Работа с персональными данными работников: ответы на вопросы (Часть 4)

4 октября 2022

1505

Время чтения: 23 мин.

#общие вопросы #трудовое право #трудовые отношения #зарплата и управление персоналом #инструкция #нововведения

Нет времени читать? Отправить на почту

Что следует делать работодателям, чтобы обеспечить охрану персональных данных работников, и как уведомлять Роскомнадзор о намерении обрабатывать персональные данные, с учетом изменений законодательства, вступивших в силу 1 сентября 2022 года? Об этом вы расскажем в нашей новой статье.

Работа с персональными данными работников: ответы на вопросы (Часть 3)

Какие меры безопасности применяются при обработке персональных данных в информационных системах?

При обработке персональных данных работников следует применять комплекс правовых, организационных и технических мер для их защиты с целью недопущения неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. При этом работодатель может обрабатывать персональные данные с помощью информационных систем. Под ней понимается совокупность всех персональных данных, обрабатываемых работодателем, а также технологий и технических средств для их обработки. Речь идет об обработке персональных данных автоматизированным способом. Требования к защите персональных данных при их обработке в информационных системах утверждены постановлением Правительства РФ от 01.11.2012 № 1119.

Среди мер защиты выделяют определение угроз безопасности персональных данных при их обработке в информационных системах, организационные и технические меры, необходимые для обеспечения необходимого уровня защищенности персональных данных, применение средств защиты, прошедших процедуру оценки соответствия, оценку эффективности принимаемых мер защиты до ввода в эксплуатацию информационной системы персональных данных, учет машинных носителей персональных данных, обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе, обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Определение угроз безопасности персональных данных при их обработке

Угроза безопасности персональных данных – совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены. При определении угроз учитывается содержание персональных данных, характер и способ их обработки, а также другие факторы.

В зависимости от степени возможного вреда, который может быть причинен субъекту персональных данных, угрозы принято разделять на три основные группы. Угрозы 1 типа актуальны для информационных систем, имеющих недокументированные возможности в системном программном обеспечении. Угрозы 2 типа актуальны для информационных систем, имеющих недокументированные возможности в прикладном программном обеспечении. Угрозы 3 типа актуальны для информационных систем, не имеющих недокументированных возможностей в системном и прикладном программном обеспечении.

Определить угрозы безопасности персональных данных можно самостоятельно, однако адекватно оценить степень опасности того или иного фактора неподготовленному человеку достаточно проблематично, а зачастую невозможно. По этой причине для определения угроз желательно обратиться в специализированную организацию, имеющую лицензию Федеральной службы по техническому и экспортному контролю, выданную в порядке, установленном постановлением Правительства РФ от 03.02.2012 № 79. Выявление типа этих угроз необходимо для выбора уровня защищенности, который следует обеспечить работодателю. Постановлением № 1119 предусмотрено 4 уровня защищенности. Первый из них предполагает самую низкую степень защиты, а четвертый – максимальную защиту персональных данных.

Организационные и технические меры для обеспечения необходимого уровня защищенности персональных данных

Постановлением № 1119 утвержден ряд требований, которые необходимо выполнить для обеспечения необходимого уровня защищенности персональных данных. Более подробные требования к защите персональных данных, выполнение которых обеспечивает необходимый уровень их защищенности, содержатся в приказе ФСТЭК от 18.02.2013 № 21 и приказе ФСБ России от 10.07.2014 № 378.

Применение прошедших процедуру оценки соответствия средств защиты информации

Под средствами защиты информации понимаются различные устройства, приспособления, приборы, системы и т.д., при помощи которых осуществляется защита. Все средства защиты информации можно разделить на несколько групп. Технические – технические средства, устройства и приспособления, препятствующие несанкционированному доступу к защищаемой информации. Программные средства – программы, осуществляющие шифрование защищаемой информации, контроль доступа к ней неуполномоченных на это лиц, безопасную передачу информации и т.д. Организационные средства – действия оператора персональных по организации процесса сбора, хранения и обработке персональных данных, подлежащих защите. Это может выражаться в оборудовании помещения для хранения персональных данных, ограничении доступа в такое помещение, определении порядка работы с персональными данными и т.д.

