ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1 ПЕРЕЧЕНЬ ТЕРМИНОВ И СОКРАЩЕНИЙ

2 ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящая Политика обработки ПДн (далее – Политика) определяет порядок, цели и принципы обработки Оператором ПДн физических лиц – пользователей Сайта, а также меры по обеспечению безопасности ПДн.

2.2. Политика распространяется на все действия по обработке ПДн, которые Оператор осуществляет в рамках функционирования Сайта, включая обработку данных, полученных через онлайн-формы на Сайте, в процессе регистрации аккаунта, заключения и исполнения договоров оказания услуг, а также сбор данных с помощью сервисов веб-аналитики.

2.3. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативно-правовыми актами Российской Федерации в области ПДн.

2.4. Политика не регулирует обработку ПДн сотрудников Оператора, в связи с их отсутствии. Также Политика не охватывает отношения, на которые не распространяется действие ФЗ (п. 2 ст. 1 ФЗ).

2.5. Использование Сайта, включая регистрацию аккаунта, оформление заказов и заполнение любых форм обратной связи, означает безоговорочное согласие Пользователя с условиями настоящей Политики. Если Пользователь не согласен с условиями Политики, он обязан немедленно прекратить использование Сайта.

3 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДн

3.1. Правовыми основаниями обработки ПДн Оператором являются:

3.1.1. Необходимость обработки для заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в соответствии с пунктом 5 части 1 статьи 6 Федерального закона № 152-ФЗ.

3.1.2. Согласие субъекта на обработку его ПДн, предоставляемое в соответствии с пунктом 1 части 1 статьи 6 Федерального закона № 152-ФЗ, а именно:

• согласие Субъекта на обработку ПДн (Приложение № 2 к настоящей Политике);
• согласие Субъекта на использование сервиса Яндекс.Метрика (Приложение № 3 к настоящей Политике);
• согласие Субъекта на информационные и рекламные рассылки (Приложение № 4 к настоящей Политике);

3.2. Оператор получает согласие субъекта ПДн на их обработку в ясной и понятной форме, как правило, в электронном виде, посредством совершения Пользователем активного и подтверждаемого действия.

3.3. Для сбора согласия Оператор использует следующие механизмы:

• для регистрации аккаунта и обработки обращений: отметка в неактивированном по умолчанию чек-боксе рядом с кнопкой отправки формы. Текст рядом с чек-боксом содержит суть предоставляемого согласия и ссылку на настоящую Политику. Пример: «Я согласен на обработку моих персональных данных в соответствии с Политикой обработки персональных данных». Активация кнопки отправки формы технически возможна только после совершения Пользователем активного действия – проставления отметки.
• для информационных и рекламных рассылок: отдельный, неактивированный по умолчанию чек-бокс с текстом, например: «Я согласен на рассылку новостей и информации о скидках». Согласие на рассылки не является обязательным для использования основных функций Сайта.
• для сбора аналитических данных (сервис Яндекс.Метрика): всплывающий информационный баннер (cookie-баннер) при первом посещении Сайта, запрашивающий отдельное согласие на использование необязательных аналитических cookie.

3.4. Перед предоставлением согласия Субъекту в доступной форме предоставляется возможность ознакомиться с полным текстом настоящей Политики. Субъект самостоятельно решает, предоставлять ли свои ПДн, и дает согласие свободно и добровольно.

3.5. В случае если предоставление ПДн является обязательным в силу закона или необходимо для оказания услуг, Оператор обязуется уведомить об этом Субъекта. Если Субъект отказывается предоставить необходимые и достаточные ПДн, Оператор не сможет выполнить необходимые действия для достижения целей обработки. В таком случае Оператор будет вынужден отказать в предоставлении услуг.

