1. Общие положения
Настоящая политика обработки персональных данных составлена всоответствии стребованиями Федерального закона от27.07.2006. №152-ФЗ «Оперсональных данных» (далее - Закон оперсональных данных) иопределяет порядок обработки персональных данных имеры пообеспечению безопасности персональных данных, предпринимаемыеООО Аргумент(далее - Оператор).
1.1. Оператор ставит своей важнейшей целью иусловием осуществления своей деятельности соблюдение прав исвобод человека игражданина при обработке его персональных данных, втом числе защиты прав нанеприкосновенность частной жизни, личную исемейную тайну.
1.2. Настоящая политика (далее - Политика) действует в отношении всех персональных данных, обрабатываемых при осуществлении деятельности Оператора, в том числе в отношении персональных данных, которые Оператор может получить о посетителях веб-сайта https://sobyaninei.ru/
2. Основные понятия, используемые вПолитике
2.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе Пользователю веб-сайта https://sobyaninei.ru/.
2.2. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения).
2.3. Оператор (для целей настоящей Политики) - ООО Аргумент, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных - обработка персональных данных спомощью средств вычислительной техники.
2.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.7. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.8. Блокирование персональных данных - временное прекращение обработки персональных данных (заисключением случаев, если обработка необходима для уточнения персональных данных).
2.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.11. Информационная система персональных данных - совокупность содержащихся вбазах данных персональных данных иобеспечивающих ихобработку информационных технологий итехнических средств.
2.12. Веб-сайт - совокупность графических иинформационных материалов, атакже программ для ЭВМ ибаз данных, обеспечивающих ихдоступность всети интернет посетевому адресу https://sobyaninei.ru/.
2.13. Пользователь - любой посетитель веб-сайта https://sobyaninei.ru/.
2.14. Cookie – это небольшие фрагменты данных, которые веб-сайт сохраняет на устройстве (компьютере, смартфоне, планшете и пр.) Пользователя при его посещении, и отражают предпочтения или действия Пользователя на веб-сайте.
3. Основные права иобязанности Оператора
3.1. Оператор имеет право:
- получать отсубъекта персональных данных достоверные информацию и/илидокументы, содержащие персональные данные;
- вслучае отзыва субъектом персональных данных согласия наобработку персональных данных, атакже, направления обращения стребованием опрекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных вЗаконе оперсональных данных;
- самостоятельно определять состав иперечень мер, необходимых идостаточных для обеспечения выполнения обязанностей, предусмотренных Законом оперсональных данных ипринятыми всоответствии сним нормативными правовыми актами, если иное непредусмотрено Законом оперсональных данных или другими федеральными законами.
3.2. Оператор обязан:
- предоставлять субъекту персональных данных поего просьбе информацию, касающуюся обработки его персональных данных;
- организовывать обработку персональных данных впорядке, установленном действующим законодательствомРФ;
- отвечать наобращения изапросы субъектов персональных данных иихзаконных представителей всоответствии стребованиями Закона оперсональных данных;
- сообщать вуполномоченный орган позащите прав субъектов персональных данных позапросу этого органа необходимую информацию вустановленные законом сроки;
- публиковать или иным образом обеспечивать неограниченный доступ кнастоящей Политике вотношении обработки персональных данных;
- принимать правовые, организационные итехнические меры для защиты персональных данных отнеправомерного или случайного доступа кним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, атакже отиных неправомерных действий вотношении персональных данных;
- прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку иуничтожить персональные данные впорядке ислучаях, предусмотренных Законом оперсональных данных;
- исполнять иные обязанности, предусмотренные Законом оперсональных данных.
4. Основные права иобязанности субъектов персональных данных
4.1. Субъекты персональных данных имеют право:
- получать информацию, касающуюся обработки его персональных данных, заисключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором вдоступной форме, ивних недолжны содержаться персональные данные, относящиеся кдругим субъектам персональных данных, заисключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации ипорядок ееполучения установлен Законом оперсональных данных;
- требовать отОператора уточнения своих персональных данных, ихблокирования или уничтожения вслучае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или неявляются необходимыми для заявленной цели обработки, атакже принимать предусмотренные законом меры позащите своих прав;
- выдвигать условие получения предварительного согласия при обработке персональных данных вцелях продвижения нарынке товаров, работ иуслуг;
- наотзыв согласия наобработку персональных данных, атакже, нанаправление требования опрекращении обработки персональных данных;
- обжаловать вуполномоченный орган позащите прав субъектов персональных данных или всудебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
- наосуществление иных прав, предусмотренных законодательствомРФ.
