ПОЛИТИКА
в отношении обработки персональных данных, обрабатываемых в информационной системе персональных данных «Altcraft Platform»
Дата обновления: 29.08.2025 г.
Версия: v.1.08.2025
Содержание
- 1. Основные понятия, используемые в политике
- 2. Общие положения
- 3. Принципы и условия обработки персональных данных
- 4. Перечень и категории персональных данных
- 5. Цели, методы и основания обработки персональных данных
- 6. Поручение обработки персональных данных
- 7. Сроки обработки персональных данных
- 8. Права субъекта персональных данных
- 9. Права и обязанности Оператора и Обработчика по поручению
- 10. Права и обязанности Оператора Лицензиата и Пользователя
- 11. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
- 12. Обеспечение безопасности персональных данных
- 13. Заключительные положения
1. Основные понятия, используемые в политике
Показать основные понятия, используемые в политике
| Термин | Определение |
|---|---|
| Оператор персональных данных (далее – «Оператор») | Общество с ограниченной ответственностью «АльтКрафт» (ОГРН: 1156234006862 ИНН: 6230090063, адрес местонахождения: 390000, Рязанская область, г. Рязань, ул. Каширина, д.1, помещ.19), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Сведения об Операторе внесены в реестр операторов, осуществляющих обработку персональных данных, доступный на официальном сайте Роскомнадзора. |
| Лицензиат | юридическое лицо или индивидуальный предприниматель, акцептовавший публичную оферту Оператора и тем самым заключивший лицензионный договор на право пользования информационной системой персональных данных «Altcraft Platform» на условиях, предусмотренных такой офертой. |
| Информационная система персональных данных «Altcraft Platform» (далее – ИСПДн «Altcraft Platform») | информационная система персональных данных, представляющая собой совокупность содержащихся в базах данных персональных данных, информационных технологий и технических средств, обеспечивающих их обработку, а также программный комплекс Оператора, предоставляемый Лицензиату в режиме онлайн-доступа через сайт Оператора без необходимости скачивания дистрибутива, предназначенный для автоматизации обработки клиентских данных, построения сценариев коммуникаций по цифровым каналам и последующего предоставления аналитических отчетов. |
| Субъект персональных данных | физическое лицо, персональные данные которого обрабатываются в ИСПДн «Altcraft Platform» Оператором Лицензиатом и/или Обработчиком по поручению в целях исполнения договоров, предоставления услуг, реализации прав и обязанностей, установленных законодательством, либо на основании согласия. Субъектами персональных данных, в рамках настоящей Политики, являются Клиенты Лицензиата и Пользователи ИСПДн «Altcraft Platform». |
| Пользователь ИСПДн «Altcraft Platform» (далее – «Пользователь») | сотрудник Оператора Лицензиата либо иное доверенное лицо, уполномоченное Лицензиатом на работу в ИСПДн «Altcraft Platform» в его интересах. Пользователи обладают легитимным доступом к учетной записи Лицензиата и осуществляют обработку персональных данных Субъектов персональных данных исключительно в целях и в объеме, определенных Политикой и договором с Лицензиатом. |
| Клиент Лицензиата (далее – «Клиент») | физическое лицо, состоящее в договорных или иных гражданско-правовых отношениях с Оператором Лицензиатом, в том числе получающее от Лицензиата товары, работы, услуги, либо взаимодействующее с ним на основании соглашения, заявки, запроса или иного волеизъявления. |
| Оператор персональных данных Лицензиат (далее – «Оператор Лицензиат») | юридическое лицо или индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных своих клиентов, которые являются Субъектами персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
| Обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
| Обработчик по поручению | Общество с ограниченной ответственностью «АльтКрафт» (ОГРН: 1156234006862 ИНН: 6230090063, адрес местонахождения: 390000, г. Рязань, ул. Каширина, д.1, помещ.19), осуществляющее обработку персональных данных Субъектов персональных данных по поручению Лицензиата с согласия Субъектов персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящей Политикой. |
| Персональные данные | любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных). |
| Персональные данные, разрешенные Субъектом персональных данных для распространения | персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». |
| Распространение персональных данных | действия, направленные на раскрытие персональных данных неопределенному кругу лиц. |
| Предоставление персональных данных | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. |
| Блокирование персональных данных | временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). |
| Уничтожение персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. |
| Обезличивание персональных данных | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. |
| Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
2. Общие положения
Показать полностью
2.1. Политика в отношении обработки персональных данных, обрабатываемых в информационной системе персональных данных «Altcraft Platform» (далее – «Политика»), разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Федеральный закон №152-ФЗ»), постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в ИСПДн «Altcraft Platform».
2.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных Субъектов персональных данных, не являющихся сотрудниками Оператора в ИСПДн «Altcraft Platform», права и обязанности по обработке персональных данных Оператором Лицензиатом, Оператором, Обработчиком по поручению, а также права Субъектов персональных данных.
2.4. Настоящая Политика является публичным документом, отражающим систему взглядов Оператора и Обработчика по поручению по вопросам обработки персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform».
2.5. В соответствии с ч. 2 ст. 18.1 Федерального закона №152-ФЗ Политика подлежит публикации на официальном сайте Оператора: https://altcraft.com/. При этом в целях обеспечения безопасности обработки персональных данных в Политике не раскрывается детальная информация о принятых мерах по защите персональных данных в ИСПДн «Altcraft Platform», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору, Обработчику по поручению, Оператору Лицензиату или Субъектам персональных данных.
2.6. Политика распространяется на все случаи обработки персональных данных, осуществляемой с использованием ИСПДн «Altcraft Platform», независимо от того, где территориально находятся Cубъекты персональных данных или технические средства, с применением как автоматизированных, так и неавтоматизированных методов.
