Политика по обработке персональных данных

1. Термины и определения

1.1 Настоящая политика по обработке персональных данных (далее по тексту – политика) разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральным законом от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», 1.2 Обработка и защита персональных данных осуществляется с соблюдением принципов и условий, предусмотренных политикой и законодательством Российской Федерации в области персональных данных. 1.3 Основные понятия, используемые в политике: • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; • файлы cookies – это текстовые файлы, содержащие небольшой объём информации и загружающиеся на используемое субъектом персональных данных устройство при посещении сайта. После загрузки на техническое устройство субъекта персональных данных Файлы cookies отправляются обратно на исходный сайт при каждом последующем его посещении субъектом персональных данных либо на другой сайт – в случае если такой сайт распознает такие файлы cookies.

2. Принципы обработки персональных данных. Основные права и обязанности

2. Принципы обработки персональных данных. Основные права и обязанности 2.1 Политика определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных у Оператора. 2.2 Обработка персональных данных Оператором осуществляется на основе следующих принципов: • законности и справедливости оснований, целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных; • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при их сборе. • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные; • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных; • уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок. 2.3 Оператор обязан: • организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»); • обеспечивать защиту персональных данных, неправомерного использования или утраты; • сообщать в предусмотренном законодательством Российской Федерации порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными; • своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей; • в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии у Оператора его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа; • если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные; • предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы; • сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса; • немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием средств связи; • устранять нарушения законодательства, допущенные при обработке персональных данных; • уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных законодательством Российской Федерации о персональных данных; • выполнять иные обязанности, предусмотренные политикой и законодательством Российской Федерации. 2.4 Оператор в качестве оператора персональных данных вправе: • принимать локальные акты в развитие Политики; • предлагать субъекту персональных данных оформить персональное согласие на обработку персональных данных; • отказывать в предоставлении персональных законодательством Российской Федерации; • привлекать к дисциплинарной ответственности требований к защите персональных данных; • осуществлять иные права, предусмотренные политикой и законодательством Российской Федерации 2.5 Субъект персональных данных праве: • получать в случаях и порядке, предусмотренных законодательством Российской Федерации, информацию, касающуюся обработки его персональных данных у Оператора, в том числе и об источниках их получения; • требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки; • отказывать в предоставлении персональных законодательством Российской Федерации; • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора в качестве оператора персональных данных, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы • дать свое согласие Оператору на обработку персональных данных субъекта персональных данных. • Требовать прекращения обработки персональных данных. Отозвать свое согласие на обработку персональных данных следующими способами: • направление отзыва в письменной форме почтовым отправлением Оператору по его адресу, указанному на сайте. Отзыв считается полученным Оператором с момента вручения соответствующего почтового отправления Оператору. Отзыв в письменной форме должен включать в себя (помимо непосредственно отзыва по существу), в частности, фамилию, имя, отчество; • направление отзыва с использованием информационных технологий и технических средств Платформы; • дать свое согласие на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с использованием средств связи; • защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке; • осуществлять иные права субъекта персональных данных, предусмотренные законодательством Российской Федерации.