4.1.1. Субъект персональных данных может реализовать права на получение информации, касающейся обработки его персональных данных, на отзыв согласия об обработке персональных данных, а также права на уточнение его персональных данных, их блокирование или уничтожение, обратившись к Оператору с соответствующим запросом с пометкой «О персональных данных»:
- заказным письмом с уведомлением о вручении либо с нарочным по адресу индекс, город, улица, дом, офис;
- по электронной почтеur.krd@yandex.ru.
В обоих случаях запрос должен быть оформлен с соблюдением требований раздела 9 настоящей Политики.
4.2. Субъекты персональных данных обязаны:
- предоставлять Оператору достоверные данные осебе.
4.3. Лица, передавшие Оператору недостоверные сведения осебе, либо сведения одругом субъекте персональных данных без согласия последнего, несут ответственность всоответствии сзаконодательствомРФ.
5. Принципы обработки персональных данных
5.1. Обработка персональных данных осуществляется назаконной исправедливой основе.
5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных изаконных целей. Недопускается обработка персональных данных, несовместимая сцелями сбора персональных данных.
5.3. Недопускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется вцелях, несовместимых между собой.
5.4. Обработке подлежат только персональные данные, которые отвечают целям ихобработки.
5.5. Содержание иобъем обрабатываемых персональных данных соответствуют заявленным целям обработки. Недопускается избыточность обрабатываемых персональных данных поотношению кзаявленным целям ихобработки.
5.6. При обработке персональных данных обеспечивается точность персональных данных, ихдостаточность, авнеобходимых случаях иактуальность поотношению кцелям обработки персональных данных. Оператор принимает необходимые меры и/илиобеспечивает ихпринятие поудалению или уточнению неполных или неточных данных.
5.7. Хранение персональных данных осуществляется вформе, позволяющей определить субъекта персональных данных, недольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных неустановлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, покоторому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются подостижении целей обработки или вслучае утраты необходимости вдостижении этих целей, если иное непредусмотрено федеральным законом.
6. Цели обработки персональных данных
| Цель обработки № 1 | Предоставление доступа ксервисам, информации и/илиматериалам, содержащимся навеб-сайте |
| Категории субъектов, персональные данные которых обрабатываются | Посетители веб-сайта |
| Категории персональных данных | 1) Общие персональные данные: фамилия, имя, отчество адрес электронной почты номер телефона 2) Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность): не обрабатываются 3) Специальные категории персональных данных: не обрабатываются |
| Правовое основание обработки персональных данных | Уставные (учредительные) документы Оператора Политика в отношении обработки персональных данных Оператора Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Виды обработки персональных данных |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, блокирование, удаление, уничтожение персональных данных |
| Способы обработки | Смешанная С передачей по внутренней сети юридического лица С передачей по сети Интернет |
| Цель обработки № 2 | Подготовка, заключение и исполнение гражданско-правовых договоров |
| Категории субъектов, персональные данные которых обрабатываются | Контрагенты Оператора Клиенты Оператора |
| Категории персональных данных | 1) Общие персональные данные: фамилия, имя, отчество адрес электронной почты номер телефона год, месяц, дата иместо рождения реквизиты документа, удостоверяющего личность идентификационный номер налогоплательщика, дата постановки его научет, реквизиты свидетельства постановки научет вналоговом органе адрес места жительства адрес регистрации 2) Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность): не обрабатываются 3) Специальные категории персональных данных: не обрабатываются |
| Правовые основания | Уставные (учредительные) документы Оператора Политика в отношении обработки персональных данных Оператора Договор между Оператором и субъектом персональных данных Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Виды обработки персональных данных |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных |
| Способы обработки | Смешанная С передачей по внутренней сети юридического лица С передачей по сети Интернет |
| Цель обработки № 3 | Обработка входящих заявок с Сайта |
| Категории субъектов, персональные данные которых обрабатываются | Посетители веб-сайта |
| Категории персональных данных | 1) Общие персональные данные: фамилия, имя, отчество адрес электронной почты номер телефона 2) Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность): не обрабатываются 3) Специальные категории персональных данных: не обрабатываются |
| Правовые основания | Уставные (учредительные) документы Оператора Политика в отношении обработки персональных данных Оператора Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Виды обработки персональных данных |
Сбор, запись, систематизация, накопление, хранение, извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных |
| Способы обработки | Смешанная С передачей по внутренней сети юридического лица С передачей по сети Интернет |
| Цель обработки № 4 | Ведение кадрового, бухгалтерского и статистического учета |