3. Принципы и условия обработки персональных данных
Показать полностью
3.1. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется на основе принципов:
✔ законности и справедливости целей и способов обработки персональных данных;
✔ соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных Оператором Лицензиатом, а также полномочиям Оператора и Обработчика по поручению;
✔ соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
✔ достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
✔ недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
✔ хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
✔ уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
3.2. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется на основании требований и условий, определённых законодательством Российской Федерации в области защиты персональных данных.
3.3. Обработчик по поручению осуществляет обработку персональных данных Субъектов персональных данных исключительно по поручению Оператора Лицензиата.
3.4. Оператор/Обработчик по поручению вправе поручить обработку персональных данных третьим лицам с согласия Субъектов персональных данных, если иное не предусмотрено действующим законодательством, на основании заключаемых договоров с такими третьими лицами. Все третьи лица обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и законодательством Российской Федерации.
3.5. В случае, если Оператор (ООО «АльтКрафт») поручает обработку персональных данных третьим лицам (Обработчикам) на основании заключённого договора или иного правового акта, ответственность перед Субъектом персональных данных за действия (бездействие) таких лиц, повлекшие нарушение прав Субъекта, несёт Оператор, как лицо, организующее и контролирующее обработку. Оператор отвечает перед Субъектом персональных данных, а Обработчики несут ответственность перед Оператором за соблюдение обязательств, связанных с порученной обработкой.
3.6. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется с применением современных технических, программных и организационных мер, обеспечивающих защиту данных от несанкционированного доступа, утраты, искажения, копирования, распространения и иных неправомерных действий.
3.7. Оператор/Обработчик по поручению обеспечивает реализацию прав Субъектов персональных данных, включая право на доступ к своим данным, их корректировку, блокирование, удаление, а также отзыв согласия на обработку персональных данных в порядке, установленном законодательством.
3.8. Оператор/Обработчик по поручению как правообладатель ИСПДн «Altcraft Platform» применяет принцип минимизации данных – сбор и хранение персональных данных ограничивается исключительно теми сведениями, которые необходимы для достижения конкретных, заранее определенных и законных целей обработки персональных данных Операторами Лицензиатами.
3.9. В случае трансграничной передачи персональных данных, осуществляемой в рамках работы ИСПДн «Altcraft Platform», применяются дополнительные меры защиты, соответствующие требованиям законодательства Российской Федерации, в том числе меры по обеспечению безопасности и контроля передачи данных.
4. Перечень и категории персональных данных
4.1. Персональные данные, обрабатываемые в ИСПДн «Altcraft Platform», включают любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (Субъекту персональных данных), полученную в результате использования платформы Лицензиатом.
4.2. Состав и категории персональных данных, подлежащих обработке, определяются в зависимости от целей обработки, установленных Лицензиатом, как оператором персональных данных. Обработка осуществляется исключительно в объеме, необходимом для реализации этих целей.
4.3. В ИСПДн «Altcraft Platform» обрабатываются следующие виды персональных данных:
| Категория субъекта персональных данных | Перечень обрабатываемых персональных данных |
|---|---|
| Пользователи | – фамилия, имя, отчество; – адрес электронной почты; – номер телефона; – наименование компании; – технические и идентификационные данные: IP-адрес, логины, история входов, действия в системе. |
| Клиенты | – фамилия, имя, отчество; – дата рождения; – пол; – контактная информация (адрес электронной почты, номер телефона, идентификаторы); – идентификаторы, используемые в цифровых системах (cookie, IP-адрес, идентификаторы устройств и пользователей в программных системах и пр.); – сведения о поведении в интернете (действия на сайте, время посещения, переходы, взаимодействия с контентом); – сведения о заказах, покупках, взаимодействии с продуктами и услугами; – сведения, полученные в результате профилирования и автоматизированной обработки (в том числе сегменты, персональные рекомендации, прогнозы поведения); – иные сведения, обрабатываемые Лицензиатом в рамках законных целей и в пределах согласий, полученных от субъектов персональных данных. |
4.4. В ИСПДн «Altcraft Platform» не обрабатываются специальные категории персональных данных, включая сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, а также данные, касающиеся интимной жизни субъектов персональных данных.
4.5. В ИСПДн «Altcraft Platform» не обрабатываются биометрические персональные данные, представляющие собой сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для идентификации субъектов персональных данных.
4.6. Персональные данные могут относиться к следующим:
● Общие персональные данные, предусмотренные ст. 6 и 9 Федерального закона № 152-ФЗ;
● Иные персональные данные, обрабатываемые Лицензиатом в зависимости от специфики его деятельности и полученные от Субъекта персональных данных законным способом.
4.7. В случае если Лицензиат, нарушая условия лицензионного договора и настоящей Политики, осуществляет загрузку или обработку специальных или биометрических персональных данных, Оператор и/или Обработчик категориям по поручению вправе прекратить такую обработку, ограничить доступ к ИСПДн «Altcraft Platform» и уничтожить соответствующие данные, уведомив об этом Лицензиата в течение 5 (пяти) рабочих дней с момента выявления нарушения.
5. Цели, методы и основания обработки персональных данных
5.1. Обработка персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» – Клиентов осуществляется Обработчиком по поручению для следующих целей:
● формирования, ведения и управления базами данных клиентов;
● создания и актуализации клиентских профилей;
● автоматизации и оптимизации бизнес-процессов Лицензиата;
● построения единого клиентского профиля на основе различной информации;
● сегментации клиентской базы, создания целевых аудиторий;
● анализа клиентского поведения, построения отчетности и прогнозирования;
● организации и проведения маркетинговых, информационных и рекламных кампаний, включая рассылки через Email, SMS, мессенджеры, push-уведомления и другие цифровые каналы;
● исполнения обязательств по договорам с клиентами.
