7. Порядок и условия обработки персональных данных
7.1. Способы обработки персональных данных
1) Оператором применяются следующие способы обработки ПДн:
автоматизированная обработка;
8
неавтоматизированная обработка (без использования средств автоматизации);
смешанная обработка.
7.2. Действия (операции) с персональными данными
1) Оператор осуществляет следующие действия (операции) с персональными данными:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, предоставление, блокирование, удаление, уничтожение персональных
данных.
2) Особенности осуществления отдельных действий (операций) с ПДн установлены
п.п. 7.3 – 7.9 настоящей Политики.
7.3. Сбор персональных данных
1) Оператор получает ПДн:
непосредственно от субъекта ПДн;
от третьего лица или с целью исполнения требований нормативных правовых актов
Российской Федерации, а также в иных случаях, когда это не противоречит действующему
законодательству Российской Федерации.
2) Оператором осуществляется получение согласия на обработку ПДн следующих
категорий Субъектов ПДн:
клиенты, посетители Сайта;
потенциальные потребители и лица, принимающие участие в программах,
направленных на продвижение продукции Оператора, организуемых и (или) проводимых
Оператором.
3) По общему правилу, субъекты ПДн самостоятельно предоставляют Оператору
согласие на обработку персональных данных.
4) Обработка ПДн без получения согласия субъекта ПДн возможна в следующих
случаях:
обработка ПДн необходима для исполнения договора, стороной которого является
субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;
обработка ПДн необходима для защиты жизни,здоровья или иных жизненно важных
интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
осуществляется обработка ПДн, сделанных общедоступными субъектом ПДн;
в иных случаях, прямо предусмотренных действующим законодательством
Российской Федерации.
5) При сборе ПДн Субъекту ПДн по его просьбе может быть предоставлена следующая
информация:
подтверждение факта обработки ПДн;
правовые основания и цели обработки ПДн;
способы обработки ПДн, применяемые Оператором;
наименование и фактический адрес Оператора, сведения о лицах (за исключением
работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на
основании договора с Оператором или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их
получения, если иной порядок представления таких данных не предусмотрен федеральным
законодательством о ПДн;
сроки обработки ПДн, в том числе сроки их хранения;
9
порядок осуществления Субъектом ПДн своих прав, предусмотренных федеральным
законодательством о ПДн;
наименование или фамилия, имя, отчество и адрес лица, осуществляющего
обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому
лицу;
иные сведения, подлежащие предоставлению согласно действующему
законодательству Российской Федерации.
6) В случае получения ПДн не от Субъекта ПДн, Субъекту ПДн представляется
следующая информация о получении его ПДн от третьего лица:
наименование и фактический адрес Оператора;
цель обработки ПДн и ее правовое основание;
предполагаемые пользователи ПДн;
права Субъекта ПДн;
источник получения ПДн.
7) Информация, указанная в п. 6) может не предоставляться Субъекту ПДн в
следующих случаях:
Субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим
оператором;
ПДн получены на основании федерального закона или в связи с исполнением
договора, стороной которого либо выгодоприобретателем или поручателем, по которому является
субъект ПДн;
обработка ПДн осуществляет для статистических или иных исследовательских
целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
предоставление Субъекту ПДн указанных сведений нарушает права и законные
интересы третьих лиц.
7.4. Накопление и хранение персональных данных
1) Оператор осуществляет накопление ПДн следующими способами:
внесение сведений в учетные формы (на бумажные носители и в базы данных
автоматизированных систем).
2) Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не
дольше, чем этого требуют цели их обработки и требования нормативных правовых актов
Российской Федерации, связанных с хранением документов.
3) Оператор хранит персональные данные в течение срока, необходимого для
достижения целей их обработки, а документы, содержащие персональные данные, – в течение срока
хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.
4) Персональные данные, зафиксированные на бумажных носителях, хранятся в
запираемом помещении и в запираемых шкафах (сейфах), доступ к которым ограничен.
5) Персональные данные, обрабатываемые с использованием средств автоматизации,
хранятся в порядке и на условиях, которые определяет политика безопасности данных средств
автоматизации.
6) При автоматизированной обработке персональных данных не допускается хранение
и размещение документов, содержащих персональные данные, в открытых электронных каталогах
(файлообменниках) информационных систем.
7) Порядок учета, хранения и уничтожения носителей ПДн осуществляется в
соответствии с Политикой конфиденциальности, принятой Оператором.
8) Сроки хранения ПДн определены законодательством и подзаконными
нормативными правовыми актами Российской Федерации и зависят от их состава и целей их
обработки.
10
7.5. Блокирование персональных данных
1) Блокирование ПДн осуществляется в следующих случаях:
по требованию Субъекта ПДн;
по требованию уполномоченных органов по защите прав Субъектов ПДн;
по результатам внутренних контрольных мероприятий.