3. Правовые основания, цели, условия и порядок обработки персональных данных

3.1 Правовые основания обработки Оператором персональных данных субъектов персональных данных (категории субъектов персональных данных указаны в пункте 3.2 Политики): • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»; • Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»; • Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»; • Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; • Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», • согласие(я) субъекта(ов) персональных данных на обработку его(их) персональных данных. 3.2. Категории субъектов персональных данных, персональные данные которых обрабатываются Оператором: 3.2.1. посетители и участники Платформы, являющиеся физическими лицами; 3.2.2. физические лица – представители участников платформы – юридических лиц; 3.2.3. представители указанных в подпунктах 3.2.1 и 3.2.2 политики категорий субъектов персональных данных. 3.3. Цели обработки персональных данных субъектов персональных данных, указанных в пункте 3.2 Политики: 3.3.1. осуществление связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг Оператора, а также обработки заявлений, заявок, запросов и иных сообщений Посетителей и Участников Платформы; 3.3.2. исполнение Оператором требований законодательства; 3.3.3. осуществление операций в рамках Платформы; 3.3.4. улучшение качества услуг, оказываемых Оператором; 3.3.5. продвижение услуг на рынке путем осуществления прямых контактов с субъектами персональных данных (с использованием средств связи); 3.3.6. проведение статистических и иных исследований, на основе обезличенных персональных данных; 3.4. В целях, указанных в пункте 3.3 политики, обрабатываются следующие категории персональных данных категорий субъектов персональных данных, указанных в пункте 3.2 Политики: • фамилия, имя, отчество; • число, месяц, год рождения; • пол; • номер контактного телефона; • адрес электронной почты (email); • компания, должность; • IP и MAC-адреса; • файлы cookies; • геолокационные данные (данные о местоположении). 3.5. Специальные категории персональных данных категорий субъектов персональных данных, указанных в пункте 3.2 Политики, не обрабатываются. 3.6. Биометрические персональные данные не обрабатываются. 3.7. Обработка персональных данных категорий субъектов персональных данных, указанных в пункте 3.2 Политики, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 3.3 Политики, в соответствии с пунктами 2, 3, 3.1, 5, 7, 9, 10 и 11 части 1 статьи 6 Федерального закона «О персональных данных». В случае если обработка персональных данных категорий субъектов персональных данных осуществляется не на основании пунктов 2, 3, 3.1, 5, 7, 9, 10 и 11 части 1 статьи 6 Федерального закона «О персональных данных», то обработка персональных данных категорий субъектов персональных данных, указанных в пункте 3.2 Политики, осуществляется в рамках целей, определенных пунктом 3.3 Политики, при условии получения согласия указанных лиц. 3.8. Обработка персональных данных категорий субъектов персональных данных, указанных в пункте 3.2 Политики, включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных. 3.9. Трансграничная передача персональных данных не осуществляется. 3.10. Обработка персональных данных субъектов персональных данных, указанных в пункте 3.3 Политики, осуществляется путем: • внесения сведений в учетные формы на бумажных и электронных носителях; • внесения персональных данных в информационные системы. 3.11. Обработка персональных данных осуществляется путем получения Персональных данных от субъектов персональных данных, категории которых указаны в пункте 3.2 Политики, в частности, путем заполнения субъектом персональных данных экранных форм, размещенных на Сайте. Обработка персональных данных, которая осуществляется путем получения персональных данных не от субъектов персональных данных, категории которых указаны в пункте 3.2 Политики, допускается с соблюдением положений Политики и (или) законодательства Российской Федерации. 3.12. Запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных Политикой и (или) законодательством Российской Федерации. 3.13. Обработка персональных данных осуществляется лишь в случаях и в порядке, предусмотренных Политикой и (или) федеральными законами. 3.14. В рамках достижения целей обработки персональных данных Оператор может предоставлять доступ к персональным данным и (или) передавать персональные данные третьим лицам, в частности, партнерам Оператора. Перечень лиц, которым Оператор может предоставлять доступ к персональным данным и (или) передавать персональные данные, устанавливается Оператором на основании выбора Оператора. Указанный перечень размещается на Сайте. Оператор обновляет перечень по мере необходимости. Оператор может предоставлять доступ к персональным данным и (или) передавать персональные данные третьим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации, Политикой и иными локальными актами Оператора, издаваемыми в развитие Политики, договорами, стороной которых, выгодоприобретателем или поручителем, по которым является субъект персональных данных, иными соглашениями между Оператором и субъектом персональных данных. Кроме того, Оператор предоставляет доступ и (или) передает персональные данные Участников Платформы (физических лиц), являющихся Инвесторами, Участникам Платформы (юридическим лицам и индивидуальным предпринимателям), являющимися Заемщиками, для исполнения Заемщиками обязанностей налогового агента по налогу на доходы физических лиц в отношении Инвесторов – физических лиц. Третьи лица, которым Оператор предоставляет доступ к персональным данным и (или) передает персональные данные, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации о персональных данных, в частности, соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. 3.15. Оператор вправе на основании выбора Оператора поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации о персональных данных. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии законодательством Российской Федерации о персональных данных. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. 7 В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. В случае, если Оператор поручает обработку персональных данных другому лицу, информацию о таком лице Оператор включает в перечень третьих лиц, предусмотренный пунктом 3.16 Политики. 3.16. Обработка Файлов cookies осуществляется в случаях и порядке, предусмотренных разделом 10 Политики.

