связь с пользователем, предоставление запрошенной информации.
Основание: согласие субъекта, а также при наличии — действия по инициативе субъекта до заключения договора или исполнение договора.
Срок: до завершения обработки обращения и в течение 1 года после последнего содержательного взаимодействия, если более длительный срок не требуется для исполнения договора, рассмотрения претензий или исполнения закона.
5.2. Информирование о мероприятиях, проектах и организационных изменениях по запросу пользователя.
Субъекты: лица, запросившие информацию, оставившие заявку или связанные с конкретным мероприятием.
Данные: имя, телефон, электронная почта, город или регион, сведения о выбранном мероприятии или заявке.
Цель: направление запрошенной информации, организационных уведомлений, изменений даты, места или иных существенных сведений о мероприятии.
Основание: согласие, исполнение договора либо действия по инициативе субъекта до его заключения — в зависимости от ситуации.
Срок: до завершения соответствующего взаимодействия или мероприятия и не более 1 года после него, если отсутствуют иные законные основания для дальнейшего хранения.
5.3. Рекламные и маркетинговые сообщения.
Субъекты: лица, отдельно согласившиеся получать рекламу и информационно-рекламные сообщения.
Данные: имя, номер телефона, адрес электронной почты, идентификатор в социальной сети или мессенджере, город или регион, сведения об интересе к мероприятиям — в объеме, предоставленном субъектом и необходимом для рассылки.
Цель: направление рекламы, анонсов мероприятий, специальных предложений, новостей и иных маркетинговых сообщений.
Основание: отдельное предварительное согласие на получение рекламы и, когда это требуется, отдельное согласие на обработку персональных данных.
Срок: до отзыва соответствующего согласия либо прекращения цели обработки. Распространение рекламы в адрес лица прекращается немедленно после получения требования об отказе от нее.
5.4. Проведение акций, конкурсов, розыгрышей и иных активностей.
Субъекты: участники соответствующей активности.
Данные: имя, контактные данные, город или регион, идентификатор профиля, сведения об участии и иные данные, прямо указанные в условиях конкретной активности.
Цель: регистрация участия, проведение активности, определение и связь с победителями, передача результата или приза, исполнение обязанностей, установленных правилами и законом.
Основание: согласие, правила соответствующей активности, договорные отношения и (или) требования законодательства — в зависимости от конкретной ситуации.
Срок: до завершения активности и исполнения связанных с ней обязанностей, затем не более 1 года, если более длительный срок не требуется законом, налоговым учетом, договором или для разрешения споров.
5.5. Аналитика работы Электронных ресурсов и улучшение пользовательского опыта.
Субъекты: посетители Электронных ресурсов.
Данные: IP-адрес, cookie, сведения о браузере, устройстве и операционной системе, источник перехода, дата и время доступа, действия на страницах и иные технические данные.
Цель: обеспечение работоспособности ресурсов, анализ посещаемости и эффективности, улучшение содержания и интерфейсов, выявление технических ошибок.
Основание: согласие пользователя — когда оно требуется для конкретного вида технологии, а для строго необходимых технических операций — необходимость обеспечения работоспособности и безопасности ресурса и законные интересы Оператора при соблюдении прав пользователя.
Срок: в течение срока действия соответствующих cookie и журналов событий; как правило, не более 2 лет, если более короткий срок не установлен настройками используемого сервиса или самим Оператором.
5.6. Обеспечение информационной безопасности и защита прав Оператора и пользователей.
Субъекты: пользователи Электронных ресурсов и лица, взаимодействующие с ними.
Данные: IP-адрес, технические журналы, дата и время действий, сведения об устройстве и иных событиях безопасности.
Цель: предотвращение мошенничества, несанкционированного доступа, злоупотреблений и технических атак, расследование инцидентов, защита законных прав и интересов.
Основание: исполнение требований законодательства и законные интересы Оператора при условии соблюдения прав и свобод субъектов.
Срок: как правило, не более 1 года с момента события, если более длительное хранение не требуется для расследования инцидента, исполнения закона или защиты прав в споре.
5.7. Исполнение договора, требований законодательства, бухгалтерского и иного обязательного учета, рассмотрение претензий и защита прав.
Субъекты: клиенты, заказчики, контрагенты, их представители и иные лица, данные которых необходимы для соответствующей цели.
Данные: в объеме, необходимом для заключения и исполнения договора, обязательного учета, ответа на претензию или защиты прав.
Основание: договор, закон, исполнение обязанностей Оператора и иные предусмотренные законом основания.
Срок: в течение сроков, установленных применимым законодательством, договором, правилами обязательного учета и сроками исковой давности.
5.8. Оператор не использует персональные данные для целей, несовместимых с целями, для которых они были получены, без наличия самостоятельного законного основания.
