Политика в отношении обработки персональных данных. Полная версия

I. Общие положения

1.1. Назначение

Настоящая Политика Общества с ограниченной ответственностью «Национальная система бронирования отдыха» (ОГРН: 1177746068444; ИНН: 9701062185; 119180, Москва,  ул. Большая Полянка, 51А/9 - 1/1/8) в отношении обработки персональных данных (далее - Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Политика определяет общие условия обработки персональных данных и действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Национальная система бронирования отдыха».

Общество с ограниченной ответственностью «Национальная система бронирования отдыха» является оператором по отношению к обрабатываемым персональным данным (далее - Оператор).

Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе на сайте Оператора в сети «Интернет» (https://consola.me/).  

1.2. Основные понятия, используемые в Политике:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- сервис поиска и бронирования детского отдыха Сonsola (Сервис Consola) – это сайт, размещенный в сети «Интернет» по доменному имени: https://consola.me/, Владельцем которого является ООО «Национальная система бронирования отдыха».

- пользователь – совершеннолетнее физическое лицо (бронирующее путевку в собственных интересах либо являющееся законным представителем (родитель, усыновитель или попечитель)), прошедшее регистрацию и/или осуществляющее бронирование путевок на Сервис поиска и бронирования детского отдыха Сonsola и/или непосредственный потребитель услуг - Ребенок (в интересах которого действует законный представитель (родитель, усыновитель или попечитель)), а также лицо, осуществляющее иные действия, направленные на использование Сервиса Сonsola (в том числе просмотр или поиск информации, размещённой на Сервисе Сonsola, направление сообщений, запросов через формы связи на Сервисе Сonsola)

- партнер – лицо, оказывающее услуги по организации детского отдыха.

1.3. Основные права и обязанности оператора и субъекта(ов) персональных данных.

1.3.1. Субъекты персональных данных имеют право:

на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закон о персональных данных;

- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

на уточнение, блокирование или уничтожение персональных данных субъекта в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

на отзыв согласия на обработку персональных данных;

на обжалование действий или бездействий оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

иные права, предусмотренные Законом о персональных данных или другими федеральными законами.

1.3.2. Субъекты персональных данных обязаны:

самостоятельно обеспечивать сохранность своего пароля от учетной записи на Сервисе Оператора Consola и нести ответственность за негативные последствия в виде неправомерного использования своих персональных данных третьими лицами, наступившие в результате небрежного отношения субъекта персональных данных на Сервисе Оператора Consola  к своему паролю от учетной записи;

сообщать достоверную информацию и предоставлять документы, содержащие персональные данные в объеме необходимом для цели обработки;

сообщать оператору об уточнении (обновлении, изменении) персональных данных.

1.3.3. Оператор персональных данных вправе:

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.  Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством;

отказать субъекту персональных данных в случае его отказа от предоставления (непредоставления) персональных данных, обработка которых необходима для выполнения обязательств оператора перед субъектом персональных данных, за исключением случаев, предусмотренных законодательством;

отстаивать свои интересы в суде.

1.3.4. Оператор персональных данных обязан:

не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;

разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;

обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных, в том числе посредством сети «Интернет», за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных;

принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;

опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

сообщать в порядке, предусмотренном статьей 14 Законом о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя;

предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;

принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями.

1.5. Категории субъектов персональных данных

К категориям субъектов персональных данных относятся:

• Пользователи;
• Партнеры (физические лица), представители/работники Партнеров (юридические лица);

 

III.    Обработка персональных данных Пользователей

2.1. Цель обработки персональных данных

Оператор обрабатывает персональные данные и иные пользовательские данные для выполнения своих обязательств перед Пользователем и иными лицами, поддержания работоспособности Сервиса. В частности, Оператор обрабатывает персональные пользовательские данные в целях:

1) авторизации Пользователей любым из доступных на сайте оператора способом, в том числе с целью создания аккаунта; идентификация и аутентификация Пользователя;

2) предоставления доступа к Сервису Оператора Consola и его возможностям (исполнения договоров) в интересах Пользователя и по его запросам, в том числе формируемым через пользовательский интерфейс;

3) предоставление Пользователю услуг консультирования по вопросам бронирования (резервирования) путевки, внесения изменений в бронирование и по иным вопросам, связанным с заключением и исполнением договора.

4) разрешения вопросов, предложений, претензий или технических проблем, связанных с работой и использованием Сервисе Сonsola, в том числе по электронной почте, телефону, размещенных на сайте;

5) передачи персональных данных Пользователей Партнерам (в целях заключения между ними соответствующих сделок);

6) проведения на Сервисе Оператора Consola маркетинговых, статистических, аналитических и иных исследований использования для оптимизации работы сайта Оператора Consola.me, его отдельных возможностей, развития продуктов и услуг от сайта Оператора Consola.me и поставщиков, повышения их удобства для потребителей;

7) показа и индивидуализации рекламы в интернете и непосредственно на Сервисе Оператора Consola и/или направления клиенту рекламной информации по сетям электросвязи (в том числе с помощью мобильной связи, пуш-уведомлений, электронной почты), которые касаются тематики сайта, а также касающихся иных предложений партнеров, с его согласия клиента.

2.2. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми ООО "Национальная система бронирования отдыха" осуществляет обработку персональных данных клиентов (физические лица) и представителей/работников клиентов (юридических лиц) , в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

Правовым основанием обработки персональных данных также являются:

• устав ООО «Национальная система бронирования отдыха»;
• договоры, заключаемые между Оператором и Партнером, Оператором и субъектами персональных данных;
• согласие субъектов персональных данных или законных представителей субъекта персональных данных на обработку персональных данных;
• согласие субъекта персональных данных на обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке;
• согласие субъекта персональных данных или законных представителей субъекта персональных данных на обработку биометрических персональных данных;
• согласие субъекта персональных данных или законных представителей субъекта персональных данных на обработку специальных категорий персональных данных.

Оператор обрабатывает персональные данные Пользователей с их согласия (Обработка персональных данных несовершеннолетних лиц осуществляется с согласия законного представителя), которое считается предоставленным путем конклюдентных действий при осуществлении бронирования путевки, регистрации на Сервисе Оператора, направлении заявок, запросов посредством заполнения форм на сайте Оператора. Согласие действует со дня его предоставления  до дня его отзыва.

2.3. Объем и категории обрабатываемых персональных данных

2.3.1. Перечень обрабатываемых персональных данных Пользователей:

1) фамилия, имя, отчество законного представителя;

2) год рождения законного представителя;

3) месяц рождения законного представителя;

4) дата рождения законного представителя;

5) место рождения законного представителя;

6) адрес законного представителя;

7) серия и номер паспорта законного представителя;

8) дата и место выдачи паспорта законного представителя;

9) фамилия, имя, отчество ребенка;

10) год рождения ребенка;

11) месяц рождения ребенка;

12) дата рождения ребенка;

13) серия и номер паспорта (свидетельства о рождении) ребенка;

14) дата и место выдачи паспорта (свидетельства о рождении) ребенка ;

15)  е-mail законного представителя;

16) номер контактного телефона законного представителя;

17) Полис обязательного медицинского страхования, Страховой номер индивидуального лицевого счёта;

18) фотография законного представителя;

19) фотография ребенка.

2.3.2 Для каждой цели обработки персональных данных определяется перечень обрабатываемых персональных данных:

для целей обработки персональных данных, указанных в подпунктах 1, 2, 4, 6, 7 подраздела 2.1. настоящей Политики, определяется содержание персональных данных, перечисленное в подпунктах 1, 15, 16, 18, 19 подраздела 2.2, настоящей Политики;

для целей обработки персональных данных, указанных в подпунктах 3, 5 подраздела 2.1. настоящей Политики, определяется содержание персональных данных, перечисленное в подпунктах 1-18 подраздела 2.2, настоящей Политики;

2.3.3. Категории обрабатываемых персональных данных

Оператор обрабатывает персональные данные (в том числе биометрические и специальные категории персональных данных) с письменного согласия субъекта персональных данных или законных представителей субъекта персональных данных.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации и по письменному согласию субъекта персональных данных или его законного представителя.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, состояния здоровья, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Национальная система бронирования отдыха» не осуществляется.

Персональные данные получается непосредственно от субъекта персональных данных или от законного представителя субъекта персональных данных путем заполнения форм, размещенных на Сервисе Consola, а также через документы, представленные субъектом или законным представителем (свидетельство о рождении, паспорт, медицинские справки и др.)

Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

2.4. Сроки обработки персональных данных

Обработка персональных данных Пользователей на Сервисе Оператора осуществляется с момента предоставления согласия на обработку персональных данных до достижения вышеуказанных целей обработки или до утраты необходимости в достижении вышеуказанных целей обработки, в течение сроков, установленных действующим законодательством Российской Федерации и/или до момента подачи Пользователем Оператору заявки на отзыв согласия на обработку персональных данных (в последнем случае Оператор прекращает обработку персональных данных, а персональные данные подлежат уничтожению, если отсутствуют иные правовые основания для обработки, установленные законодательством РФ).

III.    Обработка персональных данных Партнеров (физических лиц), представителей/работников Партнеров (юридических лиц) Оператора

3.1. Цель обработки персональных данных

1) заключение, изменение, расторжение договоров, выполнение обязательств по заключенным договорам, а также выполнение соответствующих требований, предусмотренных законодательством РФ;

2) предоставление информации об оказываемых Обществом услугах, о разработке Обществом новых продуктов и услуг; информирование о предложениях по услугам Общества; связь между Оператором и Партнером;

3.2. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми ООО "Национальная система бронирования отдыха" осуществляет обработку персональных данных Партнеров оператора (физические лица) и представителей/работников Партнеров оператора (юридических лиц) , в том числе:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

Правовым основанием обработки персональных данных также являются:

- устав ООО «Национальная система бронирования отдыха»;

- договоры, заключаемые между Оператором и контрагентами;

• согласие субъектов персональных данных на обработку их персональных данных;
• согласия субъекта персональных данных на обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке;

Оператор обрабатывает персональные данные Партнеров, представителей/работников Партнеров (юридических лиц) с их согласия, которое считается предоставленным путем конклюдентных действий при регистрации на Сайте Оператора, направления заявок, запросов посредством заполнения форм на сайте Оператора, при заключении договора. Согласие действует со дня его предоставления  до дня его отзыва.

3.3. Объем и категории обрабатываемых персональных данных

3.3.1.Перечень обрабатываемых персональных данных Партнеров оператора (физические лица):

1) фамилия, имя, отчество;

2) год рождения;

3) месяц рождения;

4) дата рождения;

6) адрес;

7) серия и номер паспорта;

8) дата и место выдачи паспорта;

9) индивидуальный номер налогоплательщика;

10) основной государственный номер индивидуального предпринимателя;

11)  е-mail;

12) номер контактного телефона;

3.3.2.Перечень обрабатываемых персональных данных представителей/работников Партнеров оператора (юридических лиц):

1) фамилия, имя, отчество;

2) сведения о занимаемой должности;

3) е-mail;

4) номер контактного телефона.

3.3.3. Для каждой цели обработки персональных данных определяется перечень обрабатываемых персональных данных:

для цели обработки персональных данных, указанной в подпункте 1 подраздела 4.1. настоящей Политики, определяется содержание персональных данных, перечисленное в  пунктах 3.3.1., 3.3.2. настоящей Политики;

для цели обработки персональных данных, указанной в подпункте 2 подраздела 3.1. настоящей Политики, определяется содержание персональных данных, перечисленное в  подпунктах 1, 11, 12 пункта 3.3.1., подпунктах 1, 3, 4 пункта 3.3.2. настоящей Политики;

3.3.4. Категории обрабатываемых персональных данных

Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, состояния здоровья, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Национальная система бронирования отдыха» не осуществляется.

Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3.4. Сроки обработки персональных данных

Согласие субъекта на обработку персональных данных действует с момента предоставления согласия на обработку персональных данных до отзыва согласия, а также в течение всего срока действия договора и в течение срока исковой давности с даты прекращения действия договорных отношений Партнера с Оператором.

IV. Порядок и условия обработки персональных данных, обеспечение безопасности

4.1. Принципы обработки персональных данных

Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

законности, справедливой основы и прозрачности в отношении Субъекта персональных данных;

ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей (ограничение цели);

недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработки только тех персональных данных, которые отвечают целям их обработки;

соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки (принцип минимизации данных);

обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных (принцип точности);

уничтожения персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом (принцип ограничения хранения данных);

обеспечение безопасности персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (принцип целостности и конфиденциальности).

Оператор не принимает решения, порождающие юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

4.2. Правомерность обработки персональных данных

Правомерность обработки персональных данных основывается на следующих требованиях и условиях:

Субъект персональных данных или законный представитель дал согласие на обработку персональных данных для одной или нескольких целей;

обработка необходима в рамках исполнения договора, в том числе по поручению Партнера; обработка необходима в рамках соблюдения соответствующих обязательств Оператора, в том числе в рамках выполнения поручения Партнера;

обработка необходима для защиты жизненно важных интересов Субъекта персональных данных.

4.3.Условия обработки персональных данных

Оператор производит обработку персональных данных, в том числе при следующих условиях: обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для осуществления прав и законных интересов Оператора (в том числе при выполнении поручения Партнера) или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

4.4. Перечень действий с персональными данными

Общество осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка персональных данных в Обществе осуществляется следующими способами:

Неавтоматизированная обработка персональных данных;

Автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационных сетям или без таковой.

4.5. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

4.6. Передача персональных данных

Оператор вправе передавать персональные данные Субъектов третьим лицам, в том числе Партнерам Общества, организаторам перевозок и другим юридическим лицам, только с согласия Субъекта персональных данных, если иное не предусмотрено федеральными законами, на основании заключаемого с третьими лицами договора. Все третьи лица, которым осуществляется передача персональных данных Субъектов персональных данных, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством Российской Федерации.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

4.7. Хранение персональных данных

Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором с Партнером, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных или законный представитель субъекта.

Все базы данных Оператора находятся на территории Российской Федерации.

4.8. Уточнение, блокирование и уничтожение персональных данных

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение;

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных в соотвествии с Законом о персональных данных;

При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;

 иное не предусмотрено иным соглашением между Оператором и Партнером и / или Оператором и Субъектом персональных данных.

4.9. Порядок реагирования на запросы обращения Субъектов персональных данных, их представителей и уполномоченных органов

При обращении или запросе в письменной или электронной форме Субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Общество при подготовке ответа на такое обращение или исполнении такого запроса руководствуется требованиями действующего законодательства Российской Федерации, а также условиями договора с Партнером (если применимо).

В зависимости от информации, предоставленной в запросе, принимается решение о предоставлении доступа Субъекту персональных данных (его законному представителю) к его персональным данным, обрабатываемым Оператором.

В случае, если данных предоставленных Субъектом персональных данных или его законным представителем недостаточно для идентификации Субъекта персональных данных или предоставление персональных данных нарушает конституционные права и свободы других лиц, Общество подготавливает мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющего основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения Субъекта персональных данных или его законного представителя.

Сведения о наличии персональных данных предоставляются Субъекту при ответе на запрос в течении в течение десяти рабочих дней от даты получения запроса Субъекта персональных данных или его законного представителя.Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В соответствии с ч. 4 ст. 20 ФЗ-152 Оператор обязан сообщить в уполномоченный орган по защите прав Субъектов персональных данных по запросу информацию, необходимую для осуществления полномочий указанного органа, в течение десяти рабочих дней с даты получения такого запроса. Допускается запрос уполномоченного органа, направленный в электронном виде.

4.10. Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с требованиями, установленными действующим законодательством Российской Федерации.

Для предотвращения несанкционированного доступа к персональным данным Обществом применяются следующие организационно-технические меры:

назначение лица, ответственного за организацию обработки персональных данных;

принятие внутренних нормативных документов в области обработки и защиты персональных данных;

ограничение состава лиц, имеющих доступ к персональным данным;

ознакомление работников Общества с требованиями федерального законодательства и нормативных документов Обществе по обработке и защите персональных данных;

организация учета, хранения и обращения носителей информации;

определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

разработка на основе модели угроз системы защиты персональных данных;

проверка готовности и эффективности использования средств защиты информации;

разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки персональных данных;

регистрация и учет действий пользователей информационных систем персональных данных;

использование антивирусных средств;

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

• осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе.

В соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.

V. Заключительные положения

Оператор вправе вносить в настоящую Политику изменения без согласия субъектов персональных данных по своему усмотрению, в том числе, но не ограничиваясь, в случае, когда такие изменения обусловлены изменениями законодательства Российской Федерации.

Субъекты персональных данных могут ознакомиться с актуальными версиями Политики на сайте Оператора по адресу: https://consola.me/. Продолжая использовать сайт Оператора, субъект персональных данных подтверждает согласие с внесенными изменениями в Политику.

Обращения по вопросам обеспечения безопасности и обработки персональных данных Оператором (в том числе направление запроса о предоставлении информации, касающейся обработки персональных данных, отзыва согласия на обработку персональных данных) следует направлять по адресу электронной почты: info@consola.me

Обращения по вопросам предоставления технической поддержки, а также предложения и вопросы по использованию сайта Оператора следует направлять через форму обратной связи на сайте Оператора, либо направить по адресу электронной почты: admin@consola.me.

Общество, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.