О порядке обработки, хранения, защиты конфиденциальности персональных данных

 ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Положение
О порядке обработки, хранения, защиты конфиденциальности персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящим положением ООО «ИмэксСервис» декларирует Политику конфиденциальности при посещении Пользователем веб-сайта imex-service.ru при совершении ими регистрируемых операций в ходе оформления проездных документов (билетов), оформления перевозки грузов с сопровождением и без сопровождения, при формировании списков при осуществлении перевозки пассажиров заказными (перевозками по заказу) рейсами (бронирование проездного документа (билета), его продажа, возврат, регистрация пассажира, посадка пассажира на транспортное средство, изменение или прекращение перевозки, оформление документов на перевозку грузов и багажа).
Политика конфиденциальности преследует целью соблюдение прав и свобод Пользователя при обработке его персональных данных в информационных системах Оператора, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
При определении порядка обработки персональных данных, способов, с помощью которых сайт собирает, использует и раскрывает персональные данные (личную информацию) посетителей сайта, а также управляет ими, мер, направленных на защиту персональных данных, а также процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных на настоящем сайте, ООО «ИмэксСервис» руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных”, Конституцией Российской Федерации, иными нормативными актами, определяющими случаи и особенности обработки персональных данных, и регулирующими отношения в сфере защиты информации и персональных данных.
В соответствии с действующим законодательством настоящее Положение регламентирует действия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, устранение последствий таких нарушений, связанных с обработкой персональных данных, определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее – Положение).

1.1. В настоящем Положении используются следующие термины и определения:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и которая может быть использована для идентификации определенного лица либо связи с ним;

Оператор персональных данных — ООО «ИмэксСервис», (ИНН/КПП: 7801437010/780101001, ОГРН 1077847370556), г.Санкт-Петербург, пр-кт Средний В.О., д. 4, лит. А, пом. 6Н, ком. 192 (Далее – Оператор), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Субъект персональных данных – Пользователь, физическое лицо, выразившее Согласие на обработку персональных данных в рамках действующего законодательства РФ, согласившееся с условиями Пользовательского соглашения, использующее Сервисы сайта imex-service.ru исключительно для личных нужд, не связанных с осуществлением предпринимательской деятельности.

Сайт – совокупность информационных ресурсов и материалов, размещенных в соответствии с законодательством Российской Федерации в информационно-телекоммуникационной сети Интернет, по сетевому адресу (доменному имени) imex-service.ru Оператором персональных данных, а также на всех его поддоменах.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Уполномоченные на обработку персональных данных лица – ответственные за организацию обработки персональных данных сотрудники Оператора, получающие указания непосредственно от исполнительного органа Оператора и подотчетные ему, управомоченные оформлять и подписывать уведомления, предусмотренные ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранно государства, иностранному физическому лицу или иностранному юридическому лицу.

1.2. Сфера действия Положения об обработке персональных данных:
Действие Положения распространяется на все персональные данные субъектов, обрабатываемые Оператором.
Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
Контроль за соблюдением сотрудниками Оператора требований законодательства и положений локальных нормативных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных.
Настоящий документ является локальным нормативным актом Оператора и вступает силу с момента утверждения его приказом генерального директора Оператора.

1.3.Законодательство в сфере персональных данных:
Основными законодательными и нормативно-правовыми актами Российской Федерации в области персональных данных являются:
– Конституция Российской Федерации;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
– Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
– Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
– Приказ Роскомнадзора от 28.10.2022 № 179 “Об утверждении Требований к подтверждению уничтожения персональных данных” (Зарегистрировано в Минюсте России 28.11.2022 № 71167);
– и других нормативных правовых актов, регулирующие отношения в сфере обеспечения безопасности персональных данных.

1.4. Обработка персональных данных ООО «ИмэксСервис» выполняется с использованием средств автоматизации или без использования таких средств, осуществляется как в электронном виде (файлы, базы данных) на электронных носителях информации, так и в виде документов на бумажных носителях; и организована Оператором на принципах:
– законности и справедливой основы;
– ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
– недопустимости обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
– недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– обеспечения точности, достаточности, а в необходимых случаях и актуальности персональных данных по отношению к целям обработки персональных данных;
– необходимости принятия мер либо обеспечения их принятия по удалению или уточнению неполных или неточных данных;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
– уничтожения либо обезличивания обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, а также биометрических персональных данных Оператором не осуществляется.

