Настоящая Политика конфиденциальности и обработки персональных данных (далее - Политика) устанавливает порядок и процедуры обработки и обеспечения безопасности персональных данных субъектов Сервиса защищенных сделок escrow.me и применяется ко всем персональным данным физических лиц, обрабатываемым на Сайте и в Приложении Сервиса.
Требования настоящей Политики распространяются на все процессы и информационные системы, в которых осуществляется обработка персональных данных в Сервисе защищенных сделок escrow.me.
Пересмотр настоящей Политики должен быть выполнен в случае внесения существенных изменений в информационную инфраструктуру Сервиса защищенных сделок guarantee.money или существенных изменений законодательства, а также по итогам обнаружения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных.
Термины и определения
В настоящей Политике используются следующие термины и определения:
Блокирование персональных данных- временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Клиент- лицо, выразившее намерение вступить в договорные отношения с Обществом, или лицо, состоящее с Обществом в договорных отношениях.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор (Общество) - Общество с ограниченной ответственностью «Айкюсофт», место нахождения: Республика Татарстан, г. Казань, ул. Карла Маркса, д. 5, ИНН 1655282870, осуществляющее обработку персональных данных в соответствии с действующим законодательством, условиями настоящей Политики и иными внутренними документами, регламентирующими обработку и защиту персональных данных.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Сайты Общества - веб-сайты в сети интернет, используемые Обществом.
Трансграничная передача персональных данных- передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение персональных данных- действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
2.1. Субъект ПДн имеет право на получение от Общества сведений, касающихся обработки его ПДн, в том числе содержащих:
- подтверждение факта обработки ПДн Обществом;
- правовые основания и цели обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона №152-ФЗ «О персональных данных»;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом №152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом №152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством.
Запрос на получение сведений, касающихся обработки ПДн субъекта, должен содержать серию и номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан квалифицированной электронной подписью в соответствии с законодательством.
2.2. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
2.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
2.4. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Федеральном законе №152-ФЗ «О персональных данных».
2.5. Субъект ПДн вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных (территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций).
2.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
2.7. При сборе ПДн Общество предоставляет субъекту ПДн по его запросу информацию, предусмотренную пунктом 2.1 Политики.
2.8. Если предоставление ПДн Обществу является обязательным в соответствии с Федеральным законом №152-ФЗ «О персональных данных», Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн.
2.9. Если ПДн получены не от субъекта ПДн, Общество, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона №152-ФЗ «О персональных данных», до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:
- наименование Общества либо фамилию, имя, отчество его представителя, а также адрес;
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн;
- установленные Федеральным законом №152-ФЗ «О персональных данных» права субъекта ПДн;
- источник получения ПДн.
2.10. Общество освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные пунктом 2.9 настоящей Политики, в случаях, если:
- субъект ПДн уведомлен об осуществлении обработки его ПДн Обществом;
- ПДн получены Обществом на основании Федерального закона №152-ФЗ «О персональных данных» или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
- ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
- Общество осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн сведений, предусмотренных пунктом 2.9 настоящей Политики, нарушает права и законные интересы третьих лиц.
2.11. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных находящихся на территории Российской Федерации.
2.12. В случае выявления неправомерной обработки ПДн, при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки.
2.13. В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
2.14. В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества.
2.15. В случае достижения цели обработки ПДн Общество прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн.
2.16. В случае отзыва субъектом ПДн согласия на обработку его ПДн Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
2.17. В случае отсутствия возможности уничтожения ПДн в течение установленного срока, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством.
3. Принципы и цели обработки персональных данных
3.1. Общество осуществляет обработку ПДн для достижения следующих целей:
- заключение и исполнение гражданско-правовых сделок (в том числе заключенных путем акцепта Пользовательского соглашения на Сайте Общества);
- предоставление отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;
- продвижение услуг на рынке;
- организация учета сотрудников Общества, регулирование трудовых (гражданско-правовых) отношений субъекта с Обществом (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников);
- рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего заключения договора, одной из сторон которого, либо выгодоприобретателем, по которому является субъект ПДн;
- предоставление услуг корпоративной мобильной связи;
- осуществление контрольно-пропускного режима в служебные помещения Общества;
- проведение статистических и иных исследований на основе обезличенных данных.
