Мы (далее — «мы», «нас» или «наш») считаем своим долгом защищать конфиденциальность личной информации клиентов, которые могут быть идентифицированы каким-либо образом, и которые посещают веб-сайт (далее — «Сайт») и пользуются его услугами (далее — «Сервисы»). Поправки к настоящей Политике конфиденциальности будут размещены на Сайте и/или в Сервисах и будут являться действительными сразу после публикации. Ваше дальнейшее использование Сервисов после внесения любых поправок в Политике конфиденциальности означает Ваше принятие данных изменений.
Когда Вы присоединяетесь к нам, как пользователь наших Сервисов, мы просим предоставить личную информацию, которая будет использоваться для активации Вашей Учетной записи, предоставления Вам Сервисов, взаимодействия с Вами по поводу состояния Вашей Учетной записи, и для других целей, изложенных в настоящей Политике конфиденциальности. Ваше имя, ссылки на ваши страницы в социальных сетях, номер телефона, адрес электронной почты, данные и некоторые другие сведения о Вас могут потребоваться нам для первоначального предоставления доступа к Сервисам, или должны быть указаны в процессе использования Сервисов. В будущем вам также будет предложено создать личный пароль, который станет частью Вашей Учетной записи.
Предоставляя личную информацию нам, и, сохранив тем самым возможность с нашей стороны предоставлять Вам услуги, Вы добровольно соглашаетесь на сбор, использование и раскрытие такой личной информации, которая указана в данной Политике конфиденциальности. Не ограничивая вышесказанное, мы можем время от времени уточнять о Вашем согласии в процессе сбора, использования или раскрытия Вашей личной информации в конкретных обстоятельствах. Иногда Ваше согласие будет подразумеваться через Ваше взаимодействие с нами, если цель сбора, использования или раскрытия информации очевидна, и Вы добровольно предоставляете эту информацию.
Мы можем использовать Вашу личную информацию или данные Учетной записи для следующих целей:
Для предоставления Вам Сервисов и для улучшения качества Сайта и Сервисов;
Для предоставления информации Вам, чтобы Вы могли использовать Сайт и Сервисы более эффективно;
Для создания, управления и контроля Вашей Учетной записи и для проверки прав доступа к сервисам и программному обеспечению;
Для общения с Вами с целью информирования об изменениях или дополнениях к Сервисам, или о наличии любых услуг, которые мы предоставляем;
Для оценки уровня обслуживания, мониторинга трафика и показателя популярности различных вариантов обслуживания;
Для осуществления маркетинговых мероприятий, в том числе sms-рассылок;
Для соблюдения данной Политики конфиденциальности;
Чтобы ответить на претензии в отношении любого нарушения наших прав или прав любых третьих лиц;
Чтобы соответствовать Вашим запросам по обслуживанию клиентов;
Для защиты прав, собственности и личной безопасности Вас, нас, наших пользователей и общественности, и как требуется или одобрено законом.
Мы можем оповещать Вас по поводу наших продуктов, услуг, новостей и событий, а также продуктов, услуг, новостей и событий наших клиентов и партнеров, с которыми у нас заключен договор о сотрудничестве. У Вас есть возможность не получать эту информацию. Мы предоставляем возможность отказаться от всех почтовых сообщений подобного рода, или приостановить оповещения с описанными выше целями, если Вы свяжетесь с нами и подтвердите желание не сообщать Вам данную информацию. Единственный вид данных сообщений, от которых Вы не можете отказаться, это обязательные объявления, касающиеся Сервисов, включая информацию, относящуюся к Вашей Учетной записи, планируемых приостановок и отключений Сервисов. Мы постараемся свести к минимуму подобные оповещения для Вас.
3.1. Маркетинговые и рекламные рассылки осуществляются только при условии получения предварительного согласия Абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого Абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.
3.2. Идентификация абонента осуществляется путем отправки специального кода доступа посредством смс-сообщения на номер, указанный абонентом. После получения специального кода, абонент вводит полученный код в форме идентификации абонента на сайте.
