Приложение № 2
к Приказу № 2/2017
от «09» ноября 2017г
Политика обработки персональных данных ООО «Э-моушен».
1 Назначение
 Данная Политика обработки персональных данных ООО «Э-моушен» (далее - Политика) разработана с целью обеспечения защиты персональных данных пользователей и иных категорий граждан в соответствии с требованиями действующего законодательства Российской Федерации.

Политика разработана в соответствии со ст. 23 и 24 Конституции Российской Федерации, главы 14 Трудового кодекса РФ, Федеральным законом «О персональных данных», Федеральным законом «Об информации, информационных технологиях и о защите информации» и другими нормативными правовыми актами РФ.

Политика регламентирует порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, уничтожения, удаления, учета документов, содержащих сведения, отнесенные к персональным данным субъектов (пользователей и иных категорий граждан) ООО «Э-моушен» с использованием средств автоматизации или без использования таких средств, а также определяет права, обязанности и ответственность руководства и должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих порядок обработки и защиты персональных данных.

Оператором в соответствии со ст. 3 Федерального закона «О персональных данных» является ООО «Э-моушен» осуществляет обработку персональных данных, цели и содержание которой определяет ООО «Э-моушен»

Политика вводится в действие впервые с даты ее утверждения.

2 Общие положения
2.1 Область применения
Применение данного документа - «Для руководства».

2.2 Нормативные ссылки
В настоящей Политике использованы ссылки на следующие нормативные документы:
  • Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
  • Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
  • Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
  • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Постановление Правительства Российской Федерации от 06.07.2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Пользовательское соглашение ООО «Э-моушен»;
  • Положение об обработке и защите персональных данных ООО «Э-моушен»

2.3 Термины, определения и сокращения
Для целей настоящей Политики в ней определены следующие термины и сокращения:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Пользователь (Абонент) - пользователь услугами проката, с которым заключен договор об оказании таких услуг, а также иные категории граждан.

ПДн - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).

Блокирование - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Доступ к информации - возможность получения информации и ее использования.

Использование ПДн - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Пользователя или других лиц либо иным образом затрагивающих права и свободы Пользователя или других лиц.

КИСПДн – Корпоративная информационная система ПДн, в которой производится сбор и хранение информации о Субъектах персональных данных и истории взаимоотношений с ними, об использовании услуг проката и их тарификации и об обработке платежей.

Конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия пользователя или наличия иного законного основания.

Несанкционированный доступ к информационным активам - доступ к информации, нарушающий установленные правила разграничения доступа.

Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператор – ООО «Э-моушен».

Ответственное лицо Оператора – сотрудник Оператора в функциональные обязанности которого входит обработка ПДн.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Пользователь КИСПДн - лицо, участвующее в функционировании КИСПДн или использующее результаты ее функционирования.
Потенциальный пользователь - физическое лицо, имеющее намерения стать пользователем.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (ИС).

ИБ - информационная безопасность.
ИС - информационная система.
ИСПДн - информационная система персональных данных.
ПДн - персональные данные.
РФ - Российская Федерация.
ТС - техническое средство.
ФСБ России - Федеральная служба безопасности России.
ФСТЭК России - Федеральная служба по техническому и экспортному контрою России.

Защищенная электронная почта - дополнительный сервис, позволяющий защищать почтовые сообщения посредством шифрования и электронной подписи сертифицированными средствами криптографической защиты информации.
Уполномоченное оператором лицо – ООО «Э-моушен», которому на основании договора оператор поручает обработку ПДн пользователей и потенциальных пользователей.

3 Понятие и состав обрабатываемых персональных данных
3.1 Общие положения
 Под ПДн субъектов ПДн понимается информация, необходимая Оператору в связи с договорными отношениями по оказанию услуг проката. ПДн Субъекта ПДн являются конфиденциальной информацией. Режим конфиденциальности ПДн снимается в случае обезличивания, по истечении срока исковой давности либо 75 лет установленных сроков хранения, если иное не определено нормативными актами РФ.

3.2 Объем и содержание обрабатываемых ПДн
 Объем и содержание обрабатываемых Оператором ПДн определяется в соответствии с Гражданским кодексом РФ, Трудовым кодексом РФ, Законом РФ от 07.02.1992 N 2300-1 "О защите прав потребителей", Федеральным законом «О персональных данных» № 152-ФЗ от 21 июля 2014 г. и другими нормативными актами.

3.3 Категории субъектов ПДн
 Оператором осуществляется обработка ПДн субъектов, ПДн которых обрабатываются при обеспечении основной деятельности Оператора:
- лиц, которые обратились к Оператору с целью получения услуг проката;
  • лиц, которым оказываются услуги проката;
  • лиц по договору гражданско-правового характера;
  • лиц по ученическому договору.

3.4 Сведения, относящиеся к обрабатываемым ПдН
К ПДн субъекта, обрабатываемым Оператором, в частности, относятся следующие сведения:
  • данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения, дата регистрации по месту жительства);
  • дата и место рождения;
  • адрес местожительства (регистрации) или адрес установки оконечного оборудования;
  • сведения о расчетах за оказанные услуги, в том числе сведения о маршруте проката;
  • уникальный номер учетной записи пользователя;
  • контактный номер телефона;
  • адрес электронной почты.

3.5 Документы ПДн
ПДн Оператором могут содержаться в документах, связанных с основной деятельностью (документах, оформляемых в связи с заключением и исполнением договоров проката, копия документа, удостоверяющего личность, и др.);

Документы, содержащие ПДн, создаются путём:
  • копирования оригиналов;
  • внесения сведений в бумажные и электронные носители.

4 Принципы обработки персональных данных
4.1 Общие требования и принципы
В целях обеспечения прав Субъектов ПДн Оператор, при обработке ПДн Субъектов ПДн обязано соблюдать следующие общие требования и принципы:
  • Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается Обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • при Обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.

4.2 Хранение ПДн
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

4.3 Передача обработки ПДн другому лицу
 Оператор поручает Обработку ПДн Уполномоченному оператором лицу с согласия Субъекта ПДн, на основании заключаемого с этим лицом договора. Уполномоченное оператором лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящей Политикой. Уполномоченное оператором лицо по поручению, от имени и за счет Оператора совершает действия по Обработке ПДн, которые включают следующее: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

Уполномоченное оператором лицо обязуется соблюдать режим конфиденциальности в отношении данных, ставших ему известными при исполнении поручения Оператора.

При Обработке ПДн Уполномоченное оператором лицо обеспечивает безопасность ПДн комплексом организационных и технических мер в необходимых для достижения указанной цели объемах. В частности безопасность достигается применением по мере необходимости следующих мер:

1) определением угроз безопасности ПДн при их обработке в ИС ПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИС ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИС ПДн;
5) учетом машинных носителей ПДн;
6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к ПДн, обрабатываемым в ИС ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИС ПДн;
9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИС ПДн.

Уполномоченное оператором лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие Субъекта ПДн на Обработку его ПДн.

Ответственность перед Субъектом ПДн за действия Уполномоченное оператором лицо несет Оператор. Уполномоченное оператором лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.

4.4 Конфиденциальность ПДн
 Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.

4.5 Общедоступные источники ПДн

 В целях информационного обеспечения деятельности Оператора могут создаваться общедоступные источники ПДн (в том числе справочники и др.).

5 Порядок обработки ПДн Оператором
5.1 Сбор, систематизация и накопление ПДн
 Получение, хранение, обработка, в том числе передача, распространение, использование, блокирование и уничтожение ПДн субъектов ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договоров.

Сбор и запись ПДн субъектов ПДн осуществляет по поручению Оператора – Уполномоченное оператором лицо при подаче заявления (оферты) на заключение договора.

На основании заявления (оферты) Пользователя Оператор осуществляет обработку ПДн субъектов ПДн.

Субъект ПДн представляет свои ПДн при оформлении заявления (оферты) и/или оформлении договора об оказании услуг в объеме, требующемся для заключения договора в соответствии с утвержденными формами.

Систематизацию, накопление и изменение ПДн выполняет Уполномоченное оператором лицо.

На основании заявления (оферты) субъекта ПДн Уполномоченное оператором лицо по требованию субъекта ПДн формирует записи о ПДн в КИС ПДн. Уточнение (обновление, изменение) ПДн производит Уполномоченное оператором лицо по заявлению субъекта ПДн с предъявлением оригиналов необходимых документов. Внесение изменений в ПДн выполняют с помощью пользовательского интерфейса управления КИСПДн. При обработке ПДн в бумажном виде - изменение выполняют с заменой данных на бумажном носителе в присутствии субъекта ПДн.

Все ПДн субъекта ПДн получаются у него самого.

Уполномоченное оператором лицо принимает от субъекта ПДн документы, проверяет их полноту и соответствие предоставляемых сведений действительности.

Уполномоченное оператором лицо при получении ПДн проверяет их достоверность, сверяя предоставленные данные с имеющимися у субъекта документами.

Оператор имеет право обрабатывать ПДн Субъектов только с их письменного согласия в следующих случаях, предусмотренных Федеральным законом «О персональных данных»:
  • при передаче обработки ПДн третьему лицу;
  • при обработке специальных категорий ПДн;
  • при включении ПДн Субъекта в общедоступные источники ПДн (в том числе справочники, адресные книги и т.п.);
  • при необходимости трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;
  • в случае принятия решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки его ПДн;
  • в случае недееспособности Субъекта ПДн, когда за него согласие на обработку ПДн Субъекта даёт законный представитель субъекта ПДн.

Согласие Субъекта ПДн на обработку его ПДн не требуется в следующих случаях:
  • Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем;
  • Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения Операторенно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия Субъекта ПДн невозможно;
  • Обработка ПДн необходима для осуществления Операторм расчетов с пользователями проката за оказанные услуги проката, а также для рассмотрения претензий пользователей;
  • осуществляется Обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами;
  • Обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн, за исключением случаев обработки ПДн в маркетинговых целях;
  • Обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
  • Обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.

В случае получения согласия на Обработку ПДн от представителя Субъекта ПДн полномочия данного представителя на дачу согласия от имени Субъекта ПДн проверяются Уполномоченным лицом оператора.

В случае отзыва Субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если Обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Оператор обеспечивает их блокирование и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

5.2 Использование и передача ПДн
5.2.1 Общие требования
В соответствии с Федеральным законом «О персональных данных» в целях обеспечения прав и свобод человека и гражданина Оператор и его уполномоченное лицо при обработке ПДн субъекта ПДн должны соблюдать следующие общие требования.

Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договоров проката, одной из сторон которых является пользователь.

При определении объема и содержания обрабатываемых ПДн Оператор должен руководствоваться Конституцией РФ и иными федеральными законами.

При принятии решений, затрагивающих интересы субъекта, Оператор и его уполномоченное лицо не имеют права основываться на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Защита ПДн субъекта от неправомерного их использования или утраты обеспечивается Оператором за счет своих средств в порядке, установленном федеральным законом.

5.2.2 Обработка ПДн, получаемых в связи с исполнением гражданско-правовых договоров
Обработка ПДн, получаемых в связи с исполнением гражданско-правовых договоров, заключаемых в рамках основной деятельности Оператора, осуществляется в соответствии с условиями, включаемыми в соответствующие договоры, а также в соответствии с внутренними организационно-распорядительными документами.

5.2.3 Требования при передаче ПДн
При передаче ПДн Субъекта Оператор должен соблюдать следующие требования:
  • не сообщать ПДн Субъекта в коммерческих целях без его письменного согласия. Обработка ПДн Субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с их предварительного согласия;
  • предупредить лиц, получивших ПДн Субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие ПДн субъекта, обязаны соблюдать режим конфиденциальности.
  • осуществлять передачу ПДн Субъектов в пределах Оператора в соответствии с Политикой:

В случае передачи ПДн внешнему потребителю:
  • передача ПДн от Оператора внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
  • не допускается передача ПДн по устным обращениям и незащищенным каналам связи.

5.2.4 Запросы субъектов ПДн на предоставление информации
Субъекты ПДн (представители Субъектов ПДн), Уполномоченные органы по защите прав Субъектов ПДн имеют право запрашивать у Оператора необходимую информацию (ПДн), используя письменное обращение (запрос).

Письменное обращение (запрос) должно содержать следующие обязательные реквизиты:
  • наименование органа, в который обращается субъект ПДн, и почтовый адрес;
  • фамилию, имя и отчество лица, подписавшего обращение;
  • номер и серию основного документа, удостоверяющего личность Субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись Субъекта ПДн или его законного представителя;
  • цель обращения (заполнение данного реквизита не обязательно для Уполномоченных органов по защите прав Субъектов ПДн);
  • ссылку на норму федерального законодательства РФ, в соответствии с которой возникает право запрашивать ПДн Субъекта ПДн, полные данные (фамилия, имя, отчество в именительном падеже, год рождения).

Субъект ПДн имеет право запросить следующие сведения:
  • подтверждение факта обработки Оператором ПДн;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые Оператором способы обработки ПДн;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

Подготовка запрашиваемой информации и формирование содержательной части ответа должны выполняться Уполномоченным лицом оператора, с четким определением целей и сроков обработки ПДн к конкретному субъекту ПДн. Подготовленный ответ оформляется в письменном виде.

В случае если запрашиваемые сведения, а также обрабатываемые ПДн были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения указанных выше сведений и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн.

Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения приведенных выше сведений, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с обязательными сведениями, должен содержать обоснование направления повторного запроса.

В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении, либо при получении запроса субъекта ПДн или его законного представителя, информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн Оператор формирует в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя либо от даты получения такого запроса.

5.3 Хранение и уничтожение персональных данных
 Хранение ПДн на бумажном носителе осуществляют в надежно укрепленных помещениях, доступ в которые имеют только Ответственное лица Оператора и Уполномоченное лицо оператором.

В электронном виде ПДн хранятся в КИСПДн. Срок хранения - не менее 5 лет после истечения срока действия договора, заявления (оферты).

Уничтожение ПДн выполняет Уполномоченное лицо оператора после достижения цели обработки ПДн или по истечении срока хранения.

Уничтожение носителей информации, содержащих ПДн, оформляется Актом об уничтожении материального носителя информации.

Материальные носители информации в бумажном виде, содержащие ПДн, уничтожают путем измельчения, не позволяющего их последующего восстановления (например, с использованием бумагорезательной машины (БРМ).

Уничтожение ПДн организуют и обеспечивают Ответственное лица Оператора и Уполномоченное лицо оператором.

Электронные файлы с ПДн удаляют с помощью пользовательского интерфейса управления КИСПДн.

Уничтожение ПДн в электронном виде Уполномоченное лицо оператором выполняет в соответствии с установленным технологическим процессом и требованиями эксплуатационной документацией КИС.

В случае передачи оргтехники Уполномоченного лица оператора в ремонт в стороннюю организацию, Уполномоченное лицо оператора обязано организовать уничтожение размещенной на передаваемом оборудовании информации с ПДн.

Устанавливаются следующие сроки обработки и хранения ПДн, обрабатываемых Оператором:
  • ПДн, обрабатываемых в целях осуществления основной деятельности, - в течение действия соответствующего гражданско-правового договора и срока исковой давности после его завершения;
  • ПДн потенциальных пользователей Оператора - до момента отзыва заявки на предоставление услуг.

5.4 Доступ к персональным данным
Доступ должностных лиц Уполномоченного лица оператора к обработке ПДн организуется в соответствии с утвержденным перечнем должностей, допущенных к обработке ПДн.

Права должностных лиц по Обработке ПДн в ИСПДн Уполномоченного лица оператора определяются на основании функциональных (должностных) обязанностей должностных лиц соответствующих структурных подразделений, владельцами ИСПДн, подразделениями информационной безопасности.

Доступ к ПДн, обрабатываемым в ИСПДн Уполномоченного лица оператора, осуществляется в соответствии с порядком, установленным локальными нормативными документами.

Надзорные и контролирующие органы имеют доступ к информации только в установленной сфере деятельности и в пределах, предусмотренных действующим законодательством РФ полномочий.
    6 Общее списание комплекса организационных, организационно-технических и программных мер, направленных на защиту ПДн
    ПДн пользователей и иных категорий граждан являются неотъемлемой частью информационных ресурсов Оператора и подлежат защите от неправомерного их использования или утраты за счет его средств в порядке, установленном действующим законодательством.

    Обеспечение безопасности ПДн при их обработке в ИСПДн Уполномоченного лица оператором достигается применением (либо обеспечения применения) необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий в соответствии с требованиями следующих нормативных документов:
    • Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации (Постановление Правительства РФ от 15 сентября 2008 г. №687);
    • Требования к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ от 1 ноября 2012 г. №1119);
    • Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58);
    • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.);
    • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.).

    6.1 Информация, подлежащая защите
     Защите подлежит:
    • информация о ПДн Субъекта ПДн;
    • документы, содержащие ПДн Субъекта ПДн;
    • ПДн, содержащиеся на электронных носителях информации;
    • технические и программные средства, используемые при обработке ПДн.

    6.2 Обеспечение безопасности ПДн Оператором
     Обеспечение безопасности ПДн Оператором достигается, в частности:
    • определением уровня защищенности ИСПДн;
    • определением угроз безопасности ПДн при их обработке в ИСПДн Уполномоченного лица оператором;
    • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Уполномоченного лица оператором, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
    • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн Уполномоченного лица оператором;
    • учетом машинных носителей ПДн;
    • обнаружением фактов НСД к ПДн и принятием мер;
    • восстановлением ПДн, модифицированных или уничтоженных вследствие НСД к ним;
    • установлением правил доступа к ПДн, обрабатываемым в ИСПДн Уполномоченного лица оператором, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн Уполномоченного лица оператором;
    • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн Оператора.

    6.3 Основные меры защиты информации (ПДн)
     Основными мерами защиты информации (ПДн) являются:
    • назначение ответственного за организацию Обработки ПДн;
    • разработка документов, определяющих политику Оператора в отношении Обработки ПДн, локальных актов по вопросам Обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области обеспечения безопасности ПДн, устранение последствий таких нарушений;
    • оценка вреда, который может быть причинен Субъектам ПДн в случае нарушения требований настоящего Положения и нормативных актов РФ;
    • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;
    • использование защищенных каналов связи;
    • осуществление контроля соответствия обработки ПДн требованиям по обеспечению безопасности ПДн Уполномоченного лица оператором.

    Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от установленного уровня защищенности ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках средств защиты информации от НСД реализуются функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

    Меры по защите информации от утечки по техническим каналам (речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей) применяются на основе определяемых угроз (модели угроз) утечки акустической речевой информации, видовой информации и угроз утечки информации по каналам побочных электромагнитных излучений и наводок.

    Ответственность за выполнение мер защиты ПДн, предусмотренных настоящей Политикой, Оператором возлагается на Уполномоченное лицо.

    7 Права субъектов персональных данных
    7.1 Права субъектов ПДн
    Субъекты, ПДн которых обрабатываются Оператором, имеют право:
    • Получать полную информацию о своих ПДн, а также о сведениях, представленных в п. 5.2.4.
    • Иметь свободный бесплатный доступ к своим ПДн, включая право на безвозмездное получение копий любой записи, содержащей ПДн субъекта. Сведения о наличии ПДн должны быть предоставлены Субъекту ПДн в доступной форме, и они не должны содержать ПДн, относящиеся к другим Субъектам ПДн. Доступ к своим ПДн предоставляется Субъекту ПДн или его представителю Оператором при личном обращении, либо при получении запроса.
    • Получать сведения об Операторе, о месте его нахождения, о наличии у Оператора сведений о ПДн, относящихся к соответствующему Субъекту ПДн.
    • Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • Получать от Оператора следующие сведения:
      • подтверждение факта Обработки ПДн Оператором, а также цель такой обработки;
      • правовые основания и цели Обработки ПДн;
      • цели и применяемые Оператором способы Обработки ПДн;
      • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
      • обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
      • сроки обработки ПДн, в том числе сроки их хранения;
      • порядок осуществления Субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
      • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
    • Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
    • Обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его ПДн.

    7.2 Ограничения прав субъектов ПДн
     Право Субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:
    • Обработка ПДн, в том числе ПДн, полученных в результате оперативно-розыскной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
    • Обработка ПДн осуществляется органами, осуществившими задержание Субъекта ПДн по подозрению в совершении преступления, либо предъявившими Субъекту ПДн обвинение по уголовному делу, либо применившими к Субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
    • Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
    • предоставление ПДн нарушает права и законные интересы третьих лиц.

    7.3 Обязанность Оператора по предоставлению информации Субъекту ПДн
     Если ПДн были получены не от самого Субъекта ПДн, за исключением случаев, представленных в подразделе 8.2, если ПДн были предоставлены Оператору на основании федерального закона, или если ПДн являются общедоступными, Оператор до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:
    • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
    • цель Обработки ПДн и ее правовое основание;
    • предполагаемые пользователи ПДн;
    • права Субъекта ПДн в области защиты ПДн;
    • источник получения ПДн.

    7.4 Освобождение Оператора от обязанности предоставления информации
     Оператор освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные подразделом 8.1, в случаях, если:
    • субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
    • ПДн получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
    • ПДн сделаны общедоступными Субъектом ПДн или получены из общедоступного источника;
    • Оператор осуществляет Обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
    • предоставление Субъекту ПДн сведений нарушает права и законные интересы третьих лиц.

    8 Ответственность за нарушение порядка обработки и защиты персональных данных
    Оператор и Уполномоченное лицо, которому ПДн стали известны в силу выполнения работ в соответствии с договором, заключённым с Оператором, несут ответственность в соответствии с действующим законодательством РФ за их разглашение, передачу их посторонним лицам, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, локальными нормативными актами (приказами,

    Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о ПДн гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.

    9 Контроль выполнения требований Политики
    Повседневный контроль порядка обработки ПДн осуществляет Ответственное лицо Оператора.

    Контроль и надзор за соответствием обработки ПДн требованиям законодательства РФ в области обеспечения безопасности ПДн, локальных нормативных актов, в том числе и данной Политики осуществляет уполномоченный орган по защите прав субъектов ПДн.

    10 Хранение и архивирование
    Подлинник настоящей Политики во время срока действия хранится у Ответственного лица Оператора.

    11 Рассылка и актуализация
    Периодическая проверка настоящей Политики проводится Ответственным лицом Оператора.

    Решение об инициировании процесса внесения изменений в документ принимает Ответственное лицо Оператора на основании предложений других подразделений, результатов применения документа Оператором, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов.

    Актуальная версия утвержденной Политики размещена на сайте emotion-sharing.com. Ответственность за размещение и поддержание в актуальном состоянии размещенной на сайтах e-motion24.ru, emotion-sharing.com Политики несет Ответственное лицо Оператора.