2) Блокировка ПДн субъекта может быть временно снята, если это требуется в целях
соблюдения законодательства Российской Федерации.
7.6. Уничтожение персональных данных
1) ПДн подлежат уничтожению в следующих случаях:
по достижении целей обработки или в случае утраты необходимости в их
достижении;
получение соответствующего запроса субъекта ПДн, при условии, что запрос не
противоречит требованиям нормативных правовых актов Российской Федерации;
получение соответствующего предписания от уполномоченного органа по защите
прав субъектов ПДн;
по истечении сроков хранения ПДн;
в случае ликвидации Оператора.
7.7. Субъект ПДн принимает условия Политики и дает Оператору информированное и
осознанное согласие на обработку своих персональных данных на условиях, предусмотренных
Политикой и Законом:
1) При направлении заявки на Сайте — для персональных данных, которые Субъект
ПДн предоставляет Оператору: путем заполнения формы для заявки.
2) При любом использовании Сайта — для персональных данных, которые
автоматически передаются Оператору в процессе использования Сайта с помощью установленного
на устройстве Пользователя программного обеспечения (файлы cookie). Субъект ПДн считается
предоставившим согласие на обработку своих персональных данных в момент начала
использования Сайта.
7.8. Субъект ПДн дает Оператору согласие на обработку соответствующих персональных
данных, перечень которых указан в настоящей Политике, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление третьим лицам, доступ), обезличивание, блокирование,
удаление, уничтожение с использованием и без использования средств автоматизации, включая
crm-системы, в соответствии с целями, указанными в настоящем разделе.
8. Права и ответственность субъектов персональных данных
8.1. Субъекты ПДн имеют право:
8.1.1. Принимать решение о предоставлении своих ПДн Оператору и третьим лицам и
давать согласие на их обработку свободно, своей волей и в своем интересе.
8.1.2. Отозвать свое согласие на обработку ПДн.
8.1.3. Получить от Оператора информацию, касающуюся обработки их ПДн посредством
направления соответствующего запроса.
11
8.1.4. Требовать от Оператора уточнения ПДн, их блокирования или уничтожения, в случае
если они являются неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленных целей обработки.
8.1.5. Требовать прекращения обработки их ПДн в целях продвижения товаров, работ услуг
на рынке путем осуществления прямых контактов с ними с помощью средств связи.
8.1.6. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите
прав субъектов ПДн или в судебном порядке, если субъект ПДн считает, что Оператор осуществляет
обработку его ПДн с нарушением требований законодательства Российской Федерации или иным
образом нарушает его права и свободы.
8.1.7. Осуществлять иные права, предусмотренные законодательством Российской
Федерации.
8.2. Ответственность пользователя:
8.2.1. Субъекты ПДн обязаны предоставлять Оператору только достоверные персональные
данные и своевременно сообщать об их изменении. При этом Оператор не проверяет достоверность
персональных данных, и не осуществляет контроль за дееспособностью субъектов персональных
данных, и исходит из того, что субъект предоставляет достоверную и достаточную персональную
информацию по вопросам, предлагаемым в форме регистрации (подписки, оплаты), и поддерживает
эту информацию в актуальном состоянии. Риск предоставления недостоверных персональных
данных при этом несет сам субъект персональных данных.
8.2.2. Оператор не осуществляет намеренно обработку персональных данных
несовершеннолетних лиц. Оператор рекомендует пользоваться сайтом лицам, достигшим 18 лет.
Ответственность за действия несовершеннолетних, включая приобретение ими услуг на Сайтах,
лежит на законных представителях несовершеннолетних. Если Оператору станет известно о том,
что он получил персональную информацию о несовершеннолетнем лице без согласия законных
представителей, то такая информация будет удалена в возможно короткие сроки.
8.2.3. Оператор не несет ответственности за обработку персональных данных третьих лиц,
которые получатель услуг Оператора сообщил как свои собственные. Риск привлечения к
ответственности в этом случае несет получатель услуг Оператора, предоставивший недостоверные
данные.
8.2.4. В случае несогласия Субъекта ПДн полностью либо в части с условиями настоящей
Политики – использование Сайта и его сервисов должно быть немедленно прекращено.
9. Права и обязанности оператора персональных данных
9.1. Оператор обязан:
9.1.1. Издавать документы, определяющие требования в отношении обработки и защиты
ПДн.
9.1.2. Опубликовать или иным образом обеспечить неограниченный доступ к документу,
определяющему его политику в отношении обработки и защиты ПДн.
9.1.3. Принимать необходимые организационные и технические меры по обеспечению
безопасности персональных данных.
