Общие положения
Настоящие Положение о политике конфиденциальности (далее — Положение) является официальным документом ООО «АКАТЕХ» расположенного по адресу: 194021, г.Санкт-Петербург, ул.Политехническая, офис 1-3 (далее — «Компания»/ «Оператор»), и определяет порядок обработки и защиты информации о физических лицах (далее — Пользователи), пользующихся сервисами, информацией, услугами, программами (в т.ч. программами лояльности) и продуктами интернет-магазина, расположенного на доменном имени akatech.ru (далее — Сайт).
Соблюдение конфиденциальности важно для Компании, ведь целью данной Политики конфиденциальности является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения.
Мы разработали Политику Конфиденциальности, которая описывает, как мы осуществляем обработку персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Отношения, связанные с обработкой персональных данных и информации о пользователях Сайта, регулируются настоящим Положением, иными официальными документами Оператора и действующим законодательством РФ
Обработка персональных данных осуществляется нами на законной и справедливой основе, действуя разумно и добросовестно и на основе принципов:
— законности целей и способов обработки персональных данных;
— добросовестности;
— соответствия целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных
Настоящая Политика Конфиденциальности регулирует любой вид обработки персональных данных и информации личного характера (любой информации, позволяющей установить личность, и любой иной информации, связанной с этим) о физических лицах, которые являются потребителями продукции или услуг Компании.
Настоящая Политика распространяется на обработку личных, персональных данных, собранных любыми средствами, как активными, так и пассивными, как через Интернет, так и без его использования, от лиц, находящихся в любой точке мира.
Сбор персональных данных
Целью обработки персональных данных является выполнения обязательств Оператора перед Пользователями в отношении использования Сайта и его сервисов.
Обработка персональных данных пользователей осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и которая может быть использована для идентификации определенного лица либо связи с ним.
Мы можем запросить у Вас персональные данные в любой момент, когда Вы связываетесь с Компанией. Компания может использовать такие данные в соответствии с настоящей Политикой Конфиденциальности. Она также может совмещать такую информацию с иной информацией для целей предоставления и улучшения своих продуктов, услуг, информационного наполнения (контента) и коммуникаций.
Ниже приведены некоторые примеры типов персональных данных, которые Компания может собирать, и как мы можем использовать такую информацию.
КАКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ МЫ СОБИРАЕМ
Мы можем собирать различные данные/информацию, включая:
— имя и фамилию,
— почтовый адрес;
— номер телефона;
— адрес электронной почты;
— адрес и место работы или учебы.
Персональные данные могут также включать в себя дополнительно предоставляемые Пользователями по запросу Оператора в целях исполнения Оператором обязательств перед Пользователями, вытекающих из договора на оказание услуг. Оператор вправе, в частности, запросить у Пользователя копию документа, удостоверяющего личность, либо иного документа, содержащего имя, фамилию, фотографию Пользователя, а также иные дополнительные данные, которые, по усмотрению Оператора, будут являться необходимыми и достаточными для идентификации такого Пользователя и позволят исключить злоупотребления и нарушения прав третьих лиц.
При обработке персональных данных нами обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Хранение и использование персональных данных
Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.
КАК МЫ ИСПОЛЬЗУЕМ ВАШУ ПЕРСОНАЛЬНУЮ ИНФОРМАЦИЮ
Собираемые нами персональные данные позволяют направлять Вам уведомления о новых продуктах, специальных предложениях и различных событиях. Они также помогает нам улучшать наши услуги, контент и коммуникации. Если Вы не желаете быть включенным в наш список рассылки, Вы можете в любое время отказаться от рассылки путём информирования нас по указанным контактам для обратной связи.
Время от времени мы можем использовать Ваши персональные данные для отправки важных уведомлений, содержащих информацию об изменениях наших положений, условий и политик, а также подтверждающих размещенные Вами заказы и совершенные покупки. Поскольку такая информация важна для Ваших взаимоотношений с Компанией, Вы не можете отказаться от получения таких сообщений.
Мы также можем использовать персональную информацию для внутренних целей, таких как: проведение аудита, анализ данных и различных исследований в целях улучшения продуктов и услуг Компании, а также взаимодействие с потребителями.