4 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

4.1 Оператор имеет право:

4.1.1. получать от Субъекта достоверные информацию и/или документы, содержащие ПДн;

4.1.2. обрабатывать ПДн Субъекта в объеме и для целей, предусмотренных настоящей Политикой и законодательством РФ;

4.1.3. в случае отзыва Субъектом согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия Субъекта при наличии правовых оснований, указанных в ФЗ (например, для исполнения договора или закона);

4.1.4. передавать ПДн для обработки третьим лицам, указанным in разделе 10 настоящей Политики, при условии заключения с такими лицами соответствующих договоров поручения обработки ПДн, обязывающих их соблюдать принципы и правила обработки, а также обеспечивать безопасность ПДн в соответствии с законодательством РФ;

4.1.5. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ или другими федеральными законами

4.2. Оператор обязан:

4.2.1. предоставлять Субъекту по его просьбе информацию, касающуюся обработки его ПДн;

4.2.2. использовать полученную информацию исключительно для целей, указанных in разделе 6 Политики.

4.2.3. организовывать обработку ПДн в порядке, установленном действующим законодательством РФ;

4.2.4. отвечать на обращения и запросы Субъектов и их законных представителей в соответствии с требованиями ФЗ;

4.2.5. сообщать в уполномоченный орган по защите прав Субъектов по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

4.2.6. публиковать или иным образом обеспечивать неограниченный доступ к Политике в отношении обработки ПДн;

4.2.7. принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в соответствии с требованиями Постановления Правительства РФ №1119 и Приказа ФСТЭК России №21;

4.2.8. прекращать обработку и уничтожать ПДн в порядке и случаях, предусмотренных ФЗ;

4.2.9. своевременно уведомлять уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, в срок, не превышающий 24 часа с момента обнаружения данного инцидента;

4.2.10. исполнять иные обязанности, предусмотренные ФЗ.

5 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПДн

5.1. Субъект имеет право:

5.1.1. получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются Субъекту Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен ФЗ;

5.1.2. требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5.1.3. выдвигать условие предварительного согласия при обработке ПДн;

5.1.4. на отзыв согласия на обработку ПДн;

5.1.5. обжаловать в уполномоченный орган по защите прав Субъектов или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн;

5.1.6. на осуществление иных прав, предусмотренных законодательством РФ.

5.2. Субъект обязан:

5.2.1. предоставлять Оператору достоверные данные о себе;

5.2.2. сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.

5.3. Оператор не проверяет достоверность ПДн, предоставляемых Субъектом. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5.4. Субъект ПДн вправе направить Оператору запрос, касающийся обработки его ПДн, включая запрос на отзыв согласия, по электронной почте. Оператор обязан рассмотреть запрос и дать на него ответ в течение 10 (десяти) рабочих дней с момента его получения. В исключительных случаях, связанных с необходимостью предоставления значительного объема информации или проведения сложных процедур проверки, данный срок может быть продлен Оператором, но не более чем на 5 (пять) рабочих дней. О продлении срока Оператор уведомляет Субъекта ПДн.

5.5. Права субъекта ПДн, предусмотренные разделом 4.1 настоящей Политики, могут быть ограничены в соответствии с федеральными законами. В частности, такие ограничения могут предусматриваться в случаях, если:

• обработка ПДн осуществляется в целях обеспечения обороны страны и безопасности государства.
• обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн.
• доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
• обработка ПДн осуществляется на основании иного правового основания, кроме согласия (например, для исполнения договора или закона), и сохранение данных необходимо для реализации целей такой обработки.

6 ПРИНЦИПЫ ОБРАБОТКИ ПДн

6.1. Обработка ПДн осуществляется на законной и справедливой основе.

6.2. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

6.3. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.4. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение ПДн с использованием баз данных, находящихся на территории Российской Федерации.

7 ЦЕЛИ ОБРАБОТКИ ПДн

7.1. Оператор руководствуется конкретными, заранее определенными целями обработки ПДн, в соответствии с которыми ПДн были предоставлены субъектом ПДн.

7.2. Содержание обрабатываемых ПДн определяется целями их обработки. Запрещена обработка ПДн, если она не соответствует целям сбора и запрещено объединение баз данных, содержащих ПДн, если цели их обработки несовместимы.

7.3. Обработка избыточных ПДн относительно установленных целей не допускается.