9.1.4. Назначить лицо, ответственное за организацию обработки ПДн.
12
9.1.5. По требованию субъекта ПДн немедленно прекратить обработку его ПДн в порядке,
предусмотренном законодательством Российской Федерации.
9.1.6. При предоставлении субъектом ПДн сведений о том, что обрабатываемые ПДн
являются неполными, неточными или неактуальными, внести в них необходимые изменения и
уведомить об этом субъекта ПДн в установленный законом срок.
9.1.7. В случае прекращения обработки ПДн субъекта ПДн уничтожить его ПДн безопасным
образом.
9.1.8. Выполнять иные обязанности, предусмотренные законодательством Российской
Федерации и локальными нормативными актами.
9.2. Оператор имеет право:
9.2.1. В случае отзыва субъектом ПДн согласия на обработку его ПДн продолжить их
обработку без согласия субъекта ПДн при наличии оснований, предусмотренных
законодательством Российской Федерации.
9.2.2. Получать ПДн субъекта ПДн от третьих лиц при условии получения согласия субъекта
ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации.
9.2.3. Поручать обработку ПДн субъекта ПДн третьим лицам при условии получения
согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской
Федерации.
9.2.4. Осуществлять иные права, предусмотренные законодательством Российской
Федерации и локальными нормативными актами.
10. Меры обеспечения конфиденциальности и безопасности персональных
данных
10.1. При обработке персональных данных Оператор применяет правовые,
организационные и технические меры по обеспечению безопасности персональных данных в
соответствии со ст. 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
Обеспечение безопасности персональных данных достигается, в частности:
10.1.1. Оценкой эффективности мер по обеспечению безопасности персональных данных до
начала использования таких мер.
10.1.2. Обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер по их устранению и недопущению повтора.
10.1.3. Восстановлением персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним.
10.1.4. Установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и учета всех
действий, совершаемых с персональными данными в информационной системе персональных
данных.
10.1.5. Проверкой наличия в договорах, заключаемых Оператором, с третьими лицами,
пунктов об обеспечении конфиденциальности персональных данных и включением их, при
необходимости, в договоры.
13
10.1.6. Контролем за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
10.2. Третьи лица, получившие доступ к персональным данным по поручению Оператора,
обязуются принимать необходимые организационные и технические меры к обеспечению
конфиденциальности такой информации на своем персональном устройстве, с которого
осуществляет обработку персональных данных.
10.3. Взаимодействие с федеральными органами исполнительной власти по вопросам
обработки и защиты персональных данных субъектов, персональные данные которых
обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
10.4. Оператор обязан немедленно прекратить по требованию субъекта персональных
данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от
27.07.2006 No 152-ФЗ «О персональных данных».
11. Взаимодействие с субъектами персональных данных и третьими лицами
11.1 Взаимодействие с субъектами персональных данных
Субъект ПДн имеет права, предусмотренные разделом 6 настоящей Политики и
законодательством Российской Федерации.
11.2. Взаимодействие с третьими лицами:
1) Оператор может передавать ПДн следующим третьим лицам:
Федеральная налоговая служба (ФНС России);
Пенсионный фонд Российской Федерации;
Фонд социального страхования Российской Федерации;
курьерские службы (Деловые линии, КИТ, БСД Центр, СДЭК, ПЭК, Байкал Сервис,
Почта России и другие);
иные третьи лица, предоставление ПДн, которым является необходимым в силу
действующего законодательства и подзаконных нормативных правовых актов Российской
Федерации;
контрагенты Оператора (организации, индивидуальные предприниматели и иные
лица, оказывающие услуги Оператору, банки, негосударственные пенсионные фонды и т.п.);
2) Взаимодействие с государственными контролирующими и регулирующими
органами регламентируется соответствующими федеральными законами, нормативными
правовыми актами регулирующих органов и другими нормативными правовыми актами
Российской Федерации.
3) Взаимодействие с контрагентами Оператора в рамках передачи ПДн, производится
на основании Соглашения о конфиденциальности и неразглашении информации или раздела в
договоре о соблюдении конфиденциальности. Оператор передает ПДн только в объеме
необходимом для достижения заявленных целей обработки.
11.3. Поручение обработки персональных данных
11.3.1. Оператор может поручать обработку ПДн другим лицам (третьим лицам), а также
выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.