| Категории субъектов, персональные данные которых обрабатываются | Работники Оператора Уволенные работники Оператора Родственники работников Оператора |
| Категории персональных данных | 1) Общие персональные данные: фамилия, имя, отчество дата, месяц, год рождения место рождения семейное положение доходы пол номер телефона адрес электронной почты адрес места жительства адрес регистрации СНИЛС ИНН данные документа, удостоверяющего личность данные документа, содержащиеся в свидетельстве о рождении реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия должность сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица 2) Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность): не обрабатываются 3) Специальные категории персональных данных: не обрабатываются |
| Правовые основания | Уставные (учредительные) документы Оператора Политика в отношении обработки персональных данных Оператора Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Виды обработки персональных данных |
Сбор, запись, систематизация, накопление, хранение, извлечение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных |
| Способы обработки | Смешанная С передачей по внутренней сети юридического лица С передачей по сети Интернет |
| Цель обработки № 5 | Продвижение товаров, работ, услуг на рынке |
| Категории субъектов, персональные данные которых обрабатываются | Клиенты Оператора Работники Оператора |
| Категории персональных данных | 1) Общие персональные данные: фамилия, имя, отчество номер телефона адрес электронной почты адрес места жительства профессия должность фото-видео изображение лица 2) Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность): не обрабатываются 3) Специальные категории персональных данных: не обрабатываются |
| Правовые основания | Уставные (учредительные) документы Оператора Политика в отношении обработки персональных данных Оператора Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Виды обработки персональных данных |
Сбор, запись, систематизация, накопление, хранение, извлечение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
| Способы обработки | Смешанная С передачей по внутренней сети юридического лица С передачей по сети Интернет |
7. Порядок обработки персональных Пользователей веб-сайта при использовании файлов «cookie»
7.1. При первом посещении веб-сайта с помощью нового браузера или в режиме приватного просмотра на веб-сайте может осуществляться сбор и обработка файлов «cookie» Пользователей.
7.2. Нажимая кнопку «Принять» или продолжая пользоваться веб-сайтом, Пользователь предоставляет свое согласие на обработку файлов «cookie», а также подтверждает согласие с положениями Политики. Продолжением пользоваться веб-сайтом является осуществление Пользователем перехода по любой ссылке, размещенной на веб-сайте, или нажатие любой кнопки на веб-сайте, а также просмотр контента на любой странице веб-сайта.
7.3. Файлы «cookie» используются Оператором в целях улучшения работы веб-сайта, продуктов и услуг Оператора, определения предпочтений Посетителей, предоставления целевой информации по продуктам и услугам Оператора, предоставления Пользователям персонализированных функций веб-сайта.
7.4. Выбор состава пользовательских данных для обработки зависит от используемого Пользователем браузера и устройства.
7.5. Пользователи веб-сайта могут самостоятельно управлять передаваемыми пользовательскими данными при помощи настроек используемого ими браузера и (или) устройства.
7.6. Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или устройства, необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем устройства, которые использует Пользователь.
7.7. Обрабатываемые файлы «cookie» уничтожаются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.
7.8. Оператор вправе установить, что предоставление определенных функций веб-сайта возможно лишь при условии, что прием и получение файлов «cookie» разрешены Пользователем.
7.9. Структура файла «cookie», его содержание и технические параметры определяются Оператором и могут изменяться без предварительного уведомления Пользователей.
7.10. Счетчики, размещенные на веб-сайте, могут использоваться для анализа файлов «cookie» Пользователей, для сбора и обработки статистической информации об использовании веб-сайта, а также для обеспечения работоспособности веб-сайта в целом или его отдельных функций в частности. Технические параметры работы счетчиков определяются Оператором и могут изменяться без предварительного уведомления Пользователей.
7.11. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на веб-сайте.
8. Условия обработки персональных данных
8.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных
8.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, если иной срок не предусмотрен договором или действующим законодательством. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
8.3. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации.
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8.4. Обработка персональных данных должна быть прекращена в случаях:
- выявления неправомерных действий с персональными данными до устранения допущенных нарушений;
– достижения цели обработки персональных данных;
– отзыва субъектом персональных данных согласия на обработку своих персональных данных, истечения срока действия такого согласия, требование субъекта персональных данных о прекращении обработки его персональных данных;
– прекращения деятельности Оператора.
