Соглашение на обработку персональных данных

Пользовательское соглашение

1. Общие положения мы (далее — «мы», «нас» или «наш») считаем своим долгом защищать конфиденциальность личной информации клиентов, которые могут быть идентифицированы каким-либо образом, и которые посещают веб-сайт (далее — «сайт») и пользуются его услугами (далее — «сервисы»). Поправки к настоящей политике конфиденциальности будут размещены на сайте и/или в сервисах и будут являться действительными сразу после публикации. Ваше дальнейшее использование сервисов после внесения любых поправок в политике конфиденциальности означает ваше принятие данных изменений.

2. Согласие на сбор и использование информации, когда вы присоединяетесь к нам, как пользователь наших сервисов, мы просим предоставить личную информацию, которая будет использоваться для активации вашей учетной записи, предоставления вам сервисов, взаимодействия с вами по поводу состояния вашей учетной записи, и для других целей, изложенных в настоящей политике конфиденциальности. Ваше имя, ссылки на ваши страницы в социальных сетях, номер телефона, адрес электронной почты, данные и некоторые другие сведения о вас могут потребоваться нам для первоначального предоставления доступа к сервисам, или должны быть указаны в процессе использования сервисов. В будущем вам также будет предложено создать личный пароль, который станет частью вашей учетной записи. Предоставляя личную информацию нам, и, сохранив тем самым возможность с нашей стороны предоставлять вам услуги, вы добровольно соглашаетесь на сбор, использование и раскрытие такой личной информации, которая указана в данной политике конфиденциальности. Не ограничивая вышесказанное, мы можем время от времени уточнять о вашем согласии в процессе сбора, использования или раскрытия вашей личной информации в конкретных обстоятельствах. Иногда ваше согласие будет подразумеваться через ваше взаимодействие с нами, если цель сбора, использования или раскрытия информации очевидна, и вы добровольно предоставляете эту информацию.

Мы можем использовать вашу личную информацию или данные учетной записи для следующих целей:

  • для предоставления вам сервисов и для улучшения качества сайта и сервисов;
  • для предоставления информации вам, чтобы вы могли использовать сайт и сервисы более эффективно;
  • для создания, управления и контроля вашей учетной записи и для проверки прав доступа к сервисам и программному обеспечению;
  • для общения с вами с целью информирования об изменениях или дополнениях к сервисам, или о наличии любых услуг, которые мы предоставляем;
  • для оценки уровня обслуживания, мониторинга трафика и показателя популярности различных вариантов обслуживания;
  • для осуществления маркетинговых мероприятий, в том числе sms-рассылок;
  • для соблюдения данной политики конфиденциальности;
  • чтобы ответить на претензии в отношении любого нарушения наших прав или прав любых третьих лиц;
  • чтобы соответствовать вашим запросам по обслуживанию клиентов;
  • для защиты прав, собственности и личной безопасности вас, нас, наших пользователей и общественности, и как требуется или одобрено законом.

Мы можем оповещать вас по поводу наших продуктов, услуг, новостей и событий, а также продуктов, услуг, новостей и событий наших клиентов и партнеров, с которыми у нас заключен договор о сотрудничестве. У вас есть возможность не получать эту информацию. Мы предоставляем возможность отказаться от всех почтовых сообщений подобного рода, или приостановить оповещения с описанными выше целями, если вы свяжетесь с нами и подтвердите желание не сообщать вам данную информацию. Единственный вид данных сообщений, от которых вы не можете отказаться, это обязательные объявления, касающиеся сервисов, включая информацию, относящуюся к вашей учетной записи, планируемых приостановок и отключений сервисов. Мы постараемся свести к минимуму подобные оповещения для вас.

3. Маркетинг и рекламные рассылки

3.1. Маркетинговые и рекламные рассылки осуществляются только при условии получения предварительного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.

3.2. Идентификация абонента осуществляется путем отправки специального кода доступа посредством смс-сообщения на номер, указанный абонентом. После получения специального кода, абонент вводит полученный код в форме идентификации абонента на сайте.