СБОР И ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ, НЕ ЯВЛЯЮЩЕЙСЯ ПЕРСОНАЛЬНОЙ
Мы также собираем данные, не являющиеся персональными − данные, не позволяющие прямо ассоциировать их с каким-либо определённым лицом. Мы можем собирать, использовать, передавать и раскрывать информацию, не являющуюся персональной, для любых целей. Ниже приведены примеры информации, не являющейся персональной, которую мы собираем, и как мы можем её использовать:
Мы можем собирать персональные данные, такие как: сведения о почтовом индексе, уникальном идентификаторе устройства, местоположении и временной зоне, в которой используется тот или иной продукт, для того чтобы лучше понимать поведение потребителей и улучшать наши продукты, услуги и коммуникации.
Мы можем также собирать персональные данные/информацию о том, чем интересуется пользователь на нашем веб-сайте при использовании других наших продуктов и сервисов, а также продуктов и сервисов третьих лиц. Такие персональные данные/информация собирается и используется для того, чтобы помочь нам предоставлять более полезную информацию нашим покупателям и для понимания того, какие элементы нашего сайта, продуктов и услуг наиболее интересны. Для целей настоящей Политики Конфиденциальности совокупные данные рассматриваются как данные/информация, не являющиеся персональными.
Если мы совмещаем информацию, не являющуюся персональной, с персональной информацией, такая совокупная информация будет рассматриваться как персональная информация, пока такая информация будет являться совмещённой.
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оставляя заявку на оказание услуг в соответствии с публичной офертой (пользовательским соглашением), размещенным в соответствующем разделе Веб-сайта «akatech.ru» в соответствии с подпунктом 9 части 1 статьи 6,частями 2 и 4 статьи 9, подпунктами 3 - 5 части 2
статьи 10, частями 1 и 2 статьи 11, частью 8 статьи 14 Федерального закона от 27 июля 2006 г . N 152-ФЗ"О персональных данных" настоящим Вы подтверждаете свое согласие на обработку Ваших персональных данных администратором Веб-сайта «akatech.ru» - общество с ограниченной ответственностью «АКАТЕХ» (ОГРН:1217800059905)в лице Генерального директора Рудзик Екатерины Сергеевны, действующего на основании Устава , в соответствии с нижеприведенной Политикой Администратора в отношении обработки и защиты персональных данных .
В перечень предоставляемых Вами персональных данных входят: Ваше имя, номер контактного телефона, контактный адрес электронной почты .
Целью обработки персональных данных является оказание Вам услуг согласно публичной оферте (пользовательскому соглашению), размещенному в соответствующем разделе Веб-сайта .
В перечень действий администратора Веб-сайта с персональными данными входят: получение, автоматизированная статистическая обработка .
Срок хранения обработанных персональных данных определяется в соответствии с публичной офертой (пользовательским соглашением) и соответствует требованиям Федерального закона от 27 июля 2006 г. N 152-ФЗ"О персональных данных".
Конфиденциальность предоставляемых персональных данных соответствует условиям, указанным в статье 7 Федерального закона от 27 июля 2006 г . N 152-ФЗ"Оперсональных данных".
Передача персональных данных
Персональные данные Пользователей не передаются каким-либо третьим лицам, за исключением случаев, прямо предусмотренных настоящими Правилами.
Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств
Пользователь соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи, операторам электросвязи и т.д., исключительно для целей, указанных в разделе «Сбор персональных данных» настоящей Политики конфиденциальности При указании пользователя или при наличии согласия пользователя возможна передача персональных данных Пользователя третьим лицам-контрагентам Оператора с условием принятия такими контрагентами обязательств по обеспечению конфиденциальности полученной информации, в частности, при использовании приложений.
Приложения, используемые Пользователями на Сайте, размещаются и поддерживаются третьими лицами (разработчиками), которые действуют независимо от Оператора и не выступают от имени или по поручению Оператора. Пользователи обязаны самостоятельно ознакомиться с правилами оказания услуг и политикой защиты персональных данных таких третьих лиц (разработчиков) до начала использования соответствующих приложений.
Персональные данные Пользователя могут быть переданы по запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ.
Оператор осуществляет блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
В некоторых случаях Компания может предоставлять определенную персональную информацию и данные стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.
Персональная информация будет предоставляться Компанией только в целях обеспечения потребителей продуктами и услугами, а также для улучшения этих продуктов и услуг, связанных с ними коммуникаций. Такая информация не будет предоставляться третьим лицам для их маркетинговых целей.