8.5. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
8.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с таким лицом договора (далее - поручение оператора).
8.7. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
8.8. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
8.9. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами. Оператор не несет ответственности за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
8.10. Установленные субъектом персональных данных запреты напередачу (кроме предоставления доступа), атакже наобработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, недействуют вслучаях обработки персональных данных вгосударственных, общественных ииных публичных интересах, определенных законодательствомРФ.
8.11. Трансграничная передача персональных данных Оператором не осуществляется.
9. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
9.2. Указанные выше сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.3. Сведения, указанные в пункте 9.1, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
9.4. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.5. В случае если сведения, указанные в пункте 9.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.6. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 9.5, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9.1, должен содержать обоснование направления повторного запроса.
9.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 9.5 и 9.6. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
9.8. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.
9.9. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
9.10. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
9.11. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
9.12. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.13. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
9.14. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.15. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.16. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.17. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
9.18. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
9.19. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.20. Внешний доступ к персональным данным предоставляется только при наличии заявления запросившего их лица с указанием перечня необходимой информации, целей для которых она будет использована, с письменного согласия лица, персональные данные которого затребованы. При передаче персональных данных третьим лицам, в том числе представителям работников и других категорий субъектов персональных данных, передаваемая информация ограничивается только теми персональными данными, которые необходимы для выполнения третьими лицами их функций.
10. Меры по обеспечению безопасности персональных данных при их обработке
10.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Оператор принимает следующие меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами:
10.2.1. Назначение лица, ответственного за организацию обработки персональных данных.
10.2.2. Издание настоящей Политики в отношении обработки персональных данных и иных локальных актов по вопросам обработки персональных данных.
10.2.3. Ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
10.2.4. Опубликование или иным образом обеспечение неограниченного доступа к настоящей Политике Оператора, к сведениям о реализуемых требованиях к защите персональных данных.
10.3. Обеспечение безопасности персональных данных при обработке Оператором достигается, в частности:
10.3.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
10.3.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
10.3.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
10.3.4. Применением для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации.
10.3.5. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
10.3.6. Учетом машинных носителей персональных данных.
10.3.7. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
10.3.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.3.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
10.3.10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.4. Безопасность персональных данных при их обработке в информационной системе обеспечивается Оператором следующими мерами:
10.4.1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
10.4.2. Обеспечение сохранности носителей персональных данных.
10.4.3. Утверждение руководителем Оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими своих обязанностей.
10.4.4. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
10.5. В состав мер, которые могут приниматься Оператором для обеспечения безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- регистрация событий безопасности;
- антивирусная защита;
- контроль (анализ) защищенности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- управление конфигурацией информационной системы и системы защиты персональных данных.
10.6. Для обеспечения безопасности персональных данных субъектов персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
10.6.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:
- Оператором обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- в кабинетах, где осуществляется хранение документов, содержащих персональные данные субъектов персональных данных, имеются запираемые сейфы, шкафы, стеллажи, тумбы;
- дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охранной и пожарной сигнализации.
10.6.2. Оператор использует услуги вневедомственной охраны.
10.7. Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально лицам, допущенным к работе с персональными данными и осуществляющим обработку персональных данных субъектов персональных данных на данном ПК.
11. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.
11.1. В случае достижения цели обработки персональных данных, а также в иных случаях, установленных в частях 3 - 5.1 статьи 21 Закона о персональных данных, Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).
11.2. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Закона о персональных данных, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
11.3. Способы уничтожения персональных данных, используемые Оператором:
11.3.1. Ответственным за организацию обработки персональных данных осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению с составлением акта о выделении к уничтожению документов, описи уничтожаемых материалов, проверяется их комплектность.
11.3.2. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных.
11.4. В случаях, когда обработка персональных данных осуществляется Оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
В случаях, когда обработка персональных данных осуществляется Оператором с использованием средств автоматизации либо смешанным способом, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Акт об уничтожении персональных данных должен соответствовать требованиям к подтверждению уничтожения персональных данных, утвержденным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179.
Акт об уничтожении персональных данных должен содержать:
а) наименование и адрес Оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению Оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 (Трех) лет с момента уничтожения персональных данных.
12. Заключительные положения
12.1. Вданном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно дозамены ееновой версией.
12.3. Актуальная версия Политики всвободном доступе расположена в сети Интернет по адресу https://sobyaninei.ru/politics/.