ПОЛИТИКА в отношении обработки персональных данных

  • 1. ПОНЯТИЯ И ТЕРМИНЫ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
  • 2. ОБЩИЕ ПОЛОЖЕНИЯ
  • 3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 5. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
  • 6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 7. ПРЕКРАЩЕНИЕ ОБРАБОТКИ, УТОЧНЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 9. ПОРЯДОК ОБРАБОТКИ ЗАПРОСОВ И ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 12
  • 10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
  • 11. РЕКВИЗИТЫ ОПЕРАТОРА

1. ПОНЯТИЯ И ТЕРМИНЫ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

1.1. Персональные данные (далее – ПДн) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), являющаяся конфиденциальной информацией ограниченного доступа, не составляющей государственную тайну.

1.2. Субъект персональных данных (далее – Субъект) – физическое лицо, носитель ПДн, чьи персональные данные переданы Оператору для обработки.

1.3. Оператор персональных данных ООО «КАБУТЕК» (ОГРН 1217800193302, ИНН 7813659385) (далее также – Оператор, Общество)

1.4. Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники.

1.6. Распространение персональных данных действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.7. Предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.8. Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.9. Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.10. Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.

1.11. Использование персональных данных действия с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иными образом затрагивающих права и свободы Субъекта персональных данных или других лиц.

1.12. Информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.13. Трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.14. Конфиденциальность персональных данных обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия Субъекта персональных данных или наличия законного основания.

1.15. Сайт сайт Оператора в информационно-телекоммуникационной сети Интернет (адрес: https://idngo.ru/), на котором в свободном доступе размещена Политика.

1.16. Пользователь физическое лицо, действующее в своих интересах или в интересах других лиц, имеющее доступ к Сайту и использующее его.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Назначение.

Политика определяет:

2.1.1. действия Оператора в отношении обработки персональных данных пользователей Сайта Общества, потенциальных клиентов, существующих клиентов, партнеров, контрагентов, а также их представителей, передавших свои ПДн для обработки;

2.1.2. порядок и условия осуществления обработки ПДн;

2.1.3. обеспечение безопасности персональных данных с использованием и без использования средств автоматизации;

2.1.4. процедуры, направленные на предотвращение нарушений законодательства РФ;

2.1.5. устранение последствий нарушений, связанных с обработкой персональных данных.

2.2. Действие Политики не распространяется на отношения, возникающие при обработке персональных данных сотрудников Оператора, бывших сотрудников, соискателей вакантных должностей Общества

2.3.Область применения

Политика применяется в частности, но не ограничиваясь при использовании Сайта, построения взаимоотношений между Оператором и его потенциальными/существующими клиентами, партнерами, а также контрагентами, их представителями.

2.4. Нормативно-правовая основа

2.4.1. Общество осуществляет обработку и обеспечивает безопасность ПДн для осуществления возложенных на него законодательством РФ полномочий и обязанностей в том числе, но не ограничиваясь, в соответствии с Конституцией РФ, Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, включая Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», другими федеральными законами РФ и подзаконными актами, приказами и рекомендациями Роскомнадзора по вопросам персональных данных, уставом и локальными актами Оператора, договором, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн; договором, заключаемым по инициативе субъекта ПДн или договором, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем; согласием Субъекта на обработку ПДн.

2.5. Порядок пересмотра

2.5.1. Актуализация Политики осуществляется на плановой и внеплановой основе:

  • плановая актуализация Политики должна осуществляться не реже одного раза в год;
  • внеплановая актуализация Политики может производиться по результатам контрольных мероприятий по выполнению требований законодательства РФ о ПДн, а также при изменении законодательства РФ о ПДн.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка ПДн у Оператора осуществляется на основании следующих принципов:

5.1.1. Предоставлять свои ПДн и согласие на их обработку;

5.1.2. Получать информацию, касающуюся обработки его ПДн;

5.1.3. Требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5.1.4. Требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях и дополнениях;

5.1.5. Отозвать свое согласие на обработку ПДн;

5.1.6. На свободный безвозмездный доступ к своим ПДн посредством личного обращения либо направления запроса;

5.1.7. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке;

5.1.8. Иные права, предусмотренные действующим законодательством.