3.2. Принципы обработки ПДн в Обществе:
- Обработка ПДн осуществляется на законной и справедливой основе.
- Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
- Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только ПДн, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
- Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом №152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных».
3.3. Сотрудники Общества, допущенные к обработке ПДн, обязаны:
- знать и неукоснительно выполнять положения законодательства Российской Федерации в области ПДн, настоящей Политики и иных внутренних документов Общества по вопросам обработки и обеспечения безопасности ПДн;
- обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;
- не разглашать ПДн, обрабатываемые в Обществе;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
- сообщать об известных фактах нарушения требований настоящей Политики работнику Общества, ответственному за организацию обработки ПДн в Обществе, назначенному распорядительным документом Общества.
3.4. Безопасность ПДн в Обществе обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПДн, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы ИСПДн в случае реализации угроз.
4. Перечень правовых оснований обработки персональных данных
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ;
- Налоговый Кодекс Российской Федерации часть первая от 31.07.1998 №146-ФЗ и часть вторая от 05.08.2000 № 117-ФЗ (с изменениями и дополнениями);
- иные нормативно-правовые акты, регулирующие деятельность Общества;
- Устав Общества с ограниченной ответственностью «Айкюсофт»;
- внутренние нормативные документы Общества с ограниченной ответственностью «Айкюсофт»;
- согласие на обработку персональных данных;
- договоры (соглашения, контракты), заключаемые между Обществом и субъектом персональных данных.
5. Категории субъектов персональных данных
5.1. В зависимости от субъекта ПДн, Общество обрабатывает ПДн следующих категорий субъектов ПДн:
- работник, состоящий и состоявший в трудовых отношениях с Обществом, близкие родственники работника - информация, необходимая Обществу в связи с трудовыми отношениями и касающаяся конкретного работника;
- соискатель на замещение вакантных должностей - информация, необходимая Обществу для оценки профессиональных и деловых качеств при рассмотрении соискателей на замещение вакантных должностей;
- физическое лицо, входящее в органы управления Общества, аффилированное лицо или руководитель, участник или работник юридического лица, являющийся аффилированным лицом по отношению к Обществу - информация, необходимая Обществу для отражения в отчетных документах о деятельности Общества;
- клиент, представитель клиента, выгодоприобретатель, бенефициарный владелец клиента - информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с клиентом.
5.2. Перечень ПДн, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Общества, с учетом целей обработки ПДн, указанных в разделе 3 настоящей Политики.
5.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Обществе не осуществляется.
6. Условия и организация обработки персональных данных в Обществе
6.1. Обработка ПДн осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Общества, определенными действующим законодательством Российской Федерации и договорными отношениями с Клиентами.
6.2. Обработка ПДн в Обществе подразделяется на:
- обработку ПДн, осуществляемую без использования средств автоматизации;
- обработку ПДн в ИСПДн с использованием средств автоматизации;
- смешанную обработку ПДн.
6.3. Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов с использованием баз данных, находящихся на территории Российской Федерации в г. Москва.
6.4. Обработка ПДн в Обществе осуществляется в соответствии разделом 3 настоящей Политики.
6.5. Обработка ПДн в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется только при условии предварительного согласия субъекта ПДн. По требованию субъекта ПДн, Общество немедленно прекращает обработку его ПДн в целях продвижения своих услуг на рынке.
6.6. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом №152-ФЗ «О персональных данных».
6.7. Сроки обработки Обществом ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, если иное не установлено соглашением сторон либо требованиями законодательства.
6.8. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Общества). При этом, лицо, осуществляющее обработку ПДн по поручению Общества, не обязано получать согласие субъекта ПДн на обработку его ПДн.
Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством в области персональных данных.
В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
Поручение обработки ПДн третьему лицу выполняется только на основании договора. В указанном договоре обязательны:
- перечень действий (операций) с ПДн, которые будут совершаться обработчиком;
- цели обработки;
обязанность обработчика выполнять требования по обеспечению безопасности ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6.9. Получение и обработка ПДн в случаях, предусмотренных законодательством РФ, осуществляется Обществом с письменного согласия субъекта ПДн кроме случаев, установленных законодательством Российской Федерации. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, установленных законодательством Российской Федерации.
6.10. В Обществе запрещается принятие решений на основании исключительно обработки ПДн, осуществляемой с использованием средств автоматизации, которые порождают юридические последствия в отношении субъекта ПДн, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации в области ПДн.
6.11. Общество в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст.5 Федерального закона №152-ФЗ «О персональных данных».
6.12. Общество в своей деятельности принимает меры, предусмотренные ч. 2 ст. 18.1, ч.1 ст.19 Федерального закона №152-ФЗ «О персональных данных» (Раздел 7 настоящей Политики).
6.13. Общество вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к ПДн, обрабатываемым в Обществе, в объеме и порядке, установленном законодательством Российской Федерации.
6.14. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах субъектов ПДн Общество в ходе своей деятельности предоставляет персональные данные следующим организациям:
- Федеральной налоговой службе;
- Пенсионному фонду России;
- Фонду социального страхования Российской Федерации;
- Страховым компаниям;
- Кредитным организациям;
- Судебным органам;
- Органам принудительного исполнения судебных актов, актов других органов и должностных лиц в случаях, предусмотренных законодательными актами об их деятельности;
а также другим третьим лицам в случаях, предусмотренных законодательными актами об их деятельности или договорами с Обществом.
В целях осуществления контрольно-пропускного режима в служебные помещения Общества, с письменного согласия работника, Общество предоставляет персональные данные работников организации, заключившей с Обществом договор. Перечень организаций утверждается распорядительным документом Общества.
В целях ведения бухгалтерского и кадрового учета в Обществе с письменного согласия работника, Общество предоставляет персональные данные работников организации, заключившей с Обществом договор на оказание указанных услуг.
6.15. Условия осуществления трансграничной передачи ПДн.
До начала осуществления трансграничной передачи персональных данных Общество убеждается в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии Федеральным законом № 152-ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28.01.1981, ETS № 108. Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных утвержден Приказом Роскомнадзора № 274 от 15.03.2013 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в следующих случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами Российской Федерации;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- исполнения договора, стороной которого является субъект персональных данных; защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
7. Меры, направленные на обеспечение защиты персональных данных
7.1. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.
7.2. Защите подлежат:
- документы, содержащие ПДн;
- электронные носители информации, содержащие персональные данные;
- информационные системы ПДн (далее - ИСПДн);
- каналы связи, по которым осуществляется передача ПДн.
7.3. Общество распорядительным документом назначает сотрудника Общества, ответственного за организацию обработки ПДн. Сотрудник, ответственный за организацию обработки ПДн, обязан:
- осуществлять внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
- доводить до сведения сотрудников Общества положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
7.4. Помимо этого, в Обществе применяются правовые, организационные и технические меры по обеспечению безопасности ПДн:
- определены угрозы безопасности ПДн при их обработке в ИСПДн;
- применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- проводится оценка эффективности принимаемых мер до ввода в эксплуатацию ИСПДн;
- ведется учет съемных машинных носителей ПДн;
- проводятся мероприятия по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер;
- обеспечивается возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливаются правила доступа к ПДн, а также обеспечивается регистрация и учет всех действий, совершаемых с ПДн в информационной системе персональных данных;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и поддержанию уровня защищенности ИСПДн;
- проводится внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, локальным актам Общества;
- выполняется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения настоящей Политики, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой;
- для каждой ИСПДн в соответствии с Постановлением № 1119 установлены уровни защищенности.
