Настоящий документ определяет политику ООО «Смартвэй,121205, Москва г., тер. Сколково инновационного центра, б-р Большой, д. 42, стр. 1, этаж 0 цоколь, пом. 137 часть, РМ27 (далее — Оператор или Общество) в отношении обработки персональных данных и раскрывает сведения о реализованных мерах по обеспечению безопасности персональных данных у Оператора с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.

Политика является документом, к которому обеспечен неограниченный доступ.
Для обеспечения неограниченного доступа Политика опубликована на официальном сайте Оператора по адресу: https://smartway.today/, а также на тех страницах сайта, где осуществляется сбор персональных данных.

В Политике используются термины, которые содержатся в Федеральном законе от 27.07.2006 г. № 152 «О персональных данных» (далее – Закон о персональных данных).

2.1 Оператор осуществляет обработку персональных данных физических лиц - пользователей интернет-ресурсов и мобильных приложений в следующих целях:

• Регистрация и последующая идентификация (авторизация) пользователей
• Проведение демонстрации функционала сервиса
• Предоставление обратной связи по вопросам сотрудничества с Обществом
• Направление пользователю новостной рассылки, записей вебинаров и других мероприятий, рекламы и иных сведений от имени Общества или от имени партнеров Общества
• Сбор, обработка и анализ статистических данных, больших данных и других исследований

В этом случае Оператор может обрабатывать следующие категории персональных данных:

• ФИО
• название компании
• адрес электронной почты
• номер телефона
• сведения, собираемые посредством метрических программ
• данные, которые характеризуют пользователя или его устройства (файлы cookies, IP-адрес, тип используемого мобильного устройства и операционной системы устройства, браузер, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, информация о сессии на сайте)

Обработка специальных категорий персональных данных и биометрических персональных данных в целях, указанных в п. 2.1. Политики, Оператором не осуществляется.

2.2 Оператор осуществляет обработку персональных данных
физических лиц – сотрудников контрагентов Общества, которые предоставили согласие на передачу Обществу их персональных данных
и физических лиц, представляющих интересы контрагентов (в том числе потенциальных контрагентов) Общества (представители юридических лиц) в следующих целях:

• Реализации прав и исполнение обязательств перед контрагентами по заключенным договорам
• Предоставление обновлений функционала, новостной рассылки, рекламы и иных сведений от имени Общества или от имени партнеров Общества.
• Сбор, обработка и представление статистических данных, больших данных и других исследований.
• Выявление угроз безопасности для сервисов, пользователей, Общества и/или третьих лиц, в том числе проверка благонадежности при заключении договоров

В этом случае Оператор может обрабатывать следующие категории персональных данных:

• ФИО
• дата рождения
• гражданство
• пол
• номер мобильного телефона
• адрес электронной почты
• отдел, табельный номер сотрудника
• серия и номер паспорта, номер и срок действия заграничного паспорта;
• реквизиты бонусной карты РЖД / авиакомпании

Обработка специальных категорий персональных данных и биометрических персональных данных в целях, указанных в п. 2.2. Политики, Оператором не осуществляется.
С целью реализации прав и исполнения обязательств перед контрагентами по заключенным договорам, а именно: приобретение авиабилетов или иных услуг для лиц, указанных в п. 2.2. Политики, оператор может осуществлять трансграничную передачу персональных данных указанных лиц на территорию иностранного государства:

• Республика Турция, которая является стороной Конвенции Совета Европы и включена в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (утвержден Приказом Роскомнадзора № 128 от 05.08.2022 г.).

2.3 В дополнение к целям, описанным выше, оператор осуществляет обработку персональных данных с целью заключения и исполнения трудовых договоров, привлечения и отбора кандидатов на работу в Обществе, заключения и исполнения гражданско-правовых договоров с физическими лицами и самозанятыми.
Перечень персональных данных, которые обрабатываются в этих целях, категории субъектов, способы, сроки обработки, хранения персональных данных и иная информация, содержится в Положении об обработке персональных данных и локальных актах по вопросам обработки персональных данных Общества, с которыми субъекты персональных данных из п. 2.3 знакомятся в дополнение к настоящей Политике.