3.3. При авторизации по звонку пользователь нажимает на ссылку с телефоном, происходит звонок подтверждения авторизации. Звонок бесплатный, длительностью 1 секунда с последующим автоматическим сбросом. Далее для входа в интернет необходимо нажать на автоматически всплывшую кнопку «Войти в интернет»
3.4. Идентификация абонента с использованием вышеописанной процедуры подразумевает использование механизма обмена сообщениями и специальными кодами доступа в качестве простой цифровой подписи Абонента при изъявлении согласия на получение рассылки, тем самым устанавливает принадлежность указанного номера телефона лицу, выражающему согласие с настоящим Пользовательским соглашением. Доступ к сети Интернет посредством использования гостевого Wi-Fi соединения допускается только после идентификации Абонента.
3.5. Абонент выражает свое согласие путем проставления соответствующей отметки «галочки» в форме авторизации напротив фразы «Я даю свое согласие на получение рассылки в соответствии с Пользовательским соглашением». При отсутствии согласия Абонент обязан незамедлительно прекратить использование Сайта.
3.6. Проставляя отметку о согласии с условиями Пользовательского соглашения, Абонент дает полное, безоговорочное, информированное, добровольное согласие со всеми условиями Пользовательского соглашения, в т.ч., абонент дает согласие на отправку рекламной рассылки, подтверждает корректность введенных данных, а также законность их передачи.
3.7. Рассылки осуществляются в форме смс и email рассылок в целях: получения обратной связи от абонента любым способом (включая телефонные звонки, отправку смс и email сообщений), информирования Абонента о товарах/услугах, оповещения о проводимых акциях, мероприятиях, скидках, новостной рассылки и т.д.
3.8. Согласие на осуществление рассылки предоставляется Оператору рассылки, а также Заведению общественного питания, в котором Абонент запрашивает доступ в сеть Интернет через общественную сеть Wi-Fi.
3.9. Согласие Абонента на получение рассылки является бессрочным.
3.10. Абонент вправе по своему усмотрению в любой момент может отозвать согласие или изменить условия получения рассылки
У Вас есть право на доступ и редактирование Вашей информации в любое время через веб-интерфейс, предоставляемый в рамках Сервисов.
Мы будем раскрывать Вашу личную информацию третьим лицам только в соответствии с Вашими инструкциями или в случае необходимости для того, чтобы предоставить Вам определенный сервис, или по другим причинам в соответствии с действующим законодательством в отношении конфиденциальности. Как правило, мы не осуществляем и не будем осуществлять продажу, сдачу в аренду, распространение или раскрытие Вашей личной информации без предварительного получения Вашего разрешения или без указания необходимых условий для этих действий в настоящей Политике конфиденциальности. Публичная информация, которая доступна о Вас в открытом доступе, такая как: имя, фамилия, ссылки на ваши личные страницы в социальных сетях и прочее, и которая может быть получена любым другим способом без наших Сервисов, в частности через социальные сети, может быть передана нами третьим лицам без Вашего согласия.
Мы также можем использовать Вашу личную информацию для получения Совокупных данных для внутреннего пользования и для обмена с другими лицами на выборочной основе. «Совокупные данные» означают данные, которые были лишены уникальной информации для потенциального выявления клиентов, целевых страниц или конечных пользователей, и которые были изменены или объединены для предоставления обобщенной, анонимной информации. Ваша личность и личная информация будет храниться анонимно в Совокупных данных.
Сайт может содержать ссылки на другие сайты, и мы не несем ответственности за политику конфиденциальности или содержание данных сайтов. Мы рекомендуем Вам ознакомиться с политикой конфиденциальности связанных сайтов. Их политика конфиденциальности и деятельность отличаются от наших Политики конфиденциальности и деятельности.
Мы используем «куки» (cookies) и «логи» (log files) для отслеживания информации о пользователях. Cookies являются небольшими по объему данными, которые передаются веб-сервером через Ваш веб-браузер и хранятся на жестком диске Вашего компьютера. Мы используем cookies для отслеживания вариантов страниц, которые видел посетитель, для подсчета нажатий, сделанных посетителем на том или ином варианте страницы, для мониторинга трафика и для измерения популярности сервисных настроек. Мы будем использовать данную информацию, чтобы предоставить Вам релевантные данные и услуги. Данная информация также позволяет нам убедиться, что посетители видят именно ту целевую страницу, которую они ожидают увидеть.