Для использования Ваших персональных данных для любой иной цели мы запросим Ваше Согласие на обработку Ваших персональных данных
ПОСТАВЩИКИ УСЛУГ
Компания предоставляет персональные данные/информацию Компаниям, оказывающим такие услуги, как: обработка информации, предоставление кредитов, исполнение заказов потребителей, доставка, иные виды обслуживания потребителей, определение вашего интереса к нашим продуктам и услугам, проведение опросов, направленных на изучение наших потребителей или удовлетворения качеством сервиса. Такие компании обязуются защищать Вашу информацию независимо от страны своего расположения.
ИНЫЕ ЛИЦА
Компании может быть необходимо — в соответствии с законом, судебным порядком, в судебном разбирательстве и/или на основании публичных запросов или запросов от государственных органов на территории или вне территории страны Вашего пребывания — раскрыть Ваши персональные данные. Мы также можем раскрывать персональные данные/информацию о Вас, если мы определим, что такое раскрытие необходимо или уместно в целях национальной безопасности, поддержания правопорядка или иных общественно важных случаях.
Мы также можем раскрывать персональные данные/информацию о Вас, если мы определим, что раскрытие необходимо для приведения в исполнение наших положений и условий либо для целей защиты нашей деятельности и наших пользователей. Дополнительно в случае реорганизации, слияния или продажи мы можем передать любую или всю собранную нами персональную информацию соответствующему третьему лицу.
Уничтожение персональных данных
Персональные данные пользователя уничтожаются при отзыве субъектом персональных данных согласия на обработку персональных данных.
Защита персональных данных
Компания предпринимает меры предосторожности — включая правовые, организационные, административные, технические и физические — для обеспечения защиты Ваших персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» в целях обеспечения защиты персональных данных Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
Когда Вы используете некоторые продукты, услуги или приложения Компании или размещаете записи на форумах, в чатах или социальных сетях, предоставляемые Вами персональные данные видны другим пользователям и могут быть прочитаны, собраны или использованы ими. Вы несёте ответственность за персональные данные, которые Вы предпочитаете предоставлять, в таких случаях самостоятельно.
Например, если Вы указываете своё имя и адрес электронной почты в записи на форуме, такая информация является публичной. Пожалуйста, соблюдайте меры предосторожности при использовании таких функций.
ЦЕЛОСТНОСТЬ И СОХРАНЕНИЕ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ
Взаимодействуя с Компанией, Вы можете легко поддерживать свои персональные данные и информацию в актуальном состоянии. Мы будем хранить Ваши персональные данные и информацию в течение срока, необходимого для выполнения целей, описываемых в настоящей Политике Конфиденциальности, за исключением случаев, когда более длительный период хранения данных и информации необходим в соответствии с законодательством либо разрешён им.
Мы не собираем персональные данные о несовершеннолетних. Если нам станет известно о том, что мы получили персональные данные о несовершеннолетнем, мы предпримем меры для удаления такой информации в максимально короткий срок.
Мы настоятельно рекомендуем родителям и иным лицам, под чьим присмотром находятся несовершеннолетние (законные представители — родители, усыновители или попечители), контролировать использование несовершеннолетними веб-сайтов.
СТОРОННИЕ САЙТЫ И УСЛУГИ
Веб-сайты, продукты, приложения и услуги Компании могут содержать ссылки на веб-сайты, продукты и услуги третьих лиц. Наши продукты и услуги могут также использовать или предлагать продукты или услуги третьих лиц. Персональные данные и информация, собираемая третьими лицами, которые могут включать такие сведения, как данные местоположения или контактная информация, регулируется правилами соблюдения конфиденциальности таких третьих лиц. Мы призываем Вас изучать правила соблюдения конфиденциальности таких третьих лиц.
Оператор не несет ответственности за действия третьих лиц, получивших в результате использования Интернета или Услуг Сайта доступ к информации о Пользователе и за последствия использования данных и информации, которые, в силу природы Сайта, доступны любому пользователю сети Интернет.
СОБЛЮДЕНИЕ ВАШЕЙ КОНФИДЕНЦИАЛЬНОСТИ НА УРОВНЕ КОМПАНИИ
Для того чтобы убедиться, что Ваши персональные данные находятся в безопасности, мы доводим нормы соблюдения конфиденциальности и безопасности до работников Компании и строго следим за исполнением мер соблюдения конфиденциальности внутри Компании.
