Как работает 152-ФЗ и кому нужно его соблюдать? – Market.CNews
|
Поделиться
Безопасность Бизнес Телеком Интернет Цифровизация ИТ в банках ИТ в госсекторе Ритейл Техника
Когда сайт собирает информацию о пользователях, его владелец считается оператором персональных данных.
Операторы должны соблюдать 152-ФЗ — закон «О персональных данных». Личный кабинет, форма сбора email на сайте или отслеживание геолокации — это все сбор персональных данных. Директор по клиентской безопасности компании Selectel Денис Полянский объясняет, что такое персональные данные и как обрабатывать их в соответствии с законом 152-ФЗ.
Федеральный закон №152 действует в России с 2007 г. В нем отражаются требования по защите персональных данных от использования третьими лицами. Закон регулярно дополняется, поэтому отвечает большинству тенденций.
152-ФЗ регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть интернет-ресурсы, бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно идентифицировать человека.
Персональные данные, согласно 152-ФЗ, — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Например, ФИО, паспортные данные, телефон, электронный адрес.
В совокупности данные могут считаться персональными, а по отдельности — не всегда. Например, адрес электронной почты — это абстрактные данные. Но адрес почты «[email protected]», который принадлежит Петрову Петру Петровичу — персональные данные.
25 мая 2022 г. в первом чтении было одобрено сразу несколько поправок, направленных на ускорение подачи данных об утечках в органы власти и постоянное взаимодействие с ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
На заседании также обратили внимание на компании, занятые передачей трансграничных персональных данных. Скорее всего, этот сектор в ближайшее время ждут новые ограничения и санкции за несоблюдение мер безопасности.
Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам хранить данные на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.
Типы персональных данных Общедоступные. Данные, открытые неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ. Следует помнить, что данные, которые можно найти в интернете, не обязательно являются общедоступными (необходимо, чтобы пользователь дал согласие сделать их общедоступными).Биометрические. Информация о физиологических и биологических особенностях человека, которые используются для идентификации. Отпечатки пальцев, образцы голоса и рисунок сетчатки глаз. Кровь, сданная для анализов, — не биометрические данные, потому что информация с результатами не используется для идентификации личности. Но отпечатки пальцев для входа в офис — уже биометрические данные, потому что узоры на пальце используются для опознания человека.
Специальные. Информация о судимостях и прохождении воинской службы, расовой и национальной принадлежности, политических и религиозных взглядах.
Иные. Данные, которые не упоминаются в других группах. Это ФИО, адрес, паспортные данные, электронная почта, стаж работы — данные, полученные с согласия субъекта. Такие данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.
Не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников. Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.
В мире социальных сетей и интернет-покупок персональные данные можно считать таковыми лишь частично. С ними постоянно взаимодействует множество сервисов, они обрабатываются и хранятся в самых разных условиях. Данные часто становятся товаром для бесплатных VPN и спам-сервисов.
Субъекты и операторы персональных данныхСубъект персональных данных — человек, чьи персональные данные обрабатывает оператор.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук и выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя (субъекта). Значит, магазин становится оператором.
Оператор — это физическое лицо или организация (государственная или частная), которая обрабатывает данные, а также определяет цели обработки, состав данных и совершаемые с ними действия.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Кого касается 152-ФЗИсполнять требования 152-ФЗ должны не только банки и медицинские учреждения. Под действие закона попадают и другие информационные системы: интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.
Иногда компании не воспринимают требования 152-ФЗ всерьез и считают, что достаточно спросить пользователя про запись данных в cookie.
Но этого может быть достаточно до первой утечки данных или до проверки регулятором.
Меры для обеспечения технической защиты персональных данных прописаны в подзаконных актах 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК.
Например, сервисам, которые обрабатывают специальные категории персональных данных более 100 000 пользователей необходимо соблюдать защитные меры для систем второго уровня защищенности.
Для каждой системы должна быть разработана модель угроз. Например, криптографические средства защиты — необязательный пункт при защите персональных данных. Но они могут потребоваться, если есть угрозы, связанные с перехватом персональных данных по каналам связи. Или когда из модели угроз следует использование криптографических средства для шифрования электронных баз с персональными данными.
Почему персональные данные попадают в сетьПричины, по которым персональные данные оказываются в открытом доступе, можно разделить на три уровня: персонала, приложения и инфраструктуры.
Отметим, что 152-ФЗ в основном направлен не на действия персонала, а на то, как компании должны организовать работу с конкретным типом данных.
Чаще всего причиной утечки данных становятся не вредоносные программы или уязвимости в инфраструктуре, а персонал. Иногда сотрудники раскрывают персональные данные случайно — во время общения с конкурентами или коллегами.
