Политика обработки персональных данных
Политика Общества с ограниченной ответственностью «Маша и Медведь»
в отношении обработки персональных данных
с целью организации конкурса «Новогодний конкурс от Маши».
- ОБЩИЕ ПОЛОЖЕНИЯ
- 1. Назначение Политики
- 1.1. Настоящая Политика об обработке персональных данных (далее – «Политика») разработана Обществом с ограниченной ответственностью «Маша и Медведь» (ОГРН: 1107746373536; юридический адрес: 129085, Москва г, Годовикова ул., дом 9, строение 15, комната 3) (далее – «Оператор») в соответствии с требованиями нормативно-правовых актов Российской Федерации, в том числе Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и иных актов, перечисленных в Разделе 3.1. настоящей Политики, и определяет политику, цели, порядок, содержание, условия Обработки ПДн, которые Оператор собирает и обрабатывает в ходе использования пользователями сайта konkurs.mashabear.ru (далее – «Сайт»), а также меры, направленные на защиту ПДн и процедуры, направленные на выявление и предотвращение Оператором нарушений законодательства Российской Федерации в области ПДн.
- 1.2. Обработка Оператором ПДн осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой и законодательством Российской Федерации в области ПДн. Все вопросы, связанные с Обработкой ПДн, не урегулированные Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области ПДн.
- 1.3. Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется Обработка ПДн пользователей Сайта, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств, а также при осуществлении смешанной обработки.
- 2. Для целей Политики используются следующие основные понятия и определения:
- 2.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту ПДн);
- 2.2. Правила – правила проведения Конкурса, размещенные на Сайте, и определяющие порядок, условия, место и сроки проведения Конкурса.
- 2.3. Пользовательское соглашение – соглашение, размещенное на Сайте, и определяющее условия и правила использования материалов, созданных любым лицом в связи с организацией, проведением и участием в Конкурсе и сервисов Сайта, а также устанавливает права и обязанности пользователей и администрации Сайта
- 2.4. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение Пдн.
- 2.5. Оферта – размещенные на Сайте Правила, которые представляют собой публичную оферту, адресованную Оператором всем потенциальным участникам Конкурса.
- 2.6. Распространение ПДн -– действия, направленные на раскрытие ПДн неопределенному кругу лиц.
- 2.7. Предоставление ПДн -– действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- 2.8. Блокирование ПДн - временное прекращение Обработки ПДн (за исключением случаев, если Обработка необходима для уточнения ПДн);
- 2.9. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в Информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
- 2.10. Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их Ообработку информационных технологий, и технических средств;
- 2.11. Субъект ПДн – любое физическое лицо, являющееся пользователем Сайта и/или выразившее интерес к любой информации и/или контенту, размещенным на Сайте, посредством его посещения Сайта (перехода на Сайт) в сети Интернет, которое в момент перехода на страницу Сайта предоставляет (передает) Оператору ПДн (или их часть);
- 2.12. Срок Обработки ПДн – срок проведения Конкурса, а также 5 (пять) лет после окончания срока проведения Конкурса.
- 2.13. Третье лицо – любое юридическое или физическое лицо, не являющееся Субъектом ПДн или Оператором для целей настоящей Политики.
- 2.14. Конкурс – новогодний конкурс под названием «Новогодний конкурс от Маши», проводимый Оператором.
- ЦЕЛИ ОБРАБОТКИ ПДН
- 1. В соответствии с Политикой целями Обработки ПДн являются:
- 1.1. организация и проведение Конкурса, а также последующих маркетинговых мероприятий Оператора;
- 1.2. исполнение обязательств Оператора, следующих из Оферты, Правил и Пользовательского соглашения;
- 1.3. проведение статистических, маркетинговых и иных исследований/мероприятий в рамках организации Конкурса;
- 1.4. осуществление Оператором своей деятельности в соответствии с уставом Оператора;
- 1.5. обеспечение защиты прав и свобод человека и гражданина при Обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- 1.6. обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
- 1.7. эффективная организации административных, технических, юридических, экономических, финансовых, учетных и иных бизнес-процессов Оператора;
- 1.8. коммуникация с Субъектом ПДн, включая информирование Субъекта ПДн в связи с использованием им Сайта, ответы на запросы/жалобы/предложения Субъекта ПДн, в том числе путем посредством отправки электронных писем;
- 1.9. заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- 1.10. осуществление гражданско-правовых отношений;
- 1.11. ведение бухгалтерского учета;
- 1.12. осуществление пропускного режима;
- 1.13. проверки контрагентов в объеме, предусмотренном действующем законодательством;
- 1.14. рассылка Субъектам ПДн сообщений рекламно-информационного характера посредством электронной почты;
- 1.15. проведение исследований эффективности рекламных кампаний, эффективности работы Сайта, улучшение Сайта и его интерфейса, в том числе оптимизация работы Сайта.