5.2. Обработка персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» – Пользователей осуществляется Оператором для следующих целей:
● создание и администрирование учётных записей в ИСПДн «Altcraft Platform»;
● предоставление доступа к сервисам, настройкам и функционалу платформы;
● ведение внутренней технической и статистической отчётности;
● выполнение условий договоров с Лицензиатом;
● оказание технической поддержки и сопровождения;
● обеспечение информационной безопасности и предотвращение несанкционированного доступа;
● для выполнения Оператором договорных обязательств перед Лицензиатом.
5.3. Основаниями обработки персональных данных являются:
✔ получение согласия субъекта персональных данных на обработку его персональных данных, в том числе с использованием средств автоматизации;
✔ заключение и исполнение договора, стороной которого является субъект персональных данных;
✔ исполнение обязанностей, возложенных законодательством Российской Федерации;
✔ реализация прав и законных интересов Оператора, при условии, что при этом не нарушаются права и свободы Субъектов персональных данных.
5.4. Обработка персональных данных Субъектов персональных данных – клиентов Лицензиата и Пользователей Оператором/Лицензиатом осуществляется с использованием средств автоматизации и включает в себя следующие методы, применяемые в ИСПДн «Altcraft Platform»:
| Методы обработки | Данные клиентов Лицензиата | Данные Пользователей ИСПДн | Значение |
|---|---|---|---|
| Сбор | ✔ | ✔ | Первичное получение данных от субъектов ПДн |
| Получение | ✔ | ✔ | Прямое получение данных от Пользователя, включая автоматическую загрузку, импорт данных |
| Запись | ✔ | ✔ | Фиксация данных в ИСПДн |
| Систематизация | ✔ | ✔ | Организация и структурирование данных |
| Накопление | ✔ | ✔ | Хранение данных для последующего использования |
| Хранение | ✔ | ✔ | Долговременное сохранение данных |
| Уточнение (обновление, изменение) | ✔ | ✔ | Корректировка устаревшей или неточной информации |
| Использование | ✔ | ✔ | Применение данных для целей обработки |
| Распространение | ✔ | Передача данных третьим лицам по договору при наличии оснований по запросу | |
| Извлечение | ✔ | ✔ | Извлечение данных для анализа или отчетности использования ИСПДн |
| Обезличивание | ✔ | ✔ | Исключение идентифицирующих признаков для анализа использования ИСПДн |
| Удаление | ✔ | ✔ | Удаление данных из ИСПДн по истечении сроков или по запросу |
| Уничтожение | ✔ | ✔ | Физическое уничтожение данных |
5.5. Не допускается обработка персональных данных Субъектов персональных данных, несовместимая с целями сбора таких персональных данных Оператором Лицензиатом, Оператором и/или Обработчиком по поручению.
5.6. В соответствии с Федеральным законом РФ от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона №152-ФЗ, ИСПДн «Altcraft Platform» не относится к государственным информационным системам персональных данных.
6. Поручение обработки персональных данных
6.1. Обработчик по поручению от имени Оператора Лицензиата осуществляет обработку персональных данных с использованием ИСПДн «Altcraft Platform».
6.2. Обработчик по поручению не определяет цели, объем и способы обработки персональных данных, поступающих от Оператора Лицензиата, и несет ответственность исключительно за обеспечение надлежащего функционирования ИСПДн «Altcraft Platform» и защиту данных на уровне платформы.
6.3. Действия Обработчика по поручению включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
6.4. Обработка персональных данных, состав которых указан в разделе 4 настоящей Политики, осуществляется в целях использования Лицензиатом ИСПДн «Altcraft Platform» для:
✔ формирования и ведения базы данных Клиентов и Пользователей;
✔ систематизации и объединения данных для построения единого профиля Субъекта персональных данных;
✔ автоматизации бизнес-процессов, связанных с управлением клиентскими данными;
✔ сегментации клиентских аудиторий для маркетинговых и коммуникационных кампаний;
✔ проведения информационных кампаний, рассылок (Email, SMS, Push-уведомления, мессенджеры и др.);
✔ получения аналитической и статистической информации для улучшения сервиса и принятия управленческих решений;
✔ обеспечения взаимодействия с Пользователями и Клиентами через различные каналы коммуникации платформы.
6.5. Прекращение обработки и уничтожение персональных данных Обработчиком по поручению осуществляется в срок, не превышающий 30 (тридцать) календарных дней с момента наступления соответствующего основания. Основания прекращения, сроки и порядок действий при уничтожении персональных данных определены в разделе 11 настоящей Политики.
6.6. Передача персональных данных субъектов персональных данных для обработки в ИСПДн «Altcraft Platform» осуществляется исключительно с предварительного и свободного согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.7. Лицензиат обязуется самостоятельно получить у Субъектов персональных данных их информированное согласие на обработку персональных данных, включая передачу данных Обработчику по поручению и последующую автоматизированную обработку с использованием ИСПДн «Altcraft Platform». Согласие должно содержать информацию о целях обработки, составе данных, способах и условиях обработки, а также о правах Субъекта персональных данных.
6.8. Лицензиат несет ответственность за получение и актуальность согласий Субъектов персональных данных, а также за соответствие этих согласий требованиям законодательства.
6.9. Согласие на обработку персональных данных может быть выражено Субъектом персональных данных как в письменной, так и в электронной форме, включая использование соответствующих форм на электронных ресурсах Лицензиата.
6.10. Все действия по передаче, обработке и хранению персональных данных осуществляются с соблюдением принципов конфиденциальности и мер по обеспечению безопасности персональных данных, предусмотренных настоящей Политикой и законодательством Российской Федерации.