В случае смены владельца или другой передачей бизнеса, такой как слияние, поглощение или продажа наших активов, Ваша информация может быть передана в соответствии с применимыми законами о конфиденциальности.
Мы будем стремиться предотвратить несанкционированный доступ к Вашей личной информации, однако, никакая передача данных через интернет, мобильное устройство или через беспроводное устройство не могут гарантировать стопроцентную безопасность. Мы будем продолжать укреплять систему безопасности по мере доступности новых технологий и методов. Мы настоятельно рекомендуем Вам никому не разглашать свой пароль. Мы не храним Ваши логины и пароли от социальных сетей, и в случае, если вы забыли и/или утеряли оные, Вам нужно самостоятельно восстановить их через тот сайт, через который вы заводили свои аккаунты в социальных сетях. Вся авторизация Вами в социальных сетях происходит через службы, предоставленные самими соц. сетями, и мы не передаем им Ваши логины и пароли в процессе авторизации. Весь процесс авторизации происходит в рамках выбранной Вами социальной сети. Для авторизации Вами в социальных сетях мы используем общедоступные сервисы, которые предоставляются в открытом доступе всем желающим. Мы не несем ответственности за авторизацию Вами в социальных сетях.
Пожалуйста, помните, что Вы контролируете те данные, которые Вы сообщаете нам при использовании Сервисов. В конечном счете Вы несете ответственность за сохранение в тайне Вашей личности и/или любой другой личной информации, находящейся в Вашем распоряжении в процессе пользования Сервисами. Всегда будьте осторожны и ответственны в отношении Вашей личной информации. Мы не несем ответственности за использование другими лицами любой информации, которую Вы предоставляете им, и Вы должны соблюдать осторожность в выборе личной информации, которую Вы передаете третьим лицам через Сервисы. Точно так же мы не несем ответственности за содержание личной информации или другой информации, которую Вы получаете от других пользователей через Сервисы, и Вы освобождаете нас от любой ответственности в связи с содержанием любой личной информации или другой информации, которую Вы можете получить, пользуясь Сервисами. Мы не несем никакой ответственности за проверку, точность личной информации или другой информации, предоставленной третьими лицами. Вы освобождаете нас от любой ответственности в связи с использованием подобной личной информации или иной информации о других.
1.1. Настоящим Положением определяется порядок обращения, защиты и обработки персональных данных, установленный в обществе с ограниченной ответственностью «КЛИЕНТОМЕР» (далее — «Компания», «Оператор»).
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании, ее работников и третьих лиц в связи с необходимостью получения (сбора), систематизации (комбинирования), обработки, хранения и передачи сведений, составляющих персональные данные.
1.3. Персональные данные - любая информация, относящаяся к конкретному лицу (субъекту персональных данных) и необходимая Компании в связи с осуществлением хозяйственной деятельности.
1.4. Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается в случаях, предусмотренных федеральными законами.
1.5. Обработка персональных данных осуществляется в соответствии законодательством Российской Федерации и настоящим положением.
2.1. Для целей настоящего Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п1 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п.5 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных = определенному лицу или определенному кругу лиц (п.6 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п.7 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п.8 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному (п.9 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
информация - сведения (сообщения, данные) независимо от формы их представления;
документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. Информация, получаемая компанией Компанию, может иметь как документальную, так и электронную форму.
2.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1. Источником информации о персональных данных могут являться субъект персональных данных, общедоступные источники персональных данных и иные операторы персональных данных.
Обработка персональных данных, источником которых не является непосредственно субъект персональных данных должна осуществляться в строгом соответствии с действующим законодательством Российской Федерации в области защиты персональных данных. При получении информации о персональных данных от третьих лиц Компания должна предпринять возможные меры, а также получить заверения и гарантии от третьих лиц, предоставляющих информацию, о том, что обработка персональных данных такими лицами осуществляется в строгом соответствии с действующим законодательством.