3.3. При авторизации по звонку пользователь нажимает на ссылку с телефоном, происходит звонок подтверждения авторизации. Звонок бесплатный, длительностью 1 секунда с последующим автоматическим сбросом. Далее для входа в интернет необходимо нажать на автоматически всплывшую кнопку «войти в интернет»

3.4. Идентификация абонента с использованием вышеописанной процедуры подразумевает использование механизма обмена сообщениями и специальными кодами доступа в качестве простой цифровой подписи абонента при изъявлении согласия на получение рассылки, тем самым устанавливает принадлежность указанного номера телефона лицу, выражающему согласие с настоящим пользовательским соглашением. Доступ к сети интернет посредством использования гостевого wi-fi соединения допускается только после идентификации абонента.

3.5. Абонент выражает свое согласие путем проставления соответствующей отметки «галочки» в форме авторизации напротив фразы «я даю свое согласие на получение рассылки в соответствии с пользовательским соглашением». При отсутствии согласия абонент обязан незамедлительно прекратить использование сайта. 3.6. Проставляя отметку о согласии с условиями пользовательского соглашения, абонент дает полное, безоговорочное, информированное, добровольное согласие со всеми условиями пользовательского соглашения, в т.ч., абонент дает согласие на отправку рекламной рассылки, подтверждает корректность введенных данных, а также законность их передачи.

3.7. Рассылки осуществляются в форме смс и email рассылок в целях: получения обратной связи от абонента любым способом (включая телефонные звонки, отправку смс и email сообщений), информирования абонента о товарах/услугах, оповещения о проводимых акциях, мероприятиях, скидках, новостной рассылки и т.д.

3.8. Согласие на осуществление рассылки предоставляется оператору рассылки, а также заведению общественного питания, в котором абонент запрашивает доступ в сеть интернет через общественную сеть wi-fi.

3.9. Согласие абонента на получение рассылки является бессрочным.

3.10. Абонент вправе по своему усмотрению в любой момент может отозвать согласие или изменить условия получения рассылки

4. Права на вашу информацию у вас есть право на доступ и редактирование вашей информации в любое время через веб-интерфейс, предоставляемый в рамках сервисов.

5. Раскрытие информации мы будем раскрывать вашу личную информацию третьим лицам только в соответствии с вашими инструкциями или в случае необходимости для того, чтобы предоставить вам определенный сервис, или по другим причинам в соответствии с действующим законодательством в отношении конфиденциальности. Как правило, мы не осуществляем и не будем осуществлять продажу, сдачу в аренду, распространение или раскрытие вашей личной информации без предварительного получения вашего разрешения или без указания необходимых условий для этих действий в настоящей политике конфиденциальности. Публичная информация, которая доступна о вас в открытом доступе, такая как: имя, фамилия, ссылки на ваши личные страницы в социальных сетях и прочее, и которая может быть получена любым другим способом без наших сервисов, в частности через социальные сети, может быть передана нами третьим лицам без вашего согласия.

6. Совокупные данные мы также можем использовать вашу личную информацию для получения совокупных данных для внутреннего пользования и для обмена с другими лицами на выборочной основе. «совокупные данные» означают данные, которые были лишены уникальной информации для потенциального выявления клиентов, целевых страниц или конечных пользователей, и которые были изменены или объединены для предоставления обобщенной, анонимной информации. Ваша личность и личная информация будет храниться анонимно в совокупных данных.

7. Ссылки сайт может содержать ссылки на другие сайты, и мы не несем ответственности за политику конфиденциальности или содержание данных сайтов. Мы рекомендуем вам ознакомиться с политикой конфиденциальности связанных сайтов. Их политика конфиденциальности и деятельность отличаются от наших политики конфиденциальности и деятельности.

