Положение по обработке персональных данных
ПОЛОЖЕНИЕ
по обработке персональных данных
1. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее – Положение) устанавливает порядок и условия обработки персональных данных интернет-магазином www.tellmart.ru (далее – Оператор).
1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных.
1.3. Положение определяет порядок сбора, обработки, хранения, передачи и любого другого способа обработки персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.4. Положение разработано с целью обеспечения защиты прав и свобод Субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным Субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.
2. Основные понятия, используемые в Положении
2.1. Для целей настоящего Положения используются следующие основные понятия:
Субъект персональных данных – прямо или косвенно определенное или определяемое физическое лицо, передавшее свои персональные данные для обработки Оператору.
Пользователь - лицо, использующее Сайт с целью ознакомления с информацией на сайте, подписки на новости/рекламные уведомления, комментирования данных на сайте, уточнения информации через web-форму вопроса.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
Оператор персональных данных – интернет-магазин tellmart.ru, самостоятельно или совместно с другими лицами организующее обработку персональных данных, а также определяющие цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Цели обработки персональных данных
3.1. Оператор осуществляет обработку персональных данных Субъектов персональных данных в следующих целях:
- соблюдение законодательства Российской Федерации в области персональных данных;
- исполнения заключенного между Оператором и Субъектом персональных данных договора, в т.ч. договора купли-продажи, в т.ч. заключенного дистанционным способом на Сайте;
- регистрации и (или) авторизации Субъекта персональных данных на сайте Оператора www.tellmart.ru (далее – Сайт);
- обработки заказов Субъекта персональных данных;
- информирования Субъекта персональных данных о статусе заказа;
- ведения истории "Мои заказы" на Сайте Оператора;
- доставки заказанного товара Субъекта персональных данных, возврата товара;
- информирования Субъекта персональных данных об акциях, скидках, специальных предложениях и о новых товарах/услугах посредством электронных и СМС-рассылок, рассылок через мобильные мессенджеры, браузерные пуш уведомления;
- анализа качества предоставляемого Оператором сервиса и улучшению качества обслуживания клиентов Оператора;
- проведения статистических и иных исследований на основе обезличенных данных;
- в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных.
4. Правовые основания обработки персональных данных
4.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
4.2. Обработка персональных данных Оператором осуществляется в соответствии с:
- федеральными законами и принятыми на их основе нормативно-правовыми актами:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- иными нормативными правовыми актами Российской Федерации и нормативные документы уполномоченных органов государственной власти.
- Согласием Субъекта персональных данных на обработку персональных данных;
- Договорами между Оператором и Субъектом персональных данных;
- Локальными нормативными актами и документами Оператора, регламентирующими вопросы обработки персональных данных.
5. Объем и категории обрабатываемых персональных данных, категории Субъектов персональных данных
5.1. Обработке подлежат только те персональные данные, которые отвечают заявленным целям обработки.
5.2. Оператор осуществляет обработку следующих персональных данных:
- фамилию, имя, отчество Субъектов персональных данных;
- паспортные данные;
- номер контактного телефона;
- адрес электронной почты;
- возраст, дата рождения;
- фотографии Субъектов персональных данных;
- страна/город местонахождения;
- адрес доставки заказа;
- банковские реквизиты;
- данные о третьих лицах причастных к получению заказа (имена, телефоны, адреса и т.д.).
5.3. При получении персональных данных, не указанных пункте 5.2., такие данные подлежат немедленному уничтожению лицом, получившим их.
5.4. Оператор может собирать и обрабатывать сведения, не являющимися персональными данными (автоматически получаемая информация):
- IP-адреса устройств с которых осуществлялись посещения и совершались некоторые действия (подписка, регистрация, оформление заказа и т.д.);
- история последних посещений с датой и временем;
- название операционной системы;
- название и версия программы для выхода в интернет (самого браузера);
- данные об устройстве с которого Пользователь посещал Сайт Оператора;
- данные об источниках с которых Пользователь перешел на Сайт Оператора (например, Поисковик или название ресурса), а также информация о рекламных объявлениях если посещение было с рекламного объявления;
- данные, характеризующие аудиторные сегменты (страна, город и пр.);
- пользовательские клики, просмотры страниц и видео;
- данные файлов cookie и веб-отметки.
5.5. Оператором обрабатываются персональные данные следующих категорий Субъектов:
- клиентов и контрагентов – физических лиц;
- представителей или работников клиентов или контрагентов - юридических лиц.
