ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СЕРВИСА «СПАСИБКИ»

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

«Федеральный закон № 152-ФЗ» – Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
«Политика ОПД» - настоящая политика обработки персональных данных.
«Сервис» - цифровая платформа «Спасибки», дающая возможность предлагать и оказывать услуги по управлению и расчету премий сотрудников, зарегистрированных Организаций.
«Владелец Сервиса» - Индивидуальный предприниматель Васильев Юрий Валерьевич.
ОГРНИП: 319547600172873
ИНН: 540860170414
Адрес регистрации: 630098, г. Новосибирск, ул. Часовая, д.21
«Оператор» – Владелец Сервиса, осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
«Организация» – любое юридическое лицо, вне зависимости от вида организационно-правовой формы, желающее пользоваться Сервисом.
«Пользователь» – физическое лицо, осуществляющее пользование Сервисом в соответствии с условиями Пользовательского соглашения.
«Субъект персональных данных» – любое лицо, предоставляющее свои Персональные данные для их обработки.
«Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
«Персональные данные, разрешенные субъектом персональных данных для распространения» – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.
«Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
«Распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
«Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
«Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
«Уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
«Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
«Информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
«Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Сервис обрабатывает персональные данные исключительно в целях;
оказания услуг по управлению и расчету премий сотрудников (Пользователей), зарегистрированных на Сервисе организаций, которая включает в себя:

• обеспечение качественной работы Сервиса;
• идентификацию Пользователя;
• использование Сервиса Пользователями путем предоставления доступа к Сервису;
• заключение и исполнение договоров в рамках оказания услуг на Сервисе;
• внесении изменений в Сервис для улучшения его работы;
• отправление сообщений Пользователю с помощью или посредством Сервиса;
• проведение обучения Пользователя по работе Сервиса;
• обеспечение приема и перевода платежей;
• осуществление технической поддержки;
• выполнение требований действующих нормативно-правовых актов РФ.

2.2 Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.


3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Политика ОПД составлена во исполнение Федерального закона № 152-ФЗ.
3.2 Правовыми основаниями обработки персональных данных являются следующие нормативно-правовые акты РФ:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 07.08.2001г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
• Федеральный закон Российской Федерации от 7 февраля 1992 г. N 2300-1 "О защите прав потребителей";
• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 06 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные нормативно-правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
• Уставные документы Оператора;
• Договоры, заключаемые между Оператором и субъектом персональных данных.

3.3 Политика ОПД определяет:

• основные принципы, цели и способы обработки Сервиса персональных данных, состав субъектов персональных данных и их права;
• действия Сервиса при обработке персональных данных, а также меры по защите персональных данных и контролю за соблюдением требований законодательства и данной политики;
• является общедоступным документом, в котором декларируется деятельность Сервисом при обработке персональных данных.

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных Оператором ведется с учетом обеспечения защиты прав и свобод Пользователей при обработке их персональных данных, в том числе, прав на неприкосновенность частной жизни, личную и семейную тайну на основе следующих принципов:

• законности и справедливости обработки персональных данных;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• соответствия целей и способов обработки персональных данных тем целям, которые были заявлены при сборе данных;
• недопустимости объединения баз данных, созданных с разными целями для обработки персональных данных;
• соответствия необходимости и достаточности объема, характера и способов обработки персональных данных заявленным целям их обработки;
• обеспечения точности, достоверности и, при необходимости, актуальности персональных данных по отношению к целям обработки;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем того требуют цели обработки, требования законодательства или договора, по которому стороной/выгодоприобретателем является субъект персональных данных;
• уничтожения или обезличивания персональных данных по достижении целей или утраты необходимости в достижении этих целей, если иное не предусмотрено требованиями законодательства;
• легитимности организационных и технических мер по обеспечению безопасности персональных данных.

5. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Сервис обрабатывает персональные данные после дачи их согласия на это следующих категорий Субъектов персональных данных:

• физических лиц, предоставивших свои персональные данные в связи с заключением договора об оказании услуг по пользованию Сервиса – Пользователями Сервиса.