8. Cookies и логгирование мы используем «куки» (cookies) и «логи» (log files) для отслеживания информации о пользователях. Cookies являются небольшими по объему данными, которые передаются веб-сервером через ваш веб-браузер и хранятся на жестком диске вашего компьютера. Мы используем cookies для отслеживания вариантов страниц, которые видел посетитель, для подсчета нажатий, сделанных посетителем на том или ином варианте страницы, для мониторинга трафика и для измерения популярности сервисных настроек. Мы будем использовать данную информацию, чтобы предоставить вам релевантные данные и услуги. Данная информация также позволяет нам убедиться, что посетители видят именно ту целевую страницу, которую они ожидают увидеть.

9. Передача собственности или бизнеса в случае смены владельца или другой передачей бизнеса, такой как слияние, поглощение или продажа наших активов, ваша информация может быть передана в соответствии с применимыми законами о конфиденциальности. 10. Безопасность мы будем стремиться предотвратить несанкционированный доступ к вашей личной информации, однако, никакая передача данных через интернет, мобильное устройство или через беспроводное устройство не могут гарантировать стопроцентную безопасность. Мы будем продолжать укреплять систему безопасности по мере доступности новых технологий и методов. Мы настоятельно рекомендуем вам никому не разглашать свой пароль. Мы не храним ваши логины и пароли от социальных сетей, и в случае, если вы забыли и/или утеряли оные, вам нужно самостоятельно восстановить их через тот сайт, через который вы заводили свои аккаунты в социальных сетях. Вся авторизация вами в социальных сетях происходит через службы, предоставленные самими соц. Сетями, и мы не передаем им ваши логины и пароли в процессе авторизации. Весь процесс авторизации происходит в рамках выбранной вами социальной сети. Для авторизации вами в социальных сетях мы используем общедоступные сервисы, которые предоставляются в открытом доступе всем желающим. Мы не несем ответственности за авторизацию вами в социальных сетях. Пожалуйста, помните, что вы контролируете те данные, которые вы сообщаете нам при использовании сервисов. В конечном счете вы несете ответственность за сохранение в тайне вашей личности и/или любой другой личной информации, находящейся в вашем распоряжении в процессе пользования сервисами. Всегда будьте осторожны и ответственны в отношении вашей личной информации. Мы не несем ответственности за использование другими лицами любой информации, которую вы предоставляете им, и вы должны соблюдать осторожность в выборе личной информации, которую вы передаете третьим лицам через сервисы. Точно так же мы не несем ответственности за содержание личной информации или другой информации, которую вы получаете от других пользователей через сервисы, и вы освобождаете нас от любой ответственности в связи с содержанием любой личной информации или другой информации, которую вы можете получить, пользуясь сервисами. Мы не несем никакой ответственности за проверку, точность личной информации или другой информации, предоставленной третьими лицами. Вы освобождаете нас от любой ответственности в связи с использованием подобной личной информации или иной информации о других.

Положение о персональных данных

1. Общие положения

1.1. Настоящим положением определяется порядок обращения, защиты и обработки персональных данных, установленный в обществе с ограниченной ответственностью «клиентомер» (далее — «компания», «оператор»).

1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов компании, ее работников и третьих лиц в связи с необходимостью получения (сбора), систематизации (комбинирования), обработки, хранения и передачи сведений, составляющих персональные данные.

1.3. Персональные данные - любая информация, относящаяся к конкретному лицу (субъекту персональных данных) и необходимая компании в связи с осуществлением хозяйственной деятельности.

1.4. Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну компании). Режим конфиденциальности в отношении персональных данных снимается в случаях, предусмотренных федеральными законами.

1.5. Обработка персональных данных осуществляется в соответствии законодательством российской федерации и настоящим положением.

2. Состав персональных данных

2.1. Для целей настоящего положения используются следующие основные понятия: персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п1 ст.3 федерального закона от 27.07.2006 №152-фз); обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст.3 федерального закона от 27.07.2006 №152-фз); распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п.5 ст.3 федерального закона от 27.07.2006 №152-фз); предоставление персональных данных - действия, направленные на раскрытие персональных данных = определенному лицу или определенному кругу лиц (п.6 ст.3 федерального закона от 27.07.2006 №152-фз); блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п.7 ст.3 федерального закона от 27.07.2006 №152-фз); уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п.8 ст.3 федерального закона от 27.07.2006 №152-фз); обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному (п.9 ст.3 федерального закона от 27.07.2006 №152-фз); информация - сведения (сообщения, данные) независимо от формы их представления; документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Информация, получаемая компанией компанию, может иметь как документальную, так и электронную форму.

2.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.

2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Обработка персональных данных

3.1. Источником информации о персональных данных могут являться субъект персональных данных, общедоступные источники персональных данных и иные операторы персональных данных. Обработка персональных данных, источником которых не является непосредственно субъект персональных данных должна осуществляться в строгом соответствии с действующим законодательством российской федерации в области защиты персональных данных. При получении информации о персональных данных от третьих лиц компания должна предпринять возможные меры, а также получить заверения и гарантии от третьих лиц, предоставляющих информацию, о том, что обработка персональных данных такими лицами осуществляется в строгом соответствии с действующим законодательством.

3.2. Компания не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных, за исключением случаев, когда субъект персональных данных дал свое прямое согласие в письменной форме на обработку указанных персональных данных, а также в случае, если такие персональные данные сделаны общедоступными субъектом персональных данных; 3.3. Обработка персональных данных возможна только при наличии согласия субъекта персональных данных на обработку его персональных данных либо без такого согласия в следующих случаях: обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством российской федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем; обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных; обработка персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки персональных данных, в целях продвижения товаров, работ и услуг), при условии обязательного обезличивания персональных данных; обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе; по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

3.4. Письменное согласие на обработку персональных данных должно включать:

1. Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2. Наименование и адрес оператора, получающего согласие субъекта персональных данных;

3. Цель обработки персональных данных;

4. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

6. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

7. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

8. Подпись субъекта персональных данных.

3.5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.6. Обработка персональных данных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.



4. Передача персональных данных

4.1. При передаче персональных данных компания должна соблюдать следующие требования:

1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральным законом.

2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия субъекта персональных данных. 3. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности).

4. Разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.2. Персональные данные обрабатываются лицом ответственным за защиту персональных данных, уполномоченным руководителем компании. Персональные данные на материальных носителях хранятся по месту нахождения компании. Персональные данные на электронных носителях хранятся на сервере, установленном по месту нахождения компании.

4.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

4.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

4.5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

4.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан российской федерации с использованием баз данных, находящихся на территории российской федерации. При этом допускается последующая трансграничная передача персональных данных в соответствии с законодательством российской федерации.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным работников компании имеют: руководитель компании, лицо ответственное за кадровый учет, лицо ответственное за ведение бухгалтерского учета. Право доступа к персональным данным третьих лиц имеют: руководитель компании, руководитель отдела продаж. Право доступа к персональным данным также может быть предоставлено иным лицам, перечисленным в журнале лиц, имеющих доступ к персональным данным.

5.2. Субъекты персональных данных имеет право:

1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми персональных данных.

3. Получать сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ, перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения, а также сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия оператора при обработке и защите персональных данных.

5.3. Обработка персональных данных субъекта персональных данных допускается исключительно в служебных целях с письменного разрешения руководителя компании. 6. Ответственность за нарушение порядка обработки персональных данных

6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

6.2. За нарушение порядка обращения с персональными данными ответственное лицо несет ответственность, предусмотренную законом, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.

7. Особенности обработки персональных данных без использования средств автоматизации

7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

7.2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

7.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

7.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

7.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

7.6 при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.

7.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

7.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, осуществляется путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 7.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

7.10. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются компанией.

8. Меры, направленные на защиту персональных данных

8.1. Персональные данные, обрабатываемые при помощи материальных носителей, должны храниться в запирающихся шкафах, в помещениях, доступ к которым может ограничен для определенного круга лиц. Меры физической защиты должны обеспечивать контроль доступа к персональным данным. Сохранность персональных данных, обрабатываемые при помощи вычислительной техники, должна быть обеспечена средствами программного обеспечения, в т.ч. путем предоставления доступа к персональным данным только после ввода логина и пароля соответствующего лица, у которого есть доступ к персональным данным или иным способом, обеспечивающим контроль доступа к персональным данным.