5.2. Субъект ПДн обязан:

5.2.1 Предоставлять Оператору достоверную информацию;

5.2.2. Уведомлять Оператора об изменении своих ПДн (если это предусмотрено сложившимися правоотношениями сторон и применимо к ним);

5.2.3. Получать согласия третьих лиц, чьи ПДн предоставляет Оператору;

5.2.4. Выполнять иные обязанности, предусмотренные законодательством.

5.3. Оператор имеет право:

5.3.1. Обрабатывать ПДн субъекта в соответствии с заявленными целями;

5.3.2. В случае отзыва согласия на обработку ПДн, продолжить обработку ПДн Субъекта при наличии иных законных оснований;

5.3.3. С согласия субъекта ПДн поручить обработку его ПДн другому лицу;

5.3.4. Требовать у субъекта ПДн предоставления достоверных ПДн;

5.3.5. Иные права, предусмотренные законодательством.

5.4. Оператор обязан:

5.2.1. Обеспечивать конфиденциальность ПДн. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законом;

5.2.2. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, сведениям о реализуемых требованиях к защите ПДн;

5.2.3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

5.2.4. Предоставлять ответы на запросы и обращения Субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов персональных данных в порядке и сроки, установленные законом;

5.2.5. Нести иные обязанности, предусмотренные законодательством.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор осуществляет обработку ПДн Субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), обезличивание, блокирование, удаление, уничтожение с использованием баз данных, находящихся на территории РФ.

6.2. Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК и ФСБ России по защите информации.

6.3. Обработка ПДн, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

6.4. Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе работники Оператора или лица, осуществляющие такую обработку по договору с Оператором), проинформированы о факте обработки ими ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также внутренними нормативными документами Оператора.

6.5. Обработка ПДн Оператором ограничивается достижением конкретных целей. Обработке подлежат только те ПДн, которые отвечают целям их обработки. Избыточность обрабатываемых ПДн не допускается. Сроки обработки и хранения ПДн для каждой из указанной в Приложении к Политике цели с учетом соблюдения требований, в том числе условий обработки ПДн, ограничиваются сроком необходимости и условий их обработки, при этом обработка и хранение ПДн осуществляется не дольше, чем это требуют цели обработки ПДн, если иное не установлено законодательством РФ.

6.6. Оператор обеспечивает точность, достаточность и актуальность ПДн по отношению к целям обработки и принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

6.7. Оператор получает и начинает обработку ПДн Субъекта с момента получения его согласия

6.8. Согласие на обработку ПДн может быть дано Субъектом или его представителем в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, электронной или иной форме, предусмотренной действующим законодательством. Равнозначным содержащему собственноручную подпись Субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью Субъекта ПДн в соответствии с требованиями федерального закона об использовании электронной подписи.

6.7. Оператор получает и начинает обработку ПДн Субъекта с момента получения его согласия.

6.8. Согласие на обработку ПДн может быть дано Субъектом или его представителем в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, электронной или иной форме, предусмотренной действующим законодательством. Равнозначным содержащему собственноручную подпись Субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью Субъекта ПДн в соответствии с требованиями федерального закона об использовании электронной подписи.

6.9. Согласие на обработку ПДн считается предоставленным Субъектом:

  • при личном изъявлении, данном в письменной форме, при обращении к Оператору за оказанием услуг и/или предоставлением иной продукции;
  • при заполнении формы обратной связи на сайте Оператора, расположенного в информационно – телекоммуникационной сети «Интернет» и проставлении в соответствующей форме отметки о согласии на обработку ПДн в объеме, для целей и в порядке, предусмотренном в тексте, предлагаемом для ознакомления перед заполнением такой формы. Согласие считается полученным с момента заполнения формы обратной связи и проставления соответствующей отметки (символа «галочка» в специально отведенном окне), свидетельствующей о подтверждении волеизъявления Субъекта ПДн, выраженного в установленном порядке. Согласие действует в том числе до момента направления Субъектом ПДн Оператору отзыва согласия и/или достижения целей обработки ПДн, за исключением случаев, предусмотренных законом.
  • иными способами, позволяющими установить, что такое согласие соответствует критериям, указанным в ч. 1 ст. 9 ФЗ-152.

