Политика оператора в отношении обработки персональных данных «PRO.FIT»
Термины
Политика — этот документ, определяющий политику Оператора в отношении обработки персональных данных и содержащий сведения о реализуемых требованиях к защите персональных данных;
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (Оператор)— индивидуальный предприниматель Галимова Айгуль Ильдаровна (ОГРНИП: 321 183 200 007 120, ИНН: 183 503 507 893; 427 000, Удмуртская Республика, Завьяловский р-н, с. Завьялово, ул. Земляничная, д. 44), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных— действие (операция) или совокупность действий (операций) с персональными данными, перечень которых определен Политикой;
Предоставление (или передача) персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных— временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных— действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных— действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Сайт — сайт в сети «Интернет» по адресу: https://pro-fit-kazan.ru/.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (Оператор)— индивидуальный предприниматель Галимова Айгуль Ильдаровна (ОГРНИП: 321 183 200 007 120, ИНН: 183 503 507 893; 427 000, Удмуртская Республика, Завьяловский р-н, с. Завьялово, ул. Земляничная, д. 44), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных— действие (операция) или совокупность действий (операций) с персональными данными, перечень которых определен Политикой;
Предоставление (или передача) персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных— временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных— действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных— действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Сайт — сайт в сети «Интернет» по адресу: https://pro-fit-kazan.ru/.
О документе
2.1. Политика разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — № 152-ФЗ, Закон о персональных данных).
2.2. Политика является общедоступным документом в соответствии с требованиями ч. 2 ст. 18.1 Закона о персональных данных и публикуется на Сайте.
2.3. Политика вступает в силу с момента его утверждения Оператором, если иное не указано в Политике или документе об ее утверждении.
2.4. Оператор вправе вносить изменения в Политику. Новая редакция Политики вступает в силу с момента ее утверждения Оператором, если иное не указано в новой редакции Политике или документе об ее утверждении.
2.5. Положения Политики, предусматривающие обязанности работников Оператора, применяются в случае наличия работников у Оператора. При отсутствии работников Оператор исполняет обязательства лично.
2.6. Обработка персональных данных осуществляется на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.
2.2. Политика является общедоступным документом в соответствии с требованиями ч. 2 ст. 18.1 Закона о персональных данных и публикуется на Сайте.
2.3. Политика вступает в силу с момента его утверждения Оператором, если иное не указано в Политике или документе об ее утверждении.
2.4. Оператор вправе вносить изменения в Политику. Новая редакция Политики вступает в силу с момента ее утверждения Оператором, если иное не указано в новой редакции Политике или документе об ее утверждении.
2.5. Положения Политики, предусматривающие обязанности работников Оператора, применяются в случае наличия работников у Оператора. При отсутствии работников Оператор исполняет обязательства лично.
2.6. Обработка персональных данных осуществляется на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.
Цели обработки персональных, перечень обрабатываемых персональных данных и условия их обработки
Цель — регистрация и использование личного кабинета на Сайте
3.1. Категории субъектов, персональные данные которых обрабатываются:
посетители Сайта.
3.1.2. Категории обрабатываемых персональных данных:
персональные данные, не отнесенные к специальным категориям персональных данных, а также не отнесенные к биометрическим персональным данным.
3.1.3. Перечень обрабатываемых персональных данных:
номер телефона; фамилия, имя, отчество; дата, месяц, год рождения; адрес электронной почты.
3.1.4. Основание для обработки персональных данных:
согласие на обработку персональных данных.
3.1.5. Сроки обработки и хранения персональных данных:
до отзыва согласия на обработку персональных данных или прекращения функционирования Сайта (в зависимости от того, что наступит ранее).
3.1.6. Способы обработки персональных данных:
автоматизированная, без передачи по внутренней сети юридического лица, с передачей по сети «Интернет».
3.1.7. Порядок уничтожения персональных данных:
персональные данные, обрабатываемые с использованием средств автоматизации, уничтожаются средствами информационной системы. При уничтожении персональных данных составляется акт об уничтожении персональных данных с выгрузкой из журнала регистрации событий в информационной системе персональных данных.