7.4. Цели обработки ПДн:

• подготовка, заключение, исполнение договоров на оказание услуг (публичных оферт, принимаемых путем совершения конклюдентных действий – оплаты).;
• идентификация Пользователя при регистрации аккаунта на Сайте.
• обработка входящих запросов и обращений пользователей, направленных через формы на Сайте или на электронную почту Оператора, для связи, предоставления консультаций и технической поддержки.
• сбор обезличенной статистической информации о действиях пользователей на Сайте, анализ поведения пользователей, улучшение качества работы Сайта и его содержимого с использованием сервиса Яндекс.Метрика.
• направление на указанный адрес электронной почты информационных и рекламных рассылок, касающихся услуг и новостей Оператора.

7.5 В случае если в процессе дальнейшего взаимодействия с пользователем, обратившимся через форму на Сайте, заключается договор на оказание услуг, обработка его ПДн для целей исполнения такого договора будет осуществляться на новом правовом основании — необходимости исполнения договора (п. 5 ч. 1 ст. 6 152-ФЗ). В этом случае субъекту будут предоставлены все существенные условия обработки, а срок хранения ПДн будет определяться сроком действия договора и требованиями законодательства о хранении первичных документов.

7.6 Более детализированный перечень целей, соответствующих им категорий субъектов, состава обрабатываемых ПДн, правовых оснований, способов обработки, перечня действий, сроков хранения и порядка уничтожения приведен в табличной форме в Приложении № 1 к настоящей Политике.

7.7 Оператор не обрабатывает специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Оператор не обрабатывает биометрические ПДн. Оператор не осуществляет обработку ПДн, разрешенных субъектом для распространения.

8 КАТЕГОРИИ СУБЪЕКТОВ ПДн

8.1. К категориям субъектов ПДн относятся физические лица, чьи ПДн обрабатываются Оператором в целях, указанных в разделе 6 настоящей Политики, а именно:

• **клиенты (**физические лица, индивидуальные предприниматели, представители контрагентов-юридических лиц), заключающие договоры с Оператором;
• пользователи Сайта (физические лица), направившие запрос через формы на Cайте, по телефону, электронной почте или мессенджеры
• пользователи Сайта (физические лица), выразившие согласие на сбор и обработку обезличенных данных с помощью сервиса Яндекс.Метрика.

9 СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В зависимости от цели и характера взаимодействия с Пользователем, Оператор может обрабатывать следующие ПДн:

• Имя пользователя (логин);
• Телефон;
• адрес электронной почты (e-mail);
• ПДн, автоматически собираемые при использовании Сайта: технические характеристики устройства и программного обеспечения (тип браузера, операционная система, разрешение экрана); сетевые данные (IP-адрес); данные cookie-файлов; данные о посещении Сайта (время, длительность, последовательность просмотра страниц, источники перехода). Эти ПДн обезличиваются и используются в агрегированном виде для аналитики.

9.2. Полный и исчерпывающий перечень обрабатываемых ПДн применительно к каждой цели обработки указан в Приложении № 1 к настоящей Политике.

10 СРОК ХРАНЕНИЯ И ОБРАБОТКИ ПДн

10.1. Обработка ПДн осуществляется в течение сроков, необходимых для достижения целей обработки, если иное не предусмотрено требованиями законодательства Российской Федерации.

10.2. Условием прекращения обработки ПДн может являться:

• достижение целей обработки ПДн;
• отзыв согласия Субъектом;
• выявление неправомерной обработки ПДн;
• прекращение деятельности Оператора;
• истечение установленных законодательством сроков хранения документов, содержащих ПДн (например, для целей налогового учета).

10.3. Конкретные сроки обработки и хранения ПДн применительно к каждой цели обработки указаны в Приложении №1 к настоящей Политике.

10.4. В частности:

10.4.1 ПДн, обрабатываемые для исполнения договора, хранятся в течение 5 (пяти) лет с момента полного исполнения обязательств по договору, что соответствует общему сроку исковой давности и требованиям налогового законодательства.

10.4.2 ПДн, обрабатываемые на основании согласия для целей связи и поддержки (без заключения договора), хранятся в течение 6 (шести) месяцев с момента последнего взаимодействия или до отзыва согласия.

