Приложение № 1 к Приказу № 20250527-01 от 27.05.2025 года.
Утверждаю Генеральный директор Дворецков А.С.
1. Общие положения
1.1. Настоящий документ определяет Политику ООО «ИЦ «Эффет», ОГРН 1067761738989, ИНН 7718620035, Юридический адрес: г. Москва, пл. Сокольническая, д. 4а, этаж 3 пом IV ком 11(3) (далее – «Оператор») в отношении обработки и обеспечении безопасности персональных данных (далее – «Политика»).
1.2. Политика разработана в соответствии с законодательством РФ в области персональных данных. Пересмотр настоящей Политики ведётся в соответствии с изменениями законодательства РФ в области персональных данных, по результатам анализа действенности используемых мер обеспечения безопасности персональных.
1.3. Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных Оператором.
1.4. Действие Политики распространяется на все процессы Оператора, связанные с обработкой персональных данных.
1.5. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных Оператором.
1.6. Политика размещается в общем доступе на сайте Оператора, в том числе на страницах сайта, где осуществляется сбор персональных данных.
1.7. Политика вступает в силу с момента размещения на сайте Оператора, если иное не указано в её реквизитах.
1.8. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Оператор включён в реестр операторов, осуществляющих обработку персональных данных.
2. Перечень нормативных документов и правовые основания обработки персональных данных
2.1. Перечень нормативных документов
Обработка персональных данных Оператором осуществляется в соответствии со следующими нормативными документами:
2.1.1 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон 152-ФЗ);
2.1.2. Статья 53 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи»;
2.1.3 Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.1.4 Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
2.1.5 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2.1.6 Трудовой кодекс Российской Федерации;
2.1.7 Иные нормативно-правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти, Банка России.
2.2. Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных в зависимости от целей действий, предусматривающих обработку Персональных данных, может являться:
2.2.1. Конституция Российской Федерации, а также совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
2.2.1.1. Гражданский Кодекс Российской Федерации;
2.2.1.2. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
2.2.1.3. Налоговый кодекс Российской Федерации;
2.2.1.4. Трудовой кодекс Российской Федерации;
2.2.1.5. Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования»;
2.2.1.6. Федеральный закон от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход» в городе федерального значения Москве, в Московской и Калужской областях, а также в Республике Татарстан (Татарстан)»;
2.2.1.7. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
2.2.1.8. Статья 53 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи»;
2.2.1.9. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.2.1.10. Иные нормативно-правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти, Банка России.
2.2.2. Устав Оператора.
2.2.3. Договоры, заключаемые между Оператором и Субъектом Персональных данных.
2.2.4. Согласие Субъектов Персональных данных на обработку персональных данных, включая:
2.2.4.1. Согласие посетителей и пользователей сайта Оператора;
2.2.4.2. Согласие клиентов на обработку персональных данных;
2.2.4.3. Согласие работников на обработку персональных данных;
2.2.4.4. Согласие соискателей на замещение вакантных должностей на обработку персональных данных;
2.2.4.5. Согласие практиканта на обработку персональных данных;
2.2.4.6. Согласие иных субъектов персональных данных;
2.2.4.7. Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения.
2.2.5. Осуществление прав и законных интересов Оператора и третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
2.2.6. Участие Оператора в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
2.2.5. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на Оператор законодательством Российской Федерации функций, полномочий и обязанностей.
3. Термины и определения
В настоящей Политике используются следующие термины и определения:
Оператор – ООО «ИЦ «Эффет», ОГРН 1067761738989, ИНН 7718620035, Юридический адрес: г. Москва, пл. Сокольническая, д. 4а, этаж 3 пом IV ком 11(3), которое в рамках Федерального закона 152-ФЗ является оператором по Обработке Персональных данных, организующим и осуществляющим самостоятельно или совместно с другими лицами обработку персональных данных, определяющим цели и состав обработки персональных данных, подлежащих обработке и действиям (операциям), совершаемым с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных);
Персональные данные, разрешённые субъектом персональных данных для распространения – Персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых Субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом №152-ФЗ.
Субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, а также путём смешанной обработки, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, поручение обработки третьим лицам, получение от третьих лиц персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Предоставление – действия, направленные на раскрытие персональных данных определенному лицу или определённому кругу лиц;
Распространение – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
Блокирование – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Трансграничная передача – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Роскомнадзор – Уполномоченный орган по защите прав субъектов персональных данных;
Ответственный за организацию Обработки Персональных данных – должностное лицо, которое назначается Приказом руководителя Оператора, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации Обработки Персональных данных Оператором в соответствии с положениями законодательства Российской Федерации в области Персональных данных;
Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным лицом, получившим доступ к Персональным данным, требование не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта Персональных данных или наличия иного законного основания, предусмотренного законодательством Российской Федерации.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных осуществляется на основе принципов:
4.1.1. Законности целей и способов Обработки персональных данных;
4.1.2. Добросовестности Оператора, как оператора персональных данных, который руководствуется требованиями законодательства Российской Федерации в отношении Обработки Персональных данных;
4.1.3. Соответствия содержания и объёма, отсутствия избыточности обрабатываемых персональных данных, а также способов обработки персональных данных заранее определённым, конкретным целям их обработки;
4.1.4. Полноты, точности и достаточности, а в необходимых случаях и актуальности Персональных данных по отношению к заявленным целям их Обработки;
4.1.5. Недопустимости обработки персональных данных, несовместимой с целями сбора персональных данных;
4.1.6. Недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4.1.7. Уничтожения Персональных данных по достижении целей Обработки или в случае утраты необходимости и (или) возможности в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;
4.1.8. Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
4.1.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использование баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
4.1.10. Обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.
4.2. Работники Оператора, допущенные к Обработке Персональных данных, обязаны:
4.2.1. Знать и неукоснительно выполнять положения:
4.2.1.1. Законодательства Российской Федерации в области Персональных данных;
4.2.1.2. настоящей Политики;
4.2.1.3. внутренних положений Оператора по вопросам Обработки и обеспечения безопасности Персональных данных;
4.2.2. Обрабатывать Персональные данные только в рамках выполнения своих должностных обязанностей;
4.2.3. Не разглашать Персональные данные, обрабатываемые Оператором;
4.2.4. Сообщать о действиях третьих лиц, которые могут привести к нарушению положений настоящей Политики;
4.2.5. Сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию Обработки Персональных данных Оператором.
4.3. Безопасность Персональных данных Оператором обеспечивается выполнением мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности Персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы Информационных систем Персональных данных в случае реализации угроз.
5. Цели обработки персональных данных
Оператор обрабатывает персональные данные в целях:
5.1. осуществления основных видов деятельности Оператора;
5.2. демонстрации контента пользователям сайта Оператора, обеспечения функционирования сайта, ведения статистики о пользователях сайта, хранения предпочтений и настроек пользователей, отслеживания состояния сессии доступа пользователей, улучшения качества сайта, использования возможностей комментирования на сайте Оператора, предоставления дистанционного обслуживания, формирования списка интересов, демонстрации пользователю интернет-контента;
5.3. достижения целей, предусмотренных законом или международным договором Российской Федерации;
5.4. исполнения обязанностей, возложенных на Оператор действующим законодательством РФ;
5.5. осуществления прав и законных интересов Оператор и третьих лиц, в том числе по исполнению требований действующего законодательства РФ, обеспечению безопасности деятельности;
5.6. достижения общественно значимых целей создания эффективных инструментов для выполнения требований законодательства, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
5.7. осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
5.8. принятия решения о трудоустройстве кандидата;
5.9. заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;
5.10. осуществления обратной связи с пользователями интернет-сайта Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;
5.11. осуществление рекламно-информационных рассылок;
5.12. показ таргетированной рекламы пользователям сайта.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Содержание и объем обрабатываемых Оператором персональных данных категорий субъектов персональных данных, определяются в соответствии с целями обработки персональных данных.
6.2. Оператор не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
6.3. Оператор не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, а также биометрические персональные данные. Обработка сведений о состоянии здоровья работников осуществляется исключительно в соответствии с действующим законодательством, в том числе Трудовым кодексом РФ.
