Политика защиты и обработки персональных данных на сайте клиентов и контрагентов

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, принимаемые Кретовой А.Ю., ИНН 773575794220, находящейся по адресу: 115114, г. Москва, Павелецкая набережная, 10к1, (далее — Оператор)

1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта Пироженка.рф (далее – Сайт). Сайт не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте Пироженка.рф.

1.4. Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации. В случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.

2. ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ 

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу Пироженка.рф https://пироженка.рф/. 

2.4. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор –юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю Сайта https://пироженка.рф/  

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель Сайта https://пироженка.рф/  

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего

восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

3.1. Оператор имеет право:

– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.2. Оператор обязан:

• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
• публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
• принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
• исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 

4.1. Субъекты персональных данных имеют право:

• получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлены Законом о персональных данных;
• требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
• на отзыв согласия на обработку персональных данных;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
• на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:

• предоставлять Оператору достоверные данные о себе;
• сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ, КОТОРЫЕ ОБРАБАТЫВАЕТ ОПЕРАТОР 

5.1 При регистрации на сайте https://пироженка.рф, принадлежащем Кретовой А.Ю., осуществляется сбор персональной информации клиента, необходимой для аутентификации пользователя/персонализации услуг/доставки заказа/обратной связи с клиентом

• Фамилия, имя, отчество.
• Электронный адрес.
• Номера телефонов.
• Место работы, должность.

Техническая информация:

• время доступа и IP-адрес;
• источники перехода на Интернет-ресурс компании;
• интернет-страницы, которые посетил пользователь;
• просмотры рекламных баннеров;
• другая техническая информация, предоставленная браузером пользователя;

5.2. На сайте происходит сбор и обработка обезличенных данных о посетителях (в том числе файлов cookie) с помощью сервисов интернет-статистики («Яндекс Метрика» и «Гугл Аналитика» и других).

5.3. Вышеперечисленные данные далее по тексту Политики объединены общим понятием «Персональные данные».

5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

5.5. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в части 1 статьи 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные статьей 10.1 Закона о персональных данных.

5.6. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, статьей 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.7 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.

5.8. Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

5.9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

5.10. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в пункте 5.11.3 настоящей Политики в отношении обработки персональных данных.

6. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Цель обработки персональных данных Пользователя:

• информирование Пользователя посредством отправки электронных писем;
•  предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на Сайте https://пироженка.рф/. 

7.2. Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты pirojenka.rf@gmail.com  с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

8. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

8.1. Правовыми основаниями обработки персональных данных Оператором являются:

• уставные (учредительные) документы Оператора;
• федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;
• согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.

8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://пироженка.рф/ или направленные Оператору посредством электронной почты pirojenka.rf@gmail.com. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript).

8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.

9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).

9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ДРУГИХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

10.1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

10.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

10.3. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства, либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.

Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора pirojenka.rf@gmail.com с пометкой «Отзыв согласия на обработку персональных данных».

10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. ПЕРЕЧЕНЬ ДЕЙСТВИЙ, ПРОИЗВОДИМЫХ ОПЕРАТОРОМ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ПОЛЬЗОВАТЕЛЕЙ 

11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. МЕРЫ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ И БЕЗОПАСНОСТИ ПД.

12.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного, неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.

12.2. К техническим мерам по обеспечению Оператором защиты персональных данных Пользователя при их обработке относятся:

• идентификация и аутентификация субъектов доступа и объектов доступа, а также управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды и защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные субъектов персональных данных;
• антивирусная защита, обнаружение (предотвращение) вторжений и регистрация событий безопасности;
• контроль (анализ) защищенности персональной информации и обеспечение целостности информационной системы и персональных данных;
• защита среды виртуализации, технических средств, информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

12.3. Оператор проводит оценку рисков и вреда, который может быть причинен в случае нарушения законодательства о персональных данных, с учетом проведенной оценки, подбирает подходящие меры для соблюдения закона.

13. ПОРЯДОК РАССМОТРЕНИЯ ОБРАЩЕНИЙ И ЗАПРОСОВ СУБЬЕКТОВ ПД (ПОЛЬЗОВАТЕЛЕЙ). 