5.2 Персональные данные обрабатываются в следующем объеме:
Персональные данные общей категории:

• Фамилия имя отчество;
• паспортные данные (данные иного документа, удостоверяющего личность);
• должность;
• номер телефона (мобильного);
• адрес электронной почты;
• сведения об идентификационном номере налогоплательщика.

При доступе к Сервису Оператора и последующих действиях на Сервисе Оператора в соответствии с Правилами в отношении использования файлов cookie (Приложение №1 к Политике ОПД), размещаемыми на Сервисе Оператора, осуществляется сбор следующих данных:

• IP-адрес хоста;
• данные о действии, совершаемым Пользователем Сервиса;
• данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также о настройках, типе и языке браузера, дате и времени запроса и URL перехода;
• информация, автоматически получаемая при доступе к Сервису Оператора с использованием закладок (cookies).

Персональные данные специальной категории:
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается.
Персональные данные, разрешенные для распространения
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона № 152-ФЗ.




Трансграничная передача персональных данных
Данная передача персональных данных Оператором не осуществляется.

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Субъект персональных данных вправе получать информацию об обработке персональных данных на Сервисе, а именно:

• подтверждение факта обработки персональных данных;
• правовое основание, цели, сроки и способы обработки персональных данных;
• наименование и место нахождение Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором;
• какие данные обрабатываются и источник их получения;
• информацию о способах реализации мер, направленных на обеспечение выполнения Оператором обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
• получить разъяснение по любому условию Политики ОПД путем направления Оператору запроса, в том числе перед дачей согласия с данной Политикой.

6.2 Субъект персональных данных также вправе:

• Повторно обратиться к Оператору с запросом на получении информации, указанной в пункте 6.1 Политики ОПД;

Оператор имеет право отказать в выполнении повторного запроса, если он был направлен не обоснованно.

• отозвать согласие на обработку персональных данных;
• уточнять, блокировать или уничтожать свои персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• требовать от Оператора прекращения в любое время передачи (распространения, предоставления, доступа) персональных данных, разрешенных для распространения на основании письменного требования, в котором должны быть указаны: фамилия, имя, отчество (при наличии), контактная информация (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также, перечень персональных данных, обработка которых подлежит прекращению;
• обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений статьи 10.1. Федерального закона N 152-ФЗ. или обратиться с таким требованием в суд;
• обжаловать действий или бездействий Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
• получить иные сведения и осуществление иных прав, предусмотренных законодательством Российской Федерации.

6.3 Права субъекта персональных данных на доступ к его персональным данным могут быть ограничены:

• если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
• если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• если доступ субъекта персональных данных нарушает права и законные интересы третьих лиц;
• при условии, что обработка персональных данных производится органами, осуществляющими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
• если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

7. ОБЯЗАННОСТИ ОПЕРАТОРА

7.1 Общие обязанности Оператора.
Оператор обязан:

• соблюдать требования конфиденциальности полученных персональных данных Пользователей Сервиса;
• предоставить сведения, указанные в разделе 6 Политики ОПД, Субъекту персональных данных по его запросу в доступной форме, а также не допустить передачу персональных данных, относящихся к иным Субъектам персональным данным.

Указанные сведения предоставляются Субъекту персональных данных (или его представителю) в течение 10 рабочих дней. При наличии обоснованных причин этот срок может быть продлен на 5 рабочих дней.

• разъяснить Субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты Субъектом персональных данных своих прав и законных интересов;
• получить у Субъекта персональных данных согласие на обработку персональных данных.

7.2 Обязанности оператора при сборе персональных данных:

• разъяснить Субъекту персональных данных последствия отказа от предоставления согласия;
• если персональные данные были получены не от Субъекта персональных данных, то Оператор предоставляет ему следующую информацию:

7.3 наименование либо фамилия, имя, отчество и адрес Оператора или его
представителя;
2) цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом №152-ФЗ права субъекта персональных данных;
5) источник получения персональных данных.