10.4.3 ПДн, обрабатываемые для целей информационных и рекламных рассылок, хранятся до отзыва согласия на такие рассылки.

10.4.4 Обезличенные ПДн, собираемые сервисом Яндекс.Метрика, хранятся и обрабатываются Яндексом в течение 26 (двадцати шести) месяцев с момента сбора.

10.5. По истечении указанных сроков обработка прекращается, и ПДн подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.

11 СЛУЧАИ ПЕРЕДАЧИ ПДн ТРЕТЬИМ ЛИЦАМ

11.1. Оператор может предоставлять доступ к ПДн третьим лицам, которые осуществляют их обработку по поручению Оператора для достижения целей, указанных в настоящей Политике. При этом с такими лицами заключаются соответствующие соглашения о конфиденциальности и защите ПДн, обязывающие их соблюдать принципы и правила обработки, а также обеспечивать безопасность ПДн в соответствии с законодательством РФ.

11.2. В случаях, предусмотренных законодательством РФ, Оператор вправе осуществлять передачу ПДн третьим лицам, которые осуществляют их обработку в качестве самостоятельных операторов на собственных правовых основаниях, в частности:

• сервису Яндекс.Метрика (ООО «Яндекс», юридический адрес: 119021, г. Москва, ул. Льва Толстого, д.16, ИНН 7736207543, ОГРН 1027700229193) - для целей сбора статистики посещаемости и анализа поведения пользователей на Сайте с помощью сервиса «Яндекс.Метрика». Передаются технические и обезличенные данные. Обработка данных компанией "Яндекс" регулируется ее собственной Политикой конфиденциальности, которую можно найти по ссылке https://yandex.ru/legal/confidential/.
• сервису «ЮKassa» (ООО НКО «ЮМани», юридический адрес: 115035, город Москва, Садовническая улица, дом 82, строение 2, ИНН / КПП 7750005725 / 770501001, ОГРН 1127711000031) - для целей приема, обработки и подтверждения онлайн-платежей. Передаются минимально необходимые для идентификации платежа данные (идентификатор заказа, сумма, email плательщика). Реквизиты платежных карт НЕ передаются Оператору и обрабатываются исключительно платежным сервисом.
• сервису «Robokassa» (ООО «Робокасса», юридический адрес: 129344, город Москва, ул. Искры, д. 31 к. 1, ком. 15а пом III, ИНН / КПП 5047063929/ 771601001, ОГРН 1055009302215) - для целей приема, обработки и подтверждения онлайн-платежей. Передаются минимально необходимые для идентификации платежа данные (идентификатор заказа, сумма, email плательщика). Реквизиты платежных карт НЕ передаются Оператору и обрабатываются исключительно платежным сервисом.
• сервису «JivoChat» (ООО «Живой Сайт», юридический адрес: 115280, г. Москва, Ленинская слобода, дом 19, офис 21г1, ОГРН 1127746026792, ИНН 7725745476, КПП 772501001) - для целей организации онлайн-коммуникации с Пользователями. Передаются данные, вводимые Пользователем в чат (имя, контакты, текст сообщений).
• сервису email-рассылок Unisender (ООО «Юнисендер СМАРТ», юридический адрес: 127015, г. Москва, вн.тер.г. муниципальный округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46, ОГРН: 1227700213180, ИНН / КПП: 9731091240/771501001) - для целей осуществления информационных и рекламных рассылок Пользователям, давшим на это отдельное согласие. Передаются имя и адрес электронной почты.

11.3. Обработка ПДн, полученных через мессенджеры и электронную почту, осуществляется в рамках предоставленных ими платформ с соблюдением их пользовательских соглашений. Оператор принимает разумные организационные меры для защиты конфиденциальности переписки, однако несет ответственность за безопасность таких данных лишь в пределах, зависящих от его функционала (например, хранение архива переписки на защищенных носителях). Пользователь, инициируя обращение через мессенджер, принимает условия обработки данных соответствующим провайдером услуг.