3.1.8. Перечень действий с персональными данными:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (при наличии согласия лицу, указанному в таком согласии),
в том числе передача (предоставление, доступ) вышеуказанных персональных данных:
— акционерному обществу «Тильда Паблишинг» (ОГРН: 1247700830354; 107031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы (программ) для ЭВМ, право использования которой (-ых) предоставляется (- ются) указанным юридическим лицом, в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/;
— обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7721707310; адрес: 109147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы для ЭВМ «1С:Предприятие 8. Фитнес клуб», право использования которой предоставляется указанным юридическим лицом, в том числе для сбора, использования и хранения;
— обществу с ограниченной ответственностью «Резервируй» (ИНН: 7721320218; адрес: 109443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством онлайн-версии программного обеспечения, встраиваемой в HTML-код Сайта, предназначенная для вызова и отображения веб-страницы с данными из программного продукта «1С:Предприятие 8. Фитнес клуб», в том числе для сбора, использования и хранения.
3.1.9. Поручение на обработку персональных данных:
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, акционерному обществу «Тильда Паблишинг» (ОГРН: 1247700830354; 107031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/.
Акционерное общество «Тильда Паблишинг», в свою очередь, осуществляет передачу персональных данных на основании поручения для указанных целей акционерному обществу «Селектел» (ОГРН: 1247800067790; 196006, Г.САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ МОСКОВСКАЯ ЗАСТАВА, УЛ ЦВЕТОЧНАЯ, Д. 21, ЛИТЕРА А) и обществу с ограниченной ответственностью «Яндекс.Облако» (ОГРН: 1187746678580; 119021, город Москва, ул. Льва Толстого, д. 16, помещ. 528).
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7721707310; адрес: 109147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в том числе для сбора, использования и хранения.
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «Резервируй» (ИНН: 7721320218; адрес: 109443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7), в том числе для сбора, использования и хранения.
3.1. Категории субъектов, персональные данные которых обрабатываются:
посетители Сайта.
3.1.2. Категории обрабатываемых персональных данных:
персональные данные, не отнесенные к специальным категориям персональных данных, а также не отнесенные к биометрическим персональным данным.
3.1.3. Перечень обрабатываемых персональных данных:
номер телефона; фамилия, имя, отчество; дата, месяц, год рождения; адрес электронной почты.
3.1.4. Основание для обработки персональных данных:
согласие на обработку персональных данных.
3.1.5. Сроки обработки и хранения персональных данных:
до отзыва согласия на обработку персональных данных или прекращения функционирования Сайта (в зависимости от того, что наступит ранее).
3.1.6. Способы обработки персональных данных:
автоматизированная, без передачи по внутренней сети юридического лица, с передачей по сети «Интернет».
3.1.7. Порядок уничтожения персональных данных:
персональные данные, обрабатываемые с использованием средств автоматизации, уничтожаются средствами информационной системы. При уничтожении персональных данных составляется акт об уничтожении персональных данных с выгрузкой из журнала регистрации событий в информационной системе персональных данных.
3.1.8. Перечень действий с персональными данными:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (при наличии согласия лицу, указанному в таком согласии),
в том числе передача (предоставление, доступ) вышеуказанных персональных данных:
— акционерному обществу «Тильда Паблишинг» (ОГРН: 1247700830354; 107031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы (программ) для ЭВМ, право использования которой (-ых) предоставляется (- ются) указанным юридическим лицом, в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/;
— обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7721707310; адрес: 109147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы для ЭВМ «1С:Предприятие 8. Фитнес клуб», право использования которой предоставляется указанным юридическим лицом, в том числе для сбора, использования и хранения;
— обществу с ограниченной ответственностью «Резервируй» (ИНН: 7721320218; адрес: 109443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством онлайн-версии программного обеспечения, встраиваемой в HTML-код Сайта, предназначенная для вызова и отображения веб-страницы с данными из программного продукта «1С:Предприятие 8. Фитнес клуб», в том числе для сбора, использования и хранения.
