Политика ООО «Витал ЕВВ» в отношении обработки персональных данных
Положение о порядке обработки, хранения и защиты персональных данных пользователей Сайта
1.Термины и определения
• Сайт — совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Сайт размещен в сети Интернет по адресу: http://vitalevv.ru. Сайт имеет цель объединить интересы лиц, являющихся пользователями информации, распространяемой ООО «Витал ЕВВ».
• Пользователь — лицо, имеющее доступ к Сайту посредством сети Интернет, использующее Сайт для решения своих собственных задач и вопросов и имеющий свою личную страницу (Профиль/аккаунт).
• Законодательство - Конституция РФ, Гражданский кодекс РФ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», иные законы, содержащие нормы в области защиты персональных данных, а также подзаконные акты, действующие на их основе.
• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу- Пользователю (субъекту персональных данных), определенная Законодательством;
• Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «Витал ЕВВ», зарегистрированное по адресу: 620144, Екатеринбург, ул. Шенйкмана, д.136
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.Общие положения
• Настоящее Положение (далее - Положение) разработано в соответствии с законодательством РФ, определяет особенности обращения с персональными данными пользователей Сайта, предоставляемых Оператору.
• Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Пользователей и Оператора; исключить несанкционированные действия работников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора; обеспечить правовой и нормативный режим конфиденциальности недокументированной информации Пользователей Сайта; предотвратить возникновения возможной угрозы безопасности Пользователей Сайта; исключить возможное разглашение персональных данных.
• Положение устанавливает обязательные для работников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта.
• Обработка персональных данных должна соответствовать принципам, изложенным в Политике Оператора в отношении обработки персональных данных.
• Цели обработки персональных данных.
1. Обработка персональных данных Пользователей Сайта осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом.
2. Персональные данные Пользователя и иную информацию Оператор может использовать в целях:
1. предоставления Пользователю доступа к персонализированным ресурсам Сайта;
2. установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта;
3. обработки запросов от Пользователя;
4. мониторинга операций Пользователя в целях предотвращения мошенничества, противоправных действий;
5. создания учетной записи, если Пользователь согласился с Пользовательским соглашением и дал согласие на создание учетной записи путем активации регистрационной ссылки;
6. предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта;
7. предоставления Пользователю рекламной информации, специальных предложений, новостной рассылки и иных сведений, связанных с использованием Сайта;
8. предоставления доступа Пользователю на сайты или сервисы партнеров с целью получения продуктов, обновлений и услуг;
9. проведение статистических и иных исследований;
3. Оператор не уточняет и не проверяет достоверность предоставленных Пользователем персональных данных и иной информации.
• Источники получения персональных данных Пользователей.
1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.
2. Источником информации о персональных данных Пользователя являются сведения, полученные вследствие предоставления Оператором Пользователю прав пользования Сайтом.
• Конфиденциальность персональных данных
1. Персональные данные Пользователей, обрабатываемые на сайте, относятся к конфиденциальной информации ограниченного доступа.
2. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
• Способы обработки персональных данных.
1. Персональные данные Пользователей Сайта обрабатываются с использованием средств автоматизации.
• Права Пользователей как субъектов персональных данных.
1. Пользователь имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному Пользователю, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 Статьи 14 Федерального закона «О персональных данных».
2. Пользователь имеет право на получение от Оператора при личном обращении к нему либо при получении Оператором письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
1. подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые Оператором способы обработки персональных данных;
4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления Пользователем прав, предусмотренных Федеральным законом;
8. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9. иные сведения, предусмотренные Федеральным законом или другими федеральными законами;
10. требовать изменение, уточнение, уничтожение информации о самом себе;
11. обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде;
12. на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
13. определять представителей для защиты своих персональных данных;
14. требовать от Оператора уведомления, обо всех произведенных в них изменениях или исключениях из них;
3. Пользователь имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
4. Пользователь персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
• Обязанности Оператора
1. По факту личного обращения либо при получении письменного запроса от Пользователя Оператор, при наличие оснований, обязан в течении 30 дней с даты обращения либо получения запроса Пользователя предоставить сведения в объеме, установленном Федеральным законом либо в случае отказа дать мотивированный ответ. Такие сведения должны быть предоставлены Пользователю в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2. Все обращения субъектов персональных данных регистрируются в журнале обращений/входящей корреспонденции.
3. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30-ти дней с даты получения такого запроса.
4. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
5. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий 3-х рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить Пользователя и указанный орган.
6. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30-ти рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, является Пользователь.
7. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Пользователя или иным образом затрагивающих его права и законные интересы.
8. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности за исключением случаев, предусмотренных действующим законодательством.
9. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации.
10. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено федеральным законом.
11. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.
3.Обработка персональных данных
• Перечень обрабатываемых персональных данных Пользователей Сайта:
1. Фамилия
2. Имя
3. Отчество
4. Род деятельности/профессия/должность
5. Город или регион нахождения Пользователя
6. Телефон
7. Электронная почта
8. Сообщения Пользователя, оставленные в поле для комментариев, в которых содержится любая персональная информация
• Правом доступа к персональным данным Пользователей обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями. Перечень лиц, имеющих доступ к персональным данным, утверждается приказом генерального директора Оператора.
• Персональные данные Пользователей Сайта обрабатывают только работники Оператора, допущенные установленным порядком к обработке персональных данных Пользователей.
• Оператором не ведется обработка персональных данных Пользователей на бумажных носителях информации.
• Обработка персональных данных Пользователя осуществляется без ограничения срока, любым определенным в Законодательстве способом с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока цель обработки не будет достигнута или Пользователь не заявит о своем желании удалить свои персональные данные с Сайта.
• Оператор не поручает обработку персональных данных сторонним лицам и организациям, но может передавать персональные данные третьим лицам и организациям, с целью заключения договоров, выгодоприобретателем по которым является Пользователь.
• Оператор не поручает обработку персональных данных сторонним лицам и организациям, но вправе передавать персональные данные третьим лицам и организациям, с целью заключения Пользователем договоров, выгодоприобретателем по которым он является.
• Блокирование и уничтожение персональных данных.
1. По требованию (на основании письменного заявления) Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных по его мнению действий в отношении его данных Оператор осуществляет блокирование персональных данных.
2. Пользователь вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор в срок, не превышающий трех рабочих дней с даты этого требования, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить Пользователя и уполномоченный орган, в случае запроса последнего.
3. Данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.
4. В случае отсутствия возможности уничтожения персональных данных оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
6. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является Пользователь
4.Система защиты персональных данных
• Система защиты персональных данных должна соответствовать требованиям Постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
• Безопасность персональных данных при их обработке на Сайте обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
• Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
• Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных" в зависимости от типа угроз для информационной системы.
• Определение типа угроз безопасности персональных данных производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных" для установления определенного уровня защищенности персональных данных.
• В Состав и содержание мер по обеспечению безопасности персональных данных в информационных системах Оператора с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, реализуемых Оператором (в соответствии требованиям Приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных") входят:
1. идентификация и аутентификация субъектов доступа и объектов доступа;
2. управление доступом субъектов доступа к объектам доступа;
3. ограничение программной среды;
4. защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
5. регистрация событий безопасности;
6. антивирусная защита;
7. обнаружение (предотвращение) вторжений;
8. контроль (анализ) защищенности персональных данных;
9. обеспечение целостности информационной системы и персональных данных;
10. обеспечение доступности персональных данных;
11. защита среды виртуализации;
12. защита технических средств;
13. защита информационной системы, ее средств, систем связи и передачи данных;
14. выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
15. управление конфигурацией информационной системы и системы защиты персональных данных.
• Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора, следовательно, в соответствии с п.11. Приказа ФСТЭК России от 18.02.2013 N 21, существует необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе.
• Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
1. организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2. обеспечение сохранности носителей персональных данных;
3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
4. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
5. назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
5.Ответственность
• Все работники Оператора осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные в соответствии с Положением, требованиями законодательства РФ.
• Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством Российской Федерации ответственность.
• Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку персональных данных.
6.Заключительные положения
• В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных, настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
• Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения, Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
• Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой Профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.