4. Порядок обработки персональных данных субъектов персональных информационной системе. Обеспечение безопасности персональных данных

4.1. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с использованием средств вычислительной техники). 4.2. Обработка персональных данных осуществляется: 4.2.1. в информационной системе; 4.2.2. на автоматизированных рабочих местах работников Оператора. 4.3. Работникам Оператора, имеющим право осуществлять обработку персональных данных, предоставляется уникальный логин и пароль для доступа к автоматизированным рабочим местам работников. Доступ предоставляется к персональным данным в соответствии с функциями, предусмотренными должностными инструкциями работников и локальными актами Оператора. Информация может вноситься как в автоматическом режиме, при получении персональных данных с Платформы, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию. 4.4. Обеспечение безопасности персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, защиты от уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности, путем принятия следующих мер: 4.4.1. разработана и применяется Политика Оператора по обработке персональных данных. 4.4.2. разработаны и применяются Положение по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, и Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных; 4.4.3. приказом Генерального директора Оператора назначены ответственные за организацию обработки персональных данных лица, определены их полномочия и ответственность; 4.4.4. работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; 4.4.5. произведена оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношения 8 указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных; 4.4.6. осуществлён внутренний контроль (аудит) соответствия обработки персональных данных законодательству Российской Федерации о персональных данных и требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных; применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 4.4.8. оценивается эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в промышленную эксплуатацию информационной системы; 4.4.9. хранение сведений организовано на электронных носителях (в информационной системе персональных данных) с использованием средств обеспечения безопасности, на бумажных носителях с применением мер, обеспечивающих раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях; 4.4.10. учитываются машинные носители персональных данных; 4.4.11. обеспечивается обнаружение фактов несанкционированного доступа к персональным данным и принятие мер; 4.4.12. обеспечивается восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним; 4.4.13. обеспечивается контроль за принимаемыми мерами по обеспечению безопасности персональных данных. 4.5. Лицо, ответственное за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей персональных данных. 4.6. Лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных, должно обеспечить: 4.6.1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных; 4.6.2. недопущение воздействия на технические средства автоматизированной персональных данных, в результате которого может быть нарушено их функционирование; 4.6.3. возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 4.6.4. постоянный контроль за обеспечением уровня защищенности персональных данных; 4.6.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; 4.6.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; 4.6.7. при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин; 4.6.8. разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений. 4.7. Обмен персональными данными при их обработке в информационной системе персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств. 4.8. Доступ работников Оператора к персональным данным, находящимся в информационной системе персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации. 4.9. В случае выявления нарушений порядка обработки персональных данных в информационной системе персональных данных уполномоченным должностным лицом незамедлительно принимаются меры по установлению причин нарушений и их устранению. 4.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством Российской Федерации, Политикой, иными локальными актами Оператора, издаваемыми в развитие Политики, договорами, стороной которых, выгодоприобретателем или поручителем, по которым является субъект персональных данных, иными соглашениями между Оператором и субъектом персональных данных. 5.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). 5.3. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Политикой. 5.4. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет лицо, ответственное за организацию обработки персональных данных. 5.5. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно. 5.6. При достижении цели обработки персональных данных Оператором обработка персональных данных прекращается. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных Оператор прекращает их обработку в срок, не превышающий тридцати дней с даты поступления отзыва, за исключением того, что Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных». 5.7. При достижении целей обработки персональных данных, истечении срока действия согласия или отзыве согласия субъекта персональных данных на обработку его персональных данных, а также в случае выявления неправомерной обработки персональных данных персональные данные подлежат уничтожению, если: • иное не предусмотрено договором, стороной которого, выгодоприобретателем поручителем, по которому является субъект персональных данных; • Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами; • иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных. 5.8. Срок хранения персональных данных, внесенных в информационную систему персональных данных, должен соответствовать сроку хранения бумажных оригиналов.