Для защиты персональных данных работников необходимо использовать программные средства, прошедшие процедуру оценки соответствия этих средств требованиям закона. Проблема заключается в том, что в законе не закреплено понятие «оценки соответствия». Согласно распространенному мнению формой оценки соответствия средств защиты является их сертификация, однако ни в одном нормативном акте не содержится обязанности оператора персональных данных использовать исключительно сертифицированные в системе ФСТЭК средства защиты. Тем не менее, в информационном сообщении ФСТЭК России от 04.05.2012 № 240/24/1701 ведомство пришло к выводу, что оценка средств, предназначенных для защиты информации конфиденциального характера, а также средств контроля эффективности и защиты информации в целях защиты персональных данных осуществляется в форме обязательной сертификации. Таким образом, для защиты персональных данных целесообразно применять исключительно средства, имеющие сертификат соответствия.

Оценка эффективности принимаемых мер защиты до ввода в эксплуатацию информационной системы персональных данных

Перед началом обработки персональных данных работников необходимо убедиться в том, что принятые меры достаточны для их качественной и всесторонней защиты от несанкционированного доступа, распространения, кражи и т.д. Меры можно считать достаточными, если их применение способно полностью устранить угрозы информации или свести эти угрозы к приемлемому уровню.

В какой именно форме проводить оценку эффективности предпринятых мер выбирает сам работодатель. Например, можно провести внутренний аудит или пройти добровольную аттестацию по требованиям безопасности в системе сертификации ФСТЭК России. В ходе оценки эффективности мер защиты персональных данных желательно разработать и утвердить порядок оценки, в котором установить последовательность действий, процедуру сопоставления мер по защите информации и актуальных угроз, критерии соответствия или несоответствия той или иной меры предъявляемым к ней требованиям и т.д., проанализировать достаточность предпринятых мер для эффективной защиты персональных данных работников. Кроме того, можно провести испытания систем защиты информации, например, смоделировав попытку третьих лиц получить персональные данные в обход систем защиты. Также надо обобщить результаты оценки. Если в результате проведенной оценки мер защиты информации выяснилось, что для полноценной защиты персональных данных предпринятых мер недостаточно, их нужно скорректировать или дополнить.

Учет машинных носителей персональных данных

Под машинными носителями информации подразумеваются носители, на которых хранятся и обрабатываются персональные данные работников. В частности, под машинными носителями принято понимать флеш-накопители, компакт-диски, внешние жесткие диски и другие носители, на которых хранятся персональные данные работники. Для защиты содержащихся на них сведений доступ и перемещение таких носителей должны быть учтены и строго ограничены. Самым простым и распространенным способом учета таких носителей является ведение журнала учета машинных носителей персональных данных. В таком журнале, как правило, отражаются тип и емкость носителя, его признаки, номер, место хранения/установи, даты установки носителя, изменения, дополнения или уничтожения, содержащихся на нем данных, лицо, ответственное за учет носителей и т.д.

Обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе

Для облегчения слежения за движением персональных данных и контроля их предоставления тем или иным лицам следует вести их строгий учет. Одним из наиболее простых способов учета персональных данных является ведения журнал учета персональных данных. Хотя закон не обязывает работодателя заводить его в обязательном порядке, рекомендуется все же сделать это. В журнале следует фиксировать все операции, осуществляемые с персональными данными работников. Не лишним будет и проставление отметок о том, кто, в какое время и с какой целью получал доступ к тем или иным персональным данным работников. Форма журнала не утверждена законом, поэтому разработать ее можно самостоятельно.

Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер

Закон не содержит каких-либо четких инструкций по обнаружению фактов несанкционированного доступа к персональным данным, поэтому работодателю следует определить порядок действий самостоятельно. В частности, можно проводить регулярный аудит соблюдения правил хранения и обработки персональных данных, порядка хранения и доступа к носителям информации, порядка учета носителей информации, содержащих персональные данные и предоставления такой информации и т.д.

Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

Поскольку вследствие несанкционированного доступа к персональным данным они могут быть модифицированы или уничтожены, необходимо заблаговременно принять меры, позволяющие их восстановить. Одним из самых удобных способов сделать это – создание резервных копий персональных данных. Доступ к носителям, на которых хранятся резервные копии персональных данных, должен быть максимально ограничен.

Какие есть права работника по защите своих персональных данных?

Каждый сотрудник, чьи персональные данные обрабатываются работодателем, имеет ряд прав. Они закреплены в ст. 89 ТК РФ, а также в ряде статей Закона № 152-ФЗ.

Право работника на доступ к его персональным данным

Сотрудник организации имеет право на полную информацию о персональных данных, хранящихся у работодателя, а также на информацию об их обработке. Так, по запросу работника ему необходимо сообщить подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, цели и применяемые способы обработки персональных данных, наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом, сроки обработки персональных данных, в том числе сроки их хранения, порядок осуществления субъектом прав, предусмотренных Законом № 152-ФЗ относительно персональных данных, информацию об осуществленной или о предполагаемой трансграничной передаче данных, наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу, информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона № 152-ФЗ, иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Для получения этой информации сотрудник должен обратиться к работодателю. Запрос на ознакомление с персональными данными работник вправе направить как на бумажном носителе, так и в электронной форме. В последнем случае запрос должен быть подписан электронной подписью. Запрос должен содержать номер основного документа, удостоверяющего личность работника, сведения о дате выдачи документа и выдавшем органе, сведения, подтверждающие участие сотрудника в отношениях с работодателем, иные сведения, подтверждающие факт обработки персональных данных сотрудника работодателем, подпись работника или его представителя. В течение 10 рабочих дней после получения такого запроса работодатель должен направить ответ или предоставить персональные данные для ознакомления работнику. Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом работнику нужно направить уведомление с указанием причин продления срока предоставления запрашиваемой информации.

Сведения о персональных данных должны быть предоставлены в доступной и понятной форме. Работник может потребовать копии документов и других записей, содержащих его персональные данные. При этом необходимо обратить особое внимание на то, чтобы в них не содержались персональные данные других работников. Согласно абз. 3 ст. 89 ТК РФ доступ работников к своим персональным данным бесплатный. Это означает, что взимать плату с сотрудников при предоставлении таких сведений не нужно. Следует помнить, что в некоторых случаях работнику может быть отказано в предоставлении информации о персональных данных. Перечень таких случаев закреплен в ч. 8 ст. 14 Закона № 152-ФЗ. Отказ в предоставлении персональных данных необходимо направить работнику в письменной форме в течение 10 рабочих дней с даты получения запроса. При этом обязательно нужно сослаться на норму, которая не позволяет предоставить работнику запрошенные им сведения. Этот срок может быть продлен не более чем на 5 рабочих дней, уведомив работника о причинах продления. Повторно обратиться к работодателю с таким же запросом работник может не ранее 30 дней со дня первоначального обращения. Исключение составляют случаи, когда, по мнению работника, ему были предоставлены данные не в полном объеме. В повторном предоставлении сведений работнику можно отказать, однако такой отказ обязательно должен быть мотивированным и обоснованным.

Право на исправление или исключение персональных данных

Если в процессе ознакомления со своими персональными данными работник обнаружит, что они являются неполными, неточными или неактуальными и предоставит подтверждающие это документы, а также другие доказательства, необходимо исправить персональные данные в течение семи рабочих дней со дня предоставления доказательств. Если работник выяснит и докажет, что находящиеся у работодателя персональные данные были получены незаконным путем или не являются необходимыми для заявленной цели обработки, необходимо уничтожить такие персональные данные в семидневный срок. О внесении изменений или уничтожении данных необходимо уведомить как самого работника, так и третьих лиц, которым такие данные передавались ранее.

Нередко работодатель хранит персональные данные работника, которые носят оценочный характер. Если работник не согласен с такими персональными данными или желает их дополнить, он вправе написать соответствующее заявление, выражающее его точку зрения. Необходимо помнить, что в случае отказа работодателя уничтожить или исправить персональные данные работника, он может обратиться к работодателю с заявлением о своем несогласии с таким отказом. Кроме того, работник может обратиться в суд.