6.1 Сookies — это небольшой фрагмент данных, который веб-сайт запрашивает у браузера, используемого на вашем компьютере или мобильном устройстве. Cookies отражают предпочтения пользователя или его действия на сайте, а также сведения об оборудовании пользователя, дате и времени сессии.
Cookies используются Оператором в целях улучшения работы сервисов Оператора, а также предоставления целевой информации по продуктам и услугам.

6.2 Отказаться от обработки Cookies можно в настройках своего браузера. В случае отказа сайт будет использовать только обязательные файлы-Cookies.

6.3 Для обработки полученных данных на сайте Оператора https://smartway.today/ могут использоваться программные средства сбора метрических данных - Google Analytics и Яндекс.Метрика.
Сведения, полученные через метрические программы, используются только в целях, указанных в п. 6.1. и не объединяются / не коррелируются с иными персональными данными субъектов.

4.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных
• иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

4.2 Указанные в п. 4.1. сведения предоставляются субъекту персональных данных (или его представителю) Оператором в течение 10 рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных (или его представителя).
Этот срок может быть продлен не более чем на 5 рабочих дней (в этом случае Оператор направит в адрес субъекта персональных данных мотивированное уведомление с указанием причин продления срока).

4.3 Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.

4.4 Запрос направляется по адресу 125040, г. Москва, ул. Правды, д.8 корп.13, подъезд 1, этаж 5, либо help@smartway.today (для электронных документов, подписанных электронной подписью в соответствии с законодательством РФ).

Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним НПА.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним НПА, если иное не предусмотрено Законом о персональных данных и принятыми в соответствии с ним НПА.
Такие меры, в частности, включают в себя:
1) Назначение лица, ответственного за организацию обработки персональных данных.
2) Издание документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
3) Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных, в частности:

• определение угроз безопасности персональных данных при их обработке и формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты персональных данных;
• проверка готовности и эффективности использования средств защиты информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации, регистрация и учет действий пользователей информационных систем персональных данных использование антивирусных средств и средств восстановления системы защиты персональных данных и др.

4) Осуществление внутреннего контроля соответствия обработки персональных данных требованиям законов и нормативных правовых актов, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.
5) Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства РФ.
6) Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами Оператора по вопросам обработки персональных данных, проведено обучение работников.

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

3.1 Обработка персональных данных может включать в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.2 Указанные действия осуществляются Оператором как с использованием средств автоматизации, так и без использования таких средств.

3.3 Обработка персональных осуществляется Оператором с соблюдением принципов и правил, предусмотренных Законом о персональных данных, в следующих случаях:

• с согласия субъекта персональных данных на обработку его персональных данных;
• когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
• когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Обработка персональных данных может осуществляться также в иных случаях, поименованных в ч. 1 ст. 6 Закона о персональных данных.

3.4 Сроки обработки и хранения персональных данных установлены в зависимости от целей их обработки.
Для целей, установленных п. 2.1. Политики:

• до достижения цели обработки персональных данных

Для целей, установленных п. 2.2. Политики:

• в течение срока действия договора и в течение 5 лет после.

3.5 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных или его представителем в любое время. Такой отзыв должен быть направлен по адресу 125040, г. Москва, ул. Правды, д.8 корп.13, подъезд 1, этаж 5 (в письменной форме) либо help@smartway.today (в электронной форме).

3.6 По достижению цели обработки персональных данных или в случае отзыва субъектом персональных данных согласия на обработку, Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

3.7 Уничтожение персональных данных Оператор обеспечивает следующими способами:

• Бумажные носители информации уничтожаются путем их измельчения (например, в уничтожителе бумаги);
• Машиночитаемые носители (HDD/SSD, CD/DVD-диски, USB-носители и др.) уничтожаются путем деформирования или нарушения единой целостности носителя;
• Файлы с персональными данными, размещенные на жестком диске информационной системы персональных данных, уничтожаются путем его форматирования (полного или частичного).

3.8 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.