13.1 В целях соблюдения прав и законных интересов субъектов персональных данных, Оператор осуществляет прием и обработку обращений и/или запросов Пользователей. Предоставление информации и/или принятие мер в связи с поступлением обращений и/или запросов от субъектов персональных данных производится Оператором в объеме и сроки, предусмотренные законодательством РФ.

 13.2 В случае получения запроса Пользователя о подтверждении факта обработки персональных данных Оператором, о правовых основаниях и целях обработки, Администрация обязуется ответить на такой запрос, а также предоставить Пользователю возможность ознакомления с его персональной информацией в течение 10 рабочих дней с даты получения запроса. Срок ответа может быть продлен на 5 рабочих дней при наличии мотивированного запроса Администрации.

 13.3 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

 13.4 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, либо Роскомнадзором, уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

 13.5 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя, либо Роскомнадзора, Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

 13.6 При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

• в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

 Обращение и/или запрос Пользователя должны содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

13.7 Согласие на обработку персональных данных, может быть отозвано субъектом персональных данных или его представителем путем направления требования посредством электронного письма с адреса электронной почты, сведения о которой были ранее предоставлены Оператору, в адрес Администрации Сайта на электронную почту сайта https://пироженка.рф/ – pirojenka.rf@gmail.com, при этом согласие полученное Оператором в письменной форме может быть отозвано исключительно в письменной форме, путем направления требования в адрес Оператора.

Согласие на обработку персональных данных в целях продвижения и продажи товаров

Настоящим я, Субъект персональных данных (далее — Пользователь), во время использования мною веб-сайта Пироженка.рф (далее — Сайт) и во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями), Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе» (с изменениями и дополнениями), свободно, своей волей и в своем интересе даю согласие Кретовой А.Ю., ИНН 773575794220, находящейся по адресу: 115114, г. Москва, Павелецкая набережная, 10к1, (далее — Оператор) на обработку моих персональных данных (далее — Согласие) с использованием средств автоматизации, а также без использования средств автоматизации путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления, уничтожения моих персональных данных.

Настоящее Согласие выдано мною на следующих условиях:

1. Согласие выдано на обработку следующих категорий моих персональных данных:

• данных, указанных в текстовых полях веб-форм и/или прикрепленным к формам файлах, размещенных на специальных страницах Сайта Оператора, при регистрации на Сайте, оставлении заявок, в том числе на получение предложений и услуг, при подписании на получение рекламной информации и материалов (рекламы), а также при телефонном разговоре со службой call-центра и персональным менеджером или указанных при любом ином обращении к Оператору, а именно: фамилия, имя, отчество, сведения о месте работы (наименование организации) и занимаемой должности, контактные данные (телефон, адрес электронной почты (e-mail), почтовый адрес), а также иная аналогичная и указанная информация, на основании которой возможна идентификация Пользователя;
• данных, которые автоматически передаются в процессе посещения и просмотра страниц Сайта (cookie-файлы), а именно: дата и время доступа, адрес посещаемой страницы, источник входа, реферер (адрес предыдущей страницы), информация о поведении (включая количество и наименование просмотренных страниц), прочие технические данные (данные о технических средствах (в том числе, мобильных устройствах) и способах технологического взаимодействия с Сайтом и его сервисами (в т.ч. вид операционной системы Пользователя, тип браузера, географическое положение, данные о провайдере и иное), об активности Пользователя при использовании Сайта, об информации об ошибках, выдаваемых Пользователю, о скачанных файлах и инструментах, об IP-адресе и статистике IP-адресах, а также об иных данных, получаемых установленными настоящим Согласием способами.

