Пользовательское соглашение
1. Конфиденциальность, защита персональной информации
2. Политика в отношении обработки Персональных Данных
3. Сведения о реализуемых требованиях к защите Персональных Данных
1. Конфиденциальность, защита персональной информации
1.1. Предоставление информации Клиентом:
1.1.1. При регистрации на сайте интернет-магазина korzinka.com (далее - "Сайт"), Клиент предоставляет следующую информацию: Фамилия, Имя, Отчество, пол, дату рождения, адрес для доставки Заказа, номер контактного телефона, адрес электронной почты.1.1.2. Предоставляя свои персональные данные, Клиент соглашается на их обработку (вплоть до отзыва Клиентом своего согласия на обработку его персональных данных) компанией ООО "Корзинка.ком" (далее - "Продавец" и/или "Компания"), в целях исполнения Продавцом и/или его партнерами своих обязательств перед клиентом, продажи товаров и предоставления услуг, предоставления справочной информации, а также в целях продвижения товаров, работ и услуг, а также соглашается на получение сообщений рекламно-информационного характера и сервисных сообщений. При обработке персональных данных Клиента Продавец руководствуется Федеральным законом № 152 «О персональных данных», Политикой в отношении обработки Персональных Данных, Федеральным законом "О рекламе" и локальными нормативными документами.
1.1.3. Если Клиент желает уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, либо в случае желания клиента отозвать свое согласие на обработку персональных данных или устранения неправомерных действий ООО "Корзинка.ком" в отношении его персональных данных то он должен направить официальный запрос Продавцу в порядке, предусмотренном Политикой ООО "Корзинка.ком" в отношении обработки персональных данных.
1.1.4. Использование информации предоставленной Клиентом и получаемой Продавцом.
1.1.4.1 Продавец использует предоставленные Клиентом данные в течение всего срока регистрации Клиента на Сайте в целях:
- регистрации/авторизации Клиента на Сайте;
- обработки Заказов Клиента и для выполнения своих обязательств перед Клиентом;
- индивидуального учета клиентских заказов в целях исполнения договоров с клиентами;
- для осуществления деятельности по продвижению товаров и услуг; информирования клиентов о новых товарах и услугах, продвигаемых Компанией;
- оценки и анализа работы Сайта;
- определения победителя в акциях, проводимых Продавцом;
- анализа покупательских особенностей Клиента и предоставления персональных рекомендаций;
- участия Клиента в программе лояльности KORZINKA;
- информирования клиента об акциях, скидках и специальных предложениях посредством электронных и СМС-рассылок;
- принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.
1.2. Предоставление и передача информации, полученной Продавцом:
1.2.1. Продавец обязуется не передавать полученную от Клиента информацию третьим лицам. Не считается нарушением предоставление Продавцом информации агентам и третьим лицам, действующим на основании договора с Продавцом, для исполнения обязательств перед Клиентом и только в рамках договоров. Не считается нарушением настоящего пункта передача Продавцом третьим лицам данных о Клиенте в обезличенной форме в целях оценки и анализа работы Сайта, анализа покупательских особенностей Клиента и предоставления персональных рекомендаций.1.2.2. Не считается нарушением обязательств передача информации в соответствии с обоснованными и применимыми требованиями законодательства Российской Федерации.
1.2.3. Продавец вправе использовать технологию "cookies". "Cookies" не содержат конфиденциальную информацию и не передаются третьим лицам.
1.2.4. Продавец получает информацию об ip-адресе посетителя Сайта korzinka.com и сведения о том, по ссылке с какого интернет-сайта посетитель пришел. Данная информация не используется для установления личности посетителя.
1.2.5. Продавец не несет ответственности за сведения, предоставленные Клиентом на Сайте в общедоступной форме.
1.2.6. Продавец при обработке персональных данных принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, а также от иных неправомерных действий в отношении персональных данных.
1.2.7. Более полная информация о политике ООО "Корзинка.ком" в отношении обработки персональных данных приведена в п.2.
1.3. Хранение и использование информации Клиентом:
1.3.1. Клиент обязуется не сообщать третьим лицам логин и пароль, используемые им для идентификации в интернет-магазине Корзинка.ком.1.3.2. Клиент обязуется обеспечить должную осмотрительность при хранении и использовании логина и пароля (в том числе, но не ограничиваясь: использовать лицензионные антивирусные программы, использовать сложные буквенно-цифровые сочетания при создании пароля, не предоставлять в распоряжение третьих лиц компьютер или иное оборудование с введенными на нем логином и паролем Клиента и т.п.)
1.3.3. В случае возникновения у Продавца подозрений относительно использования учетной записи Клиента третьим лицом или вредоносным программным обеспечением Продавец вправе в одностороннем порядке изменить пароль Клиента.
1.4 Информация об электронных платежах и банковских картах
1.4.1. Оплата по банковским картам производится путем переадресации на сайт системы электронных платежей PLATRON (www.platron.ru). В системе PLATRON безопасность платежей обеспечивается использованием SSL протокола для передачи конфиденциальной информации от клиента на сервер системы PLATRON для дальнейшей обработки. Дальнейшая передача информации осуществляется по закрытым банковским сетям высшей степени защиты. Сбор и обработка полученных конфиденциальных данных клиента (реквизиты карты, регистрационные данные и т.д.) производится в процессинговом центре, а не на сайте продавца. Таким образом, интернет-магазин «Корзинка.ком» (веб-сайт интернет-магазина korzinka.com) не может получить персональные и банковские данные клиента, включая информацию о его покупках, сделанных в других магазинах. Для защиты информации от несанкционированного доступа на этапе передачи от клиента на сервер системы PLATRON используется протокол SSL 3.0. Таким образом, даже в случае попытки взлома веб-сайта korzinka.com, доступа к данным о Вашей банковской карте или электронным платежам не произойдет, потому что такие сведения на веб-сайте korzinka.com не хранятся.2. Политика в отношении обработки Персональных Данных
2.1. Назначение и область действия документа
2.1.1. Политика Компании в отношении обработки персональных данных» (далее по тексту – Политика) определяет основные принципы, цели, способы, позицию и намерения Компании в области обработки и защиты персональных данных лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией, соблюдения прав и основных свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Также данная Политика определяет меры, принимаемые ООО «Корзинка.ком» по защите персональных данных, а также меры по контролю за соблюдением требований законодательства и данной политики.2.1.2. Настоящая Политика предназначена для изучения и неукоснительного исполнения руководителями и работниками всех структурных подразделений Компании, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией, партнеров и других заинтересованных сторон.
2.2. Правовые основания обработки персональных данных
2.2.1. Данная политика в отношении обработки персональных данных составлена в соответствии с требованиями следующих нормативно-правовых актов РФ:- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 года №152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015);
- Указа Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановления Правительства Российской Федерации «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» №781 от 17 ноября 2007 г.;
- «Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными руководством 8 Центра ФСБ России 21 февраля 2008г., №149/6/6-662.
- Постановления Правительства Российской Федерации от 13 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Совместного приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
- Постановления Правительства Российской Федерации от 06 июля 2008 года №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- «Положением о методах и способах защиты информации в информационных системах персональных данных», утвержденным Приказом ФСТЭК России от 5 февраля 2010 г. № 58;
- Постановления Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказа Роскомнадзора от 05 сентября 2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Иных нормативно-правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.
2.3. Основные термины и определения
2.3.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес (регистрации по месту жительства и фактического проживания), данные документов, удостоверяющих личность, документов воинского учета, контактные данные (номера телефонов, адреса электронной почты), данные о месте работы и должности, данные, содержащиеся в трудовой книжке, данные об образовании, данные о семейном положении, данные об имущественном положении (включая сведения о доходах, финансовых обязательствах субъекта персональных данных), ИНН, данные страхового свидетельства государственного пенсионного фонда, реквизиты доверенности или иного документа, подтверждающие полномочия, а также другая информация.2.3.1.1. В зависимости от субъекта персональных данных, Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:
- Персональные данные Работника или Соискателя должности в Компании — информация, необходимая Компании в связи с трудовыми отношениями и касающаяся конкретного соискателя или работника;
- Персональные данные клиента, указанные в п.п. 1.1.1. Пользовательского Соглашения (потенциального клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом (потенциальным клиентом, партнером, контрагентом) Компании — информация, необходимая Компании для выполнения своих обязательств в рамках договорных отношений с клиентом и для выполнения требований законодательства Российской Федерации;
2.3.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. К таким действиям могут быть отнесены: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.3.4. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.3.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2.3.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.3.7. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.3.8. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3.9. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.3.10. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.3.11. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.3.12. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.4. Информация об операторе
Наименование: Общество с ограниченной ответственностью «Корзинка.ком»ИНН: 7729643429
Адрес местонахождения: 121471, г. Москва, ул. Рябиновая д. 59
Телефон: +7 (495)-995-19-40
интернет-сайт: http://www.korzinka.com
e-mail: korzinka@korzinka.com
2.5. Основные принципы Компании в области обработки и защиты персональных данных
2.5.1. При обработке персональных данных Компания придерживается следующих принципов:
- Компания осуществляет обработку персональных данных только на законной и справедливой основе;
- Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);
- Компания определяет конкретные законные цели до начала обработки (в т.ч. сбора/получения) персональных данных;
- Компания собирает только те персональные данные, которые являются необходимыми и достаточными для заявленной цели обработки;
- Обработка персональных данных в Компании ограничивается достижением конкретных, заранее определенных и законных целей;
- Компания обеспечивает недопустимость объединения баз данных, созданных с разными целями для обработки персональных данных;
- Компания уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости в достижении целей, если иное не предусмотрено требованиями законодательства;
- Компания не осуществляет сбор и обработку персональных данных граждан, касающихся расовой, национальной принадлежности, политических, религиозных, философских и иных убеждений, состояния здоровья, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах и партиях;
- Компания не осуществляет сбор и обработку биометрических персональных данных.
2.6. Цели обработки персональных данных
2.6.1. Обработка персональных данных осуществляется Компанией в целях:
- регистрации/авторизации Клиента на Сайте;
- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими и иными лицами в случаях, предусмотренных действующим законодательством и уставом Компании;
- обработки Заказов Клиента и для выполнения своих обязательств перед Клиентом;
- индивидуального учета клиентских заказов в целях исполнения договоров с клиентами;
- для осуществления деятельности по продвижению товаров и услуг; информирования клиентов о новых товарах и услугах, продвигаемых Компанией;
- оценки и анализа работы Сайта;
- определения победителя в акциях, проводимых Продавцом;
- анализа покупательских особенностей Клиента и предоставления персональных рекомендаций;
- участия Клиента в программе лояльности KORZINKA;
- информирования клиента об акциях, скидках и специальных предложениях посредством электронных и СМС-рассылок;
- принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии;
- оформления работников Компании в соответствии с требованиями законодательства Российской Федерации;
- организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также уставом и внутренними документами Компании.
2.7. Порядок сбора, хранения, передачи и иных видов обработки персональных данных, а также действия с ними
2.7.1. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.2.7.2. В ООО «Корзинка.ком» обработка персональных данных осуществляется следующими способами:
- автоматизированная обработка персональных данных;
- неавтоматизированная обработка персональных данных;
- смешанная обработка персональных данных.
2.7.2.2 Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: Общество проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
2.8. Права субъектов персональных данных
2.8.1. Субъект, персональные данные которого обрабатываются в Компании, имеет право на получение информации об обработке его персональных данных в ООО «Корзинка.ком», в том числе содержащей:- подтверждение факта обработки персональных данных;
- правовое основание, цели и сроки обработки персональных данных;
- сведения о применяемых Компанией способах обработки персональных данных;
- сведения о наименовании и местонахождении Компании;
- сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
- перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки персональных данных, в том числе сроках их хранения;
- информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- наименование (ФИО) и адрес лица, осуществляющего обработку персональных данных по поручению Компании;
- сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку персональных данных;
- требовать устранения неправомерных действий Компании в отношении его персональных данных;
- обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
- если обработка персональных данных, включая те, что получены в результате оперативно-розыскной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
- если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- если доступ субъекта персональных данных нарушает права и законные интересы третьих лиц;
- при условии, что обработка персональных данных производится органами, осуществляющими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
2.9. Права и обязанности Компании
2.9.1. Компания, как оператор персональных данных вправе:- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
2.10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
2.10.1. Настоящая Политика разработана ООО «Корзинка.ком» и утверждена приказом Директора ООО «Корзинка.ком», являясь внутренним документом Компании. Она общедоступна и подлежит размещению на официальном сайте Компании2.10.2. Настоящая политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года, а также в следующих случаях:
- при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
- при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем (или введении новых);
- при применении новых технологий обработки персональных данных (в т.ч. передачи, хранения);
- при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Компании;
- по результатам контроля выполнения требований по обработке и защите персональных данных;
- по решению руководства Компании.
2.10.4. Ответственность должностных лиц Комппании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.
2.10.5. Если после прочтения настоящей Политики у Вас остались вопросы, Вы можете получить разъяснения по всем интересующим Вас вопросам направив официальный запрос по электронной почте korzinka@korzinka.com либо по Почте России: по адресу: 121471, г. Москва, ул. Рябиновая д. 59, ООО "Корзинка.ком".
В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
- номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие Ваше участие в отношениях с Компанией (например, номер договора, ваш номер клиента) либо сведения, иным способом подтверждающие факт обработки персональных данных Компанией;
- подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
3. Сведения о реализуемых требованиях к защите Персональных Данных
3.1. Важнейшим условием реализации целей деятельности Компании является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними. Интернет магазин Корзинка.ком при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в соответствии ст. 18.1 и 19 Федерального закона № 152-ФЗ «О персональных данных», в частности, относятся:
3.1.1. Созданные в Компании условия и режим защиты информации, отнесенной к персональным данным, которые позволяют обеспечить защиту обрабатываемых персональных данных, а именно:3.1.1.1. В Компании в соответствии с действующим законодательством Российской Федерации разработан и введен в действие комплекс организационно-распорядительных, функциональных и планирующих документов, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных.
3.1.1.2. Ответственным за соблюдением требований законодательства в области персональных данных и настоящей политики, организацию обработки и обеспечение безопасности персональных данных назначен Директор ООО «Корзинка.ком». Лицо, ответственное за организацию и обеспечение безопасности персональных данных, в рамках выполнения положений настоящей политики и законных актов Российской Федерации в области персональных данных уполномочено:
- разрабатывать и утверждать локальные акты по вопросам обработки и защиты персональных данных;
- оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных и организовывать мониторинг уровня защищенности персональных данных при эксплуатации информационной системы персональных данных;
- определять угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- разрабатывать и принимать соответствующие меры на поддержание необходимого уровня защищенности персональных данных;
- планировать применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для противодействия угрозам безопасности персональных данных и выполнения требований к защите персональных данных;
- организовывать контроль и/или аудит соответствия принятых мер защиты при обработке персональных данных Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных», нормативным правовым актам, требованиям нормативных актов к защите персональных данных, локальным актам Компании;
- проводить анализ по фактам нарушения положений настоящей политики;
- организовывать прием и обработку обращений и запросов регулирующих органов РФ, субъектов персональных данных или их представителей.
3.1.2.1. Определен круг лиц, имеющих право обработки персональных данных, разработаны инструкции пользователям по защите персональных данных, антивирусной защите, действиям в кризисных ситуациях.
3.1.2.2. Разграничен (ограничен) доступ персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также где хранятся носители с персональными данными.
3.1.2.3. Установлены правила доступа к персональным данным: информация доступна лишь для строго определенных работников. Производится запись (логирование) работы в автоматизированных рабочих местах, доступа к базам данных.
3.1.2.4. Введена система разграничения доступа. В зависимости от степени критичности информации разграничение (ограничение) доступа проводится программно-аппаратными средствами идентификации и аутентификации пользователей.
3.1.2.5. Установлена защита от несанкционированного доступа к техническим средствам, с помощью которых производится обработка персональных данных, автоматизированным рабочим местам, информационным сетям и базам персональных данных.
3.1.2.6. Проведено ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации по обеспечению безопасности персональных данных и требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Проводится периодическое обучение указанных работников правилам обработки персональных данных.
3.1.3. Введены режим безопасности обработки и обращения с персональными данными, а также режим защиты помещений, в которых осуществляется обработка и хранение носителей персональных данных: соблюдены условия, исключающие несанкционированный доступ, к техническим средствам, с помощью которых производится обработка персональных данных и к материальным носителям персональных данных; и обеспечивающие сохранность персональных данных, путем размещения и хранения их в специальных строго контролируемых помещениях, расположенных в пределах границ контролируемых и охраняемых зон, находящихся под круглосуточной охраной.
3.1.4. Предприняты необходимые и достаточные технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, такие как:
- использование сертифицированных средств криптографической защиты информации;
- использование средств обнаружения вторжений;
- использование средств анализа защищенности;
- установлена защита от вредоносного программно-цифрового воздействия;
- реализована защита информации от сбоев оборудования и вредоносного программного обеспечения;
- применяется система восстановления информации и персональных данных;
- осуществляется регулярное резервное копированием информации и баз данных.
3.1.6. Организована система контроля за порядком обработки персональных данных и обеспечения их безопасности. Спланированы проверки соответствия системы защиты персональных данных, аудит уровня защищенности персональных данных в информационных системах персональных данных, функционирования средств защиты информации, выявления изменений в режиме обработки и защиты персональных данных.