6. Порядок и способы обработки персональных данных
6.1. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств.
6.2. Оператор может совершать следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
6.3. Персональные данные, требующие согласия, предоставляются субъектом добровольно. Молчание, бездействие, заранее проставленная отметка или само по себе продолжение использования Электронного ресурса не заменяют отдельного согласия в случаях, когда такое согласие требуется законом.
6.4. Формы сбора персональных данных должны запрашивать только те сведения, которые необходимы для соответствующей цели. В случаях, когда основанием является согласие, пользователю предоставляется возможность отдельно выразить такое согласие и ознакомиться с соответствующим текстом до отправки данных.
6.5. При сборе персональных данных граждан Российской Федерации, в том числе через сеть Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся на территории Российской Федерации, кроме случаев, прямо предусмотренных законом.
7. Cookie, аналитические и технические технологии
7.1. Электронные ресурсы могут использовать cookie и аналогичные технологии. Они могут быть:
– строго необходимыми — для работы ресурса, безопасности, сохранения технических настроек и выполнения действий пользователя;
– аналитическими — для оценки посещаемости, поведения пользователей и эффективности страниц;
– маркетинговыми — для оценки рекламных кампаний и показа релевантных предложений, если такие технологии фактически используются и для них имеется требуемое законом основание.
7.2. Пользователь может ограничить или удалить cookie средствами браузера или устройства. Отключение строго необходимых cookie может повлиять на работу отдельных функций Электронного ресурса.
7.3. Оператор использует только те сторонние сервисы аналитики и иные технологии, которые фактически подключены к конкретному Электронному ресурсу. Состав таких сервисов может различаться между ресурсами. При подключении сервиса Оператор оценивает его роль, место хранения данных, необходимость передачи данных третьему лицу и иные требования законодательства.
8. Передача персональных данных третьим лицам и поручение обработки
8.1. Оператор не продает персональные данные и не предоставляет их третьим лицам для самостоятельного использования в целях, не связанных с заявленными целями обработки, если на это отсутствует отдельное законное основание.
8.2. Для достижения заявленных целей Оператор может привлекать третьих лиц и поручать им обработку персональных данных либо предоставлять им минимально необходимый доступ, в частности следующим категориям получателей:
– поставщики хостинга, облачной инфраструктуры, баз данных и иных ИТ-сервисов;
– поставщики CRM-систем, сервисов коммуникации, электронной почты, SMS, мессенджеров, телефонии и технической поддержки;
– поставщики сервисов аналитики, рекламных кабинетов, форм и виджетов — в объеме, необходимом для заявленной цели;
– подрядчики, обеспечивающие техническую работу Электронных ресурсов и проведение отдельных проектов или мероприятий;
– билетные операторы и иные партнеры — когда передача необходима для выполнения запроса пользователя, оформления заказа или исполнения соответствующего взаимодействия;
– государственные органы и иные лица — в случаях и порядке, установленных законом.
8.3. При поручении обработки персональных данных Оператор определяет перечень данных, цели, действия с ними, требования к конфиденциальности и безопасности, а также иные обязательные условия. Лицо, обрабатывающее данные по поручению Оператора, обязано соблюдать установленные требования.
8.4. Если пользователь самостоятельно переходит по ссылке на сайт билетного оператора, платежного сервиса, социальной сети, мессенджера или иной внешней платформы и передает данные непосредственно этому лицу, такое лицо самостоятельно определяет условия своей обработки. Пользователю следует ознакомиться с документами соответствующей платформы.
8.5. Если Оператор передает персональные данные независимому оператору, такая передача осуществляется только при наличии законного основания и в объеме, необходимом для конкретной цели.
9. Трансграничная передача и место хранения персональных данных
9.1. Основная обработка персональных данных граждан Российской Федерации организуется с соблюдением требований о локализации баз данных на территории Российской Федерации.
9.2. Оператор не осуществляет трансграничную передачу персональных данных без предварительного выполнения требований законодательства Российской Федерации.
9.3. До начала планируемой трансграничной передачи Оператор, когда это требуется законом, отдельно уведомляет уполномоченный орган по защите прав субъектов персональных данных, оценивает условия обработки в государстве-получателе, получает необходимые сведения от иностранного получателя и выполняет иные обязательные процедуры.
9.4. Если для конкретной трансграничной передачи требуется согласие субъекта, оно оформляется отдельно и до начала такой передачи.
10. Права субъектов персональных данных и порядок обращений
10.1. Субъект персональных данных вправе:
– получать информацию, касающуюся обработки его персональных данных;
– требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не требуются для заявленной цели;
– отозвать ранее предоставленное согласие на обработку персональных данных;
– отказаться от рекламных сообщений и потребовать немедленно прекратить их распространение в его адрес;
– обжаловать действия или бездействие Оператора в Роскомнадзор или в суд;
– осуществлять иные права, предусмотренные законодательством Российской Федерации.
