ПОЛИТИКА 

в отношении обработки персональных данных субъектов персональных данных

(в ред. от 17 октября 2023г.)


1 Общие положения

1.1 Назначение документа.

Настоящая политика в отношении обработки персональных данных субъектов ПДн (далее – Политика) является основополагающим внутренним документом, регулирующим вопросы обработки персональных данных субъектов ПДн в Обществе с ограниченной ответственностью «ГЕТ2СЕНД» (далее – Общество). Действие настоящей Политики не распространяется на обработку персональных данных сотрудников Общества, их родственников, соискателей вакантных должностей, иных субъектов ПДн, прямо не обозначенных в настоящей Политике, поскольку эти отношения регулируются иными локальными нормативными актами Общества.

Настоящая Политика разработана в соответствии с пп. 2 ч. 1 статьи 18.1 Федерального закона от 27 июля 2006 года №152 «О персональных данных» и предназначена для ознакомления неограниченного круга лиц путём опубликования на официальном сайте Общества https://get2send.com.

Политика раскрывает категории персональных данных субъектов ПДн, обрабатываемых в Обществе, цели, способы и принципы обработки, права субъектов ПДн, а также перечень мер, применяемых Обществом в целях обеспечения безопасности ПДн.

Настоящая Политика определяет порядок и условия осуществления обработки персональных данных субъектов ПДн, устанавливает процедуры, направленные на обеспечение безопасности персональных данных и предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений.

Руководство Общества осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных.

Положения настоящей Политики являются основой для разработки внутренних нормативно-методических документов, регламентирующих вопросы обработки и защиты персональных данных в Обществе.

Утверждение и пересмотр Политики проводится каждые три года, а также:

• при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Обществе;

• при создании новых или внесении изменений в существующие процессы обработки персональных данных субъектов ПДн;

• по результатам контрольных мероприятий по выполнению требований законодательства РФ о персональных данных.

1.2  Нормативные документы:

- Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013г. №21 «Об утверждении состава и содержания организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и иные нормативные и ненормативные правовые акты, регулирующие вопросы обработки персональных данных.


1.3.  Область действия.

Действие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных субъектов ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств. Настоящая Политика распространяется, в том числе, непосредственно на Сайт, на поддомены Сайта, иные сайты, принадлежащие Обществу, и на информацию, получаемую с их помощью.

Настоящая Политика применяется, в частности, но не ограничиваясь:

- при навигации на Сайте без совершения заказа на оказание услуг, а также при пользовании Сервисами, предложенными на Сайте; 

- при оформлении заказа посредством сервисов Сайта или в офисе Общества;

- при ином использовании Сайта в соответствии с Пользовательским соглашением.

1.4.  Используемые сокращения.

ИСПДн – информационная система персональных данных.

Общество – ООО «ГЕТ2СЕНД».

ПДн – персональные данные.

РФ – Российская Федерация.

Сайт –  https://get2send.com и его поддомены, страницы, раздела а также иные сайты, принадлежащие ООО «ГЕТ2СЕНД», на которых размещена настоящая Политика или ссылка на нее.


1.5.  Используемые сокращения.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ОператорОбщество с ограниченной ответственностью «ГЕТ2СЕНД» (Местонахождение: 121614, Россия, г. Москва, вн.тер.г. муниципальный округ Крылатское, ул. Осенняя, д. 16, пом. 4/1, ОГРН: 1237700438315, ИНН: 9731116720, КПП: 773101001)

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), являющаяся конфиденциальной информацией ограниченного доступа, не составляющей государственную тайну.

Пользователь — физическое лицо, действующее в своих интересах или в интересах других лиц, акцептовавшее Пользовательское соглашение, размещенное на Сайте, имеющее доступ к Сайту и использующее его, независимо от факта заказа услуг на Сайте.

Сайт – совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ и сети Интернет.  Сайт Оператора, который находится в сети Интернет по адресу https://get2send.com, и иные сайты, которые принадлежат ООО «ГЕТ2СЕНД», и на которых размещена настоящая Политика или ссылка на нее.

Субъект персональных данных – физическое лицо, носитель персональных дынных, чьи персональные данные переданы Обществу для обработки. Применительно к настоящей Политике к субъектам ПДн относятся: Клиент, Пользователь, физическое лицо, чьи ПДн получены Обществом от заказчика услуг Общества.