3.1.9. Поручение на обработку персональных данных:
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, акционерному обществу «Тильда Паблишинг» (ОГРН: 1247700830354; 107031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/.
Акционерное общество «Тильда Паблишинг», в свою очередь, осуществляет передачу персональных данных на основании поручения для указанных целей акционерному обществу «Селектел» (ОГРН: 1247800067790; 196006, Г.САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ МОСКОВСКАЯ ЗАСТАВА, УЛ ЦВЕТОЧНАЯ, Д. 21, ЛИТЕРА А) и обществу с ограниченной ответственностью «Яндекс.Облако» (ОГРН: 1187746678580; 119021, город Москва, ул. Льва Толстого, д. 16, помещ. 528).
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7721707310; адрес: 109147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в том числе для сбора, использования и хранения.
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «Резервируй» (ИНН: 7721320218; адрес: 109443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7), в том числе для сбора, использования и хранения.
3.2. Цель — подготовка, заключение и исполнение гражданско-правового договора
Договор с клиентами, выгодоприобретателями по договорам, посетителями Сайта заключается путем акцепта оферты на Сайте
3.2.1. Категории субъектов, персональные данные которых обрабатываются:
клиенты, выгодоприобретатели по договорам, посетители Сайта, контрагенты.
3.2.2. Категории обрабатываемых персональных данных:
персональные данные, не отнесенные к специальным категориям персональных данных, а также не отнесенные к биометрическим персональным данным.
3.2.3. Перечень обрабатываемых персональных данных:
клиенты, выгодоприобретатели по договорам, посетители Сайта: номер телефона; фамилия, имя, отчество; дата, месяц, год рождения; адрес электронной почты;
контрагенты: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; номер телефона; адрес электронной почты; гражданство; данные документа, удостоверяющего личность; ИНН; СНИЛС; реквизиты банковской карты; номер расчетного счета.
3.2.4. Основание для обработки персональных данных:
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.2.5. Сроки обработки и хранения персональных данных:
с даты заключения договора и до прекращения договора и исполнения всех обязательств по нему или прекращения функционирования Сайта (в зависимости от того, что наступит ранее).
Оператор вправе хранить персональные данные в архивных и иных целях, предусмотренных законодательством, в течение срока, установленного законодательством (например, в течение срока исковой давности).
В случае прекращения договора с клиентами, выгодоприобретателями по договорам, посетителями Сайта персональные данные обрабатываются согласно п. 3.1.
3.2.6. Способы обработки персональных данных:
клиенты, выгодоприобретатели по договорам, посетители Сайта: автоматизированная, без передачи по внутренней сети юридического лица, с передачей по сети «Интернет»;
контрагенты: смешанная (автоматизированная и неавтоматизированная), без передачи по внутренней сети юридического лица, с передачей по сети «Интернет».
3.2.7. Порядок уничтожения персональных данных:
персональные данные, обрабатываемые с использованием средств автоматизации и (или) информационных систем, уничтожаются средствами информационной системы. Персональные данные на материальных носителях уничтожаются с помощью уничтожителя бумаги (шредера) или иным способом. Персональные данные на машинных носителях (в том числе флэш-накопителях; жестких дисках) уничтожаются путем удаления персональных данных или форматирования носителя.
3.2.8. Перечень действий с персональными данными:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ),
в том числе передача (предоставление, доступ) вышеуказанных персональных данных:
— акционерному обществу «Тильда Паблишинг» (ОГРН: 1 247 700 830 354; 107 031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы (программ) для ЭВМ, право использования которой (-ых) предоставляется (- ются) указанным юридическим лицом, в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/;
— обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7 721 707 310; адрес: 109 147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы для ЭВМ «1С:Предприятие 8. Фитнес клуб», право использования которой предоставляется указанным юридическим лицом, в том числе для сбора, использования и хранения;
— обществу с ограниченной ответственностью «Резервируй» (ИНН: 7 721 320 218; адрес: 109 443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством онлайн-версии программного обеспечения, встраиваемой в HTML-код Сайта, предназначенная для вызова и отображения веб-страницы с данными из программного продукта «1С:Предприятие 8. Фитнес клуб», в том числе для сбора, использования и хранения.
