4.2. Оператор не обрабатывает персональные данные Субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
4.3. Порядок уничтожения персональных данных определен в разделе 8 настоящей Политики.
4.4. Обработка персональных данных строго ограничивается перечнем и соответствия к каждой цели обработки персональных данных. Обработка персональных данных в целях, отличных от указанных в п. 4.1. настоящей Политики, не допускается.
4.5. Сайт Оператора производит сбор типовой информации журнала сеанса, включая IP-адрес, тип и язык обозревателя, а также данные о времени посещения и адресе веб-сайтов, с которых осуществлялся переход по ссылкам. С целью обеспечения эффективного управления Сайтом и содействия в настройке пользовательского интерфейса Администратор может использовать файлы cookies (небольшие по размеру текстовые файлы, хранящиеся в браузере посетителя), позволяющие Сайту производить подсчет количества посетителей, зашедших на определенную страницу, и обеспечивать доступ к определенным cookie-файлам.
4.6. Собранная типовая информация используется исключительно в статистических целях. Оператор не использует персональные данные в целях личной идентификации кого-либо из Пользователей. Однако при авторизации зарегистрированных Пользователей на Сайте Оператор может использовать данную информацию в сочетании со сведениями, получаемыми благодаря средствам анализа данных и cookie-файлам для того, чтобы проанализировать, как посетители используют Сайт.
4.7. Пользователь имеет возможность управлять cookie-файлами, обратившись в настройки браузера. В случае удаления cookie-файлов будут удалены все данные о предпочтениях Пользователя, включая предпочтение об отказе от использования cookie-файлов. В случае блокирования cookie-файлов изменения могут отразиться на пользовательском интерфейсе, и некоторые компоненты Сайта могут стать недоступными.
4.8. Соглашаясь с условиями настоящей Политики, Субъект дает свое согласие на то, чтобы Оператор мог загружать cookie-файлы на устройство Субъекта согласно описанным выше условиям.
4.9. Если Субъект не хочет, чтобы Оператор собирал техническую информацию о нем с использованием файлов cookie, то Субъект обязан прекратить пользоваться Сайтом или запретить сохранение файлов cookie на своем устройстве, используемом для доступа к Сайту, соответствующим образом настроив свой браузер. При этом следует иметь в виду, что Сервисы сайта, использующие данную технологию, могут оказаться недоступными.
4.10. Оператор гарантирует, что никогда не предоставляет Персональные данные третьим лицам, за исключением случаев, когда:
• этого прямо требует законодательство (например, по письменному запросу суда, правоохранительных органов);
• Субъект дал конкретное, предметное, информированное, сознательное и однозначное согласие на передачу персональных данных;
• передача необходима для оказания Услуг, заключения договоров;
• передача происходит в рамках переноса базы Персональных данных с одного сервиса на другой согласно договорным отношениям Оператора;
• это требуется для оказания поддержки обслуживания Субъектов или для помощи в защите и безопасности систем и услуг Оператора.
5. МЕРЫ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Для защиты персональных данных Операторов принимаются необходимые организационные и технические меры, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Данные меры направлены на предотвращение случайного или умышленного нарушения конфиденциальности, целостности и доступности персональных данных Субъектов.
5.2. Оператором:
- определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применены организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применены прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации;
- применены для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
- утверждены журналы учета машинных носителей персональных данных;
- применены все меры по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- применены меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- производится контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
- безопасность персональных данных Пользователя реализуется программными средствами сетевой защиты, процедурами проверки доступа, соблюдением политики конфиденциальности.
5.3. Оператор принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Субъекта.
6. СПОСОБЫ ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
6.1. Согласие субъекта персональных данных, в зависимости от способа взаимодействия Оператора с Субъектом персональных данных, может быть предоставлено:
· В письменной форме на бумажном носителе (непосредственно);
· В письменной электронной форме путем активации чек-бокса на официальном сайте Оператора.
6.2. На сайте Оператора
https://quiz.berkana.spb.ru согласие на обработку персональных может быть предоставлено одним из следующих способов:
· Субъект вправе дать свое согласие на обработку персональных данных путем проставления «Галочки»
√ в чек-боксе рядом с текстом
«Даю согласие на обработку персональных данных» и нажатием кнопок
«Позвоните мне!»; «Жду звонка»; «Отправить» и т.д.6.3. Заполняя вышеуказанные электронные формы, размещенные на сайте, а также проставляя галочку в чек-боксе рядом с текстом
свидетельствует о выражении согласия субъекта на обработку его персональных данных Оператором. 7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся у Оператора, вправе получать от Оператора:
- подтверждения факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- сведения, о применяемых Оператором; способах обработки персональных данных;
- местонахождение Оператора, сведения о лицах (за исключением ответственных лиц Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- перечень обрабатываемых персональных данных, относящихся к Субъекту, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
- сведения о порядке осуществления Субъектом прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» №152-ФЗ или другими федеральными законами.