8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
8.1. В случае выявления неправомерной обработки ПДн Общество осуществляет блокирование неправомерно обрабатываемых персональных данных.
8.2. В случае выявления неточных ПДн Общество осуществляет блокирование соответствующих ПДн на период проверки. В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет персональные данные и снимает блокирование персональных данных.
8.3. Общество обязан сообщить субъекту ПДн или его представителю информацию об осуществляемой обработке ПДн такого субъекта по запросу.
8.4. Сведения, касающиеся обработки ПДн, предоставляются субъекту персональных данных или его представителю при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.5. Рассмотрение запросов субъектов ПДн или их представителей, а также уполномоченного органа по защите прав субъектов ПДн:
- 8.5.1. Субъекты ПДн имеют право на получение информации, касающейся обработки их ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн в Обществе;
- правовые основания и цели обработки ПДн;
- применяемые в Обществе способы обработки ПДн;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом №152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения в Обществе;
- порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации в области ПДн;
- иные сведения, предусмотренные законодательством Российской Федерации в области ПДн.
- 8.5.2. При получении запроса субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн, Общество предоставляет сведения в сроки в соответствии требованиями статьи 20 Федерального закона № 152-ФЗ «О персональных данных».
8.6. Субъекты ПДн вправе требовать от Общества уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.7. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с Федеральным законом №152-ФЗ «О персональных данных», в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
8.8. Для получения необходимой информации, касающейся обработки ПДн, описанной в пункте 8.5 настоящей Политики, субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта ПДн информацией, касающейся обработки ПДн (Приложение 1 к настоящей Политике) и передать ее лично, либо по почте работникам Общества, принимающим обращения граждан.
8.9. Для уточнения определенных ПДн субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта ПДн на уточнение ПДн (Приложение 2 к настоящей Политике) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
8.10. Для уничтожения или исключения неправомерности обработки ПДн субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта ПДн на уничтожение ПДн (Приложение 3 к настоящей Политике) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
8.11. Для отзыва согласия субъекта ПДн на обработку его ПДн субъекту (либо законному представителю) необходимо заполнить соответствующую форму отзыва согласия субъекта ПДн на обработку его ПДн (Приложение 4 к настоящей Политике) и передать лично работникам Общества, принимающим обращения граждан, либо по почте. В случае отзыва согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных».
8.12. При достижении целей обработки ПДн, (при условии невозможности обезличивания ПДн), при выявлении неустранимых неправомерных действий с ПДн субъектов, по требованию клиента или уполномоченного органа по защите прав субъектов ПДн а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
- иное не предусмотрено иным соглашением между Обществом и субъектом ПДн;
8.13. При получении запроса субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн, Общество осуществляет соответствующие меры и уведомляет о выполненных мерах в сроки согласно требованиям статьи 21 Федерального закона № 152-ФЗ «О персональных данных».
9. Политика в отношении файлов cookie при использовании Сайтов Общества
Условия использования файлов cookie при пользовании Сайтами Общества:
Файлы cookie - это информационные файлы, которые могут быть сохранены на компьютере Клиента или других устройствах (смартфон, планшет и т.д.) при посещении сайта. Обычно они содержат имя сайта, с которого были получены, информацию о том, как долго файл будет оставаться на устройстве, и значение (как правило, случайно сгенерированный уникальный номер). Файлы cookie нужны для сохранения данных на стороне Клиента и позволяют Обществу определить Клиента в целях исполнения договора/соглашения с ним и сохранять настройки Клиента, учитывать предпочтения, следить за состоянием сессии и т.д. Также они помогают Обществу собирать статистику по наиболее посещаемым страницам, определять эффективность рекламы и дают представление о поведении Клиента, что позволяет Обществу улучшать Сайт, оптимизировать скорость его работы, улучшить навигацию по Сайту и адаптировать его под потребности Пользователей. Файлы cookie не идентифицируют Клиента как личность и после проведения необходимой аналитической работы удаляются из системы.