ВОПРОСЫ ОТНОСИТЕЛЬНО КОНФИДЕНЦИАЛЬНОСТИ
Если у вас возникнут вопросы в отношении Политики Конфиденциальности Компании или обработки данных Компанией, Вы можете связаться с нами по электронной почте office@akatech.ru
Обращения пользователей
К настоящей Политике конфиденциальности и отношениям между Пользователем и Оператором применяется действующее законодательство РФ.
Пользователи вправе направлять Оператору свои запросы, в том числе запросы относительно использования их персональных данных, направления отзыва согласия на обработку персональных данных в письменной форме по адресу, указанному разделе Общие положения настоящего положения, или в форме электронного документа, подписанного квалифицированной электронной подписью в соответствии с законодательством РФ, и отправленного на адрес электронной почты office@akatech.ru
Запрос, направляемый Пользователем, должен соответствовать требованиям, установленным Правилами подачи обращений в Службу сервиса и поддержки, а именно содержать:
— информацию касательно последнего взаимодействия пользователя с Оператором
(например дату и время последнего взаимодействия)
— подпись Пользователя или его представителя; — адрес электронной почты; — контактный телефон.
Оператор обязуется рассмотреть и направить ответ на поступивший запрос Пользователя в течение 30 дней с момента поступления обращения.
ДРУГОЕ
Во всем остальном, что не отражено напрямую в Политике Конфиденциальности, Компания обязуется руководствоваться нормами и положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
Посетитель сайта Компании, предоставляющий свои персональные данные и информацию, тем самым соглашается с положениями данной Политики Конфиденциальности.
Компания оставляет за собой право вносить любые изменения в Политику в любое время по своему усмотрению с целью дальнейшего совершенствования системы защиты от несанкционированного доступа к сообщаемым Пользователями персональным данным без согласия Пользователя. Когда мы вносим существенные изменения в Политику Конфиденциальности, на нашем сайте размещается соответствующее уведомление вместе с обновлённой версией Политики Конфиденциальности.
Действие настоящей Политики не распространяется на действия и интернет-ресурсов третьих лиц.
ООО «АКАТЕХ»
ПОЛИТИКА АДМИНИСТРАТОРА ВЕБ-САЙТА AKATECH.RU В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая политика (далее - Политика) разработана в соответствии со ст . 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и является основополагающим внутренним регулятивным документом Общества с ограниченной ответственностью «АКАТЕХ»), в лице Генерального директора Рудзик Екатерины Сергеевны, действующего на основании Устава, выполняющего функции администратора(далее - Администратор) веб-сайта «akatech.ru» (далее – Веб- сайт), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, полученных Администратором в рамках функционирования указанного Веб-сайта .
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Администратором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн .
1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Администратором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения .
1.4. Если в отношениях с Администратором участвуют наследники (правопреемники) и(или) представители субъектов персональных данных, то Администратор становится оператором персональных данных лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы Администратора распространяются на случаи обработки и защиты персональных данных наследников (правопреемников) и (или) представителей субъектов
персональных данных, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Администратором .
2. Основания обработки и состав персональных данных,
обрабатываемых Администратором в результате функционирования Веб-сайта
2.1. Обработка персональных данных Администратором осуществляется в связи с функциональным назначением Веб-сайта, определяемым в соответствии с:
1) Конституцией РФ;
2) Гражданским кодексом РФ;
3) иными нормативными правовыми актами Российской Федерации.
4) Публичной офертой Веб-сайта (далее – «Пользовательское соглашение»);
2.2. В рамках осуществления основной функции Веб-сайта – оказания Администратором в соответствии с Пользовательским соглашением комплекса услуг осуществляется:
1) сбор установочных контактных данных лиц, оставивших заявку на получение услуг, оказываемых Администратором (далее - «пользователи Веб-сайта»);
2) хранение установочных контактных данных лиц, оставивших заявку на получение услуг, оказываемых Администратором;
При этом обрабатываются персональных данных пользователей Веб-сайта: имя, контактный номер телефона, контактный адрес электронной почты;
2.6. В связи с реализацией прав и обязанностей как субъекта соответствующих правовых отношений, Администратором обрабатываются персональные данные физических лиц, являющихся контрагентами Администратора по гражданско-правовому договору, заключенному в порядке акцепта публичной оферты .
2.7. Персональные данные обрабатываются Администратором на основании федеральных законов и иных нормативных правовых актов Российской Федерации, приведенных в п . 5.2.