5.6. Оператор не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев прямо предусмотренных законодательством.
5.7. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности Субъекта персональных данных) Оператором не обрабатываются.
6. Порядок и условия обработки персональных данных
6.1. Принципы обработки персональных данных
6.1.1. При обработке персональных данных Оператор руководствуется следующими принципами:
- обработка персональных данных осуществляться на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой не допускается;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- обеспечение точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2. Перечень действий с персональными данными и способы их обработки
6.2.1. Оператор осуществляет обработку персональных данных Субъекта персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), включая следующие: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
6.2.2. Обработка персональных данных Субъектов персональных данных осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
6.3. Порядок получения персональных данных
6.3.1. Оператор получается персональные данные Субъектов персональных данных следующими способами:
- путем личной передачи Субъектом персональных данных:
- посредством ввода персональной информации в регистрационные поля при оформлении заказа или регистрации Личного кабинета на Сайте Оператора;
- при осуществлении Субъектом персональных данных заказа товаров по телефонному номеру (номерам) Оператора, а также других обращений к Оператору посредством телефонного вызова;
- путем заполнения форм веб-форм на Сайте Оператора;
- путем отправки сообщений на электронную почту Оператора;
- путем отправки личных сообщений администраторам официальных аккаунтов Оператора в социальных сетях;
- при заключении Субъектом персональных данных договора (договоров) купли-продажи с Оператором в магазинах Оператора;
- от законного представителя Субъекта персональных данных;
- из общедоступных источников персональных данных, включая средства массовой информации, сети Интернет (в том числе в процессе взаимодействия Субъекта персональных данных с web-сайтами, социальными сетями или при использовании приложений третьих лиц, которые взаимодействуют с Оператором);
- иными способами, не противоречащими действующему законодательству РФ и требованиям международного законодательства о защите персональных данных.
6.4. Согласие на обработку персональных данных
6.4.1. Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано Субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий.
6.4.2. Согласие на обработку персональных данных считается предоставленным Субъектом персональных данных посредством совершения Субъектом персональных данных следующих конклюдентных действий в совокупности:
- при регистрации личного кабинета / при оформлении заказа / обращении через веб-форму на сайте Оператора;
- проставление в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в тексте, предлагаемом для ознакомления перед осуществлением регистрации / оформлением заказа / обращением через веб-форму.
- достиг цели их обработки;
- истек срок согласия Субъекта обработки персональных данных или он отозвал согласие на
- обработку персональных данных;
- обнаружена неправомерная обработка персональных данных.
Согласие считается полученным с момента такой регистрации, при условии ее подтверждения Субъектом персональных данных в установленном порядке, с момента такого оформления заказа или обращения через веб-форму и действует до момента отмены Субъектом регистрации на сайте Оператора или до момента направления Субъектом персональных данных Оператору отзыва согласия на обработку персональных данных.
В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.
6.5. Отзыв согласия на обработку персональных данных
6.5.1. Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.5.2. Порядок отзыва согласия на обработку персональных данных: для отзыва согласия на обработку персональных данных необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора.
6.5.3. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
6.6. Передача персональных данных третьим лицам
6.6.1. В случаях, установленных законодательством Российской Федерации, Оператор вправе осуществлять передачу персональным третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.
6.6.2. Оператор вправе поручить обработку персональных данных Субъектов персональных данных третьи лицам, не являющимся его сотрудниками, с согласия Субъекта персональных данных, на основании заключаемого с этими лицами договора.
6.6.3. Лица, осуществляющие обработку персональных данных по поручению Оператора, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных». Для каждого третьего лица определяется перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных».
6.7. Общедоступные источники персональных данных
6.7.1. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных. Оператор может включать персональные данные Субъектов персональных данных в общедоступные источники персональных данных с письменного согласия Субъекта персональных данных. В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, адрес и иные персональные данные, сообщаемые Субъектом персональных данных.
6.7.2. При обезличивании персональных данных согласие Субъекта на включение персональных данных в общедоступные источники персональных данных не требуется.
6.7.3. Сведения о Субъекте персональных данных могут быть исключены из общедоступных источников персональных данных по требованию самого Субъекта либо по решению суда или иных уполномоченных государственных органов.
6.8. Трансграничная передача персональных данных
6.8.1.Оператор не осуществляет трансграничную передачу персональных данных.