6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

6.1. Оператор осуществляет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению. 6.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии Оператора, состав которой утверждается локальным актом Оператора. 6.3. В порядке, установленном законодательством Российской Федерации, определяются условия и процедура уничтожения документов, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7. Рассмотрение запросов субъектов персональных данных или их представителей

7.1. Субъекты персональных данных в случаях и порядке, предусмотренных законодательством Российской Федерации, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей: 7.1.1. подтверждение факта обработки персональных данных Оператором; 7.1.2. правовые основания и цели обработки персональных данных; 7.1.3. применяемые Оператором способы обработки персональных данных; 7.1.4. наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; 7.1.5. обрабатываемые персональные данные, персональных данных, источник их получения; 7.1.6. сроки обработки персональных данных, в том числе сроки их хранения Оператором; 7.1.7. порядок осуществления субъектом персональных данных законодательством Российской Федерации в области персональных данных; 7.1.8. информацию об осуществленной или предполагаемой трансграничной передаче данных; 7.1.9. наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу; 7.1.10. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных. 7.2. Субъекты персональных данных вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 7.3. Сведения, указанные в подпунктах 7.1.1 – 7.1.10 Политики, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 7.4. Сведения, указанные в подпунктах 7.1.1 – 7.1.10 Политики, предоставляются субъекту персональных данных или его представителю уполномоченным лицом Оператора, осуществляющим обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать: 7.4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; 7.4.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. 7.5. В случае, если сведения, указанные в подпунктах 7.1.1 – 7.1.10 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. 7.6. Субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, указанных в подпунктах 7.1.1 – 7.1.10 Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7.5 Политики в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7.4 Политики, должен содержать обоснование направления повторного запроса. 7.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7.5 и 7.6 Политики. Такой отказ должен быть мотивированным. 7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8. Лицо, ответственное за организацию обработки персональных данных

8.1. Ответственный за организацию обработки персональных данных у Оператора (далее Ответственный за обработку персональных данных) назначается генеральным директором Оператора. 8.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и Политикой. 8.3. Ответственный за обработку персональных данных обязан: 8.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; 8.3.2. осуществлять внутренний контроль за соблюдением работниками Оператора требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных; 8.3.3. доводить до сведения работников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 8.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов у Оператора; 8.3.5. в случае нарушения у Оператора требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных. 8.4. Ответственный за обработку персональных данных вправе: 8.4.1. иметь доступ к информации, касающейся обработки персональных данных у Оператора и включающей: 8.4.1.1. цели обработки персональных данных; 8.4.1.2. категории обрабатываемых персональных данных; 8.4.1.3. категории субъектов, персональные данные которых обрабатываются; 8.4.1.4. правовые основания обработки персональных данных; 8.4.1.5. перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных; 8.4.1.6. описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 8.4.1.7. дату начала обработки персональных данных; 8.4.1.8. срок или условия прекращения обработки персональных данных; 8.4.1.9. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 8.4.1.10. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации; 8.4.2. привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых у Оператора, иных работников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности. 8.5. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных у Оператора в соответствии с положениями законодательства Российской Федерации в области персональных данных.

