1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика обработки персональных данных (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Обществе с ограниченной ответственностью «Ветеран» (ООО «ВЕТЕРАН») (далее –Компания, Оператор) персональных данных, функции Компании при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Компании требования к защите персональных данных.
1.2. Политика разработана в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и иных нормативно-правовых актов в области обработки и защиты персональных данных, направлена на обеспечение защиты прав и свобод человека при обработке его персональных данных и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «ВЕТЕРАН».
1.3. Политика Оператора в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о Пользователях Сайта https://veteran.bz/.
1.4. В настоящем документе содержатся ссылки на следующие термины и сокращения:
Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Веб-сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://veteran.bz/.
Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация: сведения (сообщения, данные) независимо от формы их представления.
Обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю Сайта https://veteran.bz/.
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым, предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения).
Пользователь - любой посетитель веб-сайта https://veteran.bz/.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Уничтожение персональных данных - любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Компании и других субъектов персональных данных (Пользователей, находящихся на Сайте), кроме этого устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных.
2.2. В Положениях настоящей Политики не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.
2.3. Целями настоящей Политики являются:
- обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- исключение несанкционированных действий Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта;
- защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта.
2.4. Принципы обработки персональных данных:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- содержание и объем обрабатываемых персональных данных неопределенному кругу лиц определяет субъект персональных данных в соглашении на распространение персональных данных;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, соглашением, стороной которого является Пользователь;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, при отзыве субъектом персональных данных согласия на распространение персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
2.5. Условия обработки персональных данных.
2.5.1. Обработка персональных данных Пользователей Сайта осуществляется на основании Гражданского кодекса Российской Федерации, Конституции Российской Федерации, действующего законодательства Российской Федерации в области защиты персональных данных.
2.5.2. Обработка персональных данных на Сайте осуществляется с соблюдением принципов и правил, предусмотренных Политикой и законодательством Российской Федерации.
2.5.3. Персональные данные при посещении сайта передаются Пользователем добровольно, к ним могут относиться: имя, фамилия, отчество, номера телефонов, адреса электронной почты, адреса для доставки товаров или оказания услуг, реквизиты компании, которую представляет пользователь, должность в компании, которую представляет пользователь, аккаунты в социальных сетях, а также — прочие, заполняемые поля форм.
Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных необходима для использования Сайта, стороной которого является Пользователь;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Пользователя Сайта, если получение согласия невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Пользователей Сайта;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, в целях оказания возможности связи с Пользователем или иной активности Пользователя на сайте, а также, чтобы отправлять пользователю информацию, которую он согласился получать, за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания персональных данных.
2.5.4. Компания не проверяет достоверность оставляемых данных и не гарантирует качественного исполнения заказов, оказания услуг или обратной связи при предоставлении Пользователем некорректных сведений.
2.6. Цели обработки персональных данных.
2.6.1. Обработка персональных данных Пользователей Сайта осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом.
2.6.2. Обработка персональных данных осуществляется Оператором исключительно в целях исполнения обязательств перед Пользователями сайта и предоставления качественных услуг Пользователям.
2.6.3. Сведениями, составляющими персональные данные на Сайте, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
2.7. Источники получения персональных данных Пользователей.
2.7.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.
2.7.2. Источником информации о персональных данных Пользователя являются сведения, полученные вследствие предоставления Оператором Пользователю прав пользования Сайтом.
2.7.3. Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа.
2.7.4. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.
2.7.5. Оператор не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
2.8. Способы обработки персональных данных.
2.8.1. Персональные данные Пользователей Сайта обрабатываются исключительно с использованием средств автоматизации.
2.9. Права субъектов (Пользователей) персональных данных.
2.9.1. Пользователь имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному субъекту персональных данных (Пользователю), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Закона о персональных данных.
2.9.2. Пользователь имеет право на получение от Оператора при личном обращении к нему либо при получении Оператором письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами;
- требовать изменения, уточнения, уничтожения информации о самом себе;
- обжаловать неправомерные действия или бездействие по обработке персональных данных и требовать соответствующей компенсации в суде;
- на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
- определять представителей для защиты своих персональных данных;
- требовать от Оператора уведомления обо всех произведенных в них изменениях или исключениях из них.
2.9.3. Пользователь имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
2.10. Обязанности Оператора.
2.10.1. По факту личного обращения либо при получении письменного запроса субъекта персональных данных или его представителя Оператор, при наличии оснований, обязан в течение 10 рабочих дней с даты обращения либо получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.10.2. Все обращения субъектов персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
2.10.3. В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.
2.10.4. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 10 рабочих дней с даты получения такого запроса.
2.10.5. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
2.10.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
2.10.7. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 рабочих дней с момента вступления решения суда в законную силу.
2.10.8. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
2.10.9. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено согласием на обработку персональных данных, стороной которого является субъект персональных данных.
2.10.10. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
2.11. Режим конфиденциальности персональных данных.
2.11.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации.
2.11.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.
2.11.3. В соответствии с перечнем персональных данных, обрабатываемых на сайте, персональные данные Пользователей Сайта являются конфиденциальной информацией.
2.11.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
3.2. Цель обработки персональных данных – предоставление Пользователю качественных услуг. К таким целям относятся:
- обеспечение возможности связи с пользователем посредством телефонных звонков, SMS-сообщений, электронной почты и иных каналов связи;
- подтверждение согласия пользователя на обработку его персональных данных;
- обработка заявок, запросов и обращений пользователей, поступающих через сайт оператора;
- предоставление пользователю необходимой информации о продуктах, услугах и акциях организации;
- формирование статистики посещаемости ресурса и совершенствования качества обслуживания посетителей;
- информирование пользователя о специальных предложениях, мероприятиях и новостях организации (при наличии соответствующего согласия).
3.3. Перечень обрабатываемых персональных данных указывает субъект персональных в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Обрабатываемые оператором персональные данные:
- Фамилия, Имя, Отчество,
- телефон,
- электронный адрес.
Оператор не обрабатывает иные данные, за исключением случаев, прямо указанных в согласии субъекта.
3.4. Лица, имеющие право доступа к персональным данным.
3.4.1. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
3.4.2. Перечень лиц, имеющих доступ к персональным данным, утверждается руководителем Оператора.
3.5. Порядок и сроки хранения персональных данных на Сайте.
3.5.1. Оператор осуществляет сбор, запись, систематизация, накопление, хранение, уничтожение персональных данных Пользователей на Сайте.
3.5.2. Сроки хранения персональных данных Пользователей на Сайте определены условиями Пользовательского соглашения, вводятся в действие с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои персональные данные с Сайта.
3.5.3. В случае удаления данных с Сайта по инициативе одной из сторон, а именно прекращения использования Сайта, персональные данные Пользователя хранятся в базах данных Оператора пять лет в соответствии с законодательством Российской Федерации.
3.5.4. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
3.5.5. По достижении цели обработки персональных данных, истечении срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя подлежат уничтожению автоматически заданным алгоритмом, который задает Оператор.
3.5.6. Оператором не ведется обработка персональных данных Пользователей на бумажных носителях информации.
3.6. Яндекс.Метрика.
3.6.1. Компания использует средство «Яндекс.Метрика» для сбора сведений об использовании Сайта, таких как частота посещения Сайта Пользователями, посещенные страницы и сайты, на которых были Пользователи до перехода на данный Сайт. Яндекс. Метрика собирает только IP-адреса, назначенные в день посещения данного Сайта, но не имя или другие идентификационные сведения.
3.6.2. Яндекс.Метрика размещает постоянный cookie-файл в веб-браузере для идентификации в качестве уникального пользователя при следующем посещении данного Сайта. Этот cookie-файл не может использоваться никем, кроме Яндекса. Сведения, собранные с помощью cookie-файла, будут передаваться и храниться на серверах в Яндекс.
3.6.3. Компания использует сведения, полученные через Яндекс.Метрику, только для совершенствования услуг на данном Сайте. Компания не объединяет сведения, полученные через Яндекс.Метрику, с персональными сведениями.
3.6.4. Возможности Яндекс по использованию и передаче третьим лицам сведений, собранных средством Яндекс.Метрики о посещениях Сайта, ограничиваются Политикой конфиденциальности Яндекс. Пользователь может запретить Яндекс.Метрике узнавать его при повторных посещениях данного Сайта, отключив cookie-файлы Яндекс.Метрики в своем браузере.
3.6.5. Более подробно о политике конфиденциальности Пользователи могут прочитать, перейдя по ссылке на страницу Политики конфиденциальности Яндекс.
3.7. Блокирование персональных данных.
3.7.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
3.7.2. Оператор не передает персональные данные третьим лицам и не поручает обработку персональных данных сторонним лицам и организациям. Персональные данные Пользователей Сайта обрабатывают только работники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Пользователей.
3.7.3. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.
3.8. Уничтожение персональных данных.
3.8.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.
3.8.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.8.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных.
3.8.4. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

4. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Меры по обеспечению безопасности персональных данных при их обработке.
4.1.1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается Компаний путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
4.1.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
4.1.3. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
4.1.4. Для целей положений настоящей Политики под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2. Защищаемые сведения о субъекте персональных данных.
К защищаемым сведениям о субъекте персональных данных на Сайте относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Политикой.
4.4. Требования к системе защиты персональных данных.
Система защиты персональных данных должна соответствовать требованиям постановления Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.4.1. Система защиты персональных данных должна обеспечивать:
- своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
4.5. Методы и способы защиты информации в информационных системах персональных данных.
4.5.1. Методы и способы защиты информации в информационных системах персональных данных Оператора должны соответствовать требованиям:
- приказа ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказа ФСБ от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (в случае определения Оператором необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).
4.5.2. Основными методами и способами защиты информации в информационных системах персональных данных Пользователей являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от НСД).
4.5.3. Выбор и реализация методов и способов защиты информации на Сайте осуществляются в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых Оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.
4.5.4. Выбранные и реализованные методы и способы защиты информации на Сайте должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке.
4.6. Меры защиты информации, составляющей персональные данные.
4.6.1. Меры по охране баз данных, содержащих персональные данные, принимаемые Оператором, должны включать в себя:
- определение перечня информации, составляющей персональные данные;
- ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
4.6.2. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4.7. Ответственность.
4.7.1. Оператор, осуществляющий обработку персональных данных, обязан хранить тайну о сведениях, содержащих персональные данные, в соответствии с настоящей Политикой, требованиями законодательства Российской Федерации.
4.7.2. Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством Российской Федерации ответственность.
4.7.3. Политика конфиденциальности не распространяется ни на какие другие сайты и не применима к веб-сайтам третьих лиц, которые могут содержать упоминание о сайте Компании и с которых могут делаться ссылки на сайт Компании, а также ссылки с этого сайта на другие сайты сети интернет. Компания не несет ответственности за действия других веб-сайтов.

5. УВЕДОМЛЕНИЕ РОСКОМНАДЗОРА О НАРУШЕНИЯХ БЕЗОПАСНОСТИ

5.1. Оператор до начала обработки персональных данных уведомляет Роскомнадзор о намерении осуществлять обработку персональных данных в порядке, предусмотренном ст. 22 Закона о персональных данных, за исключением случаев, когда такая обязанность отсутствует в силу закона.
5.2. При выявлении инцидентов, повлекших утечку ПДн или нарушение конфиденциальности, Оператор:
- фиксирует инцидент;
- проводит расследование;
- в течение 24 (двадцати четырех) часов уведомляет Роскомнадзор с использованием официальных каналов (ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
5.3. Уведомление в Роскомнадзор должно включать:
- дату и описание инцидента;
- предполагаемые причины и меры реагирования;
- объём пострадавших данных.

6. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНИХ

6.1. Обработка персональных данных лиц младше 14 (четырнадцати) лет осуществляется только при наличии письменного согласия законного представителя.
6.2. Персональные данные лиц в возрасте от 14 (четырнадцати) до 18 (восемнадцати) лет обрабатываются с их письменного согласия при наличии подтверждённого одобрения представителя (по закону или договору).

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Положения настоящей Политики вступают в силу с момента ее утверждения и действуют до момента утверждения актуализированной версии политики, либо отмены настоящего документа.
7.2. В случае изменения действующего законодательства Российской Федерации, внесения изменений в нормативные документы по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с такими.
7.3. Все изменения в настоящую Политику вносятся приказом Генерального директора Общества. Используя Сайт, Пользователь соглашаетесь с принятием на себя ответственности за периодическое ознакомление с Политикой конфиденциальности и изменениями в ней.
7.4. Оператор обеспечивает неограниченный доступ к настоящей Политики.