10.2. Для реализации прав субъект может направить обращение:
– по электронной почте: info@igra.show;
– по почтовому адресу: 432071, г. Ульяновск, ул. Федерации, д. 8, офис 15.
10.3. Обращение должно позволять идентифицировать заявителя и понять содержание требования. Оператор вправе запросить сведения, необходимые для подтверждения личности заявителя и предотвращения раскрытия данных постороннему лицу.
10.4. Информация по запросу субъекта предоставляется в течение 10 рабочих дней с даты получения запроса. Этот срок может быть продлен не более чем на 5 рабочих дней при направлении мотивированного уведомления с указанием причин продления.
10.5. При подтверждении того, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит необходимые изменения в срок, установленный законом. При подтверждении того, что данные получены незаконно или не нужны для заявленной цели, Оператор уничтожает их в срок, установленный законом.
10.6. При отзыве согласия Оператор прекращает обработку, основанную исключительно на таком согласии, и при отсутствии иных законных оснований уничтожает данные в срок не более 30 дней с даты получения отзыва, если иной срок не установлен законом или договором.
10.7. Отзыв согласия не влияет на законность обработки, осуществленной до момента его получения, и не прекращает обработку, если у Оператора сохраняется иное законное основание.
11. Конфиденциальность и безопасность персональных данных
11.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны соблюдать конфиденциальность и не раскрывать данные третьим лицам и не распространять их без законного основания.
11.2. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
11.3. В зависимости от характера обработки такие меры могут включать:
– назначение лица, ответственного за организацию обработки персональных данных;
– принятие локальных актов и установление правил доступа к данным;
– ограничение доступа работников и подрядчиков по принципу необходимости;
– учет и контроль действий с информационными системами;
– использование средств аутентификации, резервного копирования, обновления и защиты инфраструктуры;
– оценку вреда, рисков и эффективности применяемых мер;
– обучение и информирование лиц, допущенных к обработке персональных данных.
11.4. В случае инцидента, связанного с неправомерной или случайной передачей (предоставлением, распространением, доступом) персональных данных и повлекшего нарушение прав субъектов, Оператор действует в соответствии с установленным законом порядком, включая уведомление уполномоченного органа в предусмотренные сроки и проведение внутреннего расследования.
12. Персональные данные несовершеннолетних
12.1. Оператор не ориентирует формы общего назначения на самостоятельное предоставление персональных данных малолетними лицами.
12.2. Если обработка данных несовершеннолетнего необходима для конкретного мероприятия, акции или иного законного взаимодействия, Оператор определяет соответствующее правовое основание и при необходимости получает согласие законного представителя.
12.3. Если Оператору станет известно, что данные несовершеннолетнего были предоставлены без необходимого законного основания, Оператор принимает меры к прекращению такой обработки и удалению данных, если отсутствуют иные законные основания для их сохранения.
13. Обязанности Оператора
13.1. Оператор:
– организует обработку персональных данных в соответствии с законодательством Российской Федерации;
– публикует настоящую Политику и обеспечивает доступ к ней;
– получает согласия в тех случаях, когда они требуются, и обеспечивает возможность подтвердить факт их получения;
– отвечает на обращения субъектов и уполномоченного органа в установленные законом сроки;
– актуализирует сведения, поданные в уполномоченный орган, когда такая обязанность возникает;
– прекращает неправомерную обработку, блокирует, уточняет и уничтожает данные в случаях и сроки, предусмотренные законом;
– принимает меры по обеспечению безопасности и конфиденциальности персональных данных.
14. Заключительные положения
14.1. Настоящая Политика действует в отношении всех Электронных ресурсов Оператора независимо от их доменного имени, технической платформы и способа размещения, если через соответствующий ресурс ООО «БОЛЬШАЯ ИГРА» осуществляет сбор или иную обработку персональных данных.
14.2. Оператор вправе изменять Политику при изменении законодательства, процессов обработки, используемых технологий и сервисов. Новая редакция вступает в силу с момента публикации, если в ней не указано иное.
14.3. Для целей конкретной формы, акции, проекта или способа взаимодействия Оператор вправе размещать дополнительные уведомления и отдельные согласия. В случае противоречия отдельного согласия и настоящей Политики применяются условия соответствующего согласия в части конкретной обработки, для которой оно предоставлено, при соблюдении требований закона.
14.4. Вопросы по настоящей Политике и обработке персональных данных можно направлять по адресу: info@igra.show.
ООО «БОЛЬШАЯ ИГРА»
ОГРН: 1227300004755
ИНН: 7300001047
Адрес: 432071, г. Ульяновск, ул. Федерации, д. 8, офис 15
Email: info@igra.show