Если Клиент согласен использовать cookie, ему необходимо настроить браузер соответствующим образом. Большинство браузеров изначально настроены автоматически принимать файлы cookie. Клиент имеет возможность самостоятельно изменить настройки, чтобы блокировать файлы cookie или получать предупреждения, когда подобные файлы будут отправлены на устройство. Отключение cookie может привести к некорректной работе Сайта, к закрытию доступа к некоторым его разделам. Рекомендуем при входе на Сайт с компьютера и любых других устройств (смартфон, планшет и т.д.) убедиться, что используемый браузер настроен на работу с файлами cookie в соответствии с вашей точкой зрения на работу с данными файлами. Общество оставляет за собой право при необходимости изменить способ использования файлов cookie, в том числе и способы их сбора, передачи и обработки.
На сайтах Общества используются:
- Cookie сессии - временные файлы, которые действуют с момента входа Клиента на Сайт до конца данной конкретной сессии работы в браузере. При закрытии браузера эти файлы становятся ненужными и автоматически удаляются.
- Постоянные cookie - файлы, которые остаются на устройстве в течение длительного времени или пока Клиент не удалит их вручную. Продолжительность хранения таких файлов зависит от «времени жизни» конкретного файла и настроек браузера.
По функционалу файлы cookie делятся на 4 типа:
- Строго необходимые файлы cookie - необходимы для корректной работы Сайта, они делают возможной навигацию по ресурсу, с их помощью Сайт запоминает действия Клиента при переходе обратно на страницу в той же сессии, и Клиент может использовать все возможности Сайта. Если отключить данные cookie, то это может оказать влияние на производительность Сайта или его компонентов.
- Эксплуатационные файлы cookie - помогают установить как Клиент взаимодействует с Сайтом, предоставляя информацию о тех областях, которые Клиент посетил и количестве времени, которое он провел на Сайте, также они показывают проблемы в работе Сайта, например, сообщения об ошибках.
- Функциональные файлы cookie - позволяют Сайту запоминать выбор Клиента, опознавать Пользователей, возвращающихся на Сайт. Блокировка данного типа файлов влияет на производительность и функциональность Сайта и может ограничить доступ к информации (контенту) на Сайте.
- Рекламные файлы cookie и файлы cookie, относящиеся к аналитике - используются для предоставления Клиенту информации, которая может его заинтересовать, для обеспечения возможности предоставления рекламной или другой информации в более точном соответствии с явными интересами Клиента. Они могут использоваться для доставки целевой рекламы или, наоборот, ограничения количества просмотров рекламы. В эти файлы cookie записываются сведения о ваших действиях в Интернете, в том числе о посещении Сайта и его страниц, а также данные о ссылках и рекламе, которые Клиент выбирал для просмотра. Файлы cookie, относящиеся к аналитике, помогают измерять эффективность рекламных кампаний и оптимизировать содержание Сайта для тех, кого заинтересовала реклама, размещаемая на Сайте. Также они запоминают сайты, которые посещал Клиент, Общество оставляет за собой право предоставлять данную информацию третьей стороне.
10. Заключительные положения
10.1 Политика конфиденциальности и обработки персональных данных Сервиса защищенных сделок guarantee.money в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» подлежит опубликованию на Сайтах Общества.
10.2. Сотрудники Общества, обрабатывающие ПДн субъектов Общества, и лица, которым Общество поручает обработку ПДн, несут предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования ПДн субъектов Общества.
10.3. Руководитель, предоставляющий доступ сотруднику Общества к обрабатываемым ПДн, несет персональную ответственность. Сотрудники Общества, получающие доступ к обрабатываемым ПДн, несут персональную ответственность за конфиденциальность полученной информации.
10.4. Разглашение ПДн субъекта (передача их посторонним лицам, в том числе, работникам Общества, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъектов Общества, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, иными локальными актами Общества, касающимися обработки ПДн, влечет наложение на виновного сотрудника дисциплинарного взыскания.