3.2. Компания не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных, за исключением случаев, когда субъект персональных данных дал свое прямое согласие в письменной форме на обработку указанных персональных данных, а также в случае, если такие персональные данные сделаны общедоступными субъектом персональных данных;
3.3. Обработка персональных данных возможна только при наличии согласия субъекта персональных данных на обработку его персональных данных либо без такого согласия в следующих случаях:
Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
Обработка персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки персональных данных, в целях продвижения товаров, работ и услуг), при условии обязательного обезличивания персональных данных;
Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
3.4. Письменное согласие на обработку персональных данных должно включать:
3.5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.6. Обработка персональных данных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
4.1. При передаче персональных данных Компания должна соблюдать следующие требования:
4.2. Персональные данные обрабатываются лицом ответственным за защиту персональных данных, уполномоченным руководителем Компании. Персональные данные на материальных носителях хранятся по месту нахождения Компании. Персональные данные на электронных носителях хранятся на сервере, установленном по месту нахождения Компании.
4.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
4.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
4.5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
4.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. При этом допускается последующая трансграничная передача персональных данных в соответствии с законодательством Российской Федерации.
5.1. Право доступа к персональным данным работников Компании имеют: руководитель Компании, лицо ответственное за кадровый учет, лицо ответственное за ведение бухгалтерского учета.
Право доступа к персональным данным третьих лиц имеют: руководитель Компании, руководитель отдела продаж.
Право доступа к персональным данным также может быть предоставлено иным лицам, перечисленным в журнале лиц, имеющих доступ к персональным данным.
5.2. Субъекты персональных данных имеет право:
5.3. Обработка персональных данных субъекта персональных данных допускается исключительно в служебных целях с письменного разрешения руководителя Компании.
6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
6.2. За нарушение порядка обращения с персональными данными ответственное лицо несет ответственность, предусмотренную законом, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.
7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
7.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
7.6 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.
7.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
7.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, осуществляется путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
7.10. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Компанией.
8.1. Персональные данные, обрабатываемые при помощи материальных носителей, должны храниться в запирающихся шкафах, в помещениях, доступ к которым может ограничен для определенного круга лиц. Меры физической защиты должны обеспечивать контроль доступа к персональным данным.
Сохранность персональных данных, обрабатываемые при помощи вычислительной техники, должна быть обеспечена средствами программного обеспечения, в т.ч. путем предоставления доступа к персональным данным только после ввода логина и пароля соответствующего лица, у которого есть доступ к персональным данным или иным способом, обеспечивающим контроль доступа к персональным данным.
8.2. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.3. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится Оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по технической защите конфиденциальной информации. Регулярность проведения проверки устанавливается руководителем Компании.
8.4. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
8.5. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
8.6. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
8.7. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
8.8. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
8.9. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
8.10. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
8.11. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
8.12. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
8.13. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
8.14. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
8.15. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
8.16. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
8.17. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
8.18. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
8.19. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
8.20. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
8.21. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
9.1. В процессе оказания услуг клиентам Компании (далее – Клиент) по проведению маркетинговых исследований, статистического анализа, а также услуг по оценке качества обслуживания, Компанией осуществляется сбор сведений и информации о физических лицах, являющихся потребителями товаров, работ и услуг Клиента (далее – Потребитель).
9.2. В целях исполнения пользовательского соглашения о предоставлении доступа к информационно-коммуникационной сети «Интернет», а также в целях проведения маркетинговых исследований с обезличенными данными Компания обрабатывает следующие данные:
Получение указанных сведений осуществляется непосредственно от Потребителя в процессе подключения Потребителя к информационно-коммуникационной сети «Интернет» при использовании специализированного программного обеспечения Компании, а также из общедоступных источников.
9.3. В целях исполнения требований Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи», а также Постановления Правительства РФ от 21 апреля 2005 г. № 241 «О мерах по организации оказания универсальных услуг связи» осуществляется сбор следующей информации:
Перед получением доступа Потребитель обязан ввести номер своего мобильного телефона, на который будет направлен код для подтверждения введенных данных и или указать свои фамилию, имя и отчество, подтвердив их документом, удостоверяющим личность, учетной записью на Едином портале государственных услуг, или иным способом, не противоречащим законодательству.
