ПОЛИТИКА
обработки персональных данных
пользователей веб-сайтов, потребителей продукции РБ
в Обществе с ограниченной ответственностью «Ариель»
1. Общие положения
1.1. Настоящая Политика обработки персональных данных пользователей веб-сайтов, потребителей продукции РБ (далее – «Политика») является политикой Общества с ограниченной ответственностью «Ариель» ( как оператора персональных данных пользователей веб-сайтов, принадлежащих Обществу и размещенных в сети Интернет (далее – «Сайт»), и определяет цели, общие принципы, содержание и порядок обработки персональных данных таких пользователей, потребителей продукции «Ариель» (далее – «Пользователи Сайта»), а также принимаемые Обществом меры и применяемые им процедуры по обеспечению защиты и безопасности таких персональных данных.
1.2. Настоящая Политика разработана в соответствии с положениями закона от 27.07.2006 № 152-РБ «О персональных данных» (далее «О персональных данных»), а также другими нормативными правовыми актами РБ, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.3. Настоящая Политика является дополнением к глобальной политике группы компаний Ariel в отношении обработки персональных данных, а также Положению о порядке обработки и обеспечении безопасности персональных данных в Обществе с ограниченной ответственностью «Ариель»
Глобальная политика группы компаний Ariel размещена и доступна для ознакомления по адресу: https://ariel.by/politika-konfidenczialnosti/
Общество с ограниченной ответственностью «Ариель» зарегистрировано.
1.4. Целью Политики является обеспечение защиты прав Пользователей Сайта при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Республики Беларусь в области персональных данных.
1.5. Используя Cайт (просмотр, чтение текста, регистрация, отправка или загрузка информации на Сайте, включая заполнение регистрационной формы, формы отзыва и/или формы заказа продукции) и предоставляя свои персональные данные, Пользователь Сайта подтверждает, что он принимает правила пользования Сайтом, предусмотренные в Пользовательском соглашении, и, действуя свободно, своей волей и в своем интересе, предоставляет Обществу конкретное, информированное и сознательное согласие на обработку своих персональных данных в соответствии с настоящей Политикой, а также изложенными в ней правилами обработки персональных данных.
2. Используемые термины
В Политике используются следующие термины и определения:
автоматизированная обработка персональных данных – обработка данных с помощью средств вычислительной техники;
биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет;
конфиденциальность персональных данных – режим работы с персональными данными с соблюдением обязанности лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; в Политике под оператором понимается Общество, если иное не указано специально;
персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
сайт Общества – корпоративный или любой иной сайт/страница в сети Интернет, а также приложения для мобильных устройств и иные похожие виды программного обеспечения, относящиеся к одному или нескольким брендам Общества и направленные на продвижение продукции, реализуемой Обществом, созданные и/или функционирующие/ администрируемые по заказу и/или под контролем Общества;
субъект персональных данных – физическое лицо, к которому относятся персональные данные;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
маркетинговая акция – стимулирующее мероприятие для потребителей, направленное на увеличение продаж продукции Общества, организацию и проведение которого осуществляет Общество или иные лица по поручению Общества;
участник акции – субъект персональных данных, участвующий в акциях, проводимых Обществом или в интересах Общества, чьи данные хранятся и обрабатываются в системах Общества.
3. Категории субъектов и состав персональных данных. Цели, сроки и принципы обработки персональных данных
3.1. Субъекты персональных данных
Общество является оператором в отношении персональных данных следующих субъектов:
3.1.1. Зарегистрированных (авторизованных) пользователей Сайта Общества
Цели обработки:
Регистрация на сайте, идентификация пользователя на сайте, информирование о продукции Общества и проводимых им акциях; предоставление посетителю Сайта доступа к познавательной информации, размещенной на сайте, направление ответов на обращения посетителей по вопросам, связанным с тематикой Сайта.
Категории обрабатываемых персональных данных:
Имя, контактный телефон, адрес электронной почты (e-mail)
Срок обработки:
Весь период пользования Сайтом (регистрации на Сайте)
3.1.2. Участников маркетинговых акций, проводимых Оператором или в интересах Оператора для целей продвижения продукции Ариель
Цели обработки:
Привлечение субъектов к участию в акциях и маркетинговых исследованиях, проводимых Обществом или в интересах Общества, информирование о продукции Общества и проводимых им акциях; публикация списков победителей акций и лиц, выигравших призы, организация доставки призов (в случае выигрыша); выполнение Обществом обязанности налогового агента по налогу на доходы физических лиц; проведение маркетинговых исследований и аналитики полученных данных.
Категории обрабатываемых персональных данных:
Имя, фамилия, отчество, контактный телефон, контактный адрес электронной почты (e-mail), аккаунт (ID) участника акции в социальных сетях, а также иные персональные данные, предоставление которых предусмотрено условиями проведения конкретной маркетинговой акции.
Срок обработки:
Весь период проведения маркетинговой акции и далее в течение 5 лет с момента завершения соответствующей маркетинговой акции
3.1.3. Пользователей интернет-магазина продукции, реализуемой Обществом
Цели обработки:
идентификацию Пользователя Сайта, регистрацию в личном кабинете; получение сервисов и услуг, предоставляемых интернет-магазином, в том числе оформление договора купли-продажи продукции, в том числе с партнерами Общества, организация исполнения договора купли-продажи между Пользователем Сайта и партнером Общества, организация доставки заказанной Пользователем Сайта продукции; предоставление Пользователю Сайта информации об Обществе, его продукции, имеющихся у партнеров Общества скидках и акциях на такую продукцию; установления обратной связи, включая направление уведомлений, запросов, касающихся, оформления заказов, обработка запросов и заявок от Пользователя Сайта.
Категории обрабатываемых персональных данных:
Имя, фамилия, контактный телефон; адрес доставки; адрес электронной почты (e-mail), сведения о покупках в интернет-магазине
Срок обработки:
Весь период пользования Сайтом (регистрации на Сайте)
3.2. Оговорки
3.2.1. В отношении указанных в п. 3.1. настоящей Политики субъектов персональных данных, а также в отношении незарегистрированных посетителей интернет-сайтов Общества в целях информирования о деятельности Общества, проводимых им мероприятиях/акциях, продукции, реализуемой Обществом, Общество использует файлы cookie (куки) для сбора информации о посетителях Сайта в маркетинговых целях, включая статистические данные о действиях пользователей на Сайте и в Интернете, которые являются косвенно идентифицирующей таких пользователей информацией. Порядок использования файлов cookie предусмотрен в Политике в отношении файлов cookie.
3.2.2. При обращении потребителя на горячую линию, электронный адрес, а также через форму обратной связи на сайте Общества Общество не запрашивает персональные данные пользователя, обращающегося по указанным выше контактам и в связи с этим не принимает на себя обязанности по выполнению требований, предусмотренных законодательством о персональных данных. Претензии, связанные с защитой прав потребителей, можно направить по адресу: 115114, РФ, г. Москва, Шлюзовая наб., д. 4, этаж 3.
3.2.3. В некоторых случаях Сайты Общества могут позволить субъекту персональных данных авторизоваться на Сайте с помощью аккаунта субъекта персональных данных в социальной сети или другой учетной записью на сайте третьего лица. Вход на Сайт Общества с помощью аккаунта субъекта персональных данных в социальной сети или другой учетной записи на сайте третьей стороны может позволить Обществу собирать персональные данные, размещенные в соответствующей социальной сети или сайте третьего лица. Авторизовываясь на Сайте Общества с помощью своего аккаунта в социальной сети или другой учетной записи на сайте третьего лица, Субъект персональных данных дает свое согласие Обществу на обработку персональных данных, размещенных в соответствующей социальной сети или сайте третьего лица.
3.2.4. Общество не принимает на себя никаких обязательств по проверке достоверности персональных данных, указанных Субъектами персональных данных и не несет ответственности в случае, если такой Субъект предоставит больший объем данных, чем это предусмотрено регистрационной формой и целями обработки персональных данных, в том числе специальные категории персональных данных. Предоставляя персональные данные в большем объеме, чем это предусмотрено регистрационной формой и целями обработки персональных данных, указанными в настоящей Политике, Субъект персональных данных выражает свое согласие на обработку таких персональных данных Оператором.
3.3. Принципы обработки персональных данных
Обработка персональных данных субъектов персональных данных осуществляется Обществом в соответствии со следующими принципами:
• Законность и справедливая основа обработки персональных данных. Общество принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные Пользователей Сайта в случаях, когда это не допускается законодательством и не требуется для достижения определенных Обществом целей.
• Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
• Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки; недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям обработки персональных данных.
• Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
• Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Общество принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Общества их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
• Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных, а также согласием субъекта персональных данных на обработку данных.
• Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, истечении срока обработки персональных данных, установленных согласием на обработку персональных данных, если иное не предусмотрено законодательством или договорами с субъектами персональных данных.
4. Условия обработки персональных данных
4.1. Обработка персональных данных Обществом допускается в следующих случаях:
4.1.1. При наличии согласия субъекта персональных данных на обработку его персональных данных. Порядок получения Обществом согласия субъекта персональных данных предусмотрен в разделе 7 настоящей Политики;
4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Общество функций, полномочий и обязанностей; по достижению цели обработки, а также наступления иных оснований, предусмотренных законодательством Российской Федерации, персональные данные Посетителей сайта уничтожаются;
4.1.3. Для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных;
4.1.4. Обработка персональных данных Обществом необходима для осуществления прав и законных интересов Общества и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных;
4.1.5. Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
4.1.6. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством;
4.1.7. Общество не раскрывает третьим лицам и не распространяет персональные данные Пользователей Сайта без их согласия, если иное не предусмотрено законодательством, договором с субъектом персональных данных или не указано в полученном от него согласии на обработку персональных данных;
4.1.8. Общество не обрабатывает биометрические персональные данные Пользователей сайта, а также не обрабатывает персональные данные Пользователей Сайта, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и т.д., за исключением случаев, прямо предусмотренных законодательством или в случаях, когда такая информация размещена в общедоступных источниках, в том числе – на информационных ресурсах в сети Интернет.
5. Способы обработки персональных данных
5.1. Общество осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации и случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
5.2. Настоящая Политика предусматривает обработку персональных данных любыми способами, предусмотренными законодательством РБ, в том числе, путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи третьим лицам (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.
5.3. При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Республике Беларусь.
5.4. Все персональные данные, в отношении которых, при необходимости, осуществляется трансграничная передача, при их сборе записываются в базы данных, находящиеся в офисе Общества или арендуемых им серверах в дата-центрах (облачных инфраструктурах), размещенных на территории Российской Федерации, в которых происходит, при необходимости, также их уточнение, изменение или обновление перед трансграничной передачей изменившихся персональных данных.
6. Конфиденциальность персональных данных
6.1. Общество обеспечивает соблюдение конфиденциальности персональных данных Пользователей Сайта всеми работниками Общества, получившими доступ к таким данным.
6.2. Общество вправе с согласия Пользователя Сайта поручить обработку персональных данных такого Пользователя другому лицу, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. Объем передаваемых другому лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Обществом. В поручении Общества должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных.
6.3. При выполнении поручения Общества на обработку персональных данных лицо, которому такая обработка поручена, вправе использовать для обработки персональных данных свои информационные системы, расположенные на территории Российской Федерации и соответствующие требованиям безопасности, установленным законодательством, что отражается Обществом в заключаемом договоре поручения на обработку персональных данных.
6.4. Общество вправе разместить свои информационные системы персональных данных в дата-центре или облачной вычислительной инфраструктуре. Если в соответствии с договором с дата-центром (провайдером облачных вычислений) доступ персонала дата-центра (провайдера) к обрабатываемым данным Общества не допускается, данное размещение не рассматривается Обществом как поручение дата-центру на обработку персональных данных и не требует согласия субъектов персональных данных. В договоре с дата-центром (провайдером) во всех случаях отражаются требования конфиденциальности и безопасности обрабатываемых персональных данных.
6.5. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом. Общество вправе поручать обработку персональных данных любому лицу, в том числе, не ограничиваясь, лицу, входящему в группу компаний Reckitt Benckiser на условиях и в целях, предусмотренных действующим законодательством и настоящей Политикой.
6.6. При проведении маркетинговых акций Общество вправе поручить обработку персональных данных лицу, являющемуся Оператором такой акции в соответствии с заключенным с Обществом договором и указанному в качестве Оператора акции в условиях проведения соответствующей маркетинговой акции.
7. Согласие субъекта персональных данных на обработку персональных данных
7.1. Пользователь Сайта принимает решение о предоставлении своих персональных данных Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
Согласие считается предоставленным, если субъект персональных данных отмечает соответствующее поле («тик-бокс») в регистрационной форме/форме обратной связи на сайте Общества/ или путем нажатия кнопки «Согласен», чтобы подтвердить согласие с настоящей Политикой (иными документами по вопросам обработки персональных данных).
Помимо прочего субъект персональных данных дает согласие на обработку своих персональных данных, акцептуя оферту о предоставлении им информации, услуг и возможности участия в акциях, проводимых Обществом и/или в его интересах. Акцептом оферты является предоставление Участникам акций персональных данных, запрашиваемых Обществом или по поручению Общества в специально разработанных для этого анкетах участников акций или веб-формах на интернет-сайтах Общества и/или его контрагентов, организующих и проводящих акции в интересах Общества.
7.2. Согласие субъекта персональных данных, получаемое Обществом при использовании файлов cookie, дается путем принятия Политики в отношении файлов cookie и простановки соответствующей отметки («галочки») в чек-боксе на сайтах Общества или путем нажатия уведомления на соответствующей иконке (или путем нажатия на иконку закрытия баннера) со ссылкой на Политику в отношении файлов cookie.
7.3. Обработка Обществом персональных данных Пользователя Сайта производится только в отношении того объема персональных данных, на который Обществом было получено согласие такого Пользователя.
Обработка Обществом персональных данных Пользователя Сайта без наличия согласия такого Пользователя не допускается, за исключением случаев, предусмотренных законодательством.
Указанное согласие включает также согласие Пользователя на трансграничную передачу его персональных данных в случаях, когда она необходима для получения сервисов и услуг, предусмотренных Сайтом.
Пользователь Сайта предоставляет свое согласие на обработку персональных данных на весь срок, необходимый Обществу для достижения целей обработки (срок функционирования Сайта).
Если согласие на обработку персональных данных было изначально предоставлено субъектом в электронной форме на сайте Общества, отзыв такого согласия может быть произведен как в бумажной, так и в электронной форме с использованием аккаунта (учетной записи) соответствующего пользователя на сайте Общества.
В случае получения отзыва согласия в бумажной форме владелец Сайта в целях идентификации субъекта персональных данных вправе запросить у такого лица дополнительные сведения, предоставленные субъектом персональных данных при регистрации на Сайте, либо попросить такое лицо направить электронный запрос на отзыв согласия на обработку персональных данных через соответствующий аккаунт (учетную запись) субъекта персональных данных на сайте Общества. В случае невыполнения обратившимся лицом таких дополнительных действий владелец Сайта вправе отказать такому лицу в отзыве согласия на обработку персональных данных в целях защиты прав третьих лиц.
7.4. Последствия отзыва субъектом персональных данных согласия на обработку:
• В случае отзыва ранее данного согласия на обработку персональных данных Зарегистрированным (авторизованным) Пользователем Сайта Общества он не сможет получить ответ на свое обращение, связанное с тематикой сайта;
• В случае отзыва ранее данного согласия на обработку персональных данных Участником акции до ее завершения он не сможет далее участвовать в такой акции, в том числе получить приз, в случае его выигрыша;
• В случае отзыва ранее данного согласия на обработку персональных данных Пользователем интернет-магазина он не сможет воспользоваться Сайтом и предоставляемыми с его помощью услугами.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных, если законных оснований продолжить их обработку нет, Общество прекращает обработку таких персональных данных (обеспечивает прекращение обработки персональных данных лицами, которым такая обработка была поручена Обществом) и уничтожает персональные данные (обеспечивает их уничтожение контрагентами, которые обрабатывали эти данные по поручению Общества), в течение 30 дней с момента получения отзыва согласия субъекта на обработку его персональных данных.
8. Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей подтверждение факта обработки персональных данных Обществом; сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или в соответствии с законодательством, информацию об осуществленной или предполагаемой трансграничной передаче данных, иные сведения, предусмотренные законодательством.
8.2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Требование субъекта должно быть предоставлено в письменной или электронной форме с указанием сведений о документе, удостоверяющем личность, или персональных данных, указанных им при предоставлении персональных данных Обществу, и позволяющих его идентифицировать.
8.3. Запрос субъекта на предоставление информации, связанной с обработкой персональных данных Обществом, должен содержать:
• фамилию, имя, отчество субъекта персональных данных или его представителя;
• номер основного документа, удостоверяющего личность субъекта персональных данных, а также его представителя (если запрос направлен представителем), сведения о дате выдачи указанного документа (документов) и выдавшем его (их) органе (органах);
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом;
• подпись субъекта персональных данных или его представителя.
8.4. Пользователь Сайта имеет право отозвать свое согласие на обработку персональных данных в порядке, предусмотренном разделом 7 настоящей Политики.
Если Пользователь Сайта считает, что Общество осуществляет обработку его персональных данных с нарушением требований федеральных законов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9. Защита персональных данных и реализуемые меры
9.1. Безопасность персональных данных обеспечивается реализацией Обществом правовых, организационных и технических мер, необходимых и достаточных для защиты персональных данных от несанкционированного или случайного доступа к ним, а также от иных неправомерных действий в отношении персональных данных.
9.2. Правовые меры, принимаемые Обществом, включают:
• разработку и принятие локальных актов Общества, реализующих требования законодательства, в том числе – настоящей Политики Общества в отношении обработки персональных данных;
• отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям и требованиям законодательства.
9.3. Организационные меры, принимаемые Обществом, включают:
• назначение лица, ответственного за организацию обработки персональных данных;
• назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
• ограничение состава работников Общества, имеющих доступ к персональным данным Пользователей Сайта, и организацию разрешительной системы доступа к ним;
• ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных Пользователей Сайта, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Общества по вопросам обработки персональных данных;
• обучение всех категорий работников Общества, непосредственно осуществляющих обработку персональных данных Пользователей Сайта, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
• регламентацию процессов обработки персональных данных Пользователей Сайта в Обществе;
• организацию учета материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
• определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе частной модели (моделей) актуальных угроз;
• размещение технических средств обработки персональных данных в пределах охраняемой территории;
• ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, в которых ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.
9.4. Технические меры, принимаемые Обществом, включают:
• разработку на основе частной модели угроз системы защиты персональных данных для установленных Правительством РФ уровней защищенности персональных данных при их обработке в информационных системах;
• использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
• реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и к программно-аппаратным и программным средствам защиты информации;
• регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;
• безопасное межсетевое взаимодействие (применение межсетевого экранирования);
• обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных);
• периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
• контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.
При размещении информационной системы в дата-центре часть мер безопасности может быть принята дата-центром, что отражается в договоре между Обществом и дата-центром.
10. Заключительные положения
10.1. Настоящая Политика вступает в силу с даты ее утверждения и подлежит размещению на сайтах Общества с предоставлением неограниченного доступа к ней любого лица.
10.2. Общество вправе вносить изменения или дополнения в положения настоящей Политики по мере необходимости с обязательным опубликованием измененной редакции на Сайте Общества. Внесенные изменения порождают для Субъекта персональных данных правовые последствия с момента опубликования измененной редакции настоящей Политики. Продолжение использования Сайта после публикации новой редакции Политики означает согласие Пользователя Сайта с положениями такой новой редакции Политики.
10.3. Обязательный пересмотр Политики Обществом проводится в случае существенных изменений обязательных для России норм международного права или действующего законодательства Российской Федерации в сфере персональных данных.
10.4. В случае возникновения вопросов относительно положений и порядка действия настоящей Политики субъект персональных данных в любое время вправе обратиться за разъяснениями к Обществу, направив обращение по адресу электронной почты: finish.safecare@yandex.by