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Использование персональных данных - действия с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иными образом затрагивающих права и свободы Субъекта персональных данных или других лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


2.  Основные нормативные положения


2.1.  Принципы обработки персональных данных.

Обществом обеспечивается правомерность обработки ПДн субъектов ПДн, а также надлежащий уровень безопасности обрабатываемых ПДн.

Обработка ПДн субъектов ПДн в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. 

Обработке подлежат только те ПДн субъектов ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

Обществом обеспечивается точность обрабатываемых ПДн субъектов ПДн, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки. Общество принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных ПДн субъектов ПДн. 

Общество в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию во время взаимодействия с Обществом, извещает представителей Общества об изменении своих данных.

Общество хранит ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, и, уничтожает ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Цели обработки персональных данных, Категории ПДн, Перечень ПДн, Категория субъектов ПДн, Способы обработки и хранения ПДн, Сроки обработки и хранения ПДн, Порядок уничтожения.

Общество руководствуется конкретными, заранее определенными целями обработки ПДн, в соответствии с которыми ПДн были предоставлены субъектом ПДн. Цели обработки персональных данных, Категории ПДн, Перечень ПДн, Категория субъектов ПДн, Способы обработки и хранения ПДн, Сроки обработки и хранения ПДн, Порядок уничтожения приведены в Табличной части Политики (Приложение 3).

 В Обществе не осуществляется обработка ПДн субъектов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных.

2.3. Правовые основания обработки персональных данных.

Обработка ПДн субъектов ПДн осуществляется на основании: 

  • Гражданского кодекса РФ (гл.39 ГК РФ);
  • Налогового кодекса РФ;
  • Устава Общества;
  • Договоров, заключенных между Обществом и субъектом ПДн, в том числе, но не ограничиваясь, опубликованные Оферты и Пользовательское соглашение, размещенное на Сайте;
  • Согласия субъекта ПДн на обработку ПДн.


3.  Порядок и условия обработки персональных данных субъектов ПДн.


3.1. Оператор получает ПДн субъектов ПДн: 

  • путем личного сообщения Клиентом своих данных при оформлении доставки в офисе;
  • путем внесения Клиентом/Пользователем своих данных на Сайте (в форму «запрос цен», в форму предварительной заявки, форму обратной связи);
  • путем сообщения Клиентом/Пользователем своих данных в чат-боте на сайте, в мессенджерах Whatsapp, Telegram, по электронной почте;
  • путем заполнения субъектом ПДн маркетинговых листовок (купонов);
  • от третьих лиц (клиентов, контрагентов);
  • по телефону.

Оператор получает и начинает обработку персональных данных субъекта ПДн с момента возникновения правового основания для обработки.

3.2. Согласие на обработку ПДн может быть дано субъектом ПДн в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом ПДн конклюдентных действий.

3.3. В случае внесения субъектом ПДн своих данных в любую из форм на Сайте, согласие на обработку ПДн считается предоставленным субъектом ПДн посредством совершения им следующих конклюдентных действий в совокупности: путем проставления специального знака – «галочки» или «веб-метки» в специальном поле на Сайте при заказе обратного звонка, при обращении в форме обратной связи или чат-боте, при направлении запроса на предварительный расчет цены, при оформлении заявки на вызов курьера и нажатия соответствующей кнопки расценивается однозначно, как принятие условий Пользовательского соглашения, ознакомления с Политикой конфиденциальности и предоставление согласия на обработку ПДн в объеме, для целей и в порядке, предусмотренных в предлагаемом перед проставлением специального знака для ознакомления тексте (тексты Согласий - Приложение № 2, Приложение №3 к настоящей Политике). Согласие считается полученным с момента проставления специального знака и действует до момента направления Субъектом ПДн соответствующего заявления о прекращении обработки ПДн по месту нахождения Оператора.

В случае заполнения субъектом ПДн маркетинговых листовок, ставя подпись, Субъект ПДн выражает свое согласие на принятие условий Публичной оферты, изложенных в Договоре возмездного оказания курьерских услуг и Правилах отправления и доставки, размещенных на Сайте, что означает в том числе и согласие на обработку ПДн. Договор действует с момента его заключения и до момента его расторжения, отказ от исполнения Договора может быть направлен субъектом ПДн по месту нахождения Оператора.