2. Согласие выдано на обработку персональных данных в целях:

• подтверждения достоверности и полноты персональных данных, предоставленных субъектом персональных данных (посредством почтовой связи, электронной почты, телефонной, мобильной и факсимильной связи);
• установления с Пользователем обратной связи, включая направление уведомлений и запросов, касающихся использования Сайта, оказания услуг, обработки запросов и заявок;
• информирования Пользователя о продуктах, услугах, специальных предложениях и акциях, предоставляемых Оператором, в том числе о появлении новых материалов и услугах;
• выполнения маркетинговых функций и задач, в том числе рекламных программ и мероприятий, получения Пользователем направленных Оператором рассылок, СМС-уведомлений и предложений информационного и новостного содержания;
• осуществления рекламной деятельности посредством электронных рассылок рекламно-информационного характера для продвижения товаров, работ и услуг Оператора на рынке в соответствии с его деятельностью, в том числе, путем осуществления прямых контактов с Пользователем, а также включения в члены сообщества, приглашения на мероприятия и регистрации на них;
• проведения Оператором опросов и сбора статистических исследований, направленных на выявление удовлетворенности/неудовлетворенности Пользователя;
• предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта, а также дальнейшего его совершенствования, разработки новых сервисов и услуг Сайта;
• заключения договоров по реализации товаров и продуктов;
• соблюдения и выполнения функций и обязанностей, возложенных на Оператора действующим законодательством.

3. Настоящим, Пользователь подтверждает, что:

3.1. Является дееспособным лицом и может самостоятельно давать согласие на получение рекламы и обработку своих персональных данных, а также гарантирует, что предоставленная информация принадлежит лично Пользователю, является точной и достоверной. При представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц.

3.2. Ознакомился с локальным нормативным актом Оператора — Политикой защиты и обработки персональных данных

3.3. Ознакомлен и согласен с тем, что передача персональных данных Пользователя может осуществляться Оператором в объеме, необходимом для получения Пользователем доступа к Сайту, его содержанию, третьим лицам, в случаях, когда предоставление таких данных является необходимым для исполнения любых соглашений и договоров с Пользователем, либо обязательным в соответствии с федеральным законом.

3.4. Уведомлен об обязанности сообщать Оператору об изменении своих персональных данных, в случаях ее первичной передачи Оператору и для целей заключения договора приобретения товара/продукта. 

3.5. Проинформирован о своем праве отзыва настоящего Согласия в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», путем направления письменного уведомления в произвольной форме в адрес Оператора: 115114г. Москва, Павелецкая набережная, 10к1 или на адрес электронной почты: pirojenka.rf@gmail.com  

3.6. Проинформирован, что отзыв настоящего Согласия влечёт за собой удаление и уничтожение записей, содержащих персональные данные, в системах обработки персональных данных Оператора. Удаление персональных данных будет произведено Оператором в течение 30 дней с даты поступления отзыва Согласия на обработку персональных данных, без предварительного уведомления Пользователя.

3.7. Проинформирован и согласен, что обработка данных может производиться с применением трансграничных систем передачи связи – приложений и форм Google, WhatsApp, Telegram, Instagram (Meta запрещена в РФ). Уведомлен о локализации базы данных ПД на территории РФ и принятии необходимых мер безопасности по хранению и использованию полученных таким способом данных. 

3.8. Дает согласие на получение рекламно-информационных материалов и ознакомлен Оператором о возможности и порядке совершения отказа от таковой.

4. Настоящее Согласие действует с даты его предоставления в течение срока, необходимого для достижения целей обработки персональных данных, указанных в настоящем Согласии, и может быть отозвано в любое время путем направления Оператору уведомления. в порядке, указанном в п. 3.5. Согласия.
5. Датой и временем формирования, подтверждения и предоставления Согласия считается момент нажатия кнопки «СОГЛАСЕН» в установленной Форме сбора персональных данных, размещенной под каждой регистрационной веб-формой на специальных страницах Сайта Оператора.
6. Настоящее Согласие является конкретным, информированным и сознательным, признается исполненным в простой письменной форме.

Политика в отношении обработки персональных данных

1. Общие положения

1. Настоящий документ определяет Политику Кретовой А.Ю., ИНН 773575794220, находящейся по адресу: 115114, г. Москва, Павелецкая набережная, 10к1 (далее- Оператор) в отношении обработки персональных данных (далее – Политика).
2. В настоящей Политике используются нижеприведенные термины и определения. Иные термины, применяемые в настоящей Политике, используются в значениях, определенных законодательством Российской Федерации иными нормативными правовыми актами, национальными стандартами в области обработки и защиты персональных данных.