Бывают и случаи обычной халатности — например, незаблокированный экран или ноутбук. Также данные могут скопировать и унести на флешке, чтобы продать конкурентам.
Бороться с такими утечками следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.
Приложение может содержать массу уязвимостей. Обнаружение таких уязвимостей — ответственность оператора ПНд, владельца приложения. Поэтому провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может предотвратить утечку данных.
Например, вот как выглядит схема ответственности для услуги выделенные серверы Selectel.
| Ответственность клиента | Ответственность Selectel |
|---|---|
| Клиентские данные | Сетевое оборудование Selectel |
| Прикладное, связующее и системное программное обеспечение | Аппаратная инфраструктура |
| Сетевое оборудование заказчика | Средства обеспечения функционирования (электропитание, кондиционирование и т.д.) |
Когда клиент размещает у провайдера информационные системы или приложения с персональными данными, ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.
Выделенные серверы и облака проходят «раздельную» оценку эффективности мер защиты персональных данных по 152-ФЗ.
Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют 152-ФЗ и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне можно хранить персональные, в том числе медицинские данные до 100 000 субъектов.
Для клиентов это не несет дополнительных затрат, поскольку является особенностью инфраструктуры компании.
В России мероприятия по оценке эффективности проводят специализированные организации, имеющие лицензии. Они проверяют инфраструктуру провайдера на соответствие уровню защиты. Проводится оценка организационных (документация, приказы и т.п.) и технических мер (настройка средств защиты и пр.).
Провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса.
Во время выбора провайдера оператору персональных данных стоит проверить наличие Акта оценки эффективности или Аттестата соответствия.
Хорошо, если компания публично разместила его прямо на сайте.
Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.
152-ФЗ как верхушка айсберга. Что еще можно сделать для безопасности данныхВ аттестованном сегменте ЦОД клиент получает отдельные стойки с дополнительными камерами и электронными замками со стороны холодного и горячего коридоров.
В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном.
Клиент изолирует системы от других клиентов и сетей Selectel. Доступ в это пространство имеют только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.
Размещение в аттестованном сегменте ЦОД закрывает потребность клиента в полном контроле за безопасностью и упрощает аттестацию своей системы для операторов данных.
Поделиться
Короткая ссылка
Уважаемые пользователи! В данный момент страница находится в разработке.
Московский
социально-педагогический
институт
Доступное высшее образование для тех,
кто уже сегодня заботится о своём будущем!
Лицензия серия 90Л01 № 0008310 от 18.03.2015 г. рег. № 1324. Свидетельство государственной аккредитации серия 90А01 № 0003057 от 10.10.2018 г. рег. № 2912, срок действия свидетельства о государственной аккредитации с 1 марта 2022 года – бессрочно, в соответствии с Постановлением Правительства РФ от 14.01.2022 N 3 «Об утверждении Положения о государственной аккредитации образовательной деятельности и о признании утратившими силу некоторых актов Правительства Российской Федерации и отдельного положения акта Правительства Российской Федерации
Сведения об образовательной организации
Основные сведения
Структура и органы управления образовательной организации
Документы
Образование
Образовательные стандарты
Руководство. Педагогический (научно-педагогический) состав
Материально-техническое обеспечение и оснащенность образовательного процесса
Стипендии и иные виды материальной поддержки
Платные образовательные услуги
Финансово-хозяйственная деятельность
Вакантные места для приема (перевода)
Доступная среда
Международное сотрудничество
ПОЛЕЗНЫЕ ССЫЛКИ
Министерство просвещения РФ
Министерство науки и высшего образования РФ
федеральный портал “Российское образование” — www.
edu.ru
информационная система “Единое окно доступа к образовательным ресурсам” — www.window.edu.ru
единая коллекция цифровых образовательных ресурсов — www.school-collection.edu.ru
федеральный центр информационно-образовательных ресурсов
противодействие идеологии терроризма — нцпти.рф
Проект «Открой новую Россию!»