6.11. Обработчик по поручению обеспечивает реализацию правовых, организационных и технических мер, необходимых и достаточных для обеспечения защиты персональных данных:
| Название группы мер | Содержание |
|---|---|
| Правовые меры | ● разработка локальных документов, реализующих требования законодательства РФ; ● отказ от любых способов обработки, не соответствующих целям, указанным в Политике. |
| Организационные меры | ● назначение лица, ответственного за организацию обработки; ● ограничение состава работников, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним; ● инструктаж и ознакомление работников, осуществляющих обработку, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами, регламентирующими порядок работы и защиты персональных данных; ● периодическая оценка рисков, касающихся процесса обработки; ● проведение периодических проверок в целях осуществления внутреннего контроля соответствия обработки требованиям законодательства РФ. |
| Технические меры | ● предотвращение, в том числе путем проведения внутренних расследований, несанкционированного доступа к системам, в которых хранятся персональные данные; ● резервирование и восстановление персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных; ● иные необходимые меры безопасности. |
6.12. В случае, если Лицензиат является иностранным юридическим лицом, он признается оператором персональных данных в соответствии с пунктом 1.1 статьи 1 и пунктом 2 статьи 3 Федерального закона № 152-ФЗ «О персональных данных» при обработке персональных данных граждан Российской Федерации.
6.13. Лицензиат несет обязанность самостоятельно идентифицировать факт обработки персональных данных граждан Российской Федерации и обязуется уведомить Обработчика по поручению в письменной форме о таком факте до внесения соответствующих персональных данных в ИСПДн «Altcraft Platform».
6.14. Обработчик по поручению, предоставляя доступ к ИСПДн «Altcraft Platform», не осуществляет контроль и не определяет состав и содержание обрабатываемых данных, а также не имеет технической возможности установить, содержит ли информация, вводимая иностранным Лицензиатом, персональные данные граждан Российской Федерации без получения соответствующего уведомления от Лицензиата.
6.15. В случае непреднамеренного размещения иностранным юридическим лицом Лицензиатом персональных данных граждан Российской Федерации в ИСПДн «Altcraft Platform» без предварительного уведомления Обработчика по поручению, Лицензиат обязуется уведомить Обработчика по поручению о таком факте в срок не позднее 3 (трёх) рабочих дней с момента обнаружения.
6.16. Лицензиат, являющийся иностранным юридическим лицом, обязуется соблюдать требования российского законодательства, включая положения, касающиеся трансграничной передачи персональных данных, и обеспечивать выполнение необходимых процедур в рамках обработки персональных данных граждан Российской Федерации.
7. Сроки обработки персональных данных
7.1. Обработка и хранение персональных данных Субъектов персональных данных осуществляется Оператором Лицензиатом, а также Обработчиком по поручению на электронных носителях с использованием средств автоматизации и функционала ИСПДн «Altcraft Platform». Срок обработки и хранения персональных данных ограничивается:
✔ сроком действия договора, заключённого между Лицензиатом и Оператором/Обработчиком по поручению;
✔ сроками, установленными согласиями Субъектов персональных данных;
✔ сроками, необходимыми для достижения целей обработки, указанных в настоящей Политике;
✔ сроками, предусмотренными применимыми нормами законодательства Российской Федерации.
7.2. В случае расторжения договора, заключенного между Обработчиком по поручению и Оператором Лицензиатом или окончания срока действия договора без дальнейшего его продления, обе стороны дают обязательство прекратить обработку персональных данных Субъектов персональных данных, Обработчик по поручению также обязуются произвести уничтожение персональных данных Субъектов персональных данных из баз данных ИСПДн «Altcraft Platform» в срок, указанный в п. 11.2. Политики.
7.3. Работники Оператора/Обработчика по поручению, а также Пользователи, непосредственно осуществляющие обработку персональных данных в ИСПДн «Altcraft Platform», дают обязательство о неразглашении персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
7.4. Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определённых и законных целей.
7.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом.
7.6. В случае, если обработка персональных данных осуществляется на основании согласия Субъекта персональных данных, срок обработки ограничивается:
● сроком действия согласия на обработку;
● моментом отзыва согласия Субъектом персональных данных;
● моментом достижения цели обработки.
Обработка прекращается в течение 30 (тридцати) календарных дней с момента поступления отзыва согласия, если иное не установлено законодательством РФ.
7.7. Обработка персональных данных, разрешённых Субъектом персональных данных для распространения, осуществляется в пределах срока, указанного в соответствующем согласии на распространение. В случае отзыва такого согласия, дальнейшее распространение и иная обработка прекращаются, за исключением случаев, предусмотренных Федеральным законом №152-ФЗ.
7.8. По окончании срока обработки персональных данных Оператор и/или Обработчик по поручению обязуются обеспечить:
● уничтожение персональных данных, либо
● обезличивание персональных данных в целях хранения и использования исключительно в статистических или исследовательских целях (при наличии соответствующего законного основания)
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
✔ подтверждение факта обработки персональных данных Оператором Лицензиатом, Оператором и Обработчиком по поручению;
✔ правовые основания и цели обработки персональных данных;
✔ цели и применяемые Оператором Лицензиатом, Оператором и Обработчиком по поручению способы обработки персональных данных;
✔ наименование и место нахождения Оператора Лицензиата, Оператора и Обработчика по поручению, сведения о лицах (за исключением работников Оператора и Обработчика по поручению), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором Лицензиатом, Оператором и Обработчиком по поручению или на основании федерального закона;
✔ обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
✔ сроки обработки персональных данных, в том числе сроки их хранения;
✔ порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ;
✔ информацию об осуществленной или о предполагаемой трансграничной передаче данных;
✔ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора Лицензиата, если обработка поручена или будет поручена такому лицу;
✔ иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.
8.2. Субъект персональных данных имеет право требовать от Обработчика по поручению уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, устаревшими, незаконно полученными Оператором Лицензиатом или не являются необходимыми для заявленной цели обработки, отозвать данное Субъектом персональных данных согласие на обработку персональных данных у Оператора Лицензиата, а также принимать предусмотренные действующим законодательством меры по защите своих прав.