3.4. В случае получения ПДн от третьих лиц (клиентов, контрагентов) обязанность по получению согласий на обработку и передачу таких ПДн лежит на этих третьих лицах. 

В случае отсутствия правового основания для обработки ПДн, обработка ПДн Субъекта не осуществляется. 

3.5. ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъектам  ПДн, затруднения реализации прав и свобод граждан РФ.

Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение ПДн с использованием баз данных, находящихся на территории Российской Федерации. 

3.6. Общество в ходе своей деятельности поручает обработку ПДн третьим лицам с согласия субъектов ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению Общества, принципов и правил обработки, а также обеспечения безопасности ПДн, установленных законодательством Российской Федерации. 

В поручении на обработку персональных данных в обязательном порядке определяются: 

  • перечень ПДн, перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, при этом перечень действий не должен противоречить целям и действиям, заявленным перед Субъектом персональных данных в договоре с Обществом, согласии и иных документах;
  • обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
  • обязанность по запросу Общества в течение срока действия поручения предоставить документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований. Установленных законодательством;
  • обязанность обеспечивать безопасность ПДн при их обработке;
  • требования к защите персональных данных;
  • порядок и сроки уведомления оператора в отношении инцидентов с ПДн;
  • ответственность.

3.7. Персональные данные субъектов ПДн, в отношении которых Общество является оператором, хранятся в электронном виде на серверах ООО «1С-Битрикс», ЦОД размещены на территории Российской Федерации. Таким образом, Компания, как оператор таких персональных данных, в соответствии с п. 3 ст. 6 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», поручает ООО «1С-Битрикс» обработку таких персональных данных в соответствии с Политикой обработки персональных данных и информации  https://www.bitrix24.ru/about/privacy.php.

3.8. Доступ к ИСПДн, содержащим ПДн субъектов ПДн, обеспечивается с использованием средств защиты от несанкционированного доступа и копирования. ООО «1С-Битрикс» принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты Контента пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, включая:

(1) Порталы, созданные с использованием программы для ЭВМ «1С-Битрикс24» и расположенные в зоне .RU, размещаются на арендуемых мощностях в датацентрах на территории Российской Федерации по адресам г. Москва, ул. Авиамоторная, д. 69, (хостинг ООО «Мэйл.Ру» (ИНН 7743001840) https://mcs.mail.ru/help/legal/fstec) и г. Москва, Коровинское шоссе, 41 и г. Москва, ул. 8 марта, 14 (хостинг АО «Корп Софт» (ИНН 7743813810) https://www.corpsoft24.ru/about/licenses/).

(2) Все соединения с Порталом производятся через шифрованный обмен данными 256bit, с использованием сертификата SSL;

(3) Используется двухэтапная авторизация (пароль и одноразовый код);

(4) Включена автоматическая и полуавтоматическая реакция на аварийные ситуации;

(5) Используется Проактивный фильтр (WAF — Web Application Firewal), который защищает от большинства известных атак на веб-приложения;

(6) Регулярный аудит безопасности кода и инфраструктуры, как силами собственного отдела безопасности, так и с привлечением независимых компаний;

(7) Доступ ко всей инфраструктуре ограничен с использованием сетевого экрана (firewall);

(8) Осуществляется постоянный мониторинг активности;

(9) Производится своевременное обновление системного ПО в случае выявления уязвимостей и выхода обновлений, исправляющих их.

3.9. Общество не размещает ПДн субъектов ПДн в общедоступных источниках.

3.10. С целью обеспечения безопасности ПДн при их обработке Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

3.11. В Обществе назначен ответственный за организацию обработки ПДн, который получает указания непосредственно от директора Общества и подотчетен ему.

3.12. Перечень лиц, допущенных к обработке ПДн, определяется распоряжением директора и внутренними локальным нормативными актами Общества. Указанные лица в обязательном порядке до начала работы ознакамливаются: 

  • с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к порядку защиты ПДн;
  • с документами, определяющими действия Оператора в отношении обработки ПДн, в том числе с настоящей Политикой и Положением об обработке и защите ПДн с приложениями и изменениями;
  • с локальными актами по вопросам обработки ПДн.