АНТИТЕРРОР
Федеральная служба безопасности Российской Федерации
Отдел внутренних дел по району Басманный ЦАО города Москвы (ОВД района Басманный)
Адрес: Новая Басманная ул., 33, стр. 1
Телефон: 8 (499) 261-07-68
Главное управление внутренних дел города Москвы (ГУВД по г. Москве)
Горячая линия по противодействию вербовщикам террористической Организации «Исламское государство» на территории РФ
oprf.
ru/contacts
8-800-737-77-66 (звонок бесплатный из любого региона России)
Информационная служба Общественной палаты РФ
Сообщить о противоправном контенте
КОНТАКТЫ
По вопросам поступления обращаться в приёмные комиссии факультетов:
Факультет коррекционной педагогики и специальной психологии
+7 (499) 963-80-74
+7 (916) 775-34-77
+7 (977) 543-84-80
Факультет государственного и муниципального управления (СЭУ)
+7 (916) 775-34-77
+7 (977) 543-84-80
+7 (499) 963-80-74
+7 (499) 963-80-69
Факультет педагогики и психологии
+7 (499) 963-80-68
+7 (985) 943-75-62
pp@mspi.
edu.ru
Факультет практической психологии
+7 (499) 963-82-76
Центральная приёмная комиссия
+7 (499) 963-80-71
+7 (964) 575-08-26
+7 (901) 424-73-80
Изменение политики — DPA
Прогресс
Текущий статус
в силе
01 сентября 2022 года. обсуждение
Область применения
Исполнители
Россия
Область политики
Управление данными
Инструмент политики
Положение о защите данных
Регулируемая экономическая деятельность
сквозная
Государственная ветвь власти
законодательная власть
Государственный орган
парламент
Уровень реализации
национальный
Хронология событий 903 01 сен 2022
в силе
Внедрена поправка к Закону № 152 о персональных данных, включая положение о защите данных.
С 1 сентября 2022 года вступает в силу Поправка к Закону № 152 (Законопроект № 101234-8), вводящая новые требования к защите персональных данных. В частности, операторы персональных данных не смогут отказывать в обслуживании гражданам, отказывающимся от предоставления…
Источник
Тип события закон
Тип действия реализация
Государственный орган законодательный орган
Государственный орган парламент
14 июля 2022 г.в льготный период
Вступление в силу поправки к Закону № 152 о персональных данных, включая положение о защите данных
14 июля 2022 года в «Ведомостях» была опубликована поправка к Закону № 152 (законопроект № 101234-8) после подписания Президентом РФ, вводящая новые требования к защите персональных данных. В частности, операторы персональных данных не будут…
Источник
Тип события закон
Тип действия действует с льготным периодом
Орган государственной власти законодательный орган
Государственный орган парламент
08 июля 2022 г.
принят
Принятие поправки к Закону № 152 о персональных данных, включая положение о защите данных
8 июля 2022 года Совет Федерации Российской Федерации принял Поправку к Закону № 152 (Законопроект № 101234-8). В частности, операторы персональных данных не смогут отказывать в обслуживании гражданам, отказывающимся предоставлять персональные данные, в частности…
Источник
Тип события закон
Тип действия усыновление
Правительственный орган законодательный орган
Государственный орган парламент
06 июл 2022на рассмотрении
Приняты изменения в Закон № 152-ФЗ «О персональных данных», в том числе положение о защите персональных данных
6 июля 2022 года Государственная Дума России приняла поправку к Закону № 152-ФЗ «О персональных данных» — Закон об усилении защиты персональных данных россиян, которым вводятся дополнительные правила защиты персональных данных.
В частности, персональные данные о…
Источник
Тип события закон
Тип действия проезд
Государственное учреждение законодательный орган
Государственный орган парламент
06 апр 2022на рассмотрении
Внесены изменения в Закон № 152-ФЗ «О персональных данных», в том числе положение о защите персональных данных
6 апреля 2022 года в Государственную Думу России внесена поправка к Закону № 152-ФЗ, определяющая дополнительные требования к защите информации. В частности, операторы персональных данных не смогут отказывать в обслуживании гражданам, отказывающимся от предоставления персональных данных…
Источник
Тип события закон
Тип действия введение
Правительственный орган законодательный орган
Государственный орган парламент
Политика конфиденциальности – Ресторанный комплекс Плато
1 ОБЩИЕ СВЕДЕНИЯ
Настоящая Политика обработки персональных данных разработана в соответствии с требованиями Федерального закона от 27.
07.2006 № 152-ФЗ «О персональных данных» (далее – как «Закон о персональных данных») и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, осуществляемые ООО «Ресторанный комплекс ПЛАТО» (далее — «Оператор»).
1.1. Оператор рассматривает права и свободы человека и гражданина при обработке персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайну, как важнейшую цель и условие осуществления своей деятельности.
1.2. Настоящая Политика обработки персональных данных Оператора (далее – Политика) распространяется на всю информацию, которую Оператор может получить в отношении посетителей сайта https://plateurestaurant.ru.
2 ОБЩИЕ ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с использованием компьютерных технологий.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по следующему сетевому адресу: https://plateurestaurant.ru.
2.4. Информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных, информационных технологий и технических средств, обеспечивающих обработку данных.
2.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить личность Пользователя или иного субъекта персональных данных.
2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без использования средств автоматизации, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение , использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных. подлежащие обработке действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любые данные, относящиеся к прямо или косвенно определенному или определяемому Пользователю сайта https://plateurestaurant.ru.
2.9. Персональные данные, разрешенные субъектом персональных данных к распространению, — персональные данные, к которым субъект персональных данных предоставил доступ неограниченному кругу лиц, путем дачи соответствующего согласия на обработку персональных данных, разрешенных субъектом персональных данных, для распространения. в порядке, предусмотренном Законом о персональных данных (далее — «Персональные данные, разрешенные к распространению»).
2.10. Пользователь – любой посетитель сайта https://plateurestaurant.ru.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе раскрытие персональных данных в средствах массовой информации, размещение в информации и телекоммуникационных сетей или предоставления доступа к персональным данным иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) при уничтожении физических носителей персональных данных.
3 ОБЩИЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
3.1. Оператор вправе: – получать достоверную информацию и/или документы, содержащие персональные данные, от субъекта персональных данных; – в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом о персональных данных; – самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или иными федеральными законами .
3.2. Оператор: – предоставляет субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных; – организовать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации; – реагировать на заявления и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных; — сообщать в уполномоченный орган по защите прав субъектов персональных данных по требованию органа в течение 30 дней с даты получения соответствующего запроса; – опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в отношении обработки персональных данных; – принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; – прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных; — выполнять иные обязанности, предусмотренные Законом о персональных данных.
4 ОБЩИЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъекты персональных данных вправе: – получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами. Вся информация предоставляется субъекту персональных данных Оператором в доступной форме и не должна содержать персональных данных, относящихся к иным субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных. Перечень информации и порядок ее получения устанавливаются Законом о персональных данных; — требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, полученными незаконным путем или не являющимися необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав; – выдвигать условие дачи предварительного согласия при обработке персональных данных в целях продвижения товаров, работ, услуг на рынке; — отозвать согласие на обработку персональных данных; – обращаться в уполномоченный орган или суд в защиту прав субъектов персональных данных, на неправомерные действия или бездействие Оператора при обработке их персональных данных; – осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.
4.2. Субъекты персональных данных обязаны: предоставлять Оператору достоверные данные о себе; – уведомлять Оператора в целях уточнения (обновления, изменения) своих персональных данных.
4.3. Лица, предоставившие Оператору заведомо ложные сведения о себе или сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с действующим законодательством Российской Федерации.
5 ОПЕРАТОР МОЖЕТ ОБРАБОТАТЬ СЛЕДУЮЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОЛЬЗОВАТЕЛЯ
5.1. Фамилия, имя, отчество.
5.2. Адрес электронной почты.
5.3. Телефонные номера.
5.4. Сайт также собирает и обрабатывает обезличенные данные о посетителях (включая файлы cookie) с помощью интернет-статистики (Яндекс.Метрика и Google Analytics и др.).
5.5. Вышеуказанные данные, именуемые в дальнейшем по тексту Политики, объединяются общим понятием Персональные данные.
5.6. Оператор не обрабатывает специальные категории персональных данных, касающиеся расы, национальности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.7. Обработка разрешенных к распространению персональных данных из числа особых категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных допускается при соблюдении ограничений и сроков, установленных ст. 10.1 Закона о персональных данных.
5.8. Согласие Пользователя на обработку персональных данных, разрешенных к распространению, оформляется отдельно от иных согласий на обработку его персональных данных. При этом условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к указанному согласию устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.8.1 Согласие на обработку персональных данных, разрешённых к распространению, предоставляется Пользователем непосредственно Оператору.
5.8.2 Оператор не позднее трех рабочих дней с даты получения согласия Пользователя публикует информацию об условиях обработки, о наличии ограничений и особых условий обработки персональных данных, разрешенных к распространению, неограниченным количеством лиц.
5.8.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных к распространению, должна быть прекращена в любое время по требованию субъекта персональных данных. В таком запросе должны быть указаны фамилия, имя, отчество (при его наличии), контактные данные (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Персональные данные, указанные в указанном запросе, могут быть обработаны только Оператором, которому они адресованы
5.8.4 Согласие на обработку персональных данных, разрешённых к распространению, прекращается с момента получения Оператором указанного в п. 5.8.3 настоящей Политики запроса на обработку персональных данных.
6 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых друг с другом.
6.4. Обработке подлежат только персональные данные, отвечающие целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки не допускается.
6.6. Обработка персональных данных обеспечивает достоверность персональных данных, их достаточность, а при необходимости и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает принятие таких мер по удалению или уточнению неполных или недостоверных данных.
