Политика в отношении обработки персональных данных
пользователей Интернет-магазина «Lemarc»
ООО «Топ Лубрикантс»
(далее – Политика)
1. Общие положения.
1.1. Настоящая Политика определяет порядок обработки персональных данных (далее – ПДн) и меры по обеспечению безопасности персональных данных в ООО «Топ Лубрикантс» (ОГРН 1087746252120, ИНН 7707655396, 115054, город Москва, Павелецкая пл, д. 2 стр. 2) (далее – Общество, Оператор) с целью обеспечения обработки ПДн в соответствии с требованиями действующего законодательства Российской Федерации в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых Оператором, минимизации ущерба от возможной реализации угроз безопасности ПДн, возникающих при использовании Интернет-ресурса http://lemarc.ru/, включая все уровни указанного домена, в том числе интернет-магазин http://shop.lemarc.ru/ (далее – Сайт).
1.2. Целью разработки настоящей Политики является определение категорий персональных данных, обрабатываемых Оператором на Сайте, а также основных принципов, которыми Оператор руководствуется при обработке персональных данных.
1.3. Положения настоящей Политики являются обязательными для исполнения всеми работниками Оператора, организациями, получающими либо предоставляющими персональные данные Оператору, а также физическими лицами, находящимися в договорных отношениях с Оператором.
2. Понятия, используемые в настоящей Политике.
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
2.2. Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Субъект персональных данных – физическое лицо, чьи персональные данные обрабатываются.
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.
2.5. Лицо, осуществляющее обработку персональных данных по поручению оператора (Обработчик) – любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных. Оператор несет ответственность перед Субъектом персональных данных за действия или бездействия обработчика. Обработчик несет ответственность перед оператором.
2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.9. Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Принципы обработки Персональных данных.
- Обработка персональных данных Оператором осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается Обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и обеспечивает их принятие по удалению и уточнению неполных и неточных данных.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей их обработки.
- Оператор и иные лица, получившие доступ к персональным данным, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. Порядок и условия обработки персональных данных.
4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных федеральными законами.
4.2. Обработка персональных данных осуществляется в целях предоставления Субъектам персональных данных доступа к интернет-ресурсу http://lemarc.ru/, включая все уровни указанного домена, в том числе интернет-магазин http://shop.lemarc.ru/, его сервисам, функционалам, включая средства заказа товаров, доставки и т.д. в соответствии с Условиями продажи товаров для физических лиц (применительно к интернет-магазину http://shop.lemarc.ru/), а также в иных целях в строгом соответствии с законом и при наличии законных оснований.
4.3. Обработка персональных данных осуществляется Оператором на следующих условиях:
Цель обработки ПДн 1: Осуществление Оператором предпринимательской деятельности в области производства нефтепродуктов, а именно: производство смазочных материалов или смазок и их реализации путем самостоятельной продажи товаров (оказания услуг) очным и дистанционным способами, в т.ч. с использованием сети «Интернет»
Категории субъектов: Персонал контрагентов Оператора – юридических лиц (клиентов, поставщиков, подрядчиков, агентов, партнеров), Пользователи Интернет-ресурсов Оператора
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; дата рождения; контактные (коммуникационные) данные (номер телефона, адрес электронной почты); сведения о должности, структурном подразделении и текущем месте трудоустройства; адрес доставки товара
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Способы обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Правовое обоснование обработки ПДн: ГК РФ; Пользовательское соглашение, Условия продажи товаров для физических лиц, Согласие на обработку персональных данных
Сроки обработки (в т.ч. хранения) ПДн: Три года со дня прекращения правоотношений контрагентов (юридических лиц), Субъектов персональных данных с Оператором
Цель обработки ПДн 2: Заключение, изменение, расторжение договоров, выполнение обязательств по заключенным договорам с участием Субъектов персональных данных в качестве сторон, выгодоприобретателей или поручителей по таким договорам, включая, но не ограничиваясь, предоставление возможности использовать Сайт Оператора
Категории субъектов: Контрагенты Оператора – физические лица (клиенты, поставщики, подрядчики, агенты, партнеры), Пользователи Интернет-ресурсов Оператора
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; дата рождения; контактные (коммуникационные) данные (номер телефона, адрес электронной почты); адрес доставки товара
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Способы обработки ПДн: ГК РФ; Пользовательское соглашение, Условия продажи товаров для физических лиц, Согласие на обработку персональных данных
Правовое обоснование обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Сроки обработки (в т.ч. хранения) ПДн: В течение срока действия договоров, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации, либо до наступления обстоятельств, установленных разделом 7 настоящей Политики
Цель обработки ПДн 3: Предоставление информации о применимости и ассортименте моторных масел и иных смазочных материалов, порядке и способе их приобретения, порядке участия в программе анализа смазочных материалов «Lemarc Lexpert», по вопросам коммерческого сотрудничества, а также иным вопросам, возникающим в рамках преддоговорных отношений
Категории субъектов: Персонал контрагентов Оператора - юридических лиц (клиентов, поставщиков, подрядчиков, агентов, партнеров), Контрагенты Оператора – физические лица (клиенты, поставщики, подрядчики, агенты, партнеры)
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; дата рождения; контактные (коммуникационные) данные (номер телефона, адрес электронной почты); сведения о должности, структурном подразделении и текущем месте трудоустройства.