11.3.2. Оператор поручает обработку ПДн третьим лицам только с согласия субъекта ПДн,
если иное не предусмотрено действующим российским законодательством, при обязательном
условии соблюдения лицом, осуществляющим обработку ПДн по поручению Оператора,
14
принципов и правил обработки и обеспечения безопасности ПДн, установленных
законодательством Российской Федерации. Лицо, осуществляющее обработку ПДн по поручению
Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
11.3.3. В поручении на обработку ПДн в обязательном порядке определяются:
перечень действий (операций) с ПДн, которые будут совершаться лицом,
осуществляющим обработку ПДн (перечень действий не должен противоречить целям и действиям,
заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных
документах);
цели обработки (цели не должны противоречить целям,заявленным перед субъектом
ПДн в договоре с оператором, согласии и иных подобных документах);
обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать
безопасность ПДн при их обработке;
требования к защите ПДн (требования по защите, предъявляемые к лицу,
осуществляющему обработку, не должны быть выше требований, выполняемых самим
оператором).
11.3.4. При поручении обработки ПДн третьим лицам, ответственность перед субъектом
ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по
поручению Оператора, несет ответственность Оператор.
12. Порядок реагирования на утечки персональных данных
В случае обнаружения неправомерной или случайной передачи (предоставления,
распространения, доступа) персональных данных, повлекшей нарушение прав субъектов
персональных данных, Оператор обязан сообщить в Роскомнадзор, как орган уполномоченный по
защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых
причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по
устранению последствий соответствующего инцидента, а также предоставить сведения о лице,
уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с
выявленным инцидентом, а также предоставить в ведомство результаты внутреннего расследования
инцидента с указанием причины и виновных лиц.
13. Прекращение обработки и уничтожение персональных данных
13.1 В случае выявления неточных персональных данных при обращении субъекта
персональных данных Оператор обязан осуществить блокирование персональных данных,
относящихся к этому Субъекту ПДн, с момента такого обращения на период проверки, если
блокирование персональных данных не нарушает права и законные интересы Субъекта ПДн или
третьих лиц.
13.2. В случае подтверждения факта неточности персональных данных Оператор на
основании сведений, представленных Субъектом ПДн, обязан уточнить персональные данные в
установленный законом срок и снять блокирование персональных данных.
13.3. В случае выявления неправомерной обработки персональных данных, осуществляемой
Оператором, последний в срок, не превышающий 3 (трех) рабочих дней со дня этого выявления,
обязан прекратить неправомерную обработку персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно,
Оператор в срок, установленный законом, обязан уничтожить такие персональные данные. Об
устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан
уведомить субъекта персональных данных.
15
13.4. В случае отзыва Субъектом ПДн согласия на их обработку Оператор обязан прекратить
их обработку и в случае, если сохранение персональных данных более не требуется для целей
обработки персональных данных, уничтожить персональные данные в срок, установленный
законом.
13.5. Оператор вправе продолжить использовать персональные данные о субъекте по итогу
рассмотрения отзыва согласия на их обработку, обеспечив обезличивание такой информации.
14. Разрешение споров
14.1. До обращения в суд с иском по спорам, возникающим из отношений между Субъектом
ПДн и Оператором, обязательным является предъявление претензии (письменного предложения о
добровольном урегулировании спора).
14.2. Получатель претензии в течение 30 (тридцати) календарных дней со дня получения
претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
14.3. При недостижении соглашения спор будет передан на рассмотрение в судебный орган
по месту регистрации Оператора в соответствии с действующим законодательством РФ.
14.4. К настоящей Политике обработки персональных данных и отношениям между
Субъектом ПДн и Оператором применяется действующее законодательство РФ.
Оператор вправе продолжить использовать персональные данные о субъекте по итогу рассмотрения
отзыва согласия на их обработку, обеспечив обезличивание такой информации.
14.5. Субъект ПДн может получить любые разъяснения по интересующим вопросам,
касающимся обработки его персональных данных, обратившись к Оператору с помощью
электронной почты, указанной на Сайте в разделе «Контакты».
15. Порядок пересмотра и внесения изменений в настоящую Политику
Пересмотр положений настоящей Политики проводится в следующих случаях:
по результатам проверок контролирующих органов исполнительной власти
Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности
ПДн;
при появлении новых требований к обеспечению безопасности ПДн со стороны
российского законодательства и контролирующих органов исполнительной власти Российской
Федерации;
по результатам внутреннего контроля (аудита) системы защиты ПДн, в случае
выявления существенных нарушений;
по результатам расследования инцидентов информационной безопасности,
связанных с обработкой и обеспечением безопасности ПДн и выявивших недостатки системы
защиты;
при рассмотрении вопросов применения новых средств и методов защиты ПДн,
существенно отличающихся от применяемых Оператором;
в иных случаях по усмотрению Оператора.
Лицом, ответственным за пересмотр настоящей Политики и составление рекомендаций по
изменению, является ответственный за организацию обработки ПДн.
16. Неотъемлемой частью Политики являются приложения к ней:
Приложение No1 – Согласие на обработку персональных данных.