8.3. Субъект персональных данных вправе требовать, чтобы решения, затрагивающие его права и законные интересы, не принимались исключительно на основе автоматизированной обработки персональных данных, включая профилирование, без участия человека. По запросу субъекта персональных данных Оператор Лицензиат, осуществляющий обработку с использованием ИСПДн «Altcraft Platform», обязан предоставить информацию о логике, целях и предполагаемых последствиях автоматизированной обработки персональных данных.
▶️Показать полностью
8.4. Оператор Лицензиат обязан обеспечить возможность вмешательства человека в процесс принятия решений, затрагивающих права и законные интересы Субъекта персональных данных, при этом Обработчик по поручению по запросу Оператора Лицензиата может оказать необходимую техническую поддержку для реализации данного права.
8.5. С целью получения сведений, указанных в п. 8.1., Субъект персональных данных предоставляет соответствующий запрос Оператору и (или) Обработчику по поручению самостоятельно или через представителя. Оператор и (или) Обработчик по поручению в свою очередь оформляет поступивший запрос в Журнал учета запросов Субъектов персональных данных, уведомляет Оператора Лицензиата о поступившем запросе в течении 3 (трех) рабочих дней с требованием предоставить персональные данные Субъекта персональных данных, от которого поступил запрос. После получения от Оператора Лицензиата информации об обрабатываемых им персональных данных, Оператор и (или) Обработчик по поручению выполняет поступивший запрос.
8.6. В случае, если запрос Субъекта персональных данных поступает Оператору Лицензиату, выполняет данный запрос Оператор Лицензиат без участия Оператора и (или) Обработчика по поручению.
8.7. Запрос Субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Лицензиатом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором Лицензиатом, подпись Субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.8. Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку персональных данных в целях маркетинга, рекламы, политической агитации, в том числе при обработке с использованием ИСПДн «Altcraft Platform». После получения отзыва согласия:
✔ Оператор Лицензиат обязан в срок не позднее 3 (трех) рабочих дней прекратить соответствующую обработку персональных данных;
✔ Для реализации данного требования Оператор Лицензиат взаимодействует с Обработчиком по поручению, который обеспечивает техническое выполнение запрета на дальнейшую обработку в рамках ИСПДн «Altcraft Platform».
8.9. Если Субъект персональных данных считает, что Оператор Лицензиат или Обработчик по поручению осуществляют обработку его персональных данных с нарушением требований Федеральных законов или иным образом нарушает его права и свободы, Субъект персональных данных вправе обжаловать действия или бездействие Оператора или Обработчика по поручению в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
9. Права и обязанности Оператора и Обработчика по поручению
9.1. Оператор/Обработчик по поручению обязан не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено Федеральными законами.
9.2. Оператор/Обработчик по поручению обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
9.3. Обработчик вправе обрабатывать персональные данные Субъектов персональных данных — клиентов Лицензиата, предоставленные Оператором Лицензиатом, исключительно по поручению и в рамках заключенного договора.
9.4. Оператор/Обработчик по поручению обязан предоставить Субъекту персональных данных по его письменному запросу, направленному в порядке, установленном разделом 8 настоящей Политики, информацию, предусмотренную пунктом 8.1 настоящей Политики.
9.5. Оператор/Обработчик по поручению вправе отказать Субъекту персональных данных в удовлетворении его запроса, направленного в соответствии с Федеральным законом № 152-ФЗ, с обязательным указанием причин отказа, в следующих случаях:
✔ Отсутствие правомочий у заявителя на подачу запроса от имени Субъекта персональных данных (например, отсутствие надлежащей доверенности от представителя).
✔ Нарушение порядка оформления запроса, установленного ст. 14 Федерального закон а №152-ФЗ (например, запрос не содержит сведений, позволяющих идентифицировать Субъекта персональных данных, отсутствует подпись, паспортные данные и т.п.).
✔ Отсутствие у Оператора/Обработчика информации, подтверждающей факт обработки персональных данных Субъекта.
✔ Наличие у Оператора обязанности продолжить обработку персональных данных в соответствии с законом, несмотря на заявление об отзыве согласия или требование о прекращении обработки (например, на основании п. 2–11 ч. 1 ст. 6 Федерального закона №152-ФЗ — исполнение договора, обязанности по учету, отчетности, судебные споры и пр.).
✔ Обработка персональных данных осуществляется в целях национальной безопасности, обороны страны, обеспечения правопорядка, противодействия терроризму, и иные случаи, предусмотренные законодательством Российской Федерации.
✔ Запрос касается персональных данных третьих лиц, и удовлетворение запроса может привести к нарушению их прав и законных интересов;
✔ Персональные данные были обезличены, и идентификация Субъекта по ним невозможна.
✔ Истечение срока хранения персональных данных, после чего данные были уничтожены или обезличены в соответствии с политикой обработки персональных данных и нормами законодательства.
9.6. Оператор/Обработчик по поручению по требованию Субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неточными, неполными, устаревшими, незаконно полученными Заказчиком или не являются необходимыми для заявленной цели обработки данных согласно разделу 5 Политики.
9.7. Оператор/Обработчик по поручению обязан вести журнал учета обращений Субъектов персональных данных, в котором фиксируются запросы Субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
9.8. Оператор/Обработчик по поручению вправе использовать обезличенные данные и действия Субъектов персональных данных исключительно для статистических или исследовательских целей. Результаты могут быть обобщены и размещены в публичном доступе, при условии невозможности идентификации Субъекта персональных данных.
9.9. Оператор/Обработчик по поручению гарантирует принятие всех необходимых мер по охране и недопущению разглашения персональных данных Субъектов персональных данных, надежное хранение таких данных и соблюдение режима конфиденциальности в отношении персональных данных Субъектов персональных данных.