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, использование, блокирование, удаление, уничтожение
Способы обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Правовое обоснование обработки ПДн: Согласие на обработку персональных данных
Сроки обработки (в т.ч. хранения) ПДн: В течение трех лет с момента заполнения пользователем формы обратной связи на Сайте, либо до наступления обстоятельств, установленных разделом 7 настоящей Политики
Цель обработки ПДн 4: Предложение и продвижение собственной продукции и бренда на рынке путем осуществления маркетинговых коммуникаций, в том числе путем направления персональных предложений и рекламных сообщений, а также путем демонстрации (в т.ч. в сети Интернет) персонализированной и (или) неспециализированной рекламы
Категории субъектов: Персонал контрагентов Оператора – юридических лиц (клиентов, поставщиков, подрядчиков, агентов, партнеров), Контрагенты Оператора – физические лица (клиенты, поставщики, подрядчики, агенты, партнеры), Пользователи Интернет-ресурсов Оператора
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; контактные (коммуникационные) данные (номер телефона, адрес электронной почты)
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Способы обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Правовое обоснование обработки ПДн: Согласие на получение рекламной рассылки
Сроки обработки (в т.ч. хранения) ПДн: В течение пяти лет, либо до наступления обстоятельств, установленных разделом 7 настоящей Политики
Цель обработки ПДн 5: Осуществление прав, выполнение обязанностей и соблюдение запретов, предусмотренных любыми применимыми нормами, включая нормы законодательства, локальных актов, международных, национальных, отраслевых, профессиональных и групповых стандартов, правил/кодексов надлежащей практики и этики
Категории субъектов: Заявители
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; сведения, содержащиеся в документах удостоверяющих личность (паспортные данные); адрес для направления корреспонденции; контактные (коммуникационные) данные (номер телефона, адрес электронной почты); подпись, расшифровка подписи, иные сведения, которые Субъект персональных данных сообщил о себе.
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Способы обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Правовое обоснование обработки ПДн: Конституция РФ; обращение Заявителя, Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»; Налоговый кодекс РФ
Сроки обработки (в т.ч. хранения) ПДн: В соответствии с Законодательством РФ, Политикой обработки персональных данных
Цель обработки ПДн 6: Аналитика Сервиса, предпочтений и интересов Пользователей для улучшения функционирования Сайта
Категории субъектов: Пользователи Интернет-ресурсов Оператора
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; контактные (коммуникационные) данные (номер телефона, адрес электронной почты); должность; название компании, электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, размеры и разрешение экрана, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, установленных приложениях, геолокация, языковые настройки, часовой пояс, время и статистика использования информационных ресурсов Оператора, действия пользователей на Сайте, источники переходов на веб-страницы, отправленные поисковые и иные запросы).
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Способы обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Правовое обоснование обработки ПДн: Согласие на обработку персональных данных
Сроки обработки (в т.ч. хранения) ПДн: До 30 дней со дня удаления личного кабинета Пользователя в Сервисе в соответствии с Пользовательским соглашением, либо до наступления обстоятельств, установленных разделом 7 настоящей Политики
Цель обработки ПДн 7: Защита прав и законных интересов, включая использование всех доступных средств правовой защиты и возможностей по ограничению объема наносимого вреда
Категории субъектов: Контрагенты (представители контрагентов), Контрагенты Оператора – физические лица (клиенты, поставщики, подрядчики, агенты, партнеры), Пользователи Интернет-ресурсов Оператора
Категории ПДн: Иные
Перечень ПДн: Фамилия, имя, отчество; сведения, содержащиеся в документах удостоверяющих личность (паспортные данные); адрес доставки товара; контактные (коммуникационные) данные (номер телефона, адрес электронной почты); подпись, расшифровка подписи, иные сведения, которые Субъект персональных данных сообщил о себе
Перечень действий с ПДн: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение
Способы обработки ПДн: Смешанный способ (с использованием средств автоматизации и без использования таких средств)
Правовое обоснование обработки ПДн: п.7 ч.1 ст. 6 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ
Сроки обработки (в т.ч. хранения) ПДн: Три года со дня прекращения правоотношений Пользователя с Компанией
4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не производится.
4.5. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), не обрабатываются.
4.6. Оператором не принимаются решения на основании исключительно автоматизированной обработки персональных данных решений, порождающие юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
4.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договором, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Оператора).
4.8. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» (включая ст. 18.1 и ч. 5 ст. 18) (далее – Закон о персональных данных), иными законами и подзаконными актами.
4.9. Для каждого Обработчика в договоре будут определены:
- перечень обрабатываемых персональных данных;
- цели их обработки;
- перечень действий (операций), которые будут совершаться с персональными данными Обработчиком;
- обязанности Обработчика по соблюдению Конфиденциальности персональных данных и обеспечению безопасности при их обработке, а также перечень принимаемых Обработчиком мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении Оператора об инцидентах с персональными данными;
- обязанность по запросу Оператора в течение срока действия поручения на обработку персональных данных предоставлять Оператору документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных Законом о персональных данных.
4.10. Обработчик не обязан получать согласие Субъекта персональных данных на обработку его персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия Субъекта персональных данных, такое согласие получает непосредственно Оператор.
4.11. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
Ответственность за отправку персональных данных Оператору через незащищенные каналы связи (электронная почта) несет сам отправитель.
4.12. В случаях, установленных законодательством Российской Федерации, Оператор вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.
4.13. Оператор может собирать техническую информацию, когда пользователь посещает веб-сайты Оператора. Сюда входит такая информация, как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому пользователь проходит через веб-сайты, и так далее. Оператор может также использовать такие технологии, как файлы cookie, веб-маяки и идентификаторы мобильных устройств, для сбора информации об использовании веб-сайтов. Оператор не преследует цели идентифицировать конкретного пользователя веб-сайтов.
Подробная информация об обработке персональных данных с помощью файлов cookie содержится в Политике обработки файлов cookie.
5. Права Субъектов персональных данных.
5.1. Субъекты персональных данных или их законные представители имеют право:
- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Оператором;
- отзывать ранее данные согласия на обработку персональных данных.
5.2. Согласно ч. 2 ст. 9, ч. 4 и 5 ст. 21 Закона о персональных данных Оператор вправе продолжить обработку персональных данных при наличии иных правовых оснований. Изложенное не является ограничением права Субъекта персональных данных на отзыв согласия, установленного п. 5.1. настоящей Политики и федеральным законодательством.
5.3. Субъект персональных данных вправе обжаловать неправомерные действия (бездействия) и решения Оператора или уполномоченного им лица, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав Субъектов персональных данных и в суд в порядке, установленном законодательством Российской Федерации.
6. Сроки обработки персональных данных.
6.1. Предельные сроки обработки персональных данных установлены п. 4.3. настоящей Политики.
6.2. Обработка персональных данных прекращается Оператором до истечения сроков, указанных в п. 4.3. настоящей Политики в следующих случаях:
- по достижении целей обработки персональных данных, установленных п. 4.3. настоящей Политики, либо при утрате необходимости в их достижении (в случае отсутствия иных оснований для обработки, предусмотренных законодательством);
- по истечении срока, на которое Субъектом персональных данных было предоставлено согласие на обработку персональных данных или при отзыве такого согласия (в случае отсутствия иных оснований для обработки, предусмотренных законодательством);
- в случае получения требования Пользователя прекратить обработку его персональных данных в целях информирования о продуктах/услугах Оператора, а также о мероприятиях, проводимых и/или организуемых Оператором (рекламные рассылки);
- при выявлении неправомерной обработки персональных данных, если обеспечить правомерность невозможно;
- в случае ликвидации Компании.
7. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы Субъектов на доступ к персональным данным.
7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором Субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения заявлении Субъекта персональных данных или его представителя (далее – Заявление). Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператор направляет Субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
7.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7.3. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
7.4. Если в Заявлении Субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
7.5. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.6. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их Уничтожение (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.7. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет Блокирование персональных данных или обеспечивает их Блокирование (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если Блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
7.8. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные или обеспечивает уточнение (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений иснимает Блокирование персональных данных.
7.9. В случае выявления неправомерной обработки персональных данных при получении Заявления Субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет Блокирование или обеспечивает Блокирование (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения запроса.
7.10. Порядок взаимодействия Оператора и Субъекта персональных данных в процессе обработки персональных данных устанавливается соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных).
7.11. Если порядок взаимодействия Оператора и Субъекта персональных данных не предусмотрен соответствующим документом между ними, для реализации вышеупомянутых прав Субъекту персональных данных необходимо направить в адрес Оператора заявление:
в письменной форме и подписанное собственноручной подписью — по адресу 115054, город Москва, Павелецкая пл, д. 2 стр. 2; либо
в виде электронного документа и подписанное электронной подписью — на электронную почту dpo@lemarc.ru.
7.12. Заявление, направляемые в адрес Оператора персональных данных должны в обязательном порядке содержать описание требований Субъекта персональных данных, а также следующие сведения:
- ФИО Субъекта персональных данных;
- номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, либо иные данные, позволяющие однозначно идентифицировать Субъекта персональных данных;
- сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором, либо сведения, иным способом подтверждающие факт обработки персональных данных Оператором;
- подпись Субъекта персональных данных или его представителя.
7.13. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их Уничтожение (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.14. В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков, Оператор осуществляет Блокирование таких персональных данных или обеспечивает их Блокирование (если Обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает Уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.15. Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в ИСПДн, определяются Оператором в своих внутренних документах и локальных нормативных актах.
7.16. При выявлении Оператором факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав Субъектов персональных данных, Оператор:
– в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, предполагаемом вреде, нанесенном правам Субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
– в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
8. Защита персональных данных
8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Оператор регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Оператора.
К таким мерам, в частности, относится:
- назначение лица, ответственного за организацию обработки и защиты персональных данных;
- принятие внутренних нормативных документов в области обработки и защиты персональных данных;
- ограничение состава лиц, имеющих доступ к персональным данным;
- ознакомление работников Оператора с требованиями законодательства российской федерации и локальными нормативными актами Оператора по обработке и защите персональных данных;
- разработка на основе модели угроз системы защиты персональных данных;
- определение угроз безопасности персональных данных при их обработке в ИСПДн;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн;
- учет машинных носителей персональных данных;
- организация пропускного и внутриобъектового режимов на территории Оператора;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
- использование шифрования трафика передачи персональных данных (https, ipsec, tls, pptp, ssh);
- использование средств мониторинга событий информационной безопасности;
9. Заключительные положения
9.1. Иные права и обязанности Общества как Оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
9.2. Оператор, его должностные лица и работники несут дисциплинарную, гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
9.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Политики.
9.4. Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: 115054, г. Москва, муниципальный округ Замоскворечье вн.тер.г., Павелецкая пл, д. 2, стр. 2, электронная версия Политики – на Сайте Оператора.
10. Обратная связь
10.1. Адрес электронной почты: dpo@lemarc.ru
10.2. Почтовый адрес: 115054, г. Москва, Павелецкая пл, д. 2, стр. 2, этаж 25