8.2. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.3. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по технической защите конфиденциальной информации. Регулярность проведения проверки устанавливается руководителем компании.

8.4. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

1. Идентификация и аутентификация субъектов доступа и объектов доступа;

2. Управление доступом субъектов доступа к объектам доступа;

3. Ограничение программной среды;

4. Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

5. Регистрация событий безопасности;

6. Антивирусная защита;

7. Обнаружение (предотвращение) вторжений;

8. Контроль (анализ) защищенности персональных данных;

9. Обеспечение целостности информационной системы и персональных данных;

10. Обеспечение доступности персональных данных;

11. Защита среды виртуализации;

12. Защита технических средств;

13. Защита информационной системы, ее средств, систем связи и передачи данных;

14. Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

15. Управление конфигурацией информационной системы и системы защиты персональных данных.

8.5. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

8.6. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

8.7. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

8.8. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

8.9. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

8.10. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

8.11. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

8.12. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

8.13. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

8.14. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

8.15. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

8.16. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

8.17. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

8.18. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

8.19. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

8.20. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

1. Определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных;

2. Адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);

3. Уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;

4. Дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

8.21. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

9. Меры безопасности, предпринимаемые при получении и сборе информации

9.1. В процессе оказания услуг клиентам компании (далее – клиент) по проведению маркетинговых исследований, статистического анализа, а также услуг по оценке качества обслуживания, компанией осуществляется сбор сведений и информации о физических лицах, являющихся потребителями товаров, работ и услуг клиента (далее – потребитель). 9.2. В целях исполнения пользовательского соглашения о предоставлении доступа к информационно-коммуникационной сети «интернет», а также в целях проведения маркетинговых исследований с обезличенными данными компания обрабатывает следующие данные:

1. Общедоступные сведения, опубликованные потребителем; получение указанных сведений осуществляется непосредственно от потребителя в процессе подключения потребителя к информационно-коммуникационной сети «интернет» при использовании специализированного программного обеспечения компании, а также из общедоступных источников.

9.3. В целях исполнения требований федерального закона от 7 июля 2003 г. № 126-фз «о связи», а также постановления правительства рф от 21 апреля 2005 г. № 241 «о мерах по организации оказания универсальных услуг связи» осуществляется сбор следующей информации:

1. Номер телефона потребителя;

2. Mac-адрес устройства, с которого получен доступ. Перед получением доступа потребитель обязан ввести номер своего мобильного телефона, на который будет направлен код для подтверждения введенных данных и или указать свои фамилию, имя и отчество, подтвердив их документом, удостоверяющим личность, учетной записью на едином портале государственных услуг, или иным способом, не противоречащим законодательству.

9.4. При предоставлении доступа к информационно-коммуникационной сети «интернет» потребитель принимает условия пользовательского соглашения и дает свое согласие на обработку данных, которые должны быть получены компанией в целях исполнения действующего законодательства, а также данных, которые могут быть получены компанией вследствие исполнения компанией и потребителем пользовательского соглашения и осуществления хозяйственной деятельности компании. Форма согласия на обработку персональных данных установлена в приложении к настоящему положению. 9.5. Порядок обеспечения защиты персональных данных, установленный настоящим положением о защите персональных данных распространяется на информацию, полученную в результате предоставления доступа потребителю к информационно-коммуникационной сети «интернет». 10. Заключительные положения 10.1. Настоящее положение определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством и включает следующие обязанности:

1. Назначение лица, ответственного за организацию обработки персональных данных;

2. Порядок действия настоящего положения;

3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных;

5. Оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей по защите персональных данных;

6. Ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с настоящим положением.

10.2. Оператор обязан опубликовать (в том числе в информационно-телекоммуникационной сети «интернет») или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных

10.3. Обеспечение безопасности персональных данных в компании достигается:

1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5. Учетом машинных носителей персональных данных;

6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.