Право отозвать согласие на обработку персональных данных

Работник может отозвать свое согласие на обработку персональных данных в любой момент. Такое право ему предоставлено ч. 2 ст. 9 Закона № 152-ФЗ. При получении от работника подобного заявления обработку персональных данных следует прекратить. При этом нужно учитывать, что данное правило не распространяется на случаи, когда данные могут быть обработаны и без согласия субъекта. Обработку таких персональных данных можно продолжить и после отзыва работником своего согласия.

Право обжаловать действия или бездействия работодателя

Работник, посчитавший, что его персональные данные обрабатываются с нарушением требований Закона № 152-ФЗ, вправе обжаловать действия работодателя в Роскомнадзоре. Кроме того, сотрудник вправе обратиться в суд и потребовать от работодателя возмещения убытков и компенсации морального вреда.

Какая ответственность за нарушение порядка обработки и хранения персональных данных?

За нарушение правил хранения и обработки персональных данных законом предусмотрен ряд штрафов и других мер ответственности. В частности, нарушители законодательства о персональных данных могут быть привлечены к дисциплинарной, гражданско-правовой, материальной, административной и уголовной ответственности.

Дисциплинарная ответственность работника

Дисциплинарная ответственность в виде расторжения трудового договора применяется к работнику, который допустил разглашение персональных данных другого работника. Уволить на этом основании можно любого работника, который узнал персональные данные другого работника в процессе выполнения своих трудовых обязанностей и разгласил их в нарушение установленного законом или нормативными актами организации порядка.

Рассматривая споры о законному увольнении по этому основанию, суды исходят из того, что работодатель должен доказать, что распространенные сведения являлись персональными данными и стали известны уволенному в связи с исполнением трудовых обязанностей, а также тот факт, что он обязывался их не разглашать. Если подобного обязательства работник не давал, либо работодатель не смог доказать факт разглашения, работник сможет оспорить увольнение. При увольнении провинившегося работника следует придерживаться процедуры применения дисциплинарных взысканий, закрепленной в ст. 193 ТК РФ. Подробнее о порядке увольнения читайте в статье Увольнение сотрудника за разглашение коммерческой тайны или персональных данных другого работника.

Гражданско-правовая ответственность работодателя

Причинение гражданину морального вреда в результате нарушения правил получения, хранения или распространения его персональных данных может послужить основанием для подачи работником гражданского иска на основании ст. 151 ГК РФ, ст. 237 ТК РФ. В случае удовлетворения такого иска суд может обязать работодателя компенсировать причиненный гражданину. Помимо этого, на работодателя может быть наложена обязанность опровергнуть сведения, порочащие честь, достоинство и деловую репутацию работника.

Материальная ответственность работника

Работодатель, возместивший работнику моральный вред в результате нарушения законодательства о персональных данных, в свою очередь, может потребовать от работника, по вине которого было допущено это нарушение, возместить причиненный работодателю ущерб. Под ущербом в данном случае понимается сумма, которую работодатель вынужден был выплатить в качестве возмещения морального вреда. Такое право работодателя подтверждается и п. 7 ч. 1 ст. 243 ТК РФ, согласно которой материальная ответственность за разглашение персональных данных лежит на работнике, ответственном за ее неразглашение.

Административная ответственность работника и работодателя

Непредставление в Роскомнадзор уведомления об обработке персональных данных либо его несвоевременное представление, а также представление уведомления, содержащего неполные или недостоверные сведения, может стать основанием для привлечения работодателя к ответственности по ст. 19.7 КоАП РФ. Эта норма предусматривает наказание в виде предупреждения или штрафа от 100 до 300 рублей на граждан, от 300 до 500 рублей на должностных лиц и индивидуальных предпринимателей, от 3 000 до 5 000 рублей на юридических лиц.

Отказ в предоставлении работнику его персональных данных может стать причиной наложения на должностных лиц работодателя штрафа в размере от 5 000 до 10 000 рублей. Аналогичное наказание может быть применено и в случае нарушения сроков предоставления такой информации, а также если предоставленная информация окажется недостоверной. Подробнее об обязанности работодателя предоставлять работнику сведения о его персональных данных читайте в статье Права работника при защите своих персональных данных. Использование несертифицированных информационных систем, баз данных, банков данных, а также средств защиты информации, если они подлежат обязательной сертификации, может привести к наложению штрафа от 1 500 до 2 500 рублей на граждан, от 2 500 до 3 000 рублей на должностных лиц, от 20 000 до 25 000 рублей на юридических лиц.

Помимо взимания штрафа контролирующие органы вправе конфисковать несертифицированные средства защиты информации. Статья 13.11 КоАП РФ предусматривает ответственность за различные нарушения порядка сбора, хранения, использования или распространения персональных данных, за исключением их разглашения лицами, которые получили доступ к персональным данным в силу выполнения своих трудовых обязанностей. В случае выявления подобных нарушений контролирующие органы могут наложить санкции за обработку персональных данных в случаях, не предусмотренных законодательством или обработку, несовместимую с целями сбора персональных данных, если нет признаков уголовно наказуемого деяния, предусмотрено предупреждение или наложение штрафа от 2 000 до 6 000 рублей на граждан, от 10 000 до 20 000 рублей на должностных лиц и предпринимателей, от 60 000 до 100 000 рублей на юридических лиц. То же деяние, совершенное повторно, влечет наказание в виде штрафа от 4 000 до 12 000 рублей на граждан, от 20 000 до 50 000 рублей на должностных лиц, от 50 000 до 100 000 рублей на предпринимателей, от 100 000 до 300 000 рублей на юридических лиц. За обработку персональных данных без согласия субъекта персональных данных, когда такое согласие обязательно, предусмотрен штраф от 6 000 до 10 000 рублей на граждан, от 20 000 до 40 000 рублей на должностных лиц и предпринимателей, от 30 000 до 150 000 рублей на юридических лиц. То же деяние, совершенное повторно, влечет штраф от 10 000 до 20 000 рублей на граждан, от 40 000 до 100 000 рублей на должностных лиц, от 100 000 до 300 000 рублей на предпринимателей, от 300 000 до 500 000 рублей на юридических лиц. За неопубликование документа, определяющего политику оператора персональных данных в отношении обработки персональных данных предусмотрен штраф от 1 500 до 3 000 рублей на граждан, от 6 000 до 12 000 рублей на должностных лиц, 10 000 до 20 000 рублей на предпринимателей, от 30 000 до 60 000 рублей на юридических лиц. За непредставление субъекту персональных данных информации об обработке его персональных данных предусмотрен штраф от 2 000 до 4 000 рублей на граждан, от 8 000 до 12 000 рублей на должностных лиц, от 20 000 до 30 000 рублей на предпринимателей, от 40 000 до 80 000 рублей на юридических лиц. За невыполнение обязанности уточнения персональных данных, их блокировки или уничтожения в установленных законом случаях предусмотрен штраф от 2 000 до 4 000 рублей на граждан, от 8 000 до 20 000 рублей на должностных лиц, от 20 000 до 40 000 рублей на предпринимателей, по 50 000 до 90 000 рублей на юридических лиц. То же деяние, совершенное повторно, влечет наказание в виде штрафа от 20 000 до 30 000 рублей на граждан, от 30 000 до 50 000 рублей на должностных лиц, от 50 000 до 100 000 рублей на предпринимателей, от 300 000 до 500 000 рублей на юридических лиц. За несоблюдение оператором персональных данных сохранности персональных данных, если это повлекло несанкционированный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия с персональными данными, если нет признаков уголовно наказуемого деяния, предусмотрен штраф от 1 500 до 4 000 рублей на граждан, от 8 000 до 20 000 рублей на должностных лиц, от 20 000 до 40 000 рублей на предпринимателей, от 50 000 до 100 000 рублей на юридических лиц. За невыполнение оператором персональных данных обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию предусмотрено предупреждение или штраф от 6 000 до 12 000 рублей на должностных лиц. За невыполнение оператором при сборе персональных данных, в том числе через интернет, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, предусмотрен штраф от 30 000 до 50 000 рублей на граждан, от 100 000 до 200 000 рублей на должностных лиц и предпринимателей, от 1 000 000 до 6 000 000 рублей на юридических лиц.

Разглашение персональных данных в нарушение требований ст. 7 Закона № 152-ФЗ лицом, имеющим доступ к этой информации, наказывается на основании ст. 13.14 КоАП штрафом в размере от 5000 до 10 000 рублей на граждан, от 40 000 до 50 000 рублей или дисквалификация на срок до 3 лет на должностных лиц, от 100 до 200 000 рублей на юридических лиц. Как следует из текста ст. 13.14 КоАП РФ к ответственности по этой статье привлекаются лица, получившие доступ к такой информации в связи с исполнением служебных обязанностей.

Уголовная ответственность

Часть 1 ст. 137 УК РФ предусматривает разные виды наказаний от денежного штрафа до лишения свободы за незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, а также за разглашение таких сведений в публичном выступлении или СМИ. Часть 2 той же статьи также предусматривает наказание от штрафа до лишения свободы, если указанные действия были совершены лицом, воспользовавшимся своим служебным положением. К уголовной ответственности могут привлечь только физическое лицо, совершившее преступление. Юридические лица к уголовной ответственности не привлекаются.

Заказать звонок

Сэкономьте время! Оставьте заявку на консультацию специалиста 1С.

Ваше имя

Телефон *

Подтвердите, что вы не робот *

Нажимая на кнопку , Вы даете согласие на обработку своих персональных данных и соглашаетесь с политикой конфиденциальности

Вконтакте

Содержание статьи

Рассылка нашего блога

Электронная почта *

Политика конфиденциальности персональных данных.

Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всей информации, которую данный сайт, может получить о Пользователе во время использования (а также его субдоменов), его программ и его продуктов.
1. Определение терминов.
В настоящей Политике используются следующие термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному юридическому или физическому лицу (субъекту персональных данных);
– оператор персональных данных – Администрация сайта (далее – Администрация) – сотрудники, уполномоченные на управление, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.;
– сайт — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL), а также его субдоменах;
– субдомены – это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту, а также другие временные страницы, внизу который указана контактная информация Администрации;
– пользователь сайта (далее Пользователь) – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее информацию, материалы и продукты сайта.
2. Общие положения.
2.1 Назначение политики конфиденциальности.
2.1.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет .
2.2. Права и обязанности сторон.
2.2.1. Пользователь вправе:
2.2.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта, и давать согласие на их обработку.
2.2.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
2.2.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.2.2. Администрация обязана:
2.2.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 3 настоящей Политики конфиденциальности.
2.2.2.2. Принять меры для хранения конфиденциальной информации в тайне,
не разглашать без предварительного письменного разрешения Пользователя, а также
не осуществлять продажу, обмен, опубликование, либо разглашение иными
возможными способами переданных персональных данных Пользователя,
за исключением п. 6.3. настоящей Политики Конфиденциальности.
2.2.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
2.2.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
2.3. Использование сайта Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.4. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.
2.5. Настоящая Политика конфиденциальности применяется к сайту.
2.6. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.
3. Цели сбора персональных данных.
3.1. Персональные данные Пользователя Администрация может использовать только в связи с заключением договора, стороной которого является субъект персональных данных. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
4. Правовые основания обработки персональных данных.
Правовым основанием обработки персональных данных является:
– федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
– уставные документы оператора;
– договоры, заключаемые между оператором и субъектом персональных данных;
– согласие субъекта на обработку персональных данных;
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте и включают в себя следующую информацию:
5.1.1. имя Пользователя;
5.1.2. контактный телефон Пользователя;
5.1.3. адрес электронной почты (e-mail).
5.2. К категориям субъектов персональных данных относятся работники оператора.
Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
6.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
6.4. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
6.5. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
7. Разрешение споров.
7.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
7.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
7.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда.
7.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.
8. Дополнительные условия.
8.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Настройки

Назад к списку