Запрос Субъекта персональных данных на предоставление сведений должен содержать:
номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись Субъекта персональных данных или его представителя. Субъекты вправе направлять запросы одним из следующих способов: лично Оператору, по почте России заказным письмом или иным другим способом по усмотрению Субъекта, позволяющим идентифицировать его личность.
Оператор предоставляет сведения, указанные в п. 7.1. настоящего Политики, Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Сведения, указанные в п. 7.1. настоящей Политики предоставляются Субъекту персональных данных или его представителю Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения оператором запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае выявления неточностей в персональных данных, Субъект персональных данных может актуализировать их самостоятельно, путем направления Оператору уведомления; с пометкой
«Актуализация персональных данных».7.2. Субъект персональных данных вправе требовать отзыва согласия на обработку персональных данных, составленного в свободной форме, с пометкой
«Отзыв согласия на обработку ПД». 7.3. Субъект вправе требовать у Оператора прекращение обработки персональных данных, составленного в свободной форме, путем направления электронного сообщения с пометкой
«Требование о прекращении обработки ПД».7.4. При реализации прав, установленных пунктами 7.1. - 7.3. настоящей Политики, Субъекты вправе направлять обращения (запросы, требования, отзывы) одним из следующих способов: лично Оператору; по почте России заказным письмом или иным другим способом по усмотрению Субъекта, позволяющим идентифицировать его личность.
7.5. Требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъектов, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7.6. Требовать блокирования, уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.7. По требованию Субъекта сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.8. Если Субъект считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УНИЧТОЖЕНИЕ, БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В случае выявления неправомерной обработки персональных данных при обращении Субъекта Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения на период проверки.
8.2. В случае выявления неточных персональных данных при обращении Субъекта Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.
8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектами, или иных необходимых документов уточняет персональные данные в течение
7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий
3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
8.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий
10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
8.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав Субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав Субъектов персональных данных:
· в течение
двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав Субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
· в течение
семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.7. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет Субъектов персональных данных.
8.8. В случае отзыва Субъектами согласия на обработку их персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок,
не превышающий 30 (тридцати) дней с даты поступления указанного отзыва.
8.9. В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий
10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законодательством РФ.
Указанный срок может быть продлен, но не более чем
на 5 (пяти) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в 8.4.- 8.9. настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок
не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
8.11. Способ уничтожения персональных данных Субъекта зависит от способа обработки персональных данных:
· В случае автоматизированной обработки персональных данных, персональные данные уничтожаются путем удаления персональных данных Субъекта из папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, либо путем полного форматирования папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, содержащих персональные данные Субъекта (-ов).
В случае, если персональные данные Субъекта содержатся в информационных системах без использования папок, то эти персональные данные уничтожаются путем удаления из информационных систем персональных данных Субъекта.
· В случае обработки персональных данных без использования средств автоматизации, персональные данные уничтожаются путем измельчения бумаги в очень мелкие полоски.
· В случае смешанной обработки (то есть с использованием средств автоматизации и без) персональные данные уничтожаются путем удаления персональных данных Субъекта из папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, либо путем полного форматирования папки (-ок) с файлами, расположенной (-ных) в информационных системах Оператора, содержащих персональные данные Субъекта (-ов) и путем измельчения бумаги в очень мелкие полоски.
8.12. Документами, подтверждающими уничтожение персональных данных Субъектов, являются Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – выгрузка из журнала ИСПДн).
8.13. Руководитель издает приказ о создании комиссии по уничтожению документов по работе с персональными данными. В состав комиссии, кроме председателя, включается еще как минимум два сотрудника – общее число членов комиссии должно быть нечетным. В состав комиссии нужно включается лицо, ответственное за обработку персональных данных, которые планируется уничтожить.
Комиссия анализирует персональные данные, хранящиеся на бумажных и электронных носителях, и составляет перечень документов для уничтожения с учетом сроков их хранения.
8.14. На основании Требований к подтверждению уничтожения персональных данных, утвержденных приказом Роскомнадзора от 28.10.2022 № 179,
Акт об уничтожении персональных данных должен содержать:
·
наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес Оператора;·
наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных Субъекта (Субъектов) персональных данных по поручению Оператора (если обработка была поручена такому (таким) лицу (лицам);·
фамилию, имя, отчество (при наличии) субъекта (Субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;·
фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные Субъекта персональных данных, а также их (его) подпись;·
перечень категорий уничтоженных персональных данных Субъекта (Субъектов) персональных данных;·
наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные Субъекта (Субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);·
наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные Субъекта (Субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);·
способ уничтожения персональных данных;·
причину уничтожения персональных данных;·
дату уничтожения персональных данных Субъекта (Субъектов) персональных данных.Выгрузка из журнала регистрации событий в информационной системе персональных данных должна содержать:
·
фамилию, имя, отчество (при наличии) Субъекта (Субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;·
перечень категорий уничтоженных персональных данных Субъекта (Субъектов) персональных данных;·
наименование информационной системы персональных данных, из которой были уничтожены персональные данные Субъекта (Субъектов) персональных данных;·
причину уничтожения персональных данных;·
дату уничтожения персональных данных Субъекта (Субъектов) персональных данных.Акт об уничтожении персональных данных в электронной форме, подписанный электронно-цифровой подписью ответственного лица Оператора, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью ответственных лиц.
8.15. Акт об уничтожении персональных данных подлежит хранению в течение 3 (трех) лет с момента уничтожения персональных данных.
9. РАСПОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ
9.1. Особенности обработки персональных данных, разрешенных Субъектом персональных данных для распространения регулируются ст. 10.1 ФЗ «О персональных данных».
9.2. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий Субъекта персональных данных на обработку его персональных данных.
Оператор обеспечивает Субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанных в согласии на обработку персональных данных, разрешенных Субъектом персональных данных для распространения.
9.3. В случае раскрытия персональных данных неопределенному кругу лиц самим Субъектом персональных данных без предоставления Оператору согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на Операторе.
9.4. Если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на Операторе.
9.5. Если согласие Субъекта на распространение персональных данных отсутствует, Оператор обрабатывает эти данные без права их распространения.
9.6. Если Субъект не указал запреты и условия обработки персональных данных или не обозначил конкретные категории и перечень данных, Оператор обрабатывает их без передачи и распространения третьим лицам.
9.7. Способы предоставления согласия. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, может быть предоставлено оператору следующим образом: — непосредственно; — с использованием информационной системы уполномоченного органа по защите прав Субъектов персональных данных.
9.8. Оператор получает согласие на обработку персональных данных, разрешенных Субъектом для распространения, непосредственно от самого Субъекта.
9.9. Молчание или бездействие Субъекта персональных данных ни при каких обстоятельствах не считается согласием на обработку персональных данных, разрешенных Субъектом персональных данных для распространения.
9.10. Субъект персональных данных имеет право устанавливать запреты и условия передачи и обработки своих данных третьим лицам, Оператор не вправе отказать в реализации такого права.
9.11. При предоставлении согласия Субъекту предлагается ознакомиться с перечнем персональных данных, предлагаемых Оператором для обработки и распространения. Оператор обеспечивает возможность выбора операций над каждым видом данных, позволяя Субъекту самостоятельно разрешать или запрещать их обработку. Субъект вправе ограничить доступ к данным путем полного запрета, частичного разрешения или установки специальных условий. Помимо этого, Субъект выбирает способ передачи данных: по внутренней сети Оператора, через информационные телекоммуникационные сети или полное исключение передачи данных. Решение принимается самим Субъектом исходя из необходимости защиты личной информации.
9.12. Субъект персональных данных вправе потребовать прекращения обработки своих персональных данных в любое время.
Такое требование должно включать
фамилию, имя, отчество (при наличии), контактные данные Субъекта персональных данных (телефон, электронную почту или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению. Эти данные могут далее обрабатываться лишь Оператором, получившим данное требование.9.13. Срок действия согласия, указанный в п. 4.1. раздела 4 настоящей Политики Субъекта персональных данных на обработку персональных данных прекращается немедленно после получения Оператором требования о прекращении обработки данных.
9.14. Судебная защита прав Субъекта персональных данных. В случае нарушений положений настоящей статьи Субъект персональных данных вправе предъявить претензии к любому лицу, обрабатывающему его личные данные, или обратиться в суд. Обработчик обязан прекратить обработку данных в течение трех рабочих дней с момента получения такого требования или решения суда.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Субъект персональных данных принимает условия настоящей Политики и дает Оператору конкретное, предметное, информированное, сознательное и однозначное согласие на обработку своих персональных данных на условиях, предусмотренных Политикой обработки и обеспечения безопасности персональных данных и Законом № 152-ФЗ для персональных данных Субъекта.
9.2. Оператор не принимает на обработку персональные данные от лиц, не достигших возраста дееспособности 18 (восемнадцати лет), за исключением лиц от 14 (четырнадцати) до 18 (восемнадцати) лет, которые обладают дееспособностью в соответствие со ст. ст. 21, 26, 27 Гражданского кодекса РФ. В случае, если лицо не достигло такого возраста, а также оно не имеет права предоставлять свои персональные данные и давать Согласие на их обработку Оператором, в случае выявления недееспособности лица, предоставившего свои персональные данные без разрешения его законного представителя, Оператор незамедлительно блокирует обработку таких персональных данных до выяснения обстоятельств.
9.3. Оператор исходит из того, что Субъект персональных данных предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в формах Сайта, и что Субъект ознакомлен с настоящей Политикой и выражает свое
осознанное согласие с ней.
9.4. На сайте Оператора могут содержаться ссылки на другие сайты. Оператор не несет ответственности за содержание, качество и безопасность этих сайтов.
Общество с ограниченной ответственностью «Беркана ЭКО»
ОГРН: 1227800037233, ИНН: 7841098043, КПП: 780601001
195279, г. Санкт-Петербург, Индустриальный пр., д. 44 к. 2 литера А, пом. 10-Н офис 827
+7 (812) 561-62-17; info@berkana.spb.ru