9.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор/Обработчик по поручению обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
9.11. Обработчик по поручению, обязан по запросу Лицензиата в течение срока действия договора между Лицензиатом и Обработчиком по поручению, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Лицензиата требований, установленных в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ.
9.12. Обработчик по поручению, обязуется уведомлять Лицензиата в случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, обрабатываемых Обработчиком по поручению в рамках поручения Лицензиата (далее – «Инцидент»), или если Обработчик по поручению обоснованно полагает, что имел место Инцидент.
Уведомление осуществляется в два этапа:
| Этап уведомления | Срок | Содержание уведомления |
|---|---|---|
| Первое уведомление | Не позднее 24 (двадцати четырех) часов с момента выявления Инцидента | 1. Краткое описание выявленного Инцидента; 2. Предполагаемые причины его возникновения; 3. Оценка потенциального вреда правам субъектов ПДн (при наличии); 4. Меры, принятые для устранения последствий; 5. Контактное лицо, уполномоченное предоставлять дополнительную информацию. |
| Второе уведомление | Не позднее 54 (пятьдесят четыре) часов с момента выявления Инцидента | 1. Результаты внутреннего расследования; 2. Информация о лицах, действия которых привели или могли привести к Инциденту (если такие лица установлены). |
Уведомления направляются в письменной форме или по каналам связи, согласованным в договоре, с последующим подтверждением получения. Информация должна быть достоверной и актуальной на момент составления уведомлений.
9.15. При обращении Субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных Оператор/Обработчик по поручению обязан немедленно заблокировать соответствующие персональные данные, относящиеся к этому субъекту, на период проведения проверки.
9.16. Если выявлены неточные персональные данные, Оператор/Обработчик по поручению обязан блокировать такие данные, если это не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
9.17. В течение 7 (семи) рабочих дней с момента получения сведений от Субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных уточнить персональные данные и снять их блокировку.
9.18. При выявлении неправомерной обработки персональных данных Оператор/Обработчик по поручению обязан:
● Прекратить неправомерную обработку в срок не более 3 (трех) рабочих дней с момента выявления;
● В случае невозможности обеспечить правомерность обработки — уничтожить персональные данные в срок не более 10 (десяти) рабочих дней с момента выявления;
● Об уведомлении Субъекта персональных данных, его представителя и уполномоченного органа по защите прав субъектов персональных данных направить соответствующее уведомление.
9.19. В случае неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных Оператор/Обработчик по поручению обязан уведомить уполномоченный орган по защите прав субъектов персональных данных:
● В течение 24 (двадцати четырех) часов с момента выявления — о самом Инциденте, причинах, возможном вреде и мерах устранения, а также предоставить контактные данные ответственного лица;
● В течение 72 (семидесяти двух) часов — о результатах внутреннего расследования и лицах, причастных к Инциденту (если такие имеются).
9.20. При получении требования Субъекта персональных данных о прекращении обработки персональных данных Оператор/Обработчик обязан прекратить обработку в срок, не превышающий 10 (десять) рабочих дней с момента получения требования, за исключением случаев, предусмотренных п. 2–11 ч.1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона №152-ФЗ. Срок может быть продлен не более чем на 5 (пять) рабочих дней с уведомлением Субъекта о причинах продления.
9.21. В случае невозможности уничтожения персональных данных в сроки, указанные в пункте 11.10, Оператор/Обработчик обязан обеспечить блокирование персональных данных и уничтожить их в срок, не превышающий 6 месяцев, если иной срок не установлен федеральными законами.
9.22. Подтверждение уничтожения персональных данных производится в соответствии с требованиями уполномоченного органа по защите прав субъектов персональных данных.
10. Права и обязанности Оператора Лицензиата и Пользователя
10.1. Оператор Лицензиат осуществляет обработку персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» в соответствии с настоящей Политикой, Федеральным законом № 152-ФЗ, иными нормативными правовыми актами.
10.2. Оператор Лицензиат осуществляет обработку персональных данных с использованием ИСПДн «Altcraft Platform» исключительно в пределах тех категорий персональных данных, которые предусмотрены функциональными возможностями системы и установлены в Перечне персональных данных, обрабатываемых в информационных системах персональных данных Оператора, утверждённом единоличным исполнительным органом Оператора. Обработка иных категорий персональных данных, не предусмотренных технической архитектурой и конфигурацией ИСПДн «Altcraft Platform», не осуществляется. Передача, хранение, изменение и удаление данных возможны только в рамках предусмотренных параметров системы и заданной архитектуры обработки.
10.3. Оператор Лицензиат при использовании ИСПДн «Altcraft Platform» имеет право на:
● формирование пользовательских сегментов и построение автоматизированных сценариев взаимодействия на основе персональных данных;
● использование персональных данных в рамках клиентских, маркетинговых, сервисных и иных коммуникационных кампаний;
● применение инструментов аналитики, предиктивного моделирования и поведенческого таргетинга на основе персональных данных. Оператор Лицензиат самостоятельно определяет цели, объем и способы обработки персональных данных в рамках своих кампаний и несёт ответственность за правомерность, безопасность и прозрачность обработки.
Указанные действия осуществляются при соблюдении принципов законности, справедливости, пропорциональности, минимизации объема обрабатываемых данных, а также с обеспечением прозрачности и информационной открытости для Субъектов персональных данных. При этом:
✔ Оператор как правообладатель ИСПДн «Altcraft Platform» выступает Обработчиком по поручению, предоставляя технические и программные средства обработки;
✔ любые действия по распространению информации осуществляются от имени Оператора Лицензиата, который признаётся источником и владельцем распространяемого контента.
10.4. Оператор Лицензиат гарантирует качество (полноту, достоверность, актуальность, законность получения) персональных данных Субъектов персональных данных. Для подтверждения качества обработки персональных данных по запросу Обработчика по поручению, Оператор Лицензиат обязан предоставить документы, подтверждающие согласие Субъектов персональных данных на получение любой информации в ходе кампаний.