6.9. Хранение персональных данных
6.9.1. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
6.9.2. Персональные данные Субъектов персональных данных преимущественно хранятся на электронных носителях. Основными бумажными документами, содержащими персональные данные Субъектов персональных данных, являются:
- договор купли-продажи;
- сопроводительная документация при доставке товара;
- претензии и исковые заявления, относящиеся к Субъектам персональных данных;
- ответы на претензии и возражения на исковые заявления, относящиеся к Субъектам персональных данных.
6.9.3. Хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, должно осуществляться раздельно.
6.10. Условия прекращения обработки персональных данных
6.10.1. Оператор завершает обработку персональных данных, если:
- достиг цели их обработки;
- истек срок согласия Субъекта обработки персональных данных или он отозвал согласие на
- обработку персональных данных;
- обнаружена неправомерная обработка персональных данных.
7. Права Субъекта и обязанности Оператора в области защиты его персональных данных
7.1. Субъект персональных данных вправе:
7.1.1. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
7.1.2. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.1.3. Отозвать свое согласие на обработку персональных данных;
7.1.4. Требовать устранения неправомерных действий Оператора в отношении своих персональных данных;
7.1.5. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке в случае, если Субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.
7.1.6. На защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.
7.2. Оператор в процессе обработки персональных данных Субъекта обязан:
7.2.1. Предоставить Субъекту персональных данных (представителю Субъекта персональных данных) по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса Субъекта персональных данных или его представителя.
7.2.2. До начала обработки персональных данных (если персональные данные получены не от Субъекта персональных данных) предоставить Субъекту персональных данных следующую информацию, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
- наименование либо фамилия, имя, отчество и адрес Оператора или ее представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права Субъекта персональных данных;
- источник получения персональных данных.
7.2.3. Разъяснить Субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
7.2.4. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2.4. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, и к сведениям о реализуемых требованиях к защите персональных данных.
7.2.5. Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов персональных данных.
7.2.6. Осуществить блокирование неточных персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента обращения или получения запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц, в случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав Субъектов персональных данных.
7.2.7. Уточнить персональные данные либо обеспечить их уточнение (если обработка Данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления сведений и снять блокирование персональных данных, в случае подтверждения факта неточности персональных данных на основании сведений, представленных Субъектом персональных данных или его представителем.
7.2.8. Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора, в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению с Оператором, в срок, не превышающий трех рабочих дней с даты этого выявления.
7.2.9. Уничтожить персональные данные или обеспечить их уничтожение (если обработка Данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, в случае, если обеспечить правомерность обработки персональных данных невозможно.
7.2.10. Прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных или иным соглашением между Оператором и Субъектом персональных данных.
7.2.11. Прекратить обработку персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, в случае, если сохранение персональных данных более не требуется для целей обработки персональных.
7.2.12. Осуществить их блокирование или обеспечить блокирование персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 4.2.9-4.2.11 настоящего Положения, и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен Федеральным законодательством.
8. Требования к защите обрабатываемых персональных данных
8.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных, если хранение персональных данных осуществляется на машинных носителях;
- обнаружение фактов несанкционированного доступа к персональных данных и принятие мер по недопущению подобных инцидентов в дальнейшем;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональных данных, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональных данных в информационной системе персональных данных.
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
- оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения требований Федерального Закона от 27.07.2006 года № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом от 27.07.2006 года № 152-ФЗ «О персональных данных»;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Оператора.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъектов персональных данных, несут административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
10. Прочие положения
10.1. Настоящее Положение вступает в силу со дня его утверждения единоличным исполнительным органом Оператора.
10.2. Обеспечение неограниченного доступа к настоящему Положению осуществляется посредством его размещения на электронном Сайте Оператора.
10.3. Настоящее Положение распространяется на всех Субъектов персональных данных, указанных в пункте 5.4., а также на всех сотрудников Оператора, допущенных к работе с персональными данными. Сотрудники, допущенные к работе с персональными данными, должны быть ознакомлены с настоящим Положением до начала работы с персональными данными.
10.4. Оператор имеет право вносить изменения в настоящее Положение в любой момент и без какого-либо предварительного уведомления Субъекта персональных данных. При внесении изменений в заголовке Положения указывается дата последнего обновления редакции. Новая редакция Положения вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Положения.
Дата публикации: 04.07.2017 г.