12 ПЕРЕЧЕНЬ ДЕЙСТВИЙ, ПРОИЗВОДИМЫХ ОПЕРАТОРОМ С ПОЛУЧЕННЫМИ ПДн

12.1. Оператор осуществляет полный цикл обработки персональных данных, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение. Указанная обработка проводится автоматизированным способом, в том числе с передачей данных через информационно-телекоммуникационные сети третьим лицам, указанным в настоящей Политике, исключительно в целях, предусмотренных ею.

13 БЛОКИРОВАНИЕ, УТОЧНЕНИЕ И УНИЧТОЖЕНИЕ ПДН ПРИ ВЫЯВЛЕНИИ НЕТОЧНОСТЕЙ ИЛИ НАРУШЕНИЙ

13.1. Выявление и обращение к Оператору**.**

13.1.1. Субъект ПДн вправе направить запрос на уточнение своих ПДн при обнаружении неточностей. Запрос направляется на электронный адрес Оператора с пометкой «Актуализация ПДн».

13.1.2. В случае выявления неправомерной обработки ПДн, Субъект или уполномоченный орган вправе потребовать прекратить такие действия.

13.2. Блокирование ПДн.

13.2.1. При поступлении обращения Субъекта или требования уполномоченного органа о неправомерности обработки, Оператор блокирует спорные ПДн с момента получения такого обращения/требования на время проведения проверки.

13.2.2. При обнаружении неточностей в ПДн, Оператор вправе заблокировать эти данные до завершения их проверки и уточнения, если это не нарушает права и законные интересы Субъекта или третьих лиц.

13.2.3. Блокирование ПДн означает временное прекращение любых операций с ними (кроме операции уточнения).

13.3. Уточнение (актуализация) ПДн.

13.3.1. Оператор обязан рассмотреть запрос на уточнение и провести проверку в течение 7 (семи) рабочих дней с момента получения от Субъекта подтверждающих документов или информации, необходимой для внесения изменений.

13.3.2. В случае подтверждения неточностей, Оператор вносит соответствующие изменения в базы данных.

13.3.3. После завершения уточнения ПДн их блокирование снимается.

13.4. Прекращение обработки ПДн

13.4.1. По отзыву согласия: Обработка, основанная на согласии, прекращается, а ПДн уничтожаются в срок, не превышающий 30 (тридцати) календарных дней с момента получения отзыва, если иное не предусмотрено договором или федеральным законом.

13.4.2. При выявлении незаконной обработки: Оператор незамедлительно прекращает незаконную обработку ПДн. Сопутствующее уничтожение незаконно обрабатываемых ПДн осуществляется в срок, не превышающий 10 (десяти) рабочих дней. Субъект ПДн уведомляется о результатах рассмотрения его обращения и предпринятых мерах в сроки, установленные разделом 4.4 настоящей Политики.

13.4.3. Для сервиса Яндекс.Метрика: отзыв согласия на использование сервиса Яндекс.Метрика влечет прекращение дальнейшего сбора ПДн Пользователя. Оператор обязуется принять технически возможные меры для прекращения сбора в срок, не превышающий 30 (тридцати) календарных дней с момента получения запроса.

13.4.4. Иные требования субъекта (кроме отзыва согласия), подлежат рассмотрению в сроки, предусмотренные разделом 4.4 настоящей Политики.

13.5. Уничтожение ПДн по истечении срока хранения:

13.5.1. Документы с истекшим сроком хранения уничтожаются по решению экспертной комиссии Оператора. Составляются протокол, акт и опись уничтожаемых дел. Акт утверждается руководителем Оператора.

13.5.2. Уничтожение электронных данных производится методами, исключающими восстановление (гарантированное стирание с использованием специального программного обеспечения, низкоуровневое форматирование). Если уничтожение невозможно, данные блокируются на 6 месяцев.

13.6. Обработка данных в публичных интересах

13.6.1. Запреты на обработку ПДн не действуют, если обработка требуется для государственных, общественных или иных публичных интересов, установленных законодательством РФ.

13.7. Специальные процедуры отзыва согласий

13.7.1. Отзыв согласия на обработку ПДн: Субъект вправе отозвать согласие, направив запрос на электронный адрес Оператора с пометкой «Отзыв согласия на обработку ПДн». Обработка прекращается в течение 30 календарных дней. Данные уничтожаются в случае отсутствия иных правовых оснований для хранения.

13.7.2. Отзыв согласия на использование сервиса Яндекс.Метрика: Субъект вправе в любой момент отказаться от использования сервиса Яндекс.Метрика через настройки cookie в футере Сайта либо направив запрос Оператору на электронный адрес Оператора. Оператор прекратит использование сервиса Яндекс.Метрика не позднее 30 календарных дней.

13.7.3. Отзыв согласия на обработку cookie: Субъект праве в любой момент отказаться от использования cookie, нажав кнопку «Отозвать» в футере Сайта или отправить заявку на электронный адрес Оператора с пометкой «Отзыв согласия на cookie». Обработка необязательных cookie прекратится в течение 24 часов. Технически необходимые данные продолжат обрабатываться на законных основаниях (ст. 6 ФЗ).

13.7.4. Отзыв согласия на информационные и рекламные рассылки: Субъект праве в любой момент отказаться от получения рекламных рассылок через ссылку «Отписаться» в каждом email или SMS сообщении (при наличии такой ссылки) или путем уведомления на электронный адрес Оператора с пометкой «Отказ от рассылки». Оператор обязан прекратить рассылку в течение 3 (трех) рабочих дней с момента получения отказа. Полное прекращение обработки ПДн будет осуществлено не позднее 30 (тридцати) календарных дней.

14 МЕРЫ, ОБЕСПЕЧИВАЮЩИЕ ВЫПОЛНЕНИЕ ОБЯЗАННОСТЕЙ ОПЕРАТОРА, ПРЕДУСМОТРЕННЫХ СТАТЬЯМИ 18.1 И 19 ФЗ

14.1. Для обеспечения безопасности ПДн Оператором реализован комплекс правовых, организационных и технических мер, направленных на выполнение обязанностей, предусмотренных статьями 18.1 и 19 ФЗ-152. Указанные меры соответствуют требованиям для 3-го уровня защищенности (Угрозы 2-го уровня) с учетом модели угроз и актуальных рисков.

14.2. К организационным мерам относятся:

• Оператор, являющийся индивидуальным предпринимателем, лично выступает в качестве лица, ответственного за организацию обработки ПДн.
• разработка и публикация на сайте настоящей Политики.
• заключение с контрагентами, выступающими в роли обработчиков, соглашений, обязывающих их обеспечивать конфиденциальность и безопасность ПДн.
• осуществление внутреннего контроля соответствия обработки ПДн требованиям законодательства.

14.3. К техническим мерам относятся:

• определение угроз безопасности ПДн при их обработке в информационных системах.
• применение средств защиты информации (антивирусное ПО, межсетевые экраны) на устройствах, используемых Оператором для работы с ПДн.
• использование сложных уникальных паролей и средств двухфакторной аутентификации для доступа к учетным записям и системам, где обрабатываются ПДн.
• регулярное резервное копирование информационных баз и баз данных.
• обеспечение физической безопасности помещений и носителей информации (запираемые шкафы, сейфы).

14.4. Оператор проводит регулярную оценку вреда, который может быть причинен субъектам ПДн в случае нарушения требований ФЗ-152, и принимает соразмерные меры для недопущения такого вреда.

15 ПРИМЕНЯЕМЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПДН:

15.1. Базовые технические средства, используемые Оператором для защиты ПДн**:**

• использование лицензионного операционного системы и программного обеспечения с актуальными обновлениями безопасности.
• лицензионное антивирусное программное обеспечение с регулярным обновлением вирусных баз.
• аппаратный или программный межсетевой экран (брандмауэр) для контроля входящих и исходящих сетевых подключений.
• шифрование канала связи (протокол HTTPS) для защиты данных, передаваемых между Сайтом и пользователем.