Оператор освобождается от предоставления вышеуказанных сведений, в случае если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
2) персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем по которому, является Субъект персональных данных;
3) обработка персональных данных, разрешенных Субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона №152-ФЗ;
4) предоставление Субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

• При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона №152-ФЗ.

7.3 Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ.
7.4 Обязанности оператора при обращении к нему Субъекта персональных данных:

• сообщить о наличии персональных данных, относящихся к нему, а также предоставить возможность ознакомления с этими персональными данными;
• в случае отказа в предоставлении информации о персональных данных о соответствующему Субъекте персональных данных, предоставить мотивированный ответ.
• безвозмездно предоставить Субъекту персональных данных или его представителю возможность ознакомления с персональными данными этого субъекта;

7.5 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.
7.6 Обязанности Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных:

• осуществить блокирование неправомерно обрабатываемых персональных данных (или неточных персональных данных), относящихся к Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора);
• уточнить персональные данные, в случае подтверждения факта их неточности;
• прекратить обработку персональных данных при выявлении неправомерной обработки персональных данных;
• уничтожить персональные данные:

1. при необоснованном получении персональных данных Пользователя;
2. при неправомерной обработке персональных данных (например, получение персональных данных без согласия Пользователя);
3. при достижении целей обработки персональных данных;
4. при отзыве Субъектом персональных данных согласия на обработку его персональных данных.

8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1 Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.2 Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным Законом №152-ФЗ.
8.3 Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
8.4 Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8.5 Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
8.6 При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального Закона №152-ФЗ.
8.7 Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
8.8 Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным Законом №152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных. Кроме того, Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.9 Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий Субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить Субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных Субъектом персональных данных для распространения. Передача (распространение, предоставление, доступ) персональных данных, разрешенных Субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию Субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
8.10. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным Законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер определен Политикой ОПД.
8.11. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.12. Срок действия согласия на обработку персональных данных указывается в самом согласии на обработку персональных данных и не может превышать срок пользования Сервисом. В случае отзыва согласия на обработку персональных данных, оно прекращает свое действие. Срок действия согласия на обработку персональных данных не может быть больше срока для целей которых предоставляется такое согласие.


9. МЕРЫ ОПЕРАТОРА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

9.1 При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:

• назначает лицо, ответственное за организацию обработки персональных данных;
• издает политику в отношении обработки персональных данных, а также иные локальные акты по вопросам обработки персональных данных;
• размещает Политику ОПД на Сервисе в общедоступном месте для ознакомления;
• осуществляет внутренний аудит соответствия обработки персональных данных Федеральному закону от N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Сервиса в отношении обработки персональных данных, локальным актам;
• осуществляет оценку вреда, который может быть причинен Субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
• проводит ознакомление лица, непосредственно осуществляющего обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанного ответственного лица;
• определят угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• обнаруживает факт несанкционированного доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
• восстанавливает персональные данные, которые были модифицированы или уничтожены вследствие несанкционированного доступа к ним.
• осуществляет использование и хранение биометрических персональных данных на материальных носителях, технология хранения которых обеспечивает защиту от несанкционированного доступа к ним, а также их уничтожения, копирования, изменения, блокирования, предоставления, распространения;
• определяет порядок уничтожения персональных данных;
• ведется журнал работы с персональными данными.

9.2 Для обеспечения безопасности персональных данных при их обработке, на основе определяемых моделей угроз, Оператор использует Информационную систему персональных данных (ИСПДн) 3-го класса, включающую в себя следующие средства защиты:
В подсистеме управления доступом:
Идентификация и проверка подлинности пользователя при входе в операционную систему ИСПДн по паролю условно-постоянного действия, длиной не менее шести буквенноцифровых символов.

В подсистеме регистрации и учета:
1. Регистрация входа (выхода) Пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или остановка не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы.
2. Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета.
В подсистеме обеспечения целостности:
1. Обеспечение целостности программных средств СЗПДн (системы защиты персональных данных), обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СЗИ (средств защиты информации), а целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ.
2. Физическая охрана технических средств ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации.
При межсетевом взаимодействии:
1. Применение средств межсетевого экранирования МЭ (межсетевых экранов), которые
обеспечивают:
ï фильтрацию на сетевом уровне для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
ï фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
ï идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
ï регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратного отключения МЭ);
ï контроль целости своей программной и информационной части;
ï восстановление свойств МЭ после сбоев и отказов оборудования;
ï регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора МЭ, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
2.Использование в составе ИСПДн программных или программно-аппаратных средств (систем) анализа защищенности.
3. Использование в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений.

Использование средств антивирусной защиты.


10. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

10.1. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
10.2. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:

• в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
• в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных;
• в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

10.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

10.4. В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.5. Оператор обязан уничтожить персональные данные в следующих случаях:

• при необоснованном получении персональных данных;
• при неправомерной обработке персональных данных;
• при достижении целей обработки персональных данных;
• при отзыве Субъектом персональных данных согласия на обработку его персональных данных.

10.6. Оператор для этих целей создает экспертную комиссию на основании приказа и проводит экспертизу ценности документов.
10.7. По результатам экспертизы документы, содержащие персональные данные Субъекта и подлежащие уничтожению в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация (в случае, если по техническим причинам будет невозможен первый вариант уничтожения данных).
10.8. Факт уничтожения подтверждается Актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных.


11. УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. В случае изменения сведений, касающихся персональных данных Субъекта персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных.


12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА №152-ФЗ

12.1. Лица, виновные в нарушении требований Федерального закона №152-ФЗ, несут предусмотренную законодательством РФ ответственность.
12.2. Моральный вред, причиненный Субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством РФ.
12.3. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Субъектом персональных данных убытков.























Приложение №1
к Политике ОПД

ПРАВИЛА В ОТНОШЕНИИ ИСПОЛЬЗОВАНИЯ ФАЙЛОВ COOKIE

«Файлы cookie» – текстовые файлы небольшого размера, которые сохраняются на вашем устройстве (персональном компьютере, ноутбуке, планшете, мобильном телефоне и т.п.), когда вы посещаете сайты в сети «Интернет».
Посещая Сервис «Спасибки» в сети «Интернет», Пользователь сайта соглашается с настоящими правилами, в том числе с тем, что Сервис может использовать файлы cookie и иные данные для их последующей обработки системами Google Analytics, Яндекс.Метрика и др., а также может передавать их третьим лицам для проведения исследований, выполнения работ или оказания услуг.
Кроме того, при посещении Сервиса происходит автоматический сбор иных данных, в том числе: технических характеристик устройства, IP-адреса, информации об используемом браузере и языке, даты и времени доступа к сайту, адресов запрашиваемых страниц сайта и иной подобной информации.
Виды используемых файлов cookie В зависимости от используемых Сервисом браузера и устройств используются разные наборы файлов cookie, включающие в себя строго необходимые, эксплуатационные, функциональные и аналитические файлы cookie.
Цели использования файлов cookie при посещении Пользователями Сервиса файлы cookie могут использоваться для:
ï обеспечения функционирования и безопасности Сервиса;
ï улучшения качества Сервиса;
ï регистрации в системе - Личном кабинете;
Способы управления файлами cookie, используемые Пользователями Сервиса могут позволять Пользователям блокировать, удалять или иным образом ограничивать использование фалов cookie. Но файлы cookie являются важной частью Сервиса, поэтому блокировка, удаление или ограничение их использования может привести к тому, что Пользователи Сервиса будут иметь доступ не ко всем его функциям. Чтобы узнать, как управлять файлами cookie с помощью используемых Пользователями Сервиса браузера или устройства, посетители сайта могут воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем устройства.