9. Гарантии конфиденциальности

9.1. Информация, относящаяся к персональным данным, ставшая известной Оператору в ходе своей деятельности, является конфиденциальной информацией и охраняется законодательством Российской Федерации. 9.2. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Правилами или федеральными законами. 9.3. При передаче персональных данных субъекта персональных данных работники Оператора, осуществляющие обработку персональных данных, должны соблюдать требования законодательства Российской Федерации о персональные данные и Политики, в частности: 9.4. не сообщать персональные данные субъекта персональных данных третьим лицам без наличия правового основания; 9.5. предупредить третьих лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности. 9.6. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания, если иное не определено законодательством Российской Федерации. 9.7. Работники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, материальной, административной, гражданско-правовой или уголовной ответственности в случае нарушения положений законодательства Российской Федерации в области персональных данных. 9.8. Работники Оператора, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации. 9.9. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

10. Файлы cookies

10.1. При посещении и использовании субъектом персональных данных Сайта Оператор с использованием Файлов cookies и (или) иных технических средств автоматического сбора информации собирает о субъекте персональных данных и его технических устройствах информацию следующего характера: источник входа на Сайт; IP-и MAC-адреса; идентификатор браузера – Client ID, версия браузера; сведения о местоположении (геолокационные данные); тип устройства; сведения об операционной системе устройства; разрешение экрана; язык интерфейса и т.п.; параметры сессии, в том числе дата и время доступа к Сайту; сведения о действиях пользователя на Сайте, в том числе пользовательские клики, адреса запрашиваемых страниц, показы и просмотры страниц; данные, характеризующие аудиторные сегменты, – и обрабатывает ее для целей, указанных в пункте 10.2 Политики и в соответствии с условиями Политики. 10.2. Указанную в пункте 10.1 Политики информацию Оператор обрабатывает с целью улучшения качества услуг, оказываемых Оператором, а именно: в целях контроля использования Платформы, улучшения работы Сайта, совершенствования его функционала, определения предпочтений субъекта персональных данных, предоставления целевой информации по Сервисам и услугам Оператора и его партнеров, таргетирования рекламных материалов, проведения статистических и иных исследований, предотвращения мошенничества. 10.3. В случае нежелания субъекта персональных данных предоставлять Оператору указанную в пункте 10.1 Политики информацию субъект персональных данных обязан изменить настройки браузера, в частности, отключить Файлы cookies в настройках браузера, или прекратить использование Сайта; при этом субъект персональных данных должен сознавать, признавать и соглашаться с тем, что в таком случае отдельные разделы и (или) функции Сайта могут отображаться и (или) работать некорректно.

11. Заключительные положения

11.1. Политика является общедоступным документом Оператора. 11.2. Политика подлежит изменению в случае принятия нормативных правовых актов, устанавливающих новые требования по обработке и защите персональных данных, или в случае внесения изменений в действующие нормативные правовые акты. Политика может быть изменена Оператором. 11.3. Политика утверждается и вводится в действие приказом Оператора и является обязательной для исполнения всеми работниками Оператора, имеющими доступ к персональным данным. 11.4. Сайт не предназначен для ведения хозяйственной деятельности с интернет-пользователями, находящимися на территории Европейского союза. 11.5. Содержащиеся на Сайте сведения и документы, содержащие персональные данные, не являются общедоступными. Оператор и Сайт не создают общедоступный источник персональных данных. 11.6. Контроль за исполнением требований Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора. 11.7. Оператор (в части осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей) размещает на Сайте Политику, определяющую его политику в отношении обработки персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики, и содержащую сведения о реализуемых требованиях к защите персональных данных, а также обеспечивает возможность доступа к Политике с использованием средств соответствующей информационно-телекоммуникационной сети путем ее размещения на Сайте. 11.8. Настоящий документ определяет политику по обработке персональных данных в отношении категорий субъектов персональных данных, указанных в пункте 3.2 Политики, и является частью локального акта Оператора, определяющего политику по обработке персональных данных в отношении всех категорий субъектов персональных данных, персональные данные которых обрабатывает Оператор