2. Принципы, цели и содержание обработки ПД
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст.5 152-ФЗ.
2.2. Оператор осуществляет исключительно целенаправленную обработку ПД при использовании Сайта в отношении пользователей/посетителей Сайта (незарегистрированные и зарегистрированные) соответствии с применимым законодательством о ПД, описание которой содержится в Приложении No 1 к Политике.
3. Особенности сбора и иной обработки ПД
3.1. Оператор обрабатывает ПД, источником которых могут быть:
3.1.1. результаты взаимодействия Пользователя с Сайтом;
3.1.2. системы мониторинга действий Пользователя (поведения Пользователя) на Сайте;
3.1.3. результаты сопоставления (сравнения) и объединения (связывания) ПД между собой (например,
сведения о потенциале и перспективности сотрудничества Оператора с Пользователем).
3.2. Мониторинг действий Пользователя (поведения Пользователя) на Сайте осуществляется на основании и в порядке, указанном в Политике использования файлов «cookie», расположенной по адресу:
https://www.calltouch.ru/upload/documents/cookie-policy.pdf
3.3. При сборе ПД Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.4. Для обработки ПД Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т.д.), а также передавать ПД по внутренней сети Оператора, обеспечивающей доступ к ПД (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц, включая работников Оператора, и (или) передавать ПД с использованием информационно- телекоммуникационных сетей (включая сеть «Интернет»).
3.5. Оператор может направлять субъектам ПД информационные (рекламные) материалы о новостях и активностях Оператора в случае наличия соответствующего согласия субъектов ПД посредством каналов коммуникации (контактных сведений), предоставленных Оператору. Субъекты ПД вправе в любой момент времени отказаться от получения материалов следуя инструкциям, указанным в получаемых материалах, или путем направления Оператору соответствующего обращения.
3.6. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов ПД или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их ПД в смыслу ст. 16 152-ФЗ.
3.7. Оператор не осуществляет обработку биометрических ПД или ПД специальной категории в смыслу ст. 10, 11 152-ФЗ.
4. Передача ПД
4.1. Для достижения предусмотренных целей обработки ПД Оператор вправе:
4.1.1. привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем получения ПД от третьих лиц и передачи ПД третьим лицам без поручения обработки ПД;
4.1.2.осуществлять трансграничную передачу ПД третьим лицам на территорию иностранных государств с соблюдением требований законодательства;
4.2. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке.
4.3. К привлекаемым третьим лицам, в частности, могут относиться:
4.3.1. организации, входящие в группу компаний;
4.3.2. лица, в пользу которых Оператором может быть произведена уступка прав и (или) обязанностей
в отношении предусмотренных целей обработки ПД;
4.3.3. поставщики услуг по управлению взаимоотношениями с заинтересованными лицами;
4.3.4. поставщики услуг по осуществлению информационного и маркетингового взаимодействия (в т.ч.
с помощью Интернет-ресурсов и средств связи);
4.3.5. иные лица, с которыми оператор взаимодействует или может взаимодействовать для достижения
предусмотренных целей обработки ПД;
4.3.6. Партнеры (соорганизаторы) мероприятий, доступных на Сайте.
4.4. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя
из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом ПД, согласия(ий) субъекта ПД на обработку ПД.
5. Условия прекращения обработки ПД и порядок уничтожения ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
5.1.1. достижение целей обработки ПД и (или) максимальных сроков хранения ПД;
5.1.2. утрата необходимости в достижении целей обработки ПД;
5.1.3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или
отсутствия необходимости ПД для заявленной цели обработки ПД;
5.1.4. невозможность обеспечения правомерности обработки ПД;
5.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей
обработки ПД;
5.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев,
предусмотренных законодательством;
5.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо
осуществлялась обработка ПД;
5.1.8. ликвидация или некоторые формы реорганизации Оператора.
5.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно
обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение ПД производится способом, исключающим возможность восстановления этих ПД. Если ПД невозможно уничтожить без такого повреждения их материального носителя ПД, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель ПД.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6. Меры по надлежащей организации обработки и обеспечению безопасности ПД
6.1. Оператор при обработке ПД принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством РФ по обработке и защите ПД, а именно:
6.1.1. назначает лицо, ответственное за организацию обработки ПД, а также лиц(а), ответственных(ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
6.1.2. издает документы, определяющие политику Оператора в отношении обработки ПД, локальных актов Оператора по вопросам обработки ПД, определяющие для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
6.1.3. осуществляет внутренний контроль и (или) аудит соответствия обработки ПД требованиям 152- ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
6.1.4. осуществляет оценку вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
6.1.5. знакомит лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных лиц.
6.2. Оператор принимает все необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
6.3. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
6.3.1. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
6.3.2. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
6.3.3. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
6.3.4. установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
ИСПД; 6.3.5. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности
6.3.6.установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
6.3.7.информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными актами Оператора;
6.3.8. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.3.9.уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ.