6.10. В случаях, когда предоставление персональных данных и/или получение Оператором согласия на обработку ПДн является обязательным в соответствии с ФЗ-152, Оператор, в рамках своей обязанности, разъясняет Субъекту ПДн юридические последствия отказа Субъекта ПДн предоставить его ПДн и/или дать согласие на их обработку.

6.11. Оператор вправе обрабатывать ПДн без согласия Субъекта ПДн (в т.ч. при отзыве Субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в ч.2 ст.9 ФЗ-152.

6.12. Создание фото- и видеоизображений в помещениях Оператора и на прилегающей территории может производиться Оператором с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации Субъектов ПДн и не рассматриваются Оператором как биометрические персональные данные.

6.13. Персональные данные Субъекта ПДн могут быть получены Оператором от лица, не являющегося Субъектом ПДн, при условии предоставления Оператору подтверждения наличия согласия Субъекта ПДн на обработку его ПДн или наличия оснований, указанных в пп.2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ-152.

6.14. Если ПДн получены не от Субъекта ПДн, а от третьих лиц, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 ФЗ-152, до начала обработки таких ПДн предоставляет Субъекту ПДн следующую информацию:

  • наименование либо фамилия, имя, отчество и адрес оператора ПДн или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • перечень персональных данных;
  • перечень предполагаемых пользователей персональных данных;
  • об установленных ФЗ-152 правах Субъекта персональных данных;
  • об источнике получения персональных данных.

6.15. В целях информационного обеспечения Оператором могут создаваться общедоступные источники ПДн только с письменного согласия Субъекта ПДн.

6.16. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья Оператором не осуществляется, за исключением случаев, установленных законодательством РФ.

6.17. Сведения, которые характеризуют биометрические персональные данные Субъекта ПДн Оператором не обрабатываются.

6.18. Оператор не распространяет ПДн Субъекта без его предварительного отдельного согласия на обработку ПДн, разрешенных Субъектом для распространения.

6.19. Оператор не осуществляет трансграничную передачу ПДн Субъектов.

6.20. Перечень лиц, допущенных к обработке ПДн определяется внутренними локальным нормативными актами Оператора.

6.21. В случае если Оператор поручает обработку ПДн третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к ПДн пользователей Сайта, иных субъектов, включая потенциальных/существующих клиентов, партнеров, контрагентов Оператора и их представителей, соответствующие данные предоставляются Оператором только после подписания с лицами, осуществляющими обработку ПДн по поручению Оператора, соответствующего соглашения, в котором должны быть определены:

  • перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим их обработку;
  • цели обработки;
  • должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
  • должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ «О персональных данных».

Оператор автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с сайтом, электронной почтой посредством Cookies. Оператор не требует обязательного согласия на установку файлов Сookie на устройство пользователя при использовании сайта. После того, как пользователь предоставил свое одобрение Оператору на использования файлов Сookie, он может изменить свое решение, удалив файлы Cookie, хранящиеся на устройстве пользователя. В соответствии со ст. 10 и 11 ФЗ-152 сбор данных с помощью файлов Cookie не относится к специальным категориям ПДн и биометрическим ПДн. Основанием для обработки является совершение со стороны пользователя конклюдентных действий - продолжение пользования сайтом. Пользователь в любой момент может отказаться от сбора данных через файлы Cookie в настройках браузера. Для этого ему необходимо перейдите в раздел «Настройки» и отключить опцию «Сбор Cookie — файлов» в браузере.

7. ПРЕКРАЩЕНИЕ ОБРАБОТКИ, УТОЧНЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Прекращение обработки

Оператор прекращает обработку (осуществляет уничтожение или обезличивание) ПДн при наступлении условия прекращения обработки ПДн в установленные законодательством РФ сроки если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, или иным соглашением между Оператором и Субъектом ПДн.