3.13. Доступ к ПДн субъектов ПДн предоставляется сотрудникам Оператора в соответствии с их должностными обязанностями. Сотрудники Оператора, осуществляющие обработку ПДн субъектов ПДн, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора. Сотруднику Общества, имеющему право осуществлять обработку ПДн субъектов ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе в установленном порядке. Сведения о присвоенных Сотруднику идентификаторах (логин и пароль) относятся к конфиденциальным и не подлежат передаче Сотрудником третьим лицам. Сотрудник обеспечивает соблюдение требований о конфиденциальности и несет риск последствий, связанных с нарушением таких требований. Процедура аутентификации осуществляется техническим центром Оператора при осуществлении доступа сотрудника в информационную систему путем сопоставления введенных логина и пароля соответствующим присвоенным сотруднику логину и паролю, информация о которых содержится в информационной системе. В случае успешного прохождения процедуры аутентификации Сотрудник получает возможность осуществления операций с ПДн субъекта ПДн в информационной системе. Сотрудник Оператора, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей, обеспечивает хранение информации, содержащей ПДн субъектов ПДн, исключающее доступ к ним третьих лиц. В отсутствие сотрудника на его рабочем месте не должно находиться документов, содержащих ПДн. При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он обязан передать документы и иные носители, содержащие ПДн лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДн Субъектов, передаются другому сотруднику, имеющему доступ к ПДн по указанию руководителя соответствующего структурного подразделения Оператора. При увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому сотруднику, имеющему доступ к ПДн по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку ПДн.

3.14. Хранение ПДн субъектов ПДн, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора.

Хранение ПДн субъектов ПДн осуществляется Обществом в форме, позволяющей определить субъекта ПДн.

3.15. Обработка и хранение ПДн осуществляются  не дольше, чем этого требуют цели обработки ПДн, если отсутствуют законные основания для дальнейшей обработки, например, если срок хранения ПДн установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн или согласием субъекта ПДн. 

3.16. Обрабатываемые ПДн подлежат уничтожению по достижении целей работки или в случае утраты необходимости в достижении этих целей.

3.17. Оператор не осуществляет действий, направленных на раскрытие ПДн неопределенному кругу лиц.


4. Обработка запросов субъектов персональных данных.

4.1. Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Обществе разработан и введён порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области персональных данных.

4.2. Данный порядок обеспечивает соблюдение следующих прав субъекта ПДн: 

  • право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
  • подтверждение факта обработки ПДн; 
  • правовые основания и цели обработки ПДн;
  • цели и применяемые Обществом способы обработки ПДн;
  • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании иных требований Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»; 
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
  • информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими требованиями законодательства в области персональных данных;
  • информацию о способах исполнения Оператором обязанностей, установленных ст.18.1. Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных». 

Указанные выше сведения предоставляются Субъекту ПДн в течение 10 рабочих дней с момента обращения либо получения оператором запроса Субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более, чем на 5 рабочих дней в случае направления Оператором а адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

  • право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.

4.3. Общество в течение 7 рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор уничтожает такие персональные данные. Оператор уведомляет Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы. 

4.4. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта персональных данных или его представителя, дату обращения.

4.5. Работники Общества не имеют право отвечать на вопросы, связанные с передачей или разглашением ПДн по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося лица.

4.6. Запросы субъектов ПДн должны быть направлены по адресу Оператора.


5. Основные права и обязанности субъекта ПДн и Оператора

        5.1. Субъект ПДн имеет право:

  • получить информацию, касающуюся обработки его ПДн;
  • требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях и дополнениях;
  • отозвать свое согласие на обработку ПДн;
  • на свободный безвозмездный доступ к своим ПДн посредством личного обращения либо направления запроса;
  • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке.
  • иные права, предусмотренные действующим законодательством.

5.2.  Оператор обязан: 

  • обеспечивать конфиденциальность ПДн. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законом;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, сведениям о реализуемых требованиях к защите ПДн;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
  • предоставлять ответы на запросы и обращения Субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
  • иные обязанности Оператора, предусмотренные законодательством.


6. Прекращение обработки, уничтожение ПДн.

6.1. Прекращение обработки ПДн. 

6.1.1. Оператор прекращает обработку ПДн в случае: 

  • достижения цели обработки ПДн - в течение тридцати дней, если иное не предусмотрено договором;
  • истечения срока действия согласия Субъекта ПДн - в течение тридцати дней;
  • выявления неправомерной обработки ПДН – в течение трех дней с даты выявления;
  • невозможности обеспечения правомерности обработки персональных данных - в течение десяти рабочих дней;
  • отзыва согласия Субъекта ПДн, если сохранение ПДн более не требуется для целей обработки ПДн - в течение 30 дней;
  • предоставления субъектом ПДн сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений.