- 2. Положения настоящей Политики, касающиеся категорий и перечня обрабатываемых ПДн, категорий Субъектов ПДн, способов и сроков Обработки и хранения ПДн, Уничтожения ПДн, одинаково применимы ко всем целям Обработки ПДн, перечисленным в Разделе 2.1 настоящей Политики.
- ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДН
- 1. Правовыми основаниями Обработки Оператором ПДн в порядке, предусмотренном настоящей Политикой, являются:
- - Конституция Российской Федерации;
- - Гражданский кодекс Российской Федерации;
- - Трудовой кодекс Российской Федерации;
- - Налоговый кодекс Российской Федерации;
- - Федеральный закон № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- - Федеральный закон от 27 июля 2006 № 149 «Об информации, информационных технологиях и о защите информации»;
- - Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- - Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ;
- - Постановление Правительства РФ от 15 сентября 2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- - Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- - Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- - Иные нормативно-правовые актов Российской Федерации, в рамках осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- - Устав ООО "Маша и Медведь" утв. Решением участника № 5/18 от 24.08.2018г.;
- - Учредительные документы Оператора;
- - Локальные нормативные акты Оператора, регулирующие вопросы Обработки ПДн;
- - Заключаемые между Оператором и Субъектом ПДн гражданско-правовые и иные договоры и соглашения.
- 2. Правовым основанием Обработки Оператором ПДн является также согласие Субъекта ПДн на Обработку ПДн в случаях, когда Оператор не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Законом о персональных данных и иным законодательством Российской Федерации.
- 3. Согласие Субъекта ПДн на Обработку ПДн в определенных законом случаях может быть предоставлено только его законным представителем в любой позволяющей подтвердить факт его получения форме, в том числе в простой письменной форме, в конклюдентной форме (в том числе клик-консент), в форме электронного документа, подписанного простой или квалифицированной электронной подписью.
- 4. В случае отзыва Согласия на Обработку ПДн Оператор вправе продолжить Обработку ПДн без согласия Субъекта ПДн при наличии оснований, предусмотренных Законом о персональных данных.
- 5. Путем проставления галочки «Я даю свое согласие на обработку персональных данных и подтверждаю, что ознакомился с Политикой в отношении обработки персональных данных» соответствующего раздела Сайта, Субъект ПДн дает конкретное, предметное, информированное, сознательное и однозначное согласие на обработку своих ПДн.
- ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПДН
- 1. Оператор может обрабатывать следующие ПДн Субъектов ПДн:
- адрес электронной почты;
- паспортные данные;
- фамилия, имя, отчество, исключительно в целях обращения к Субъекту ПДн;
- номер телефона;
- географическая область места-пребывания (адрес) Субъекта ПДн;
- электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookie, идентификаторы устройств, размеры и разрешение экрана, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, установленных приложениях, геолокация, языковые настройки, часовой пояс, время и статистика использования сайтов Оператора, действия пользователей на сайте, источники переходов на веб-страницы, отправленные поисковые и иные запросы, созданный пользователем контент, данные собираемые с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других));
- идентификационный номер налогоплательщика (ИНН);
- иные ПДн, необходимые для достижения целей, предусмотренных Разделом 2 настоящей Политики.
- 2. Оператором не осуществляется Обработка ПДн специальных категорий, касающихся расовой, принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Субъектов ПДн.
- 3. Оператор не осуществляет Распространение ПДн Субъектов ПДн.
- ПОЛИТИКА ОПЕРАТОРА В ОТНОШЕНИИ COOKIE-ФАЙЛОВ
- 1. В целях обеспечения правильной работы Сайта Оператор может размещать небольшой фрагмент данных, известный как файл cookie, на компьютере или мобильном устройстве Субъекта ПДн. Файл cookie — это текстовый файл, который хранится веб-сервером на компьютере или мобильном устройстве. Содержимое файла cookie может быть получено или доступно только для чтения сервером, который создает файл cookie. Текст в файле cookie часто состоит из идентификаторов, названий веб-сайтов, а также некоторых цифр и символов. Файлы cookie являются уникальными для браузеров или мобильных приложений, которые использует Субъект ПДн, и позволяют веб-сайтам сохранять данные, например предпочтения Субъекта ПДн.
- 2. Оператор использует настройки (эти файлы cookie позволяют Сайту запоминать выбранные Субъектом ПДн в прошлом варианты, например язык) и статистические файлы cookie (эти файлы cookie собирают информацию о том, как Субъект ПДн использует Сайт, например, какие страницы посещал, а также на какие ссылки переходил), чтобы улучшить взаимодействие с Субъектом ПДн, а также улучшить функции Сайта. Сюда также входят файлы cookie сторонних аналитических служб, если они предназначены исключительно для использования Оператором.
- 3. Оператор не будет использовать файлы cookie для каких-либо целей, не указанных в Политике. Субъекты ПДн, которые не хотят, чтобы на их компьютере применялись файлы cookie, должны внести необходимые изменения, используя инструкции своего браузера.
- ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПДН
- 1. Субъект ПДн вправе:
- 1.1. требовать от Оператора уточнения его ПДн, их Блокирования или Уничтожения в случаях, установленных Законом о персональных данных;
- 1.2. принимать предусмотренные Законом о персональных данных меры по защите своих прав;
- 1.3. обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке;
- 1.4. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- 2. Субъект ПДн имеет право на доступ к своим ПДн, а именно на получение от Оператора следующей информации:
- 2.1. подтверждение факта Обработки ПДн Оператором;
- 2.2. информации, касающейся Обработки его ПДн, источников получения его ПДн, правовых оснований и целей Обработки ПДн, применяемых Оператором способов Обработки ПДн;
- 2.3. информации о наименовании и месте нахождения Оператора, сведений о лицах (за исключением работников Оператора), которые имеют доступ к ПДн, или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федеральных законов;
- 2.4. получение у Оператора информации, касающейся сроков Обработки ПДн, в том числе сроков их хранения;
- 2.5. информации, касающейся обрабатываемых ПДн, относящейся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- 2.6. информации об осуществленной или о предполагаемой трансграничной передаче данных;
- 2.7. информации о наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего Обработку ПДн по поручению Оператора, если Обработка поручена или будет поручена такому лицу;
- 2.8. информации о порядке осуществления Субъектом ПДн прав, предусмотренных Законом о персональных данных иных сведений, предусмотренных Законом о персональных данных или другими федеральными законами;
- 2.9. информации о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
- 3. Сведения, указанные в Разделе 6.2 настоящей Политики, предоставляются Субъекту ПДн или его представителю Оператором в течение 10 (Десяти) рабочих дней с момента обращения либо получения Оператором запроса Субъекта ПДн, или его представителя. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
- 4. Право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с действующим законодательством.
- 5. Субъект ПДн может получить любые разъяснения по интересующим вопросам, касающимся Обработки его ПДн, а также направить запросы, обращения и предложения, касающиеся условий настоящей Политики, обратившись к Оператору с помощью электронной почты competition@animaccord.com или направив свое обращение письмом по юридическому адресу Оператора, указанному в Политики.
- 6. Субъект ПДн также обладает иными правами, предусмотренными действующим законодательством.
- ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
- 1. Оператор обязан:
- 1.1. до начала Обработки ПДн уведомить уполномоченный орган по защите прав Субъектов ПДн о своем намерении осуществлять Обработку ПДн, за исключением случаев, предусмотренных Законом о персональных данных;
- 1.2. принять меры для обеспечения защиты ПДн от неправомерного или случайного доступа к ним, Уничтожения, изменения, Блокирования, копирования, Предоставления, Распространения, а также от иных неправомерных действий в отношении ПДн;
- 1.3. предоставить Субъекту ПДн информацию, касающуюся Обработки его ПДН, указанную в ч.7 ст.14 Закона о персональных данных;
- 1.4. осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации в области ПДн;
- 1.5. в случае нарушения требований к защите ПДн принимать необходимые меры по восстановлению нарушенных прав Субъектов ПДн;
- 1.6. прекратить Обработку ПДн по истечении Срока Обработки ПДн;
- 1.7. не раскрывать Третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено Законом о персональных данных;
- 1.8. немедленно прекратить по требованию Субъекта ПДн Обработку его ПДн, за исключением случаев, прямо предусмотренных законодательством Российской Федерации. В течение 10 (Десяти) рабочих дней с момента обращения Субъекта ПДн Оператор обязан прекратить Обработку ПДн или обеспечить прекращение такой Обработки (если такая Обработка осуществляется лицом, осуществляющим Обработку ПДн). Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
- 1.9. предоставить безвозмездно Субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому Субъекту ПДн, по месту расположения Оператора в рабочее время;
- 1.10. в течение 10 (Десяти) календарных дней с момента исправления или Уничтожения ПДн по требованию Субъекта ПДн или его представителя уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления Третьих лиц, которым ПДн этого Субъекта ПДн были переданы;
- 1.11. в случае, если ПДн получены не от Субъекта ПДн, Оператор, за исключением случаев, предусмотренных Законом о персональных данных, до начала Обработки таких ПДн обязан предоставить Субъекту ПДн следующую информацию: наименование и адрес Оператора или его представителя, цель Обработки ПДн и ее правовое основание, предполагаемые пользователи ПДн, установленные Законом о персональных данных права Субъекта ПДн, источник получения ПДн;
- 1.12. разъяснить Субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их Обработку;
- 1.13. при сборе ПДн, в том числе посредством информационно‑телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
- 1.14. уведомить уполномоченный орган по защите прав Субъектов ПДн в случае установления факта неправомерной или случайной передачи (Предоставления, Распространения, доступа) ПДн, повлекшей нарушение прав Субъектов ПДн, с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав Субъектов ПДн или иным заинтересованным лицом:
- в течение 24 (Двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов ПДн, и предполагаемом вреде, нанесенном правам Субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав Субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
- в течение 72 (Семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.1.16. взаимодействовать с государственной системой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных.
7.2. Оператор вправе:
7.2.1. осуществлять без уведомления уполномоченного органа по защите прав Субъектов ПДн Обработку ПДн, обрабатываемых исключительно без использования средств автоматизации.
7.2.2. в случае, предусмотренном Разделом 7.1.11 настоящей Политики, не предоставлять Субъекту ПДн сведения об Операторе, целях Обработки ПДн, о предполагаемых пользователях ПДн, а также источник получения ПДн, в случаях, если:
- - Субъект ПДн уведомлен об осуществлении Обработки его ПДн Оператором;
- - ПДн получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн;
- - ПДн сделаны общедоступными Субъектом ПДн или получены из общедоступного источника;
- - Оператор осуществляет Обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы Субъекта ПДн;
- - Предоставление Субъекту ПДн сведений нарушает права и законные интересы Третьих лиц.
7.2.3. осуществлять передачу ПДн Субъекта ПДн с использованием электронного документооборота.
- ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПДН
- 1. Оператор может осуществлять следующие действия с ПДн при их Обработке: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передачу (Распространение, Предоставление, доступ), Блокирование, удаление, Уничтожение ПДн.
- 2. Обработка ПДн осуществляется Оператором следующими способами:
- 2.1. неавтоматизированная Обработка ПДн;
- 2.2. исключительно автоматизированная Обработка ПДн с передачей полученной информации по сети Оператора, по сетям связи общего пользования или без таковой;
- 2.3. смешанная Обработка ПДн.
- 3. Оператор обрабатывает ПДн Субъектов ПДн не дольше Срока Обработки ПДн.
- 4. трансграничная передача ПДн Оператором не осуществляется.
- 5. Оператор вправе поручить Обработку ПДн другому лицу с согласия Субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – «Поручение Оператора»). Лицо, осуществляющее Обработку ПДн по Поручению Оператора, обязано соблюдать принципы и правила Обработки ПДн, предусмотренные Законом о персональных данных, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных. В Поручении Оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим Обработку ПДн, цели их Обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу Оператора в течение срока действия Поручения Оператора, в том числе до Обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в соответствии с Законом о персональных данных, обязанность обеспечивать безопасность ПДн при их Обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.
- 6. В отношении ПДн Субъектов ПДн при их Обработке, в том числе хранении, обеспечивается их конфиденциальность, целостность и доступность.
- 7. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать Третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено Законом о персональных данных или иными нормативными правовыми актами Российской Федерации.
- 8. В целях обеспечения выполнения Оператором обязанностей, предусмотренных Законом о персональных данных и настоящей Политикой, Оператором предприняты следующие меры:
- 8.1. назначен ответственный за организацию Обработки ПДн.
- 8.2. изданы документы, определяющие политику Оператора в отношении Обработки ПДн, локальные акты по вопросам Обработки ПДн, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- 8.3. проведен внутренний контроль соответствия Обработки ПДн требованиям Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов, Политики, локальных нормативных актов.
- 8.4. проведена оценка вреда, который может быть причинен Субъектам ПДн, соотношение указанного вреда и применяемых Оператором мер.
- 8.5. проведено ознакомление работников Оператора непосредственно осуществляющих Обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе, документами, определяющими политику Оператора в отношении Обработки ПДн, локальными нормативными актами по вопросам Обработки ПДн.
- 9. Оператор при Обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, Уничтожения, изменения, Блокирования, копирования, Предоставления, Распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Оператором предприняты необходимые меры по обеспечению безопасности ПДн, в частности:
- 9.1. определены угрозы безопасности ПДн при их Обработке в Информационных системах ПДн;
- 9.2. применяются предусмотренные законодательством РФ (в частности Приказом ФСТЭК России от 18.02.2013 N 21 и Приказом ФСБ России от 10.07.2014 N 378) организационные и технические меры по обеспечению безопасности ПДн при их Обработке в Информационных системах ПДн, необходимые для выполнения требований к защите ПДн;
- 9.3. применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
- 9.4. проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию Информационной системы ПДн;
- 9.5. ведется учет машинных носителей ПДн;
- 9.6. выполняются меры по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер;
- 9.7. определен комплекс мер по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- 9.8. установлены правила доступа к ПДн, обрабатываемым в Информационных системах ПДн, обеспечена регистрация и учет всех действий, совершаемых с ПДн в Информационных системах ПДн;
- 9.9. осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности Информационных систем ПДн;
- 9.10. осуществляется регистрация и учет действий пользователей Информационных систем ПДн;
- 9.11. используются антивирусные средства и средства восстановления системы защиты ПДн;
- 9.12. применяются в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
- 9.13. организован пропускной режим на территорию Оператора, охраны помещений с техническими средствами Обработки ПДн.
- ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПДН И УНИЧТОЖЕНИЕ ПДН
- 1. Оператор прекращает Обработку ПДн в следующих случаях:
- 1.1.прекращение деятельности (в частности, ликвидация) Оператора;
- 1.2.истечение срока хранения ПДн, предусмотренного законом, договором или согласием Субъекта ПДн на обработку его ПДн;
- 1.3.отзыв Субъектом ПДн (или его представителем) согласия на обработку ПДн.
- 2. Порядок Уничтожения ПДн Оператором.
9.2.1. условия и сроки Уничтожения ПДн Оператором:
- - предоставление Субъектом ПДн (его представителем) подтверждения того, что ПДн получены незаконно или не являются необходимыми для заявленной цели Обработки, - в течение 7 (семи) рабочих дней;
- - отзыв Субъектом ПДн согласия на Обработку его ПДн, - в течение рабочих 30 (тридцати) дней.
9.2.2. в случае отзыва Субъектом ПДн согласия на их Обработку, ПДн подлежат Уничтожению, если:
- - иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн;
- - Оператор не вправе осуществлять Обработку без согласия Субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- - иное не предусмотрено другим соглашением между Оператором и Субъектом ПДн.
9.3. Уничтожение ПДн осуществляет комиссия, созданная приказом генерального Оператора.
9.4. Способы Уничтожения ПДн устанавливаются в локальных нормативных актах Оператора.