Перечень терминов и определений

Термин	Определение	Источник
Автоматизированная обработка персональных данных	Обработка персональных данных с помощью средств вычислительной техники – ЭВМ, ПК.	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» ст. 3
Блокирование персональных данных	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Информационная система персональных данных	Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Обезличивание персональных данных	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст.3
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Персональные данные	Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Предоставление персональных данных	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Средства вычислительной техники	Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем	ГОСТ Р 50739-95
Уничтожение персональных данных	Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных	Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных», ст. 3
Обработка персональных данных без использования средств автоматизации	Действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека	Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Информация	Сведения (сообщения, данные) независимо от формы их представления.
Пользователь	Лицо, использующее действующую автоматизированную систему Оператор на его официальном сайте, для выполнения конкретной функции и решения стоящих перед ним задач.
Субъект персональных данных	юридическое лицо, индивидуальный предприниматель, заключившее или намеревающееся заключить с Оператором договор на приобретение товаров или продукции, получение работ или услуг, выполненных или оказываемых Оператором.
Партнер Оператор	Юридическое лицо, индивидуальный предприниматель, заключившее или намеревающееся заключить с Оператором договор на приобретение товаров или продукции, получение работ или услуг, выполненных или оказываемых Оператором.
Представитель партнера, поставщика	Физическое лицо, персональные данные которого переданы Оператору и: – входящее в органы управления партнера/поставщика; – являющееся владельцем, учредителем, акционером или участником партнера, поставщика; – действующее от имени партнера, поставщика на основании доверенности или в силу трудовых обязанностей.

1. Настоящая Политика разработана на основании следующих нормативных правовых актов:

• Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» (с изменениями и новыми редакциями);
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1. Все дополнения и изменения к настоящей Политике утверждаются приказом Оператор. 
2. Политика подлежит опубликованию на официальном сайте Оператор по ссылке Пироженка.рф
3. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Оператором как с использованием средств автоматизации, так и без использования средств автоматизации.

2. Цели обработки персональных данных

2.1. Целями обработки ПД Оператором являются:

• обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
• выполнения функций и обязанностей, возложенных на Оператор законодательством Российской Федерации;
• применения и исполнения Оператором трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператор, обеспечение личной безопасности работников, направление в служебные командировки, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного медицинского страхования и обязательного социального страхования, обеспечение пропускного режима, а также иные функции, возложенные на Оператор трудовым законодательством;
• осуществления Оператором своей деятельности, предусмотренной Уставом Общества, в том числе, заключение и исполнение договоров с контрагентами, продвижение товаров, работ и услуг на рынке;
• заключения, исполнения и прекращения гражданско-правовых договоров с физическими;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

3. Правовые основания обработки персональных данных

3.1. Основанием обработки ПД Оператором являются следующие нормативные акты и локальные документы:

• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
• Согласие субъекта персональных данных на обработку его персональных данных;
• Политика защиты и обработки ПД клиентов и контрагентов;
• Индивидуальные Договоры, заключаемые между Оператором и субъектами персональных данных;
• Локальные Приказы Оператор

4. Объем и категории, обрабатываемых персональных данных, категории субъектов персональных данных

4.1. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Оператором осуществляется обработка следующих категорий субъектов персональных данных:

• работники;
• посетители сайта;
• представители покупателей, поставщиков.

4.2. Для каждой цели обработки персональных данных, обрабатываемых Оператором, локальными приказами Оператора утверждаются объем, категории и перечни обрабатываемых персональных данных, категории субъектов персональных данных, обрабатываемых в информационных системах персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении законных оснований.

4.3. На веб-сайте Пироженка.рф в целях продвижение реализации товаров, работ, услуг на рынке Оператор используется одна или более метрическая программа третьих лиц: Яндекс Метрика 

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц (Яндекс Метрика) определяется непосредственно их правообладателями и могут включать: данные операционной системы (тип, версия, разрешение экрана), данные запроса (время, источник перехода, IP-адрес), данные браузера (тип, версия, cookie), данные устройства и место его положения.

Оператор не несет ответственность за порядок использования обезличенных данных третьими лицами (Яндекс Метрика).

Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.