3.2.9. Поручение на обработку персональных данных:
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, акционерному обществу «Тильда Паблишинг» (ОГРН: 1 247 700 830 354; 107 031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/.
Акционерное общество «Тильда Паблишинг», в свою очередь, осуществляет передачу персональных данных на основании поручения для указанных целей акционерному обществу «Селектел» (ОГРН: 1 247 800 067 790; 196 006, Г. САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ МОСКОВСКАЯ ЗАСТАВА, УЛ ЦВЕТОЧНАЯ, Д. 21, ЛИТЕРА А) и обществу с ограниченной ответственностью «Яндекс.Облако» (ОГРН: 1 187 746 678 580; 119 021, город Москва, ул. Льва Толстого, д. 16, помещ. 528).
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7 721 707 310; адрес: 109 147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в том числе для сбора, использования и хранения.
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «Резервируй» (ИНН: 7 721 320 218; адрес: 109 443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7), в том числе для сбора, использования и хранения.
3.2.1. Категории субъектов, персональные данные которых обрабатываются:
клиенты, выгодоприобретатели по договорам, посетители Сайта, контрагенты.
3.2.2. Категории обрабатываемых персональных данных:
персональные данные, не отнесенные к специальным категориям персональных данных, а также не отнесенные к биометрическим персональным данным.
3.2.3. Перечень обрабатываемых персональных данных:
клиенты, выгодоприобретатели по договорам, посетители Сайта: номер телефона; фамилия, имя, отчество; дата, месяц, год рождения; адрес электронной почты;
контрагенты: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; номер телефона; адрес электронной почты; гражданство; данные документа, удостоверяющего личность; ИНН; СНИЛС; реквизиты банковской карты; номер расчетного счета.
3.2.4. Основание для обработки персональных данных:
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.2.5. Сроки обработки и хранения персональных данных:
с даты заключения договора и до прекращения договора и исполнения всех обязательств по нему или прекращения функционирования Сайта (в зависимости от того, что наступит ранее).
Оператор вправе хранить персональные данные в архивных и иных целях, предусмотренных законодательством, в течение срока, установленного законодательством (например, в течение срока исковой давности).
В случае прекращения договора с клиентами, выгодоприобретателями по договорам, посетителями Сайта персональные данные обрабатываются согласно п. 3.1.
3.2.6. Способы обработки персональных данных:
клиенты, выгодоприобретатели по договорам, посетители Сайта: автоматизированная, без передачи по внутренней сети юридического лица, с передачей по сети «Интернет»;
контрагенты: смешанная (автоматизированная и неавтоматизированная), без передачи по внутренней сети юридического лица, с передачей по сети «Интернет».
3.2.7. Порядок уничтожения персональных данных:
персональные данные, обрабатываемые с использованием средств автоматизации и (или) информационных систем, уничтожаются средствами информационной системы. Персональные данные на материальных носителях уничтожаются с помощью уничтожителя бумаги (шредера) или иным способом. Персональные данные на машинных носителях (в том числе флэш-накопителях; жестких дисках) уничтожаются путем удаления персональных данных или форматирования носителя.
3.2.8. Перечень действий с персональными данными:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ),
в том числе передача (предоставление, доступ) вышеуказанных персональных данных:
— акционерному обществу «Тильда Паблишинг» (ОГРН: 1 247 700 830 354; 107 031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы (программ) для ЭВМ, право использования которой (-ых) предоставляется (- ются) указанным юридическим лицом, в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/;
— обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7 721 707 310; адрес: 109 147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством программы для ЭВМ «1С:Предприятие 8. Фитнес клуб», право использования которой предоставляется указанным юридическим лицом, в том числе для сбора, использования и хранения;
— обществу с ограниченной ответственностью «Резервируй» (ИНН: 7 721 320 218; адрес: 109 443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7) в целях обработки Оператором персональных данных, получаемых с Сайта, посредством онлайн-версии программного обеспечения, встраиваемой в HTML-код Сайта, предназначенная для вызова и отображения веб-страницы с данными из программного продукта «1С:Предприятие 8. Фитнес клуб», в том числе для сбора, использования и хранения.
3.2.9. Поручение на обработку персональных данных:
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, акционерному обществу «Тильда Паблишинг» (ОГРН: 1 247 700 830 354; 107 031, г. Москва, вн. тер. г. муниципальный округ Тверской, ул. Петровские линии, д. 2, помещ. 4/1) в том числе для сбора, использования и хранения. Условия обработки персональных данных акционерным обществом «Тильда Паблишинг» опубликованы по адресу: https://tilda.ru/ru/privacy/.
Акционерное общество «Тильда Паблишинг», в свою очередь, осуществляет передачу персональных данных на основании поручения для указанных целей акционерному обществу «Селектел» (ОГРН: 1 247 800 067 790; 196 006, Г. САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ МОСКОВСКАЯ ЗАСТАВА, УЛ ЦВЕТОЧНАЯ, Д. 21, ЛИТЕРА А) и обществу с ограниченной ответственностью «Яндекс.Облако» (ОГРН: 1 187 746 678 580; 119 021, город Москва, ул. Льва Толстого, д. 16, помещ. 528).
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «ЛАБОРАТОРИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ» (ИНН: 7 721 707 310; адрес: 109 147, г. Москва, ул. Марксистская, д. 34, к. 10, помещ. 1, ком. 37) в том числе для сбора, использования и хранения.
Оператор вправе поручить обработку персональных данных, собираемых на Сайте, обществу с ограниченной ответственностью «Резервируй» (ИНН: 7 721 320 218; адрес: 109 443, Москва Город, пр-кт Волгоградский, д. 135, к. 3, ПОМ VII КОМН 7), в том числе для сбора, использования и хранения.
Условия обработки персональных данных
4.1. Оператор обрабатывает персональные данные в следующих случаях:
— с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем (поручителем), по которому является субъект персональных данных;
— в иных случаях, предусмотренных Законом о персональных данных.
4.2. Обработка персональных данных осуществляется на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.
4.3. Оператор не передает персональные данные третьим лицам без согласия субъектов персональных данных, за исключением наличия правовых оснований на передачу персональных данных без согласия.
4.4. Оператор вправе поручить обработку персональных данных третьему лицу с согласия субъектов персональных данных, за исключением наличия правовых оснований на поручение обработки персональных данных третьему лицу без согласия.
4.5. До начала обработки персональных данных Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.6. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и Положением.
4.7. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
Специальные категории персональных данных, а также биометрические персональные данные Оператором не обрабатываются.
— с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем (поручителем), по которому является субъект персональных данных;
— в иных случаях, предусмотренных Законом о персональных данных.
4.2. Обработка персональных данных осуществляется на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.
4.3. Оператор не передает персональные данные третьим лицам без согласия субъектов персональных данных, за исключением наличия правовых оснований на передачу персональных данных без согласия.
4.4. Оператор вправе поручить обработку персональных данных третьему лицу с согласия субъектов персональных данных, за исключением наличия правовых оснований на поручение обработки персональных данных третьему лицу без согласия.
4.5. До начала обработки персональных данных Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.6. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и Положением.
4.7. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
Специальные категории персональных данных, а также биометрические персональные данные Оператором не обрабатываются.
Прекращение обработки персональных данных
Обработка персональных данных прекращается в следующих случаях:
— при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки — в течение 3 рабочих дней с даты выявления такого факта;
— при достижении целей их обработки (за исключением случаев, дающих право Оператору продолжать обработку);
— по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
— при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки — не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления);
— в иных случаях, предусмотренных Законом о персональных данных или этим документом.
— при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки — в течение 3 рабочих дней с даты выявления такого факта;
— при достижении целей их обработки (за исключением случаев, дающих право Оператору продолжать обработку);
— по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
— при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки — не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления);
— в иных случаях, предусмотренных Законом о персональных данных или этим документом.
Хранение персональных данных
6.1. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение — случаи, когда Оператор вправе или обязан продолжать хранить персональные данные.
6.2. Персональные данные могут храниться Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены нормативными актами об архивном деле в РФ.
6.2. Персональные данные могут храниться Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены нормативными актами об архивном деле в РФ.
Порядок блокировки и уничтожения персональных данных
7.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
7.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
7.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
7.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
7.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, за исключением случаев, ко.
7.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
7.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т. п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет ответственное лицо за обработку персональных данных, назначенное Оператором.
7.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом Оператора. В случае отсутствия у Оператора работников комиссия состоит только из Оператора.
7.10. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
7.11. Персональные данные, обрабатываемые с использованием средств автоматизации и (или) информационных систем, уничтожаются средствами информационной системы. Персональные данные на материальных носителях уничтожаются с помощью уничтожителя бумаги (шредера) или иным способом. Персональные данные на машинных носителях (в том числе флэш-накопителях; жестких дисках) уничтожаются путем удаления персональных данных или форматирования носителя.
7.12. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
— актом об уничтожении персональных данных, если данные обрабатываются без использования средств автоматизации;
— актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных, если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
7.13. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
7.14. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных, если иной срок не установлен законом.
7.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
7.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
7.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
7.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, за исключением случаев, ко.
7.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
7.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Оператором. Кроме того, персональные данные уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т. п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет ответственное лицо за обработку персональных данных, назначенное Оператором.
7.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом Оператора. В случае отсутствия у Оператора работников комиссия состоит только из Оператора.
7.10. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
7.11. Персональные данные, обрабатываемые с использованием средств автоматизации и (или) информационных систем, уничтожаются средствами информационной системы. Персональные данные на материальных носителях уничтожаются с помощью уничтожителя бумаги (шредера) или иным способом. Персональные данные на машинных носителях (в том числе флэш-накопителях; жестких дисках) уничтожаются путем удаления персональных данных или форматирования носителя.
7.12. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
— актом об уничтожении персональных данных, если данные обрабатываются без использования средств автоматизации;
— актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных, если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
7.13. Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
7.14. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных, если иной срок не установлен законом.
Права субъектов персональных данных и ответы на обращения
8.1. Согласно Закону о персональных данных субъект персональных данных имеет следующие права:
— на доступ к персональным данным;
— на уточнение персональных данных;
— на блокирование и удаление персональных данных;
— на обжалование действий или бездействия Оператора;
— на отзыв согласия на обработку персональных данных;
— иные права, предусмотренные Законом о персональных данных.
Субъект персональных данных вправе направить Оператору обращение с требованием, предусмотренным Законом о персональных данных. Обращение может быть направлено по адресу регистрации Оператора.
8.2. Обращение субъекта персональных данных должно содержать следующую информацию:
— фамилия, имя, отчество субъекта персональных данных или его представителя;
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (фамилия, имя, отчество, номер телефона, адрес электронной почты), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
— цель обращения и конкретные действия, которые необходимо выполнить Оператору (требование, предусмотренное Законом о персональных данных);
— категории (виды) и объем персональных данных, с которыми Оператору нужно осуществить указанные в обращении действия;
— подпись субъекта персональных данных или его представителя.
8.3. Обращение может быть направлено по адресу электронной почты:
aig.galimova2015@yandex.ru.
8.4. Оператор направляет ответ на обращение субъекту персональных данных или его представителю:
— в той же форме, в которой направлено обращение, если иное не указано в обращении;
— в сроки, установленные Законом.
8.5. Оператор направляет обратившемуся лицу мотивированный отказ, если:
— в обращении не отражены все необходимые сведения, указанные в п. 8.2;
— субъект не обладает правами доступа к запрашиваемой информации (в том числе если на основании информации, указанной в обращении, Оператору не удалось установить личность субъекта персональных данных).
8.6. Оператор вправе не отвечать на обращение субъекта персональных данных, если обращение не относится к вопросам обработки персональных данных.