1.5 Целью обработки персональных данных является исполнение обязательств Оператора перед Пользователем в части:
А) предоставления информации об оказываемых услугах.
Б) обработки запросов и заявок от Пользователя.
В) оказания услуг Личного кабинета Пользователя на Сайте (исполнения соглашений и договоров с Пользователем).
Г) отправки на адрес электронной почты, указанной Пользователем, информации в виде электронных писем, для оповещения о новостях, событий, отправки сервисных/системных сообщений.
Д) оперативного информирования Пользователя обо всех изменениях условий и организации сервиса Личного кабинета.

1.6. Условия обработки персональных данных
Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных» и на следующих условиях:
1.6.1. с согласия субъекта персональных данных на обработку его персональных данных;
1.6.2. для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
1.6.3. в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; а также когда необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
1.6.4. для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
1.6.5. когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
1.6.6. для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
1.6.7. обработка персональных данных необходима для осуществления законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
1.6.8. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «о персональных данных», при условии обязательного обезличивания персональных данных;
1.6.8.1. обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ “О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона “О персональных данных” и Федеральным законом от 31 июля 2020 года № 258-ФЗ “Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации”, в порядке и на условиях, которые предусмотрены указанными федеральными законами;
1.6.9. осуществления обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.7.Ответственное лицо за организацию обработки персональных данных
Оператор назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения (или заместителя руководителя Оператора). Ответственный за организацию обработки персональных данных получает указания непосредственно от руководителя Оператора и подотчетен ему.

1.8. Конфиденциальность персональных данных
Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

1.9. Передача персональных данных третьим лицам
Оператор при осуществлении своей деятельности может передавать персональные данные Пользователей государственным органам (Таможенной службе, Федеральной налоговой службе, Федеральной службе судебных приставов, Министерству внутренних дел Российской Федерации, Прокуратуре, судам и др.) в рамках осуществления последними своих полномочий и функций, а также контрагентам Оператора (перевозчику, портам, стивидорным компаниям, организациям, осуществляющим экспедиторскую деятельность, иным организациям и агентам, чья деятельность связана с перевозкой, перевалкой, хранением грузов Пользователя) в строгом соответствии с требованиями законодательства Российской Федерации, локальных актов и при надлежащем обеспечении безопасности этих данных.

1.10. Трансграничная передача персональных данных
Трансграничная передача данных Оператором не осуществляется

2. Согласие субъекта персональных данных на обработку его персональных данных
2.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона “О персональных данных».
2.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2.4 Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, предусмотренных Федеральным закона.

3. Содержание обрабатываемых персональных данных
3.1. Персональные данные Пользователей.
В информационной системе персональных данных по обработке персональных данных Пользователей обрабатываются регистрационные данные и данные профиля:
– Фамилия, Имя, Отчество, пол, дата рождения;
– гражданство;
– вид документа, удостоверяющего личность;
– данные документа, удостоверяющего личность;
– место регистрации;
– пункт отправления, пункт назначения, дата и время отправления.
– данные ТС,
– Контактный телефон
– Адрес электронной почты
– гос.рег.номер ТС, ПТР, СТС (в случае грузоперевозки транспортного средства);
– На Сайте Оператора может проводиться сбор статистических данных о пользователе, включая, но не ограничиваясь:
— посещенные страницы;
— количество посещений страниц;
— длительность пользовательской сессии;
— точки входа (сторонние сайты, с которых пользователь по ссылке переходит на сайты Оператора);
— точки выхода (ссылки на сайтах Оператора, по которым пользователь переходит на сторонние сайты);
— страна пользователя;
— регион пользователя;
— провайдер пользователя;
— браузер пользователя;
— системные языки пользователя;
— ОС пользователя;
— разрешение экрана пользователя;
— кол-во цветов экрана пользователя.
Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др. Оператор может использовать сторонние интернет-сервисы для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Оператор не несет ответственности за локализацию серверов сторонних интернет-сервисов