Положение об обработке персональных данных


1.ОБЩИЕ ПОЛОЖЕНИЯ


1.1.Настоящим положением "ЛОГОПЭЙ" определяет условия и цели сбора, хранения, защиты, обработки и распространения персональных данных пользователей ресурса по адресу logo-pay.com (далее - Сайт).
1.2.Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных», осуществляемых на территории Российской Федерации, иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.
1.3.В настоящем Положении используются следующие термины и определения:
Пользователь – физическое лицо, которое предоставляет Компании свои персональные данные в связи с посещением Сайта.
Персональные данные – информация о Пользователе, необходимая для осуществления рассылок рекламного и новостного характера.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.
Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Распространение персональных данных – действия, направленные на передачу персональных данных или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение и информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных – действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Блокирование персональных данных – временное прекращение сбора, систем автоматизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Посетитель Сайта Компании – физическое лицо, оставившее заявку на Сайте Компании.
Компания – в рамках настоящего Положения Компанией признается "ЛОГОПЭЙ".
1.4.Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных, если иное не определено законодательством Российской Федерации.
1.5.Действия настоящего Положения распространяются на всех Посетителей Сайта Компании.
1.6.Настоящее положение содержит сведения, подлежащие раскрытию в соответствии с ч.1 ст.14 ФЗ «О персонального данных», и является общедоступным документом.

2.ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.ОБЩИЕ ТРЕБОВАНИЯ ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
2.1.1. Компания может обрабатывать следующие персональные данные Пользователя:
•имя;
•номер телефона;
•адрес электронной почты;
2.1.2 Цель обработки персональных данных Пользователя: предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте logo-pay.com, направление Пользователю рассылок рекламного и новостного характера.
В целях обеспечения прав и свобод человека и гражданина Компания и (или) её представители при обработке персональных данных должны соблюдать следующие общие требования:
2.1.3 Обработка персонального данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ;
2.1.4. Компания обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации. Компания может принимать и учреждать специальные локальные нормативные акты (инструкции, положения и т.д.), конкретизирующие порядок действий при работе с персональными данными.
2.1.5. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка данных, несовместимая с целями сбора персональных данных.
2.1.6. Получение Компанией персональных данных может осуществляться как путём предоставления их самим субъектом персональных данных, так и путём получения их из иных источников.
2.1.7. Персональные данные получаются Компанией непосредственно у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Компания должна сообщить субъекту персональных данных о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.1.8. Компания не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни.
2.1.9. Компания не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.1.10. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданина, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной, партийной принадлежности запрещено законодательством Российской Федерации.

2.2.ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

2.2.1 Доступ к персональным данным сотрудников Компании, не требующий подтверждения и не подлежащий ограничению, имеют:
• сотрудники, непосредственно работающие с персональными данными в рамках организации работы сайта, осуществляющие рассылки Пользователям и их руководители;
2.2.2.Доступ к персональным данным сотрудников Компании для иных лиц может быть разрешен только отдельным распоряжением руководителя Компании.

2.3.ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ САЙТА КОМПАНИИ

2.3.1 Обработка персональных данных посетителей Сайта Компании, допустима только после получения согласия на обработку персональных данных посетителя Сайта Компании.
2.3.2 Компания обрабатывает персональные данные посетителей Сайта Компании в целях:
•информирования об услугах «ЛОГОПЭЙ» и иной информации, в том числе рекламного характера, посредством телефонного звонка, почтового отправления либо электронной почты.
Компания обрабатывает персональные данные посетителей Сайта Компании, перечисленные в п.2.1.1 настоящего положения.

2.4.ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

2.4.1 При передаче персональных данных Компания должна соблюдать следующие требования:
• не сообщать персональные данные третьей стороне без письменного согласия субъекта персонального данных за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации;
•не сообщать персональные данные в коммерческих целях без его письменного согласия;
•предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном законодательством Российской Федерации;
•разрешать доступ к персональным данным только специально уполномоченным лицам, определённым приказом Генерального директора Компании, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы на выполнение конкретных функций;
2.4.2 Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152 ФЗ «О персонального данных». В поручении Компании (договоре) должны быть определены перечень действии (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 Федерльного закона от 27.07.2006 №152 ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Компании, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт Компания. Лицо, осуществляющее обработку персональных данных по поручению (договору) Компании несёт ответственность перед Компанией.

2.5.ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ТЕРРИТОРИЮ ИНОСТРАННОГО ГОСУДАРСТВА ОРГАНУ ВЛАСТИ ИНОСТРАННОГО ГОСУДАРСТВА, ИНОСТРАННОМУ ФИЗИЧЕСКОМУ ЛИЦУ ИЛИ ИНОСТРАННОМУ ЮРИДИЧЕСКОМУ ЛИЦУ.

2.5.1 Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
• наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
• предусмотренных международными договорами Российской Федерации;
• исполнения договора, стороной которого является субъект персональных данных;
• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.

2.6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.6.1. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование. Компания может регламентировать порядок хранения персональных данных соответствующими инструкциями. Ответственный обязан ознакомить с данными инструкциями лиц, допущенных к обработке персональных данных, путём подписания Листа ознакомления.
2.6.2. Период хранения и обработки персональных данных определяется в соответствии с законодательством Российской Федерации. Обработка персональных данных с использованием средств автоматизации начинается с момента поступления персональных данных в информационные системы персональных данных, а обработка персональных данных без использования средств автоматизации начинается с момента получения данных от субъекта персональных данных и прекращается:
• в случае окончания срока хранения на основании законодательства Российской Федерации;
•в случае выявления неправомерных действии с персональными данными
в срок, не превышающий трёх рабочих дней с момента выявления, Компания устраняет такие нарушения. В случае невозможности устранения допущенных нарушении, Компания в срок, не превышающим трёх рабочих дней с момента выявления неправомерности действии с персональными данными, уничтожает персональные данные, об устранении допущенных нарушении или об уничтожении персональных данных Компания уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Компания уведомляет также указанный орган;
•в случае достижения цели обработки персональных данных Компания незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трёх рабочих дней с даты достижения цели обработки персональных данных;
•в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, Компания прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающим трёх рабочих дней с момента поступления указанного отзыва. Об уничтожении персональных данных Компания уведомляет субъекта персональных данных.
• в случае ликвидации Компании.

3.ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ НЕПРАВОМЕРНОГО ИХ ИСПОЛЬЗОВАНИЯ ИЛИ УТРАТЫ ОБЕСПЕЧИВАЕТСЯ КОМПАНИЕЙ В ПОРЯДКЕ, УСТАНОВЛЕННОМ ЗАКОНОДАТЕЛЬСТВОМ РФ.


Субъекты персональных данных до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящим Положением.
3.1.1. Защите подлежит:
•информация о персональных данных субъекта;
•документы, содержащие персональные данные субъекта;
•персональные данные, содержащиеся на электронных носителях.
3.1.2. Компания назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренного ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
3.1.3. Компания издаёт документы, определяющие политику Компании в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
3.1.4. Компания принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персонального данных в соответствии со статьёй 19 Федерального закона от 27.07.2006 года №152 ФЗ «О персональных данных», в том числе:
•определение угроз безопасности персональных данных при их обработке в
•информационных системах персональных данных;
•применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровня защищённости персональных данных;
•применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
•оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информативной системы персональных данных;
•учёт машинных и съёмных носителей персональных данных;
•обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
•восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
•установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
•контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
3.1.5. Компания осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года №152Ф3 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, иным локальным актом и распоряжениям Компании.
3.1.6. Компания осуществляет оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения российского законодательства, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ.
3.1.7. Компания знакомит своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучает указанных работников.
3.1.8. Ответственные лица соответствующих подразделении, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копированию согласно «Положению об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации», утверждённому Постановлением РФ 15 сентября 2008 г. №687.
3.1.9. Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными, нормативно методическими документами.
3.1.10. По возможности персональные данные должны быть обезличены.
3.1.11. Компания производит определение угроз безопасности персональных данных при их обработке в информационной системе Компании.
3.1.12. Порядок уничтожения персональных данных.
3.1.13. Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое генеральным директором.
При наступлении любого из событий, повлекших, согласно законодательству РФ, необходимость уничтожения персональных данных, уполномоченное лицо обязано:
•определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
•произвести уничтожение документов и засвидетельствовать данное действие;
•оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных);
•в случае необходимости уведомить об уничтожении персональных данных субъекта данных и/или уполномоченный орган.

4.ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ


4.1.Субъект персональных данных имеет право:
• на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
• на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно подученными или не являются необходимыми для заявленной цели обработки;
•на отзыв данного согласия на обработку персональных данных;
•на защиту своих прав и законных интересов, в том числе на возмещение
•убытков и компенсацию морального вреда в судебном порядке;
•на обжалование действий или бездействия Компании в уполномоченный
•орган по защите прав субъектов персональных данных или в судебном порядке.
4.2.Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Компании либо направить запрос лично или с помощью представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компании, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.3.При обращении субъекта персонального данных или при получении его запроса Ответственное лицо обеспечивает предоставление субъекту персональных данных и информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с момента обращения с запросом.
4.4.При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Компанией, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменении в персональные данные в течение 7 рабочих дней с момента обращения с запросом.
4.5.При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Компанией, являются незаконно подученными или не являются необходимыми для заявленной цели обработки, Ответственным обеспечивает уничтожение таких персональных данных в течение 7 рабочих дней с момента обращения.
4.6.Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.7.В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Федеральном законе «О персональных данных» от 27.07.2006 №152-ФЗ.

5.ОТВЕТСТВЕННОСТЬ 3А РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Компания вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
5.2. Должностные лица, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечёт наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую коммерческую тайну, обязаны возместить причинённые убытки.

6. ВЗАИМОДЕЙСТВИЕ С РОСКОМНАДЗОРОМ


6.1. По запросу Роскомнадзора Ответственный организует предоставление локальных нормативных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с момента поступления запроса.
6.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путём персональных данных в течение 30 дней с даты получения требования.
6.3.В случаях, предусмотренных ст.22 Федеральным законом №152 «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
6.4. Ответственный обязан вести журнал по учёту государственных проверок государственными органами.
6.5.В случае необходимости Ответственным направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемых Компанией.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ


7.1. Настоящее положение вступает в силу с момента размещения на сайте по адресу: logo-pay.com