Оператор прекращает обработку ПДн в случае:

  • Достижения цели обработки ПДн;
  • Истечения срока действия согласия Субъекта ПДн;
  • Выявления неправомерной обработки ПДн;
  • Невозможности обеспечения правомерности обработки ПДн;
  • Отзыва согласия Субъекта ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;
  • Предоставления пользователем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • При истечении установленных сроков нормативного хранения;
  • В случае ликвидации Общества
  • В иных случаях, определенных законодательством РФ.

7.2. Отзыв согласия на обработку ПДн

7.2.1. Субъект ПДн может в любой момент отозвать свое согласие на обработку ПДн при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва Субъектом согласия на обработку ПДн, Оператор вправе продолжить обработку ПДн без согласия Субъекта только при наличии оснований, указанных в ФЗ-152.

7.2.2. Для отзыва согласия на обработку ПДн необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора или в электронной форме путем направления на адрес электронной почты Оператора, указанный в разделе «Контакты» на сайте Оператора или в Договоре, заключаемом между Субъектом и Оператором.

7.2.3. В случае отзыва Субъектом согласия на обработку его ПДн, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей их обработки, уничтожает ПДн или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом, либо если Оператор не вправе осуществлять обработку ПДн без согласия Субъекта на основаниях, предусмотренных ФЗ-152 или другими федеральными законами.

7.3. Уточнение ПДн

7.3.1. В случае выявления неправомерной обработки ПДн при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

7.3.2. В случае выявления неточных ПДн при обращении Субъекта или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование ПДн, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц.

7.3.3. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных Субъектом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

7.3.4. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, он в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить Субъекта или его представителя, а в случае, если обращение Субъекта или его представителя либо запрос уполномоченного органа по защите прав Субъектов ПДн были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.4. Уничтожение ПДн

7.4.1. Оператор уничтожает ПДн в порядке, установленном его локальным нормативным актом.

7.4.2. ПДн уничтожаются в следующих случаях:

  • достижение целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
  • по обоснованному требованию Субъекта персональных данных;
  • выявления неправомерной обработки ПДн субъекта ПДн;
  • в случае истечения срока хранения или отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Обществом на основании согласия субъекта персональных данных)
  • в случае ликвидации Общества;
  • в иных случаях, определенных законодательством РФ.

7.4.3. При возникновении случаев, указанных в п.п. 7.4.2 Политики, Оператор составляет Акт уничтожения ПДн или Акт уничтожения ПДн и Выгрузку из журнала регистрации событий в ИС ПДн в соответствии с Приказом Роскомнадзора от 28 октября 2022 г. № 179 и локальным нормативным актом Оператора.

7.4.4. Уничтожение информации, содержащей ПДн, производится в случае достижения цели обработки в срок, не превышающий 30 дней с даты достижения цели обработки ПДн. Уничтожение информации, содержащей ПДн, производится в случае отзыва субъектом ПДн согласия на обработку ПДн в срок, не превышающий 30 дней с даты отзыва субъектом ПДн согласия на обработку ПДн. Уничтожение информации, содержащей ПДн, производится в случае выявления неправомерной обработки в срок, не превышающий 10 дней с момента выявления неправомерной обработки ПДн. При невозможности уничтожения ПДн в установленные законодательством сроки, осуществляется блокирование соответствующих ПДн и их уничтожение в срок не более чем шесть месяцев со дня наступления события, являющегося причиной уничтожения ПДн.

7.4.5. Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.

7.4.6. ПДн, неиспользуемые в операционной деятельности Оператора, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом от 22.10.2001 №125-ФЗ «Об архивном деле в Российской Федерации» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.

7.4.7. Архивирование документов, содержащих ПДн, осуществляется в установленном у Оператора порядке. Обязательным условием архивирования ПДн является обеспечение их конфиденциальности и безопасности.

7.4.8. При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 ФЗ-152.

8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. При обработке ПДн Оператор применяет правовые, организационные и технические меры и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в информационных системах ПДн, требованиям к материальным носителям ПДн и технологиям хранения таких данных вне информационных систем ПДн, установленными Правительством РФ.