10.5. В случае внесения изменений в законодательство Российской Федерации, при наличии противоречий условий внутренних документов Общества с нормами действующего законодательства, отдельные положения внутренних документов Общества утрачивают свою юридическую силу. До момента утверждения уполномоченным органом Общества внутренних документов Общества в новой редакции, сотрудники Общества руководствуются действующим законодательством Российской Федерации. Факт прекращения действия одного или нескольких пунктов внутренних документов не влияет на действие документа в целом.
10.6. Изменения и дополнения к настоящей Политике утверждаются Руководителем Общества и вводятся в действие его приказом.
10.7. Сотрудники Общества ознакамливаются с настоящей Политикой под роспись.
10.8. Клиенты ознакамливаются с настоящей Политикой на Сайте Общества. Для Клиентов, использующих Сайты Общества, изменения в Политику вступают в силу с даты их опубликования на соответствующем Сайте. При этом Клиент обязуется самостоятельно и регулярно проверять обновления Сайта с размещенной на нем Политикой. В случае, если Клиент не согласен с изменениями, внесенными Обществом в настоящую Политику, он обязан прекратить использование Сайта и расторгнуть договорные отношения с Обществом.
Приложение 1:
к Политике конфиденциальности и обработки персональных данных Сервиса защищенных сделок guarantee.money
Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
В __________ «___________»
от:_________________________________
адрес:_________________________________
_________________________________
Паспорт: серия______ №_________________
выдан_________________________________
_________________________________
_________________________________
ЗАПРОС
В соответствии со статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», я имею право получить от __________ «___________» сведения о наличии моих персональных данных.
Прошу __________ «___________» предоставить мне следующую информацию:
1 Осуществляется ли обработка моих персональных данных
2 Перечень обрабатываемых Вами моих персональных данных, источник их получения
3 Правовые обоснования и цели обработки моих персональных данных
4 Способы обработки моих персональных данных
5 Какие лица, имеют или могут получить доступ к моим персональным данным
6 Срок хранения моих персональных данных
7 Осуществляется ли трансграничная передача моих персональных данных
8 Иное (указать):
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________________/_________________/ «____»_______________20___ г.
ФИО подпись дата
Приложение 2
к Политике конфиденциальности и обработки персональных данных
Сервиса защищенных сделок guarantee.money
Форма запроса субъекта персональных данных о внесении изменений в персональные данные
В __________ «___________»
от:_________________________________
адрес:_________________________________
_________________________________
Паспорт: серия______ №_________________
выдан_________________________________
_________________________________
_________________________________
ЗАПРОС
В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и в связи с __________________________________
прошу __________ «___________» внести следующие изменения в мои персональные данные: __________________________________
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________________/_________________/ «____»_______________20___ г.
ФИО подпись дата
Приложение 3
к Политике конфиденциальности и обработки персональных данных
Сервиса защищенных сделок guarantee.money
Форма запроса субъекта персональных данных об уничтожении ПДн
В __________ «___________»
от:_________________________________
адрес:_________________________________
_________________________________
Паспорт: серия______ №_________________
выдан_________________________________
_________________________________
_________________________________
В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и в связи с __________________________________
прошу __________ «___________» уничтожить следующие мои персональные данные: __________________________________
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________________/_________________/ «____»_______________20___ г.
ФИО подпись дата
Приложение 4
к Политике конфиденциальности и обработки персональных данных
Сервиса защищенных сделок guarantee.money
Форма запроса субъекта персональных данных с отзывом согласия на обработку персональных данных
В __________ «___________»
от:_________________________________
адрес:_________________________________
_________________________________
Паспорт: серия______ №_________________
выдан_________________________________
_________________________________
_________________________________
В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и в связи с __________________________________
прошу __________ «___________» прекратить обработку моих персональных данных: __________________________________
__________________________________
Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок.
_________________________/_________________/ «____»_______________20___ г.
ФИО подпись дата