9.4. При предоставлении доступа к информационно-коммуникационной сети «Интернет» Потребитель принимает условия пользовательского соглашения и дает свое согласие на обработку данных, которые должны быть получены Компанией в целях исполнения действующего законодательства, а также данных, которые могут быть получены Компанией вследствие исполнения Компанией и Потребителем пользовательского соглашения и осуществления хозяйственной деятельности Компании.
Форма согласия на обработку персональных данных установлена в приложении к настоящему положению.
9.5. Порядок обеспечения защиты персональных данных, установленный настоящим положением о защите персональных данных распространяется на информацию, полученную в результате предоставления доступа Потребителю к информационно-коммуникационной сети «Интернет».
10.1. Настоящее положение определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством и включает следующие обязанности:
10.2. Оператор обязан опубликовать (в том числе в информационно-телекоммуникационной сети «Интернет») или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных
10.3. Обеспечение безопасности персональных данных в Компании достигается:
1.Общие положения
1.1. Настоящее Соглашение представляет устанавливает правила доступа в сеть Интернет посредством подключения к точке коллективного доступа в Заведении (далее — Предприятие). Обязанность по идентификации пользователей в соответствии с действующим законодательством лежит на операторе связи и Предприятии, предоставляющем доступ к сети Интернет через точку коллективного доступа.
1.2. В целях исполнения обязательств по идентификации пользователей в соответствии с Федеральным законом от 05.05.2014 № 97-ФЗ, Постановлениями правительства № 758 от 31.07.2014 и № 801 от 12.08.2014 г. Общество с ограниченной ответственностью «Клиентомер» (далее — Компания), осуществляет меры по идентификации Пользователя при предоставлении доступа к сети Интернет и отправке смс сообщений с использованием пункта коллективного доступа.
2. Идентификация Пользователя
2.1. Условия для идентификации: Пользователь — физическое лицо, старше 18 лет, зарегистрированный в качестве Пользователя у любого оператора мобильной связи, имеющий в наличии устройство для подключения к Интернету и находящийся в пункте коллективного доступа к Интернету.
2.2. Для прохождения идентификации и получения доступа к Интернету и отправке смс сообщений Пользователь обязуется предоставить достоверную и полную информацию о себе по вопросам, предлагаемым в форме регистрации.
2.3. Если Пользователь предоставляет неверную информацию, то Компания имеет право отказать Пользователю в идентификации и предоставлении доступа к сети Интернет в месте коллективного доступа.
2.4. Персональные данные Пользователя, полученные при регистрации, обрабатываются в соответствии с законодательством о защите персональных данных, а также в соответствии с локальными нормативными актами Предприятия и Компании.
3.Условия использования
3.1. Пользователь самостоятельно несет ответственность перед третьими лицами за свои действия, связанные с использованием Интернета, в том числе, если такие действия приведут к нарушению прав и законных интересов третьих лиц, а также за соблюдение законодательства при использовании Интернета.
3.2. При использовании Интернета Пользователь не вправе: загружать, посылать, передавать или любым другим способом размещать и/или распространять информацию, которая является незаконной, вредоносной, клеветнической, оскорбляет нравственность, демонстрирует, пропагандирует насилие и жестокость, нарушает права интеллектуальной собственности, пропагандирует ненависть, дискриминацию людей по расовому, этническому, половому, религиозному, социальному признакам, содержит оскорбления в адрес каких-либо лиц или организаций, содержит элементы или является пропагандой порнографии, детской эротики, представляет собой рекламу или является пропагандой услуг сексуального характера, разъясняет порядок изготовления, применения или иного использования наркотических веществ или их аналогов, взрывчатых веществ или иного оружия; нарушать права третьих лиц; загружать, посылать, передавать или любым другим способом размещать и/или распространять какие-либо материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также размещения ссылок на вышеуказанную информацию; не санкционированно собирать и хранить персональные данные других лиц; другим образом нарушать нормы законодательства, в том числе нормы международного права.