6.1.2. В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных п.2 — 11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Закона «О персональных данных». 

Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 

6.2. Отзыв согласия на обработку ПДн.

6.2.1. Субъект ПДН может в любой момент отозвать свое согласие на обработку ПДн при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва субъектом согласия на обработку ПДн, Оператор вправе продолжить обработку ПДн без согласия Субъекта только при наличии оснований, указанных в ФЗ.

6.2.2. Для отзыва согласия на обработку ПДн необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора.

6.2.3. В случае отзыва субъектом согласия на обработку его ПДн, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей их обработки, уничтожает ПДн или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом, либо если Оператор не вправе осуществлять обработку ПДн без согласия Субъекта на основаниях, предусмотренных ФЗ или другими федеральными законами.

6.3. Уничтожение ПДн.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если: 

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом «О персональных данных» или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом ПДн.


7. Обеспечение безопасности ПДн.

7.1. При обработке ПДн Оператор применяет правовые, организационные и технические меры и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в информационных системах ПДн, требованиям к материальным носителям ПДн и технологиям хранения таких данных вне информационных систем ПДн, установленными Правительством РФ.

7.2. Мероприятия по защите ПДн определяются Положениями, Приказами, Инструкциями и другими локальными актами Оператора.

7.3.Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ними нормативно-правовыми актами.

7.4. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативно-правовыми актами, если иное не предусмотрено указанным законом иди другими федеральными законами. 

7.5. Обеспечение безопасности ПДн достигается в частности: 

  • назначением ответственного лица за организацию обработки ПДН;
  • определением угроз безопасности ПДн при их обработке в информационных системах ПДН;
  • применением организационных и технических мер по обеспечению безопасности ПДн;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн;
  • обнаружением фактов несанкционированного доступа к ПДН и принятием необходимых мер;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемых в информационных системах ПДн;
  • контролем над принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн;
  • оценкой вреда, который может быть причинен Субъектам ПДн в случае нарушения ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ;
  • изданием Оператором локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранения последствий таких нарушений;
  • ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ, настоящей Политикой и другими локальными актами по вопросам обработки ПДн, и (или) обучением (инструктаж) указанных сотрудников.


8. Ответственность за нарушение или неисполнение Политики.


8.1. Контроль исполнения настоящей Политики возложен на Ответственного за организацию обработки ПДн.

8.2. Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с законодательством РФ.

8.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

8.4. Клиент/Пользователь безусловно соглашается и признает, что используя Сайт и его сервисы, Клиент/Пользователь дает конкретное, предметное, информированное, сознательное и однозначное согласие на обработку указанных в настоящих Правилах персональных данных свободно, своей волей и в своем интересе.

8.5. Общество не несет ответственности за возможное нецелевое использование персональных данных субъектов ПДн, произошедшее из-за:

- технических неполадок в программном обеспечении, серверах или компьютерных сетях, находящихся вне контроля Общества;

- перебоев в работе базы данных, связанных с намеренным или ненамеренным использованием базы данных не по назначению третьими лицами.


9. Прочие положения


9.1. Политика и изменения к ней утверждаются единоличным исполнительным органом Общества, являются обязательными для исполнения всеми сотрудниками, имеющими доступ к ПДн Субъектов, и вступает в силу со дня ее утверждения.

9.2. Все сотрудники Общества, допущенные к работе с ПДн, должны быть ознакомлены с Политикой до начала работы с ПДн.

9.3. Оператор имеет право вносить изменения в Политику без согласия Субъекта.

9.4. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, иным документам, определяющим политику Оператора в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите персональных данных Оператор осуществляет, в частности, но не ограничиваясь, посредством размещения на электронном сайте, принадлежащем Оператору.

9.5. Новая редакция Политики вступает в силу с момента опубликования.

Все вопросы, связанные с обработкой ПДн, не урегулированные настоящей Политикой, разрешаются в соответствии с действующими законодательством РФ в области персональных данных, а также принятыми Обществом иными локальными актами в области персональных данных.

Приложение №2 к политике конфиденциальности
Приложение №2 к политике конфиденциальностиПриложение №2 к политике конфиденциальности