8.7. Субъект персональных данных вправе отозвать согласие на обработку персональных данных ранее завершения срока обработки. Отзыв согласия осуществляется путем направления такого отзыва по адресу регистрации Оператора. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных обработка персональных данных прекращается, за исключением случаев, предусмотренных законом.
8.8. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение 7 рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
8.9. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
8.10. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
— на доступ к персональным данным;
— на уточнение персональных данных;
— на блокирование и удаление персональных данных;
— на обжалование действий или бездействия Оператора;
— на отзыв согласия на обработку персональных данных;
— иные права, предусмотренные Законом о персональных данных.
Субъект персональных данных вправе направить Оператору обращение с требованием, предусмотренным Законом о персональных данных. Обращение может быть направлено по адресу регистрации Оператора.
8.2. Обращение субъекта персональных данных должно содержать следующую информацию:
— фамилия, имя, отчество субъекта персональных данных или его представителя;
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (фамилия, имя, отчество, номер телефона, адрес электронной почты), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
— цель обращения и конкретные действия, которые необходимо выполнить Оператору (требование, предусмотренное Законом о персональных данных);
— категории (виды) и объем персональных данных, с которыми Оператору нужно осуществить указанные в обращении действия;
— подпись субъекта персональных данных или его представителя.
8.3. Обращение может быть направлено по адресу электронной почты:
aig.galimova2015@yandex.ru.
8.4. Оператор направляет ответ на обращение субъекту персональных данных или его представителю:
— в той же форме, в которой направлено обращение, если иное не указано в обращении;
— в сроки, установленные Законом.
8.5. Оператор направляет обратившемуся лицу мотивированный отказ, если:
— в обращении не отражены все необходимые сведения, указанные в п. 8.2;
— субъект не обладает правами доступа к запрашиваемой информации (в том числе если на основании информации, указанной в обращении, Оператору не удалось установить личность субъекта персональных данных).
8.6. Оператор вправе не отвечать на обращение субъекта персональных данных, если обращение не относится к вопросам обработки персональных данных.
8.7. Субъект персональных данных вправе отозвать согласие на обработку персональных данных ранее завершения срока обработки. Отзыв согласия осуществляется путем направления такого отзыва по адресу регистрации Оператора. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных обработка персональных данных прекращается, за исключением случаев, предусмотренных законом.
8.8. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение 7 рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
8.9. Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
8.10. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
Сведения о реализуемых требованиях к защите персональных данных
9.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
9.2. Меры, которые Оператор обязан принимать для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) принятие необходимых правовых, организационных и технических мер или обеспечение их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Оператора;
5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
9.3. Обеспечение безопасности персональных должна достигаться, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9.4. Для обеспечения защищенности персональных данных при их обработке в информационных системах должны выполняться следующие требования:
1) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) обеспечение сохранности носителей персональных данных;
3) утверждение Оператором документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
4) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
9.5. Без письменного согласия субъекта персональных данных Оператор и его работники обязаны не раскрывать третьим лицам и не распространять персональные данные, если иное не предусмотрено федеральным законом.
9.6. Работники, которые занимают должности, предусматривающие обработку персональных данных, должны допускаться к ней после подписания обязательства об их неразглашении.
9.7. Материальные носители персональных данных должны храниться в шкафах, запирающихся на ключ. Помещения, в которых они размещаются, должны быть оборудованы запирающими устройствами. Выдача ключей от шкафов и помещений должна осуществляться под подпись.
9.8. Доступ к персональным данным, содержащимся в информационных системах, должен осуществляться по индивидуальным паролям.
9.9. Работники обязаны установить пароли на свои компьютеры, посредством которых обрабатываются персональные данные.
9.10. При покидании рабочего места или оставлении компьютера на рабочем месте работники обязаны блокировать компьютер для осуществления дальнейшего доступа после ввода пароля. В случае, если в помещении после его покидания не остаются иные работники Оператора, помещение должно быть заперто на замок. Нахождение в помещении третьих лиц в отсутствие работников Оператора запрещено.
9.11. Оператор и его работники должны использовать сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.12. Работники обязаны сообщать Оператору о любых случаях несанкционированного доступа к персональным данным.