3.3. Компания и Предприятие вправе по своему усмотрению блокировать Пользователю доступ в сеть Интернет через точку коллективного доступа при наличии оснований предполагать о наличии нарушений настоящего Соглашения и действующего законодательства.
4. Иные положения
4.1. Настоящее Соглашение регулируется и толкуется в соответствии с законодательством Российской Федерации. Вопросы, не урегулированные настоящим Соглашением, подлежат разрешению в соответствии с законодательством Российской Федерации. Все возможные споры, вытекающие из отношений, регулируемых настоящим Соглашением, разрешаются в порядке, установленном действующим законодательством Российской Федерации, по нормам российского права.
4.2. Компания и Предприятие не несут ответственности за любые убытки, возникшие вследствие использования Интернета и прохождения идентификации Пользователем.
4.3. Пройдя процедуру регистрации, Пользователь считается принявшим условия Пользовательского соглашения и правил доступа в сеть Интернет, установленных оператором связи в полном объеме, без всяких оговорок и исключений.
4.4. Пользователь несет ответственность за достоверность и соответствие содержания внесенной им информации о себе требованиям действующего законодательства, включая ответственность в случаях, когда действия Пользователя нарушают права и законные интересы третьих лиц.
1.1. Настоящим Положением определяется порядок обращения, защиты и обработки персональных данных, установленный в обществе с ограниченной ответственностью «КЛИЕНТОМЕР» (далее – «Компания», «Оператор»).
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании, ее работников и третьих лиц в связи с необходимостью получения (сбора), систематизации (комбинирования), обработки, хранения и передачи сведений, составляющих персональные данные.
1.3. Персональные данные - любая информация, относящаяся к конкретному лицу (субъекту персональных данных) и необходимая Компании в связи с осуществлением хозяйственной деятельности.
1.4. Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается в случаях, предусмотренных федеральными законами.
1.5. Обработка персональных данных осуществляется в соответствии законодательством Российской Федерации и настоящим положением.
2.1. Для целей настоящего Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п1 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п.5 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных = определенному лицу или определенному кругу лиц (п.6 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п.7 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п.8 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному (п.9 ст.3 Федерального закона от 27.07.2006 №152-ФЗ);
информация - сведения (сообщения, данные) независимо от формы их представления;
документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. Информация, получаемая компанией Компанию, может иметь как документальную, так и электронную форму.
2.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1. Источником информации о персональных данных могут являться субъект персональных данных, общедоступные источники персональных данных и иные операторы персональных данных.
Обработка персональных данных, источником которых не является непосредственно субъект персональных данных должна осуществляться в строгом соответствии с действующим законодательством Российской Федерации в области защиты персональных данных. При получении информации о персональных данных от третьих лиц Компания должна предпринять возможные меры, а также получить заверения и гарантии от третьих лиц, предоставляющих информацию, о том, что обработка персональных данных такими лицами осуществляется в строгом соответствии с действующим законодательством.
3.2. Компания не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных, за исключением случаев, когда субъект персональных данных дал свое прямое согласие в письменной форме на обработку указанных персональных данных, а также в случае, если такие персональные данные сделаны общедоступными субъектом персональных данных;
3.3. Обработка персональных данных возможна только при наличии согласия субъекта персональных данных на обработку его персональных данных либо без такого согласия в следующих случаях:
Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
Обработка персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки персональных данных, в целях продвижения товаров, работ и услуг), при условии обязательного обезличивания персональных данных;
Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
3.4. Письменное согласие на обработку персональных данных должно включать:
3.5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.6. Обработка персональных данных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
4.1. При передаче персональных данных Компания должна соблюдать следующие требования:
4.2. Персональные данные обрабатываются лицом ответственным за защиту персональных данных, уполномоченным руководителем Компании. Персональные данные на материальных носителях хранятся по месту нахождения Компании. Персональные данные на электронных носителях хранятся на сервере, установленном по месту нахождения Компании.
4.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
4.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
4.5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
4.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. При этом допускается последующая трансграничная передача персональных данных в соответствии с законодательством Российской Федерации.