8.2. Мероприятия по защите ПДн определяются локальными актами Оператора.

8.3. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ними нормативно-правовыми актами.

8.4. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативно-правовыми актами, если иное не предусмотрено указанным законом иди другими федеральными законами.

К указанным мерам, в частности, относятся:

  • назначение ответственного лица за организацию обработки ПДн;
  • издание документа, определяющего политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн;
  • оценка вреда, который может быть причинен Субъектам ПДн в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых Оператором мер безопасности;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
  • определение угрозы безопасности ПДн при их обработке в ИСПДн;
  • осуществление мониторинга обнаружения фактов несанкционированного доступа к ПДн и принятие мер;
  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правила доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;
  • осуществление контроля доступа в помещения, в которых происходит обработка ПДн;
  • осуществление внутреннего контроля соответствия обработки ПДн ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, внутренним документам Оператора;
  • иные меры по обеспечению безопасности ПДн, применяемые Оператором.

8.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных, Оператор с момента выявления такого инцидента Оператором, регулятором или иным заинтересованным лицом уведомляет регулятора:

  • в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с регулятором, по вопросам, связанным с выявленным инцидентом;
  • в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8.6. В случае передачи документов, содержащих ПДн, по электронной почте Субъект ПДн может зашифровать их, используя один из предоставленных Оператором способов. Отказ Субъекта ПДн использовать средства защиты ПДн снимает ответственность с Оператора за обеспечение конфиденциальности в процессе их передачи от Субъекта ПДн к Оператору.

9. ПОРЯДОК ОБРАБОТКИ ЗАПРОСОВ И ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Подтверждение факта обработки ПДн Оператором, правовые основания и цели обработки ПДн, а также иные сведения, указанные в ч. 7 ст. 14 ФЗ-152, предоставляются Оператором Субъекту ПДн или его представителю при обращении либо при получении запроса Субъекта ПДн или его представителя. В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.

9.2.1. Запрос должен содержать:

  • номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие Субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
  • подпись Субъекта ПДн или его представителя.

9.2.2. Запрос может быть направлен:

  • в письменной форме на адрес Оператора,
  • в электронной форме на адрес электронной почты Оператора Если в обращении (запросе) Субъекта ПДн не отражены в соответствии с требованиями ФЗ-152 все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

9.3. Право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ-152, в том числе если доступ Субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

9.4. Оператор обязуется рассмотреть и направить ответ на поступивший запрос в течение 10 (десяти) рабочих дней с момента поступления обращения.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Политика и изменения к ней утверждаются Оператором, являются обязательными для исполнения всеми сотрудниками, имеющими доступ к ПДн Субъектов, и вступает в силу со дня ее утверждения.

10.2. Оператор имеет право вносить изменения в Политику без согласия Субъекта.

10.3. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, определяющим политику Оператора в отношении обработки ПДн, Оператор осуществляет, в частности, но не ограничиваясь, посредством размещения на электронном сайте, принадлежащем Оператору.

10.4. Новая редакция Политики вступает в силу с момента опубликования.

10.5. Все вопросы, связанные с обработкой ПДн, не урегулированные Политикой, разрешаются в соответствии с действующими законодательством РФ в области персональных данных, а также принятыми Оператором иными локальными актами в области персональных данных.

11. РЕКВИЗИТЫ ОПЕРАТОРА

ООО «КАБУТЕК»

Юридический адрес: 197110, г. Санкт-Петербург, ул. Большая Разночинная, д. 14, литер А, помещ. № 506А

ОГРН 1217800193302, ИНН 7813659385,

ГлавнаяО насKYC и KYBПреимуществаПартнерыУслугиСхема проверкиГотовые решенияИнтеграцияFAQО компанииКонтактыДокументы
Общество с ограниченной
ответственностью «КАБУТЕК»
+7 (965) 055-73-84info@idngo.ru
©2024. IDnGO
Использование куки
Политика конфиденциальности
Разработка лендинга 3owls