настоящей Политики, а в необходимых случаях - при наличии письменного согласия
(аналогичного ему согласия, полученного в электронной форме) субъекта персональных данных .
2.8. С согласия субъектов персональных данных и в целях исполнения взятых перед субъектами гражданско-правовых обязательств Администратор передает персональные данные лицам, оказывающим субъектам персональных данных соответствующие услуги:
В договоры с лицами, которым Администратор передает персональные данные или поручает их обработку, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных .
2.9. Администратор предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных .
2.10. Администратором не производится обработка персональных данных, несовместимая с целями их сбора . Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных Администратором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Администратором персональных данных уничтожатся или обезличиваются .
2.11. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки . Администратор принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных .
2.12. В силу пп.2 ч . 2ст . 22 ФЗ «О персональных данных» Администратор не обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в силу того, что Администратором получаются персональные данные в связи с заключением договора (Пользовательского соглашения), стороной которого является субъект персональных данных, при этом персональные данные не распространяются, а также предоставляются конкретным третьим лицам с согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных .
3. Принципы обеспечения безопасности персональных данных
3.1. Основной задачей обеспечения безопасности персональных данных при их обработке Администратором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки .
3.2. Для обеспечения безопасности персональных данных Администратор руководствуется следующими принципами:
1) законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
2) системность: обработка персональных данных Администратором осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
3) комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Администратора (далее - ИС) и других имеющихся в распоряжении Администратора систем и средств защиты;
4) непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа
практики обработки персональных данных Администратором с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного
опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Администратора в установленных законодательством пределах, связанных с обработкой и защитой персональных данных;
8) минимизация прав доступа: доступ к персональным данным предоставлен только Администратору . Доступ третьих лиц возможен только в объеме, необходимом для выполнения их соответствующих функций и обязанностей в порядке, предусмотренном действующим законодательством, Пользовательским соглашением и настоящей Политикой;
9) гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Администратора (далее - ИСПДн), а также объема и состава обрабатываемых персональных данных;
10) научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
11) эффективность процедур выбора контрагентов: политика Администратора
предусматривает тщательный | подбор лиц, которым передаются персональные данные, |
позволяющую исключить или | минимизировать возможность нарушения ими безопасности |
персональных данных; минимизация вероятности возникновения угрозы безопасности
персональным данным, источники которых связаны с человеческим фактором, обеспечивается
получением наиболее полной информации о контрагентах Администратора до заключения с ними соответствующих договоров;
12) непрерывность контроля и оценки: Администратором устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются .
4. Доступ к обрабатываемым персональным данным
4.1. Доступ к обрабатываемым персональным данным имеет непосредственно
Администратор, а также лица, которым Администратор в установленном порядке передал
персональные данные либо поручил обработку персональных данных на основании заключенного договора, а также лица, чьи персональные данные подлежат обработке (посетители Веб-сайта).
4.2. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Администратором, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Администратора .
5. Реализуемые требования к защите персональных данных
5.1. Администратор принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн .
5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) Администратором исходя из
требований:
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ
постановления Правительства Российской Федерации от 1 ноября 2012 г . N 1119"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
приказа ФСТЭК России от 18 февраля 2013 г . N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ";
постановления Правительства Российской Федерации от 15 сентября 2008 г . N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
иных нормативных правовых актов Российской Федерации об обработке и защите персональных данных .
5.3. В предусмотренных законодательством случаях обработка персональных данных осуществляется Администратором с согласия субъектов персональных данных .
Администратором производится устранение выявленных нарушений законодательства обобработке и защите персональных данных .
5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных .
5.5. Администратором осуществляется ознакомление третьих лиц, которым в установленном порядке передаются персональные данные, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, Политикой и иными внутренними регулятивными документами по вопросам обработки персональных данных .
5.6. При обработке персональных данных с использованием средств автоматизации Администратором, в частности, применяются следующие меры:
1) утверждаются внутренние регулятивные документы по вопросам обработки и защиты персональных данных, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
3) осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и внутренним регулятивным документам Агентства;
4) проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, определяется соотношение указанного вреда
и принимаемых Администратором мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о персональных данных .
5.7. Обеспечение безопасности персональных данных Администратором при их обработке в ИСПДн достигается, в частности, путем:
1) определения угроз безопасности персональных данных . Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации . При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности Администратором могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных . В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности персональных данных;
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных .
4) контроль за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности ИСПДн .