15.2. Меры по защите от несанкционированного доступа:

• идентификация и аутентификация: доступ к устройствам и сервисам, где обрабатываются ПДн, защищен надежным паролем.
• регламент работы с данными: ПДн, полученные из форм Сайта, обрабатываются и хранятся в защищенных цифровых средах (например, в почтовом клиенте с шифрованием или в CRM-системе с ограниченным доступом по логину и паролю). Бумажные носители (при их возникновении) хранятся в сейфе.
• резервное копирование и восстановление: Критичные данные, включая базы с ПДн, регулярно копируются на внешний зашифрованный носитель, который хранится отдельно.

15.3. Внутренний контроль и аудит:

• оператор лично проводит периодическую оценку эффективности принимаемых мер защиты (не реже 1 раза в год).
• проверка актуальности антивирусного ПО и обновлений операционной системы.
• Контроль физической сохранности носителей информации.

16 СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПДн В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ К ЗАЩИТЕ ПДН, УСТАНОВЛЕННЫМИ ПРАВИТЕЛЬСТВОМ РФ:

16.1. В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 3-го уровня защищенности ПДн при их обработке в информационной системе:

• лицом, ответственным за обеспечение безопасности ПДн, является непосредственно Оператор (индивидуальный предприниматель).
• локальными актами (настоящей Политикой) установлен порядок и места хранения материальных носителей ПДн, а также перечень лиц, имеющих к ним доступ (исключительно Оператор).
• применяются меры по обеспечению сохранности материальных носителей ПДн и исключению несанкционированного доступа к ним.

16.2. В соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», в случае если обработка ПДн (например, работа с бумажными заявками) осуществляется вручную.

16.3. Оператор обеспечивает:

• раздельное хранение материальных носителей ПДн и иной информации,
• исключение смешения носителей ПДн с другими носителями информации.
• физическую защиту мест хранения таких носителей.

17 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДн

17.1. Трансграничная передача ПДн Оператором не осуществляется. Все серверы, используемые для обработки данных Пользователей Сайта, расположены на территории Российской Федерации.

17.2. Передача данных сторонним сервисам (обработчикам), указанным в разделе «Передача данных третьим лицам», не является трансграничной передачей в смысле ст. 12 ФЗ-152, так как осуществляется в целях обработки по поручению Оператора. При этом Оператор предпринимает разумные меры к тому, чтобы такие обработчики также обеспечивали хранение данных на территории РФ, где это технически возможно и предусмотрено их соглашениями.

18 ОТВЕТСТВЕННОСТЬ СТОРОН

18.1. Оператор несёт ответственность за умышленное разглашение ПДн Субъекта в соответствии с действующим законодательством РФ, за исключением случаев, предусмотренных настоящей Политикой.

18.2. В случае утраты или разглашения конфиденциальной информации Оператор не несёт ответственность, если данная конфиденциальная информация:

• стала публичным достоянием до её утраты или разглашения.
• была получена от третьей стороны до момента её получения Оператором.
• была разглашена с согласия Субъекта.

19 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

19.1. Субъект может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись к Оператору с помощью электронной почты, указанной в разделе 19 «Реквизиты Оператора».

19.2. Настоящая Политика является общедоступным документом и подлежит размещению на Сайте в сети Интернет по постоянному адресу: https://boostlikes.ru/privacy-policy**. Актуальная редакция Политики всегда доступна по указанному адресу.**

19.3. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Все изменения вступают в силу с момента их опубликования на Сайте, если иной срок не указан в новой редакции Политики. Пользователь обязуется самостоятельно следить за актуальной редакцией Политики.

19.4. Политика действует бессрочно до замены ее новой версией.

19.5. Настоящая Политика вступает в силу с момента ее опубликования на Сайте и распространяется на все отношения в области обработки ПДн, возникшие после ее опубликования.

20 РЕКВИЗИТЫ ОПЕРАТОРА

Индивидуальный предприниматель Вахромеев Максим Александрович ИНН: 583715295810 ОГРНИП: 326774600010507

e-mail: support@boostlikes.ru

Приложение № 1 к Политике обработки ПДн

ПЕРЕЧЕНЬ ЦЕЛЕЙ, СРОКОВ, СПОСОБОВ ОБРАБОТКИ ПДн, КАТЕГОРИЙ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫХ ПДн