6.7. Хранение персональных данных осуществляется способом, позволяющим идентифицировать субъекта персональных данных, и не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки либо в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Цель обработки персональных данных Пользователя: – уведомление Пользователя путем направления электронных писем; — бронирование столиков онлайн.
7.2. Также Оператор может направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения таких сообщений, направив письмо на адрес Оператора [email protected] с пометкой «Отказ от уведомлений о новых продуктах, услугах и специальных предложениях».
7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
8 ПРАВОВЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.
1. К правовым основаниям обработки персональных данных, осуществляемой Оператором, относятся: – нормативные правовые акты, регулирующие отношения, применимые к Вашей деятельности, например, если Ваша деятельность связана с информационными технологиями и с созданием сайта в частности, укажите Федеральный закон «Об информации». , информационные технологии и защита информации» от 27 июля 2006 г. № 149-ФЗ; – учредительные документы Оператора; – договоров, заключенных между Оператором и субъектом персональных данных; – федеральные законы, иные нормативные правовые акты в области защиты персональных данных; — Пользователь дает согласие на обработку своих персональных данных и на обработку персональных данных, разрешенных к распространению.
8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, размещенные на сайте https://plateurestaurant.ru, либо направленные Оператору по электронной почте.
Заполняя соответствующие формы и/или направляя свои персональные данные Оператору, Пользователь соглашается с условиями и положениями настоящего Соглашения.
8.3. Оператор обрабатывает обезличенные данные о Пользователе, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript).
8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие своевольно, добровольно и в своем интересе.
9 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Обработка персональных данных осуществляется при получении соответствующего согласия субъекта персональных данных на обработку его персональных данных.
9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации.
9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного решения, акта иного органа или должностного лица, подлежащего исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных либо договора на основании выгодоприобретателем или поручителем по которым будет выступать субъект персональных данных.
9.5. Обработка персональных данных необходима для реализации прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что права и свободы субъекта персональных данных не нарушаются.
9.6. Осуществляется обработка персональных данных, доступ к которым предоставлен субъектом персональных данных, неограниченному кругу лиц, по их запросу (далее – Общедоступные персональные данные).
9.7. Обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом.
10 ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ИНЫХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для полного соблюдения требований действующего законодательства. законодательства в области защиты персональных данных.
10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры для предотвращения доступа к персональным данным посторонних лиц.
10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с соблюдением применимого законодательства, или если субъект персональных данных дал согласие Оператору на передачу данных третьему лицу в целях исполнить обязательства по гражданско-правовому договору.
10.3. В случае выявления неточностей в персональных данных Пользователь может актуализировать их самостоятельно, путем направления уведомления на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
10.4. Срок обработки персональных данных определяется достижением целей, для которых осуществлялся сбор персональных данных, если иной срок не предусмотрен соответствующим договором или применимым законодательством. Пользователь может в любое время отозвать свое согласие на обработку персональных данных, направив уведомление на адрес электронной почты Оператора: [email protected] с пометкой «Отзыв согласия на обработку персональных данных».
10.5. Вся информация, собираемая сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности.
Субъект персональных данных и/или Пользователь обязаны своевременно ознакомиться с указанными документами. Оператор не несет ответственности за действия третьих лиц, в том числе поставщиков услуг, указанных в настоящем пункте.
10.6. Запреты, установленные субъектом персональных данных на передачу (за исключением предоставления доступа), а также на обработку или условия обработки (за исключением получения доступа) персональных данных, разрешенных к распространению, не применяются в случаях обработки персональных данных. в государственных, общественных и иных общественных интересах, определенных действующим законодательством Российской Федерации.
10.7. Оператор обеспечивает конфиденциальность персональных данных при обработке персональных данных.
10.8. Оператор хранит персональные данные способом, позволяющим идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, соглашением с которым субъект персональных данных является стороной, выгодоприобретателем или поручителем.
10.9. Условием прекращения обработки персональных данных может быть достижение целей обработки персональных данных, истечение срока согласия, данного субъектом персональных данных, либо отзыв согласия по инициативе субъекта персональных данных, а также выявление неправомерных обработка персональных данных.
11 ПЕРЕЧЕНЬ ДЕЙСТВИЙ, СОВЕРШАЕМЫХ ОПЕРАТОРОМ С ПОЛУЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ
11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением или без получения и/или с передачей полученной информации по информационно-телекоммуникационным сетям.
12 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Перед осуществлением трансграничной передачи персональных данных Оператор убеждается в том, что иностранное государство, на территорию которого предполагается осуществить передачу персональных данных, обеспечивает надежную защиту прав субъектов персональных данных.