9.13. Должны проводиться внутренние расследования в следующих ситуациях:
— при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
— в иных случаях, предусмотренных законодательством в области персональных данных.
9.14. Лицо, ответственное за организацию обработки персональных данных, должно осуществлять внутренний контроль в виде внутренних проверок:
— за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
— за соответствием указанных актов требованиям законодательства в области персональных данных.
9.15. Внутренние плановые проверки должны осуществляться на основании ежегодного плана, который утверждается Оператором.
9.16. Внутренние внеплановые проверки должны осуществляться по решению лица, ответственного за организацию обработки персональных данных.
9.17. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).
9.18. В случае инцидента Оператор в течение 24 часов должен уведомлять Роскомнадзор:
— об инциденте;
— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
— принятых мерах по устранению последствий инцидента;
— представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления Оператор должен руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
9.19. В течение 72 часов Оператор обязан:
— уведомить Роскомнадзор о результатах внутреннего расследования;
— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также Оператор обязан руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
9.2. Меры, которые Оператор обязан принимать для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) принятие необходимых правовых, организационных и технических мер или обеспечение их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Оператора;
5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
9.3. Обеспечение безопасности персональных должна достигаться, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9.4. Для обеспечения защищенности персональных данных при их обработке в информационных системах должны выполняться следующие требования:
1) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) обеспечение сохранности носителей персональных данных;
3) утверждение Оператором документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
4) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
9.5. Без письменного согласия субъекта персональных данных Оператор и его работники обязаны не раскрывать третьим лицам и не распространять персональные данные, если иное не предусмотрено федеральным законом.
9.6. Работники, которые занимают должности, предусматривающие обработку персональных данных, должны допускаться к ней после подписания обязательства об их неразглашении.
9.7. Материальные носители персональных данных должны храниться в шкафах, запирающихся на ключ. Помещения, в которых они размещаются, должны быть оборудованы запирающими устройствами. Выдача ключей от шкафов и помещений должна осуществляться под подпись.
9.8. Доступ к персональным данным, содержащимся в информационных системах, должен осуществляться по индивидуальным паролям.
9.9. Работники обязаны установить пароли на свои компьютеры, посредством которых обрабатываются персональные данные.
9.10. При покидании рабочего места или оставлении компьютера на рабочем месте работники обязаны блокировать компьютер для осуществления дальнейшего доступа после ввода пароля. В случае, если в помещении после его покидания не остаются иные работники Оператора, помещение должно быть заперто на замок. Нахождение в помещении третьих лиц в отсутствие работников Оператора запрещено.
9.11. Оператор и его работники должны использовать сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.12. Работники обязаны сообщать Оператору о любых случаях несанкционированного доступа к персональным данным.
9.13. Должны проводиться внутренние расследования в следующих ситуациях:
— при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
— в иных случаях, предусмотренных законодательством в области персональных данных.
9.14. Лицо, ответственное за организацию обработки персональных данных, должно осуществлять внутренний контроль в виде внутренних проверок:
— за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
— за соответствием указанных актов требованиям законодательства в области персональных данных.
9.15. Внутренние плановые проверки должны осуществляться на основании ежегодного плана, который утверждается Оператором.
9.16. Внутренние внеплановые проверки должны осуществляться по решению лица, ответственного за организацию обработки персональных данных.
9.17. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).
9.18. В случае инцидента Оператор в течение 24 часов должен уведомлять Роскомнадзор:
— об инциденте;
— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
— принятых мерах по устранению последствий инцидента;
— представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления Оператор должен руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
9.19. В течение 72 часов Оператор обязан:
— уведомить Роскомнадзор о результатах внутреннего расследования;
— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления также Оператор обязан руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.
Ответственность
10.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ.
10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ.
+7 (917) 226-77-70
ИП Галимова А.И.
ИНН: 183503507893
Огрн: 321183200007120
Нрс: 40802810762000067330
ПАО Сбербанк
ИНН: 183503507893
Огрн: 321183200007120
Нрс: 40802810762000067330
ПАО Сбербанк
ул. Братьев Петряевых 5к4