5.1. Право доступа к персональным данным работников Компании имеют: руководитель Компании, лицо ответственное за кадровый учет, лицо ответственное за ведение бухгалтерского учета.
Право доступа к персональным данным третьих лиц имеют: руководитель Компании, руководитель отдела продаж.
Право доступа к персональным данным также может быть предоставлено иным лицам, перечисленным в журнале лиц, имеющих доступ к персональным данным.
5.2. Субъекты персональных данных имеет право:
5.3. Обработка персональных данных субъекта персональных данных допускается исключительно в служебных целях с письменного разрешения руководителя Компании.
6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
6.2. За нарушение порядка обращения с персональными данными ответственное лицо несет ответственность, предусмотренную законом, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.
7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
7.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
7.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
7.6 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.
7.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
7.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, осуществляется путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
7.10. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Компанией.
8.1. Персональные данные, обрабатываемые при помощи материальных носителей, должны храниться в запирающихся шкафах, в помещениях, доступ к которым может ограничен для определенного круга лиц. Меры физической защиты должны обеспечивать контроль доступа к персональным данным.
Сохранность персональных данных, обрабатываемые при помощи вычислительной техники, должна быть обеспечена средствами программного обеспечения, в т.ч. путем предоставления доступа к персональным данным только после ввода логина и пароля соответствующего лица, у которого есть доступ к персональным данным или иным способом, обеспечивающим контроль доступа к персональным данным.
8.2. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.3. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится Оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по технической защите конфиденциальной информации. Регулярность проведения проверки устанавливается руководителем Компании.
8.4. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
8.5. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
8.6. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
8.7. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
8.8. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
8.9. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
8.10. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
8.11. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
8.12. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
8.13. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
8.14. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
8.15. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
8.16. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
8.17. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
8.18. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
8.19. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
8.20. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
8.21. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
9.1. В процессе оказания услуг клиентам Компании (далее – Клиент) по проведению маркетинговых исследований, статистического анализа, а также услуг по оценке качества обслуживания, Компанией осуществляется сбор сведений и информации о физических лицах, являющихся потребителями товаров, работ и услуг Клиента (далее – Потребитель).
9.2. В целях исполнения пользовательского соглашения о предоставлении доступа к информационно-коммуникационной сети «Интернет», а также в целях проведения маркетинговых исследований с обезличенными данными Компания обрабатывает следующие данные:
Получение указанных сведений осуществляется непосредственно от Потребителя в процессе подключения Потребителя к информационно-коммуникационной сети «Интернет» при использовании специализированного программного обеспечения Компании, а также из общедоступных источников.
9.3. В целях исполнения требований Федерального закона от 7 июля 2003 г. №126-ФЗ «О связи», а также Постановления Правительства РФ от 21 апреля 2005 г. №241 «О мерах по организации оказания универсальных услуг связи» осуществляется сбор следующей информации:
Перед получением доступа Потребитель обязан ввести номер своего мобильного телефона, на который будет направлен код для подтверждения введенных данных и или указать свои фамилию, имя и отчество, подтвердив их документом, удостоверяющим личность, учетной записью на Едином портале государственных услуг, или иным способом, не противоречащим законодательству.
9.4. При предоставлении доступа к информационно-коммуникационной сети «Интернет» Потребитель принимает условия пользовательского соглашения и дает свое согласие на обработку данных, которые должны быть получены Компанией в целях исполнения действующего законодательства, а также данных, которые могут быть получены Компанией вследствие исполнения Компанией и Потребителем пользовательского соглашения и осуществления хозяйственной деятельности Компании.
Форма согласия на обработку персональных данных установлена в приложении к настоящему положению.
9.5. Порядок обеспечения защиты персональных данных, установленный настоящим положением о защите персональных данных распространяется на информацию, полученную в результате предоставления доступа Потребителю к информационно-коммуникационной сети «Интернет».
10.1. Настоящее положение определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством и включает следующие обязанности:
10.2. Оператор обязан опубликовать (в том числе в информационно-телекоммуникационной сети «Интернет») или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных
10.3. Обеспечение безопасности персональных данных в Компании достигается: