Политика обработки персональных данных

Московская область, г. Реутов                                                       действует с «21» мая 2025 года

Термины и определения

Персональные данные – любая информация, которая прямо или косвенно относится к вам или позволяет вас определить.

Обработка Персональных данных – совершение любых действий с Персональными данными.

Оператор Персональных данных – юридическое или физическое лицо, осуществляющее обработку Персональных данных. Когда вы посещаете наш сайт, мы становимся Оператором ваших Персональных данных.

Пользователь — лицо, использующее Сайт, желающее воспользоваться услугами Сайта, приобрести товары через Сайт или способами, предусмотренными на Сайте, у индивидуального предпринимателя Феноги Дениса Павловича (ОГРНИП: 325508100268467, ИНН: 504102863705), или лицо, акцептирующее договоры, содержащиеся на Сайте.

Пользователь является субъектом Персональных данных.

Сайт — https://pleksik.ru/. 

1. Общие положения

1.1. Настоящая политика в отношении обработки Персональных данных (далее – Политика) разработана Индивидуальным предпринимателем Феногой Денисом Павловичем
(ОГРНИП: 325508100268467, ИНН: 504102863705)   (далее — «мы», «нас», «нам» или «наш» или Оператор, ИП Фенога Д.П.)  в целях исполнения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О Персональных данных» (далее – Федеральный закон «О Персональных данных»).

1.2.  ИП Фенога Д.П. считает своим долгом защищать конфиденциальность личной информации Пользователей, которые могут быть идентифицированы каким-либо образом и которые посещают Сайт и пользуются его услугами, приобретают товары (далее — «Сервис»). Поправки к настоящей Политике будут размещены на Сайте и/или в сервисах и будут являться действительными сразу после публикации. Ваше дальнейшее использование Сервисов после внесения любых поправок в Политику означает принятие данных изменений.

1.3. Согласие на сбор и использование информации, когда вы присоединяетесь к нам, как Пользователь нашего Сайта/Сервисов Сайта, мы просим предоставить личную информацию, которая будет использоваться в следующих целях: предоставление Пользователю сервисов Сайта, взаимодействие с Пользователем по поводу получения Сервиса, услуг, товаров и для других целей, изложенных в настоящей Политике.  Имя Пользователя, номер телефона, адрес электронной почты, адрес нахождения Пользователя и некоторые другие сведения о Пользователе могут потребоваться нам для первоначального предоставления доступа к Сервисам, или должны быть указаны в процессе использования Сервисов Сайта. Сайт собирает и хранит персональную информацию, которая необходима для предоставления услуг, товаров, Сервиса Сайта Пользователю или исполнения соглашений, договоров с Пользователем, в том числе договоров, содержащихся на Сайте.

Чтобы сообщить персональные данные, Пользователь заполняет расположенные на Сайте электронные формы или переходит по ссылкам, расположенным на Сайте, для получения услуг, товаров и Сервисов Сайта. Персональные данные Пользователя, подлежащие обработке, являются: фамилия, имя, отчество; контактный телефон; данные платежных средств; электронный адрес
(e-mail); адрес, по которому должен быть доставлен товар (услуга); адрес проживания.

Предоставляя личную информацию нам, и, сохранив тем самым возможность с нашей стороны предоставлять вам услуги, товары, Сервис Сайта, вы добровольно соглашаетесь на сбор, использование и раскрытие такой личной информации, которая указана в данной Политике. Не ограничивая вышесказанное, мы можем время от времени уточнять о вашем согласии в процессе сбора, использования или раскрытия вашей личной информации в конкретных обстоятельствах. Иногда ваше согласие будет подразумеваться через ваше взаимодействие с нами, если цель сбора, использования или раскрытия информации очевидна, и вы добровольно предоставляете эту информацию.

Мы можем использовать вашу личную информацию или данные учетной записи для следующих целей (цели обработки):

• для предоставления вам Сервисов, услуг, товаров и для улучшения качества Сайта и Сервисов;
• для предоставления информации вам, чтобы вы могли использовать Сайт и Сервисы более эффективно;
• для исполнения договоров, содержащихся на Сайте;
• для общения с вами с целью информирования об изменениях или дополнениях к Сервисам, или о наличии любых услуг, которые мы предоставляем;
• для оценки уровня обслуживания, мониторинга трафика и показателя популярности различных вариантов обслуживания;
• для осуществления маркетинговых мероприятий, в том числе sms-рассылок;
• для соблюдения данной Политики;
• чтобы ответить на претензии в отношении любого нарушения наших прав или прав любых третьих лиц;
• чтобы соответствовать вашим запросам по обслуживанию клиентов;
• для защиты прав, собственности и личной безопасности вас, нас, наших пользователей и общественности, и как требуется или одобрено законом;
• для идентификации Пользователя, который прошёл процедуру регистрации на Сайте (если применимо), чтобы оформить заказ и (или) на доставку;
• установить с Пользователем обратную связь, под которой подразумевается, в частности, рассылка запросов и уведомлений, касающихся использования Сайта, обработка пользовательских запросов и заявок, оказание прочих услуг;
• подтвердить, что данные, которые предоставил Пользователь, полны и достоверны;
• создать учётную запись для совершения покупок, если Пользователь изъявил на то своё желание;
• своевременно информировать Пользователя об обновлённых товарах;
• знакомить его с уникальными предложениями, новыми ценами, новостями о деятельности Оператора или его партнёров и прочими сведениями, если Пользователь выразит на это своё согласие;
• рекламировать товары, услуги Сайта, если Пользователь выразит на это своё согласие;

Мы можем оповещать вас по поводу наших товаров, услуг, новостей и событий, а также Товаров, услуг, новостей и событий наших клиентов и партнеров, с которыми у нас заключен договор о сотрудничестве. У вас есть возможность не получать эту информацию. Мы предоставляем возможность отказаться от всех почтовых сообщений подобного рода, или приостановить оповещения с описанными выше целями, если вы свяжетесь с нами и подтвердите желание не сообщать вам данную информацию.

1.4. Если у вас есть вопросы об обработке Персональных данных, вы можете написать письмо на наш адрес: 143960, Московская область, г. Реутов, ул. Новая, д. 19, кв. 11 или на наш адрес электронной почты: 7725437@mail.ru.

1.5.  Вы имеете право:

• на доступ к Персональным данным и ознакомление с ними, включая право на получение копии любой записи;
• на уточнение Персональных данных;
• на блокирование и удаление Персональных данных;
• на обжалование наших действий или бездействий;
• на обжалование решений, принятых на основании исключительно автоматизированной обработки ваших Персональных данных;
• на отзыв согласия на обработку Персональных данных.

Указанные права вы можете реализовать, написав официальный запрос по адресам, указанным в п. 1.4. настоящей Политики. Такой запрос может быть направлен на нашу электронную почту в форме электронного документа, подписанного в соответствии с положениями законодательства Российской Федерации об электронной подписи.

1.6.  Лица, виновные в нарушении порядка обращения с Персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством. Обжаловать наши действия как Оператора Персональных данных Пользователь вправе в территориальном органе Роскомнадзора.

2.          Условия обработки персональной информации Пользователей, включая сроки обработки и хранения

2.1.          Обработка Персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О Персональных данных». Обработка Персональных данных допускается в целях, при наличии хотя бы одного из следующих условий:

● обработка Персональных данных осуществляется с согласия субъекта Персональных данных на обработку его Персональных данных;

● обработка Персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора данных функций, полномочий и обязанностей;

● обработка Персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

● обработка Персональных данных необходима для исполнения договора, в том числе договоров, содержащихся на Сайте, получения услуг и Сервисов Сайта, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект Персональных данных, а также для заключения договора по инициативе субъекта Персональных данных или договора, по которому субъект Персональных данных будет являться выгодоприобретателем или поручителем;

● обработка Персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта Персональных данных, если получение согласия субъекта Персональных данных невозможно;

● обработка Персональных данных необходима для осуществления прав и законных интересов Оператора Персональных данных или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта Персональных данных;

● обработка Персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания Персональных данных. Исключение составляет обработка Персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

● осуществляется обработка Персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом Персональных данных, либо по его просьбе;

● осуществляется обработка Персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.2. Биометрические Персональные данные Оператором не обрабатываются.

2.3.  Принятие на основании исключительно автоматизированной обработки Персональных данных решений, порождающих юридические последствия в отношении субъекта Персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

2.4. При отсутствии необходимости письменного согласия субъекта на обработку его Персональных данных факт добровольного предоставления таких данных субъектом или его представителем признается сторонами как факт предоставления Персональных данных с согласия субъекта.

2.5. В случае достижения цели обработки Персональных данных прекращается обработка, хранение Персональных данных или обеспечивается ее прекращение (если обработка данных осуществляется другим лицом, действующим по поручению оператора), данные уничтожаются или обеспечивается их уничтожение (если обработка Персональных данных осуществляется другим лицом, действующим по поручению оператора) в сроки, предусмотренные настоящим пунктом.

Все Персональные данные хранятся и обрабатываются в течение всего срока действия договоров, заключаемых между Оператором и Пользователем, а также при достижении следующих целей обработки:

• в течение 3 лет после прекращения договоров, заключенных между Пользователем и Оператором, для целей судебной защиты интересов Оператора в соответствии со ст. 196 ГК РФ;
• в течение 5 лет после прекращения договоров, заключенных между Пользователем и Оператором, для целей осуществления бухгалтерского и налогового учета в соответствии со ст. 23 Налогового кодекса РФ, ст. 29 Федерального Закона «О бухгалтерском учете» № 402-ФЗ и п. 11–12 Приказа Росархива №236 от 20.12.2019 г.;
• в течение 5 лет после прекращения договоров, заключенных между Пользователем и Оператором, для целей выполнения Оператором п. 4 ст. 7, ст. 5 Федерального Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

По достижении указанных сроков, целей обработки, хранения персональные данные Пользователя уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной системы в срок, не превышающий 30 (тридцати) дней с даты достижения указанных сроков.

2.6. В случае отзыва Пользователем согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь, иным соглашением между Оператором и Пользователем либо если Оператор не вправе осуществлять обработку персональных данных без согласия Пользователя на основаниях, предусмотренных федеральными законами.

2.7. В случае обращения Пользователя к Оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О Персональных данных». Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящем разделе, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

3. Маркетинг и рекламные рассылки

3.1. Маркетинговые и рекламные рассылки осуществляются только при условии получения предварительного согласия Пользователя, выраженного посредством совершения им действий, однозначно идентифицирующих этого Пользователя и позволяющих достоверно установить его волеизъявление на получение рассылки.

3.2. Идентификация Пользователя может осуществляться путем отправки специального кода доступа посредством смс-сообщения на номер, указанный Пользователем. После получения специального кода, Пользователь вводит полученный код в форме идентификации Пользователя на Сайте.

3.3. При авторизации по звонку Пользователь нажимает на ссылку с телефоном, происходит звонок подтверждения авторизации. Звонок бесплатный, длительностью 1 секунда с последующим автоматическим сбросом. Далее для входа в интернет необходимо нажать на автоматически всплывшую кнопку «войти в интернет»

3.4. Идентификация Пользователя с использованием вышеописанной процедуры подразумевает использование механизма обмена сообщениями и специальными кодами доступа в качестве простой цифровой подписи Пользователя при изъявлении согласия на получение рассылки, тем самым устанавливает принадлежность указанного номера телефона лицу, выражающему согласие с настоящей Политикой. Доступ к сети интернет посредством использования гостевого wi-fi соединения допускается только после идентификации Пользователя.

3.5. Пользователь выражает свое согласие путем проставления соответствующей отметки «галочки» в форме авторизации напротив фразы «я даю свое согласие на получение рассылки в соответствии с Политикой». При отсутствии согласия Пользователь обязан незамедлительно прекратить использование Сайта.

3.6. Рассылки осуществляются в форме смс и email рассылок в целях: получения обратной связи от Пользователя любым способом (включая телефонные звонки, отправку смс и email сообщений), информирования Пользователя о Товарах/услугах, оповещения о проводимых акциях, мероприятиях, скидках, новостной рассылки и т.д.

3.7. Согласие на осуществление рассылки предоставляется оператору рассылки.

3.8. Согласие Пользователя на получение рассылки является бессрочным.

3.9. Пользователь вправе по своему усмотрению в любой момент может отозвать согласие или изменить условия получения рассылки.

4. Раскрытие информации. Обработка персональной информации при помощи файлов Cookie

4.1. Мы будем раскрывать вашу личную информацию третьим лицам только в соответствии с вашими инструкциями или в случае необходимости для того, чтобы предоставить вам определенный Сервис и услуги, или по другим причинам в соответствии с действующим законодательством в отношении конфиденциальности. Как правило, мы не осуществляем и не будем осуществлять продажу, сдачу в аренду, распространение или раскрытие вашей личной информации без предварительного получения вашего разрешения или без указания необходимых условий для этих действий в настоящей Политике.

4.2. Сайт может содержать ссылки на другие сайты, и мы не несем ответственности за политику обработки персональных данных или содержание данных сайтов. Мы рекомендуем вам ознакомиться с политикой обработки персональных данных связанных сайтов. Их политика обработки персональных данных и деятельность отличаются от наших политики обработки персональных данных и деятельности.

4.3. Cookies и логгирование мы используем «куки» (cookies) и «логи» (log files) для отслеживания информации о пользователях. Cookies являются небольшими по объему данными, которые передаются веб-сервером через ваш веб-браузер и хранятся на жестком диске вашего компьютера. Мы используем cookies для отслеживания вариантов страниц, которые видел посетитель, для подсчета нажатий, сделанных посетителем на том или ином варианте страницы, для мониторинга трафика и для измерения популярности сервисных настроек. Мы будем использовать данную информацию, чтобы предоставить вам релевантные данные и услуги. Данная информация также позволяет нам убедиться, что посетители видят именно ту целевую страницу, которую они ожидают увидеть.

4.4. Передача собственности или бизнеса в случае смены владельца или другой передачей бизнеса, такой как слияние, поглощение или продажа наших активов, ваша информация может быть передана в соответствии с применимыми законами о конфиденциальности.

4.5. Мы будем стремиться предотвратить несанкционированный доступ к вашей личной информации, однако, никакая передача данных через интернет, мобильное устройство или через беспроводное устройство не могут гарантировать стопроцентную безопасность. Мы будем продолжать укреплять систему безопасности по мере доступности новых технологий и методов. Пожалуйста, помните, что вы контролируете те данные, которые вы сообщаете нам при использовании сервисов. В конечном счете вы несете ответственность за сохранение в тайне вашей личности и/или любой другой личной информации, находящейся в вашем распоряжении в процессе пользования сервисами. Всегда будьте осторожны и ответственны в отношении вашей личной информации. Мы не несем ответственности за использование другими лицами любой информации, которую вы предоставляете им, и вы должны соблюдать осторожность в выборе личной информации, которую вы передаете третьим лицам через сервисы. Точно так же мы не несем ответственности за содержание личной информации или другой информации, которую вы получаете от других пользователей через сервисы, и вы освобождаете нас от любой ответственности в связи с содержанием любой личной информации или другой информации, которую вы можете получить, пользуясь сервисами. Мы не несем никакой ответственности за проверку, точность личной информации или другой информации, предоставленной третьими лицами. Вы освобождаете нас от любой ответственности в связи с использованием подобной личной информации или иной информации о других.

5. Согласие субъекта Персональных данных на обработку Персональных данных

5.1. Обработка Персональных данных возможна только при наличии согласия субъекта Персональных данных на обработку его Персональных данных либо без такого согласия в следующих случаях: обработка Персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством российской федерации на оператора функций, полномочий и обязанностей; обработка Персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект Персональных данных, а также для заключения договора по инициативе субъекта Персональных данных или договора, по которому субъект Персональных данных будет являться выгодоприобретателем; обработка Персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта Персональных данных; обработка Персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки Персональных данных, в целях продвижения товаров, работ и услуг), при условии обязательного обезличивания Персональных данных; обработка Персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом Персональных данных либо по его просьбе; по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.

Перечень действий с Персональными данными, на совершение которых Пользователем дается согласие:

• получение и хранение Персональных данных (в электронном виде и на бумажном носителе);

• уточнение (обновление, изменение) Персональных данных;

• использование Персональных данных для предоставления сервиса, товаров, услуг, получаемых Пользователем через Сайт;

• передача Персональных данных Пользователя в порядке, предусмотренном законодательством РФ;

• в целях рассылки каталогов, в маркетинговых и в иных коммерческих целях. Пользователь вправе отказаться от получения подобных сообщений, следуя по ссылке для отмены подписки, или инструкциям, указанным Оператором данных при получении соответствующего запроса;

• для осуществления связи с Пользователем, в том числе направление уведомлений, запросов, и информации, касающихся использования Сайта, Приложения, исполнения соглашений и договоров, а также обработка заказов и запросов Пользователя;

• на передачу Персональных данных любым третьим лицам на территории Российской Федерации в целях исполнения Договора о предоставлении права использования сервиса Оператора, а также предоставления сервиса, услуг, получаемых Пользователем через Сайт, исполнения настоящей Политики;

• проведение статистических и иных исследований на основе обезличенных данных.

5.2. Субъект Персональных данных принимает решение о предоставлении его Персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку Персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку Персональных данных может быть дано субъектом Персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Просмотр Сайта, а также использование его программ и продуктов подразумевают автоматическое согласие с принятой там Политикой обработки персональных данных, подразумевающей предоставление Пользователем персональных данных на обработку

5.3. Обработка Персональных данных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта Персональных данных. Указанная обработка Персональных данных признается осуществляемой без предварительного согласия субъекта Персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта Персональных данных обработку его Персональных данных.

6.Передача Персональных данных

6.1. При передаче Персональных данных необходимо соблюдать следующие требования:

6.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта Персональных данных, за исключением случаев, установленных федеральным законом.

6.1.2. Не сообщать персональные данные субъекта Персональных данных в коммерческих целях без его письменного согласия субъекта Персональных данных.

6.1.3. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта Персональных данных, обязаны соблюдать режим секретности (конфиденциальности).

6.1.4. Разрешать доступ к персональным данным субъекта Персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

6.2. Персональные данные обрабатываются лицом, ответственным за защиту Персональных данных, уполномоченным Оператором персональных данных. Персональные данные на материальных носителях хранятся по месту нахождения Оператора персональных данных. Персональные данные на электронных носителях хранятся на сервере, установленном по месту нахождения Оператора персональных данных.

6.3. Пользователь подтверждает, что Оператор вправе поручить обработку Персональных данных другому лицу, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку Персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки Персональных данных, предусмотренные федеральным законом. В поручении Оператора должны быть определены перечень действий (операций) с Персональными данными, которые будут совершаться лицом, осуществляющим обработку Персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых Персональных данных.

6.4. Лицо, осуществляющее обработку Персональных данных по поручению оператора, не обязано получать согласие субъекта Персональных данных на обработку его Персональных данных.

6.5. В случае, если оператор поручает обработку Персональных данных другому лицу, ответственность перед субъектом Персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку Персональных данных по поручению оператора, несет ответственность перед Оператором.

6.6. При сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

7. Особенности обработки Персональных данных без использования средств автоматизации

7.1. Обработка Персональных данных, содержащихся в информационной системе Персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение Персональных данных в отношении каждого из субъектов Персональных данных, осуществляются при непосредственном участии человека.

7.2. Обработка Персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе Персональных данных либо были извлечены из нее.

7.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях Персональных данных (далее – Материальные носители), в специальных разделах или на полях форм (бланков).

7.4. При фиксации Персональных данных на Материальных носителях не допускается фиксация на одном Материальном носителе Персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий Персональных данных, осуществляемой без использования средств автоматизации, для каждой категории Персональных данных должен использоваться отдельный материальный носитель.

7.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них Персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

7.5.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки Персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта Персональных данных, источник получения Персональных данных, сроки обработки Персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки Персональных данных;

7.5.2. Типовая форма должна предусматривать поле, в котором субъект Персональных данных может поставить отметку о своем согласии на обработку Персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку Персональных данных;

7.5.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов Персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов Персональных данных;

7.5.4. Типовая форма должна исключать объединение полей, предназначенных для внесения Персональных данных, цели обработки которых заведомо не совместимы.

7.6. При несовместимости целей обработки Персональных данных, зафиксированных на одном Материальном носителе, если Материальный носитель не позволяет осуществлять обработку Персональных данных отдельно от других зафиксированных на том же носителе Персональных данных, должны быть приняты меры по обеспечению раздельной обработки Персональных данных.

7.7. Уничтожение или обезличивание части Персональных данных, если это допускается Материальным носителем, может производиться способом, исключающим дальнейшую обработку этих Персональных данных с сохранением возможности обработки иных данных, зафиксированных на Материальном носителе.

7.8. Уточнение Персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на Материальном носителе, а если это не допускается техническими особенностями Материального носителя, осуществляется путем фиксации на том же Материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового Материального носителя с уточненными Персональными данными.

7.9. Обработка Персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории Персональных данных можно было определить места хранения Персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку Персональных данных либо имеющих к ним доступ.

7.10. При хранении Материальных носителей должны соблюдаться условия, обеспечивающие сохранность Персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором персональных данных.

8. Меры, направленные на защиту Персональных данных

8.1. Персональные данные, обрабатываемые при помощи Материальных носителей, должны храниться в запирающихся шкафах, в помещениях, доступ к которым может ограничен для определенного круга лиц. Меры физической защиты должны обеспечивать контроль доступа к Персональным данным. Сохранность Персональных данных, обрабатываемые при помощи вычислительной техники, должна быть обеспечена средствами программного обеспечения, в т.ч. путем предоставления доступа к персональным данным только после ввода логина и пароля соответствующего лица, у которого есть доступ к персональным данным или иным способом, обеспечивающим контроль доступа к персональным данным.

8.2. Меры по обеспечению безопасности Персональных данных принимаются для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.

8.3. Оценка эффективности реализованных в рамках системы защиты Персональных данных мер по обеспечению безопасности Персональных данных проводится Оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по технической защите конфиденциальной информации.

8.4. В состав мер по обеспечению безопасности Персональных данных, реализуемых в рамках системы защиты Персональных данных с учетом актуальных угроз безопасности Персональных данных и применяемых информационных технологий, входят: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные; регистрация событий безопасности;

антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности Персональных данных; обеспечение целостности информационной системы и Персональных данных; обеспечение доступности Персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности Персональных данных (далее — инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты Персональных данных.

8.5. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

8.6. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

8.7. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

8.8. Меры по защите машинных носителей Персональных данных (средств обработки (хранения) Персональных данных, съемных машинных носителей Персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей Персональных данных.

8.9. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

8.10. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

8.11. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

8.12. Меры по контролю (анализу) защищенности Персональных данных должны обеспечивать контроль уровня защищенности Персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты Персональных данных.

8.13. Меры по обеспечению целостности информационной системы и Персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней Персональных данных, а также возможность восстановления информационной системы и содержащихся в ней Персональных данных.

8.14. Меры по обеспечению доступности Персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

8.15. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

8.16. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту Персональных данных, представленных в виде информативных электрических сигналов и физических полей.

8.17. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту Персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности Персональных данных.

8.18. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

8.19. Меры по управлению конфигурацией информационной системы и системы защиты Персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты Персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности Персональных данных, а также документирование этих изменений.

8.20. Выбор мер по обеспечению безопасности Персональных данных, подлежащих реализации в информационной системе в рамках системы защиты Персональных данных, включает: определение базового набора мер по обеспечению безопасности Персональных данных для установленного уровня защищенности Персональных данных; адаптацию базового набора мер по обеспечению безопасности Персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе); уточнение адаптированного базового набора мер по обеспечению безопасности Персональных данных, в результате чего определяются меры по обеспечению безопасности Персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности Персональных данных для конкретной информационной системы; дополнение уточненного адаптированного базового набора мер по обеспечению безопасности Персональных данных мерами, обеспечивающими выполнение требований к защите Персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности Персональных данных и защиты информации.

8.21. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности Персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности Персональных данных. В этом случае в ходе разработки системы защиты Персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности Персональных данных.

9. Меры безопасности, предпринимаемые при получении и сборе информации

9.1. В процессе оказания услуг Оператором осуществляется сбор сведений и информации о физических лицах, являющихся потребителями товаров, работ и услуг Оператора.

9.2. При предоставлении доступа к информационно-коммуникационной сети «Интернет», использования Сайта Пользователь принимает условия Политики и дает свое согласие на обработку данных, которые должны быть получены Оператором в целях исполнения действующего законодательства, а также данных, которые могут быть получены Оператором вследствие исполнения Оператором и Пользователем условий Политики и осуществления хозяйственной деятельности.

9.3. Порядок обеспечения защиты Персональных данных, установленный настоящим положением о защите Персональных данных, распространяется на информацию, полученную в результате предоставления доступа Пользователя к Сайту.

10. Заключительные положения

10.1. Оператор обязан опубликовать (в том числе в информационно-телекоммуникационной сети «Интернет») или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных

10.2. Обеспечение безопасности Персональных данных достигается:

10.2.1. Определением угроз безопасности Персональных данных при их обработке в информационных системах Персональных данных;

10.2.2. Применением организационных и технических мер по обеспечению безопасности Персональных данных при их обработке в информационных системах Персональных данных, необходимых для выполнения требований к защите Персональных данных;

10.2.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

10.2.4. Оценкой эффективности принимаемых мер по обеспечению безопасности Персональных данных до ввода в эксплуатацию информационной системы Персональных данных;

10.2.5. Учетом машинных носителей Персональных данных;

10.2.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

10.2.7. Восстановлением Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

10.2.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе Персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Персональных данных;

10.2.9. Контролем за принимаемыми мерами по обеспечению безопасности Персональных данных и уровня защищенности информационных систем Персональных данных.