10.5. В случае, если Обработчик по поручению полагает, что информация, размещённая или хранящаяся Оператором Лицензиатом в рамках использования ИСПДн «Altcraft Platform»:
● может нанести ущерб деловой репутации ИСПДн «Altcraft Platform»;
● противоречит требованиям раздела 5 настоящей Политики;
● нарушает принципы законности, минимизации, достоверности, актуальности, или иные требования законодательства Российской Федерации о персональных данных,
Обработчик по поручению вправе направить Оператору Лицензиату требование о проведении корректирующих мероприятий, включая, но не ограничиваясь:
✔ очисткой базы данных от недостоверной, недопустимой или сомнительной информации;
✔ исключением определённых Субъектов персональных данных из обработки;
✔ корректировкой или временной приостановкой информационных кампаний, в том числе изменением графика их проведения.
Оператор Лицензиат обязан выполнить указанные требования в полном объёме в течение 5 (пяти) рабочих дней с момента получения соответствующего уведомления от Обработчика по поручению.
В случае неисполнения или ненадлежащего исполнения указанных требований в установленный срок, Обработчик по поручению оставляет за собой право самостоятельно реализовать необходимые меры с использованием доступных технических и организационных средств, включая временное ограничение доступа к ИСПДн «Altcraft Platform».
10.6. До начала использования ИСПДн «Altcraft Platform» Оператор Лицензиат обязан получить юридически значимое, информированное и добровольное согласие Субъектов персональных данных, которое должно содержать:
1) согласие Субъекта персональных данных на обработку его персональных данных;
2) согласие Субъекта персональных данных на передачу его персональных данных Оператором Лицензиатом Обработчику по поручению для обработки;
3) перечень действий, который Обработчик по поручению может осуществлять с персональными данными Субъектов персональных данных.
10.7. Оператор Лицензиат гарантирует, что Субъекты персональных данных ознакомлены с тем, что их персональные данные будут обрабатываться в том числе Обработчиком по поручению в целях, предусмотренных настоящей Политикой.
10.8. Оператор Лицензиат обеспечивает реализацию прав Субъектов персональных данных, предусмотренных ст. 14–21 Федерального закона №152-ФЗ. Все запросы, поступившие в адрес Обработчика по поручению, перенаправляются Оператору Лицензиату в течение 3 (трех) рабочих дней со дня поступления такого запроса.
10.9. При использовании ИСПДн «Altcraft Platform» Оператор Лицензиат обязуется не хранить персональные данные дольше, чем это необходимо для достижения целей их обработки. По окончании срока хранения персональные данные подлежат удалению или обезличиванию, если иное не предусмотрено законодательством РФ.
10.10. Пользователь обязан не раскрывать третьим лицам и не распространять персональные данные, хранящиеся в аккаунте Пользователя, без согласия Субъекта персональных данных, если иное не предусмотрено Федеральными законами.
10.11. При использовании ИСПДн «Altcraft Platform», Пользователь имеет право самостоятельно загружать и выгружать персональные данные Субъектов персональных данных, настраивать и использовать функциональность платформы в пределах, предусмотренных лицензионным договором (публичная оферта) и настоящей Политикой, запрашивать техническую и организационную поддержку по вопросам обработки персональных данных у Оператора/Обработчика по поручению.
10.12. Пользователь и Оператор Лицензиат обязуются:
✔ не использовать платформу для незаконной, вредоносной или вводящей в заблуждение обработки персональных данных;
✔ незамедлительно уведомлять Обработчика по поручению о выявленных инцидентах, утечках данных или нарушениях, касающихся обработки персональных данных.
10.13. В случае выявления инцидента, связанного с несанкционированным доступом к персональным данным, Оператор Лицензиат обязан в течение 24 часов уведомить Обработчика по поручению и принять необходимые меры по устранению последствий утечки, включая уведомление Субъектов персональных данных (при необходимости).
10.14. Оператор Лицензиат и Пользователь несут ответственность за нарушение законодательства о персональных данных, включая неправомерную обработку, распространение или использование персональных данных, в соответствии с действующим законодательством Российской Федерации. Обработчик по поручению не несёт ответственности за действия Оператора Лицензиата и Пользователя, выходящие за рамки технической и программной реализации обработки.
11. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
11.1. Персональные данные, обрабатываемые в ИСПДн «Altcraft Platform», подлежат уничтожению или обезличиванию при достижении целей их обработки либо при наступлении обстоятельств, исключающих необходимость такой обработки, за исключением случаев, когда обязанность по дальнейшему хранению персональных данных предусмотрена законодательством Российской Федерации.
11.2. В случае достижения цели обработки персональных данных Оператор и Обработчик по поручению обязаны прекратить обработку персональных данных или обеспечить ее прекращение Оператором Лицензиатом и уничтожить персональные данные или обеспечить их уничтожение Оператором Лицензиатом в срок, не превышающий 30 (тридцать) дней с даты достижения цели обработки персональных данных.
11.3. При расторжении договора между Оператором и Оператором Лицензиатом или между Оператором Лицензиатом и Обработчиком по поручению, а также при окончании срока действия договора без его продления, персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) календарных дней. При наличии объективных технических причин, препятствующих своевременному уничтожению, Оператор и/или Обработчик обязуются зафиксировать причины отсрочки и уведомить Оператора Лицензиата с указанием новой даты уничтожения.
11.4. Уничтожение персональных данных в ИСПДн «Altcraft Platform» осуществляется с использованием технических средств, исключающих возможность восстановления информации, в том числе через:
● Программные средства удаления данных из баз данных и файловой системы;
● Очистку и затирание данных в логах и кэшах;
● Обеспечение автоматического удаления персональных данных из резервных копий по завершении их жизненного цикла.
11.5. Удалению подлежат все данные, включая те, что хранятся в основной базе ИСПДн «Altcraft Platform», в журналах, системах кэширования, логирования, а также в интеграционных каналах.
11.6. В случае поступления от субъекта персональных данных требования об удалении данных или отзыва согласия на обработку, Оператор Лицензиат и/или Обработчик по поручению обязуются уничтожить соответствующие данные и, при возможности, уведомить субъекта персональных данных о завершении процедуры уничтожения в разумный срок.
11.7. Если обработка и хранение персональных данных требуется по закону (например, в целях бухгалтерского учёта, налоговой отчётности, архивного хранения), такие персональные данные уничтожаются только по истечении установленных сроков хранения.
11.8. Процедура уничтожения персональных данных осуществляется специально уполномоченным сотрудником или комиссией. Факт уничтожения фиксируется в акте, содержащем: дату, перечень уничтоженных данных, способ уничтожения, основания и подписи ответственных лиц.
11.9. Подробный перечень оснований для прекращения обработки персональных данных, соответствующие сроки их уничтожения, а также обязательные действия Обработчика по поручению приведены в Таблице:
| Основание прекращения обработки | Срок уничтожения ПДн | Действия Оператора |
|---|---|---|
| Получение от Субъекта персональных данных запроса об удалении данных или отзыва согласия | Не более 30 календарных дней с даты получения запроса | – Верификация личности заявителя; – Проверка полномочий (в случае подачи от представителя); – Прекращение обработки; – Удаление персональных данных; – Уведомление Субъекта ПДн о результатах; – Обновление регистра учета запросов. |
| Прекращение договорных отношений между Оператором/Обработчиком по поручению и Оператором Лицензиатом | Не более 30 календарных дней с даты расторжения договора | – Блокировка доступа к ИСПДн «Altcraft Platform»; – Удаление/уничтожение персональных данных; – Составление и подписание акта об уничтожении; – Архивирование сопроводительных документов (при необходимости). |
| Достижение цели обработки персональных данных | Не более 30 календарных дней с момента достижения цели | – Прекращение обработки; – Уничтожение ПДн; – Подготовка акта; – Отражение информации в журнале учета обработки ПДн. |
| Истечение срока хранения персональных данных | В течение 10 рабочих дней с момента истечения срока хранения | – Анализ сроков хранения; – Подготовка списка данных, подлежащих уничтожению; – Уничтожение данных; – Составление Акта об уничтожении ПДн. |
| Выявление факта неправомерной обработки персональных данных | Не более 10 рабочих дней с момента выявления | – Прекращение неправомерной обработки; – Уничтожение ПДн (если устранение нарушений невозможно); – Уведомление Субъекта и уполномоченного органа; – Составление Акта об уничтожении ПДн. |
| Решение суда или предписание уполномоченного органа о прекращении обработки | В срок, указанный в судебном акте или предписании | – Исполнение решения/предписания в установленный срок; – Уничтожение персональных данных; – Подтверждение исполнения путем предоставления Акта об уничтожении ПДн и ответа в адрес органа/суда. |
12. Обеспечение безопасности персональных данных
12.1. С целью предотвращения нарушений законодательства Российской Федерации в сфере персональных данных и обеспечения безопасности при обработке персональных данных в ИСПДн «Altcraft Platform» проводятся следующие процедуры (мероприятия, работы):
✔ назначение ответственного сотрудника за организацию обработки и защиту персональных данных;
✔ разработка, издание и актуализация документов, определяющих политику Оператора/Обработчика по поручению в отношении обработки и защиты персональных данных, локальных нормативных актов, устанавливающих процедуры предотвращения, выявления и устранения нарушений законодательства о персональных данных;
✔ применение комплекса правовых, организационных и технических мер, обеспечивающих безопасность персональных данных, обрабатываемых в ИСПДн «Altcraft Platform»;
✔ проведение регулярного внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ, а также нормативных правовых актов и локальных документов Оператора/Обработчика по поручению;
✔ оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Оператором/Обработчиком по поручению мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом № 152-ФЗ;
✔ ознакомление работников Оператора/Обработчика по поручению, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора/Обработчика по поручению в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
✔ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
✔ применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн «Altcraft Platform», необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
✔ применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
✔ оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн «Altcraft Platform»;
✔ обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
✔ внедрение и поддержание правил разграничения доступа к персональным данным в ИСПДн «Altcraft Platform», включая регистрацию и учет всех операций с персональными данными;
✔ восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
✔ установление правил доступа к персональным данным, обрабатываемым в ИСПДн «Altcraft Platform», а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн «Altcraft Platform»;
✔ контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн «Altcraft Platform».
13. Заключительные положения
13.1. Настоящая Политика является внутренним документом Оператора, определяющим порядок обработки и защиты персональных данных в рамках функционирования ИСПДн «Altcraft Platform». Политика подлежит опубликованию в общедоступной форме и размещается на официальном сайте Оператора в сети Интернет.
13.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
✔ при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
✔ в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
✔ по решению руководства Оператора;
✔ при изменении целей и сроков обработки персональных данных Оператором или Оператором Лицензиатом;
✔ при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введения новых);
✔ при применении новых технологий обработки и защиты персональных данных;
✔ при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора и (или) Оператора Лицензиата;
✔ при появлении необходимости в изменении перечня категорий персональных данных, обрабатываемых в ИСПДн «Altcraft Platform».
13.3. В случае внесения изменений в Политику, в ее актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения соответствующим распорядительным документом уполномоченного сотрудника Оператора, если иное не предусмотрено таким документом.
13.4. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.
13.5. Ответственность должностных лиц Оператора, а также Пользователей, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними локальными актами Оператора.
13.6. Предыдущие редакции настоящей Политики хранятся в архиве Оператора и доступны по запросу Субъектов персональных данных и/или уполномоченных органов в течение установленного законодательством срока.