4.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.5. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

4.5.1 Кандидаты для приема на работу к Оператору – для целей принятия Оператором решения о приеме на работу либо отказа от такого приема, а также исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

фамилия, имя, отчество;

дата и место рождения;

паспортные данные;

адрес регистрации по месту жительства и адрес фактического проживания;

контактные данные (номер мобильного телефона, адрес электронной почты);

сведения о трудовой деятельности по предыдущим местам работы (приемы, перемещения, должность, увольнения);

данные документов об образовании, квалификации, профессиональной подготовке, сведения об аттестации, повышении квалификации, наличии специальных знаний.

 

4.5.2 Работники и бывшие работники Оператор – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

фамилия, имя, отчество;

пол, возраст, гражданство;

дата и место рождения;

паспортные данные;

адрес регистрации по месту жительства и фактического проживания;

контактные данные (номер телефона, адрес электронной почты);

данные документов об образовании, квалификации, профессиональной подготовке, сведения об аттестации, повышении квалификации, наличии специальных знаний;

семейное положение, сведения о составе семьи, в том числе данные о регистрации брака, и близких родственниках;

сведения о воинском учете;

сведения о трудовой деятельности по предыдущим местам работы, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

сведения о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности у Оператор;

СНИЛС, ИНН;

сведения о деловых и иных личных качествах, носящих оценочный характер.

иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

 

4.5.3. Члены семьи работников Оператор – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

фамилия, имя, отчество;

степень родства;

год рождения;

иные персональные данные, предоставляемые работниками объеме, предусмотренном требованиями трудового законодательства.

 

4.5.4. Контрагенты и клиенты Оператор (физические лица) – для целей осуществления своей деятельности в соответствии с уставом Оператор, осуществления пропускного режима:

фамилия, имя, отчество;

дата и место рождения;

паспортные данные;

адрес регистрации по месту жительства;

контактные данные;

замещаемая должность;

индивидуальный номер налогоплательщика;

номер расчетного счета;

иные персональные данные, предоставляемые контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

 

4.5.5. Представители (работники) партнеров и поставщиков Оператор – для целей осуществления своей деятельности в соответствии с уставом Оператор осуществления пропускного режима:

фамилия, имя, отчество;

паспортные данные;

контактные данные;

замещаемая должность;

иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

 

4.5.6. Пользователи официального Интернет-сайта Оператор (физические лица, индивидуальные предприниматели, представители (работники) партнеров и поставщиков) – для целей продвижения товаров, работ и услуг Оператор на рынке, выполнения маркетинговых функций и задач, предоставления посетителям сайта доступа к материалам и сервисам сайта, а также предоставления услуг:

фамилия, имя, отчество; сведения о месте работы и замещаемой должности;

контактные данные (телефон, адрес электронной почты, почтовый адрес);

автоматически передаваемые в процессе посещения и просмотра страниц Сайта данные файлов cookie;

иные персональные данные, предоставляемые представителями (работниками) контрагентов, для возможности идентификации пользователей, заключения и исполнения договоров.

5. Принципы и условия обработки персональных данных

5.1. При обработке персональных данных Оператором соблюдаются следующие принципы:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
• обрабатываемые персональные данные не являются избыточными по отношению к заявленным целях их обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных;
• принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

5.2. Оператором осуществляется, как автоматизированная обработка персональных данных, так и без использования средств автоматизации. Совокупность операций обработки персональных данных Оператор включает: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение

5.3. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации. 

5.4. Оператор может передать обработку персональных данных своим партнерам исключительно для осуществления заявленных услуг/товаров и только для выполнения заявок и заказов клиентов.  

5.5. Прекращение обработки персональных данных осуществляется при прекращении деятельности Оператор (ликвидация или реорганизация).

5.6. Оператор осуществляется трансграничная передача персональных данных посредством использования приложений и форм Google, WhatsApp, Telegram, Instagram (Meta запрещена в РФ). При этом локализация базы данных осуществляется на территории РФ при принятии необходимых мер безопасности по хранению и использованию полученных таким способом данных.

5.7. Оператором обеспечивается конфиденциальность персональных данных. Работники Оператор, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и настоящей Политикой.

5.8. Обработка иных категорий персональных данных осуществляется Оператором с соблюдением следующих условий:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных  

 

6. Реализация мер обеспечения безопасности персональных данных, принимаемых в Оператором

6.1. Оператор принимает или обеспечивает принятие необходимых и достаточных правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам Оператор относятся:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявления нарушений законодательства Российской Федерации в области обработки и защиты персональных данных, устранение последствий таких нарушений;
• осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, внутренним документам Оператор в области обработки и защиты персональных данных;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• ознакомление работников Оператор с положениями законодательства Российской Федерации о персональных данных, внутренними документами Оператор по вопросам обработки персональных данных, требованиями к защите персональных данных;
• применение или обеспечение применения правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст.19 Федерального закона «О персональных данных», в частности:
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператор
• реализация технических и организационных мер по защите персональных данных, обрабатываемых в информационных системах персональных данных Оператор, на основе требований, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и требований приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» выработанных по результатам:
• -определения категорий персональных данных, обрабатываемых в информационных системах персональных данных Оператор
• -определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных на основе анализа актуальных угроз безопасности персональных данных и возможного ущерба субъектам персональных данных при реализации угроз безопасности персональных данных;
• организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях, не имеющих права доступа в эти помещения;
• обеспечение учета и сохранности машинных носителей персональных данных;
• организация доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
• использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;
• реализация антивирусного мониторинга и детектирования;
• применение межсетевых защитных (фильтрующих) экранов;
• своевременное установление обновлений используемого программного обеспечения информационных систем персональных данных и средств защиты информации;
• организация защиты технических средств информационных систем персональных данных.

1.  Оператор в установленном порядке обеспечивается взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

7. Обработка персональных данных, осуществляемая без использования средств автоматизации.

1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Оператор или лица, осуществляющие такую обработку по договору с Оператором), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами Российской Федерации, а также локальными правовыми актами Оператор. 
4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), соблюдаются следующие условия:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператор фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;
• типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
• типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
• типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

1. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

• при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
• при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

1. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Положения, предусмотренные в настоящем пункте и пункте 7.5. настоящей Политики применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
2. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации:

• обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором. 

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Права субъектов персональных данных: 

1. Право субъекта персональных данных на доступ к его персональным данным:

1. Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператор, сведения о лицах (за исключением работников Оператор, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператор если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

1. Субъект персональных данных имеет право на получение запрашиваемой субъектом информации, за исключением случаев, когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
2. Субъект персональных данных вправе требовать от Оператор уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных от Оператор в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Оператор в течение 10 рабочих дней с момента обращения либо при получении запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператору в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором подпись субъекта персональных данных или его представителя (далее – необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.
5. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в подпункте 6 пункта 8.1.1. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.
7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Оператор. 

1.  Право на обжалование действий или бездействия Оператор

1. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператор в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1. Обязанности Оператор: 

1. Обязанности Оператор при сборе персональных данных:

1. При сборе персональных данных Оператор предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных».
2. Если предоставление персональных данных и (или) получение Оператор согласия на обработку персональных данных являются обязательными в соответствии с федеральным законом, Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
3. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее – информация, сообщаемая при получении персональных данных не от субъекта персональных данных):

• наименование либо фамилия, имя, отчество и адрес Оператор
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
• источник получения персональных данных.

1. Оператор не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
• персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 от 27.06.2006 № 152-ФЗ «О персональных данных»;
• Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
• предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

1.  Обязанности Оператор при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных:

1. Оператор сообщает в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор дает в письменной форме мотивированный ответ в срок, не превышающий 10 рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
3. Оператор предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором  в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

1. Обязанности Оператор по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных:

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператора осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператора осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
2. В случае подтверждения факта неточности персональных данных  Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязано с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

• в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператора на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

1. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
3. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Оператор блокирует такие персональные данные или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператором) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

 

1. Правила рассмотрения запросов субъектов персональных данных или их представителей в Оператора также формы рассмотрения соответствующих запросов субъектов персональных данных или их представителей утверждаются приказом Оператора. 

9. Ответственность

1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут ответственность, предусмотренную законодательством Российской Федерации.
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации на основании решения суда.