6.4. Оператор обрабатывает полученные в установленном законом порядке персональные данные следующих категорий субъектов персональных данных:
6.4.1. работники, состоящие и состоявшие в трудовых отношениях с Оператором, их родственники и практиканты Оператора;
6.4.2. кандидаты на замещение вакантных должностей Оператора;
6.4.3. физические лица, являющиеся контрагентами или представителями, работниками контрагентов Оператора;
6.4.4. физические лица, являющиеся пользователями интернет-сайта Оператора;
6.4.5. физические лица, являющиеся респондентами Оператора;
6.4.6. физические лица, в отношении которых в соответствии с положениями федерального закона персональные данные являются общедоступными, подлежат обязательному раскрытию или опубликованию, подлежат внесению в общедоступные государственные реестры или информационные системы;
6.4.7. физические лица, являющиеся участниками, акционерами, членами органов управления, контрольных органов юридических лиц, входящих в группу лиц Оператора, включая и самого Оператора.
6.5. Источниками получения персональных данных, обрабатываемых Оператором, являются:
6.5.1. непосредственно субъекты персональных данных (в том числе работники Оператора, практиканты, кандидаты на замещение вакантных должностей, члены органов управления и контрольных органов Оператора, контрагенты;
6.5.2. Федеральная налоговая служба РФ, иные государственные органы и уполномоченные организации в случаях, предусмотренных действующим законодательством РФ;
6.5.3. файлы cookie;
6.5.4. контрагенты Оператора;
6.5.5. лица, входящие в группу лиц Оператора;
6.5.6. иные лица, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
7. Порядок и условия обработки персональных данных
7.1. Оператор осуществляет Обработку Персональных данных с использованием средств автоматизации и без использования средств автоматизации, а также смешанную Обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, анализ и использование, передачу (Распространение, Предоставление, доступ) и поручение Обработки третьим лицам, получение от третьих лиц, Обезличивание, Блокирование, удаление, Уничтожение Персональных данных в сроки, необходимые для достижения целей Обработки Персональных данных.
7.2. Оператор осуществляет обработку Персональных данных с передачей информации по внутренней локальной сети Оператора и с передачей информации по телекоммуникационной сети «Интернет».
7.3. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся территории РФ.
7.4. В ходе своей деятельности Оператор может осуществлять Трансграничную передачу Персональных данных в соответствии с требованиями Федерального закона №152-ФЗ, с учётом целей Обработки Персональных данных, указанных в разделе 5 Политики и в соответствии с Уведомлением об обработке Персональных данных, направленным Оператором в Роскомнадзор.
7.5. Обработка Персональных данных Оператором осуществляется с согласия Субъекта Персональных данных кроме случаев, установленных законодательством Российской Федерации, с соблюдением требований конфиденциальности персональных данных, установленных статьёй 7 Федерального закона № 152-ФЗ, а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите Персональных данных, установленных законодательством Российской Федерации.
7.6. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
7.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.
7.8. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством РФ в области защиты персональных данных.
7.9. Оператор раскрывает обрабатываемые персональные данные только на основаниях и в случаях, предусмотренных законодательством РФ.
7.10. По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы в объёме и порядке, установленном законодательством Российской Федерации:
7.10.1. в судебные органы в связи с осуществлением правосудия;
7.10.2. органы федеральной службы безопасности;
7.10.3. в органы прокуратуры;
7.10.4. в органы полиции;
7.10.5. в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
7.11. Публикация (распространение) персональных данных для неограниченного круга лиц, в том числе на сайте Оператор, может осуществляться только на основании отдельного согласия Субъекта персональных данных, составленного с учётом нормативно установленных требований. Если субъекты устанавливают дополнительные условия / запреты последующей обработки персональных данных, Оператор доводит эту информацию посредством размещения условий / запретов на соответствующих страницах веб-сайта, на которых осуществляется распространение персональных данных.
7.12. Обработка персональных данных осуществляется Оператором, а также иными третьими лицами, которые привлекаются Оператором к обработке, или которым передаются персональные данные в указанных выше целях и в соответствии с законодательством Российской Федерации. К числу подобных третьих лиц, в частности, могут относиться:
7.12.1. контрагенты Оператора, оказывающие услуги поддержки функционирования используемых информационных систем, услуги по предоставлению рекламно-информационных услуг, иные услуги, приобретаемые Оператором в указанных выше целях;
7.13. Оператор имеет право привлекать третьих лиц к обработке полученных персональных данных и/или передавать им полученные данные, а также получать от них данные в указанных целях без дополнительного согласия субъекта при условии обеспечения указанными третьими лицами конфиденциальности и безопасности персональных данных при обработке. Допускается обработка персональных данных указанными третьими лицами с использованием и без использования средств автоматизации, а также совершение ими любых действий по обработке персональных данных, не противоречащих законодательству Российской Федерации. Обработка персональных данных третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с персональными данными, и цели обработки, а также положения по обеспечению безопасности персональных данных, в том числе требования не раскрывать и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьёй 19 Закона о персональных данных.
7.14. Оператор обязуется принимать необходимые правовые, организационные и технические меры для защиты получаемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, иных неправомерных действий в отношении персональных данных, и соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и иными соответствующими нормативными актами.
7.15. Организация хранения персональных данных
7.15.1. Обработка, в том числе хранение, Персональных данных Оператором осуществляется не дольше, чем этого требуют цели обработки Персональных данных, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных данных.
7.15.2. Хранение Персональных данных осуществляется на материальных (бумажных) носителях и в электронном виде.
7.15.3. Право доступа к определенным Персональным данным субъектов имеют (получают) работники Оператора, которым это необходимо для выполнения их должностных обязанностей и которые наделены соответствующими полномочиями и правами доступа к Персональные данные в соответствии с внутренним нормативным документом Оператора.
7.15.4. При организации хранения материальных носителей персональных данных соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
7.15.5. Хранение Персональных данных может осуществляться в течение срока, установленного:
7.15.5.1. договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Персональных данных;
7.15.5.2. согласием субъекта Персональных данных,
7.15.5.3. применимым законодательством РФ;
7.15.6. Оператором организуется хранение Персональных данных в течение времени, установленного требованиями законодательства, регулирующее архивное хранение, и иные нормативные акты, содержащие нормы о хранении персональных данных.
7.16. При достижении целей обработки персональных данных, а также в случае отзыва согласия на обработку, Персональные данные подлежат уничтожению, если:
7.16.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Персональных данных или законодательством РФ;
7.16.2. иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных;
7.16.3. Оператор вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» или иными федеральными законами.
7.17. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста.
7.18. Особенности обработки Персональных данных на сайте Оператора
7.19.1. Субъект персональных данных может самостоятельно при осуществлении регистрации при дистанционном оформлении услуг онлайн через сайт Оператора, оставлении заявки о сотрудничестве/о преддоговорной консультации на услугу, оформлении подписок, предоставить Оператору свои персональные данные, заполнив поля в регистрационной форме на сайте.
7.19.2. Во время посещения Субъектами персональных данных сайта Оператора и использования их функционала возможен сбор технической информации с использованием различных технологий и способов, включая технологии «cookies», которые позволяют отслеживать качество работы сайта и характеристики его использования, а также оптимизировать маркетинговые активности в Интернете.
7.19.3. Оператор может обрабатывать информацию, содержащуюся в файлах cookies. Политика обработки файлов cookies оформлена в виде Приложения №А к настоящей Политике обработки персональных данных, размещена на сайте Оператора (effet.ru) и является неотъемлемой частью настоящей Политики.
8. Условиями для прекращения обработки персональных данных
8.1. Условиями для прекращения обработки персональных данных Оператором могут быть:
8.1.1. достижение целей обработки персональных данных или в случае утраты необходимости и (или) возможности в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;
8.1.2. истечение срока действия согласия на обработку персональных данных или договора с субъектом персональных;
8.1.3. отзыв субъектом согласия персональных данных на обработку его персональных данных (при отсутствии иных правовых оснований обработки);
8.1.4. выявление неправомерной обработки персональных данных;
8.1.5. ликвидация Оператора.
9. Конфиденциальность персональных данных
9.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, выполнения положений договора гражданско-правового характера, стороной которого является субъект персональных данных, и в связи с оказанием Оператором услуг, является конфиденциальной информацией и охраняется действующим законодательством РФ.
9.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.
9.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.
9.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
10. Реализация прав субъектов персональных данных
10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
10.1.1. подтверждение факта обработки персональных данных Оператором;
10.1.2. правовые основания и цели обработки персональных данных;
10.1.3. цели и применяемые Оператором способы обработки персональных данных;
10.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона РФ;
10.1.5. перечень и категории обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
10.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
10.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ; Федеральным законом №152-ФЗ;
10.1.8. информацию об осуществлённой или о предполагаемой трансграничной передаче персональных данных;
10.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10.1.10. информацию о способах исполнения Оператором обязанностей по обработке персональных данных, установленных статьёй 18.1 Федерального закона № 152-ФЗ;
10.1.11. иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами РФ.
10.2. Право Субъекта Персональных данных на получение информации, касающейся Обработки его Персональных данных, может быть ограничено в случаях, установленных Федеральным законом № 152-ФЗ.
10.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.4. Субъект персональных данных вправе отозвать своё согласие на Обработку Персональных данных путём направления соответствующего запроса в Оператор.
10.5. Для реализации своих прав и защиты законных интересов, субъект персональных данных имеет право обратиться в Оператор. Оператор рассматривает обращения и жалобы со стороны субъектов персональных данных, даёт соответствующие ответы на них, в срок, установленный Законодательством, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.6. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
10.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.8. В случае возникновения любых вопросов и обращений касательно обработки персональных данных, Субъект персональных данных может обратиться по адресу электронной почты box@effet.ru при условии подписания квалифицированной электронной подписью в порядке, предусмотренном частью 1 статьи 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» или путём направления соответствующего заявления на почтовый адрес Оператора. Форма запроса/обращения произвольная. Запрос должен позволять установить лицо, его направляющие, а также может содержать контактные данные для направления ответа.
11. Меры Оператора, направленные на обеспечение выполнения обязанностей по Обработке Персональных данных
11.1 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом №152-ФЗ или другими федеральными законами.
11.2. Оператором принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ в области Обработки Персональных данных:
11.2.1. назначается Ответственный за организацию Обработки Персональных данных;
11.2.2. издаются: Политика в отношении Обработки Персональных данных, локальные акты по вопросам Обработки Персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
11.2.3. применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьёй 19 Федерального закона № 152-ФЗ, направленных на нейтрализацию актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператора;
11.2.4. осуществляется внутренний контроль и (или) аудит соответствия Обработки Персональных данных Оператором Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите Персональных данных, политике Оператора в отношении Обработки Персональных данных, локальным актам в области Обработки и обеспечения безопасности Персональных данных;
11.2.5. проводится оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
11.2.6. осуществляется ознакомление работников Оператора, непосредственно осуществляющих Обработку Персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе с требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении Обработки Персональных данных, локальными актами Оператора по вопросам Обработки Персональных данных, и (или) обучение указанных работников.
12. Меры, направленные на обеспечение выполнения Оператором обязанностей по защите Персональных данных
12.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения данных, а также от иных неправомерных действий в отношении персональных данных.
12.2. Обеспечение безопасности персональных данных достигается применением взаимосвязанной совокупности мер и средств защиты, в частности:
12.2.1. определяются угрозы безопасности Персональных данных при их Обработке в Информационных системах Персональных данных;
12.2.2. применяются организационные и технические меры по обеспечению безопасности Персональных данных при их Обработке в Информационных системах Персональных данных, направленные на нейтрализацию актуальных угроз безопасности персональных данных в соответствии с законодательством Российской Федерации;
12.2.3. применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, предназначенные для нейтрализации актуальных угроз безопасности;
12.2.4. осуществляется контроль и оценка эффективности принимаемых мер по обеспечению безопасности Персональных данных до ввода в эксплуатацию информационной системы Персональных данных;
12.2.5. осуществляется учёт материальных (бумажных, машинных) носителей персональных данных и информационных систем Оператора, в которых обрабатываются персональные данные, обеспечивается их сохранность;
12.2.6. проводятся мероприятия по своевременному обнаружению фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие соответствующих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
12.2.7. проводится резервирование технических средств и дублирование массивов и носителей информации, для обеспечения возможности восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
12.2.8. устанавливаются правила доступа к Персональным данным, обрабатываемым в Информационной системе Персональных данных, а также обеспечивается регистрация и учёт действий, совершаемых с Персональными данными в информационной системе Персональных данных;
12.2.9. осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
12.2.10. соблюдается порядок доступа к информационным ресурсам и ведётся учёт работников Оператора, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей;
12.3. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.4. Оператор несёт ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
12.5. Для обеспечения неограниченного доступа к Политике Оператора в отношении обработки персональных данных и сведениям о реализованных мерах по защите персональных данных текст настоящей Политики опубликован на официальном сайте Оператора (effet.ru)
13. Ответственность
13.1. Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию Обработки Персональных данных Оператором.
13.2. Лица, виновные в нарушении норм, регулирующих Обработку Персональных данных и защиту обрабатываемых Оператором Персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.