Privacy & Legal

Master Service Agreement (MSA)

Политика обработки персональных данных, версия 2.0

Версия 2.0 от 01.02.2018 года

Политика Общества с ограниченной ответственностью «Майндбокс» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных (далее — Политика)

  1. Общие положения

    1. Политика определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «Майндбокс» (далее — Оператор) в части обработки персональных данных Клиентов и Пользователей. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также соблюдение требований российского законодательства в области персональных данных.

    2. Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», других нормативно-правовых актов, определяющих порядок работы с персональными данными и требования к обеспечению их безопасности.

    3. В Политике используются следующие термины и определения:

      • «Доступ к персональным данным» — ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Оператором, при условии сохранения конфиденциальности этих сведений;

      • «Заказчик» — лицо, заключившее с Оператором договор, предполагающий передачу персональных данных Заказчиком Оператору и обработку Оператором таких персональных данных;

      • «Клиент» — физическое или юридическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Заказчика.

      • «Пользователь» — физическое лицо, пользующееся интернет-сайтом Оператора.

      • «Сервис» — компьютерная программа, созданная Оператором и являющаяся его интеллектуальной собственностью, предназначенная для размещения и обработки данных Клиентов.

    4. Термины, не определенные в Политике, используются в значении, определенном законодательством РФ.

    5. Действие Политики распространяется на все персональные данные Клиентов и Пользователей.

    6. Оператор публикует Политику на своем официальном сайте в сети Интернет по адресу mindbox.ru, а также предоставляет неограниченный доступ к ней любому лицу, лично обратившемуся к Оператору.

  2. Цели сбора и обработки персональных данных

    1. Оператор не осуществляет сбор персональных данных Клиентов и не обязан получать согласия на обработку таких данных согласно заключаемым с Заказчиками договорам.

    2. Оператор осуществляет обработку персональных данных Клиентов по поручению Заказчиков. Цели обработки персональных данных определяются заключенными с Заказчиками договорами и не могут противоречить законодательству Российской Федерации.

    3. Сбор и обработка персональных данных Пользователя могут осуществляться в целях:

      • идентификации Пользователя и связи с ним;

      • направления Пользователю сообщений рекламного (информационного) характера;

      • улучшения сервисов и разделов интернет-сайта Оператора;

      • осуществления статистических и иных исследований.

    4. Оператор вправе осуществлять обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

    5. Оператор не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в Политике, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

  3. Правовые основания обработки персональных данных

    1. Оператор осуществляет обработку персональных данных Клиентов на основании заключенных с Заказчиками договоров, а в отношении персональных данных Пользователей — на основании их согласия, которое дается до начала обработки таких данных Оператором.

    2. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством Российской Федерации, не использует персональные данные во вред субъектам таких данных.

  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    1. В целях Политики субъектами персональных данных являются Клиенты и Пользователи. Оператор вправе обрабатывать любые персональные данные Клиентов, предоставленные Заказчиком, если такая обработка не противоречит законодательству Российской Федерации.

    2. Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов, о членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством или договором с Заказчиком.

  5. Порядок и условия обработки персональных данных

    1. Обработка персональных данных Оператором осуществляется в соответствии со следующими принципами:

      • законность и справедливая основа обработки персональных данных;

      • ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей;

      • соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

      • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

      • обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

      • хранение персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных;

      • уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено федеральными законами или договорами с субъектами.

    2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

    3. Оператор не осуществляет трансграничную передачу персональных данных, за исключением случаев, предусмотренных договором с Заказчиком.

    4. Оператор осуществляет обработку персональных данных с использованием Сервиса и иных средств автоматизации, а также без использования таких средств.

    5. Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных. Обеспечение конфиденциальности не требуется в отношении:

      • персональных данных после их обезличивания;

      • персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

      • персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.

    6. Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

    7. Правовые меры включают в себя:

      • разработку локальных актов Оператора, реализующих требования российского законодательства, в том числе Политики, и размещение ее на интернет-сайте Оператора;

      • отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Оператором.

    8. Организационные меры включают в себя:

      • назначение лица, ответственного за организацию обработки персональных данных;

      • назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах;

      • ограничение состава работников Оператора, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;

      • ознакомление работников Оператора с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Оператора по вопросам обработки персональных данных, обучение указанных работников;

      • определение в трудовых обязанностях и должностных инструкциях работников Оператора обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;

      • регламентацию процессов обработки персональных данных;

      • определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз;

      • размещение технических средств обработки персональных данных в пределах охраняемой территории;

      • ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Оператора.

    9. Технические меры включают в себя:

      • определение типа угроз безопасности персональных данных, актуальных для ИСПДн с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и реализацию требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

      • разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;

      • использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;

      • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

      • реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации;

      • регистрацию и учёт действий c персональными данными пользователей информационных систем, где обрабатываются персональные данные;

      • выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора, обеспечивающих соответствующую техническую возможность;

      • безопасное межсетевое взаимодействие (применение межсетевого экранирования);

      • обнаружение вторжений в информационную систему Оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

      • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных);

      • периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;

      • контроль за выполнением соответствующих требований (самостоятельно или с привлечением на договорной основе иных лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже чем 1 раза в 3 года.

    10. Иные обязанности и права Оператора как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.

  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    1. В соответствии с заключаемыми с Заказчиками договорами актуализацию, исправление, и удаление персональных данных Клиентов осуществляет Заказчик.

    2. Оператор осуществляет удаление и уничтожение персональных данных Клиентов в разумный срок после расторжения договора с Заказчиком либо в срок, установленный таким договором.

    3. Актуализация и исправление персональных данных Пользователя осуществляются Оператором в случае подтверждения факта их неточности, а удаление и уничтожение — в случае достижения всех целей их обработки или отзыва согласия Пользователя на их обработку, если иное не предусмотрено законодательством или договором, заключенным с Пользователем.

    4. При получении Оператором в рамках установленных полномочий, мотивированных запросов от органов власти в соответствии с компетенцией, предусмотренной федеральными законами, Оператор предоставляет требуемые персональные данные в установленный законодательством срок, при этом согласия субъектов на предоставление их персональных данных в рамках таких запросов не требуется. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

  7. Внесение изменений в Политику

    1. Оператор может вносить изменения в Политику в целях приведения её в соответствие с международным правом, законодательством РФ, практикой его применения, а также с организационными и технологическими условиями обработки персональных данных.