6.4. В отношении средств (способов) обеспечения безопасности ПД при их обработке разрабатываются на основе модели(ей) угроз системы защиты ПД, обеспечивающие нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД.
6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
7. Лицо, ответственное за организацию обработки ПД
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст.22.1 152-ФЗ и локальными актами Оператора в сфере обработки и защиты ПД.
7.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением собрания учредителей Оператора. При назначении лица, ответственного за организацию обработки ПД, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
7.3. Лицо, ответственное за организацию обработки ПД:
7.3.1. организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД, в том числе требований к защите ПД;
7.3.2. обеспечивает доведение до сведения лиц, осуществляющих обработку ПД в предусмотренных Оператором целях, положения применимого законодательства о ПД, локальных актов Оператора по вопросам обработки ПД, требований к защите ПД;
7.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПД или их представителей.
8. Права субъектов ПД
8.1. Субъект ПД имеет право на получение сведений об обработке его ПД Оператором.
8.2. Субъект ПД вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
8.4. Субъект ПД вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное(ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
8.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым способом, указанным в п. 8.12.1. и п. 8.12.2. Политики или с устным обращением по местонахождению Оператора.
8.6. Любое обращение, отзыв или запрос субъекта ПД должно содержать описание его требований, а также информацию, способную его идентифицировать как субъекта ПД, чьи данные обрабатывает Общество
8.7. Во избежание избыточной обработки персональных данных при реагировании на обращения, отзыв и запросы субъекта Оператор руководствуется принципом соразмерности предоставленных субъектом для идентификации обрабатываемых сведений, что подразумевает:
8.7.1. в случае, если субъектом персональных данных дано согласие в соответствии с ч. 4 ст. 9 Федеральным законом от 27.07.2006 No 152 ФЗ «О персональных данных», а именно путем проставления собственноручной подписи на бумажном носителе, содержащем согласие на обработку персональных данных, а равно в форме электронного документа, подписанного аналогом собственноручной подписи, то запрос должен содержать следующие реквизиты для идентификации:
(1) сведения об обратившемся лице (фамилия, имя, отчество – при его наличии; серия и номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта ПД);
(2) сведения, подтверждающие факт дачи Оператору согласия на обработку персональных данных обратившемся лицом (наименование согласия, дата дачи Согласия, описание обстоятельств дачи Согласия и (или) иные сведения о Согласии);
(3) описание предмета обращения (запрос о доступе к ПД; требование уточнения, блокирования или уничтожения ПД; полный или частичный отзыв Согласия; требование прекращения обработки ПД);
(4) дата составления обращения и подпись обратившегося лица (рукописная подпись субъекта персональных данных или его представителя на бумажном носителей, а равно электронная подпись).
8.7.2. во всех иных случаях субъект персональных данных для своей идентификации указывает те сведения, которые им были оставлены для реализации того или иного основания обработки персональных данных, содержащихся в ст. 6 152-ФЗ (например, номер телефона или электронная почта).
8.8. Общество рассматривает обращения, дает разъяснения и предпринимает меры по защите данных в десятидневный срок. В случае претензий и жалоб со стороны субъекта персональных данных, Общество принимает все необходимые меры для устранения возможных нарушений, установления виновных лиц и урегулирования спорных ситуаций в досудебном порядке.
8.9. Оператор гарантирует тщательное рассмотрение обращений и жалоб со стороны субъектов ПД и принятие всех необходимых мер для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.10. Субъект ПД вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
8.11. СубъектПДимеетправоназащитусвоихправизаконныхинтересов,втомчисленавозмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.12. В случае возникновения у субъекта ПД каких-либо вопросов в отношении обработки его ПД или положений Политики, он может обратиться к Оператору любым из предусмотренных способов:
8.12.1. личное письменное обращение по адресу Оператора, указанному в п. 9.5 Политики;
8.12.2. направление обращения на электронный адрес, указанный в п. 9.5 Политики, в форме скан-копии подписанного субъектом ПД письменного обращения.
9. Заключительные положения
9.1. Оператор имеет право по мере необходимости вносить изменения в Политику. Актуальная версия
настоящей Политики всегда находится внизу страницы сайтов https://callday.ru
9.2. Субъекты ПД обязуются самостоятельно отслеживать изменения в Политике. Посещение/использование Сайта субъектами ПД после начала действия измененной редакции Политики означает ознакомление такими субъектами ПД с положениями измененной редакции Политики.
9.3. Иные права и обязанности Общества как Оператора персональных данных определяются законодательством Российской Федерации в области персональных данных и Политикой в отношении обработки ПД, ознакомиться с которой можно по адресу https://www.calltouch.ru/privacy_policy.pdf
9.4. Общество, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
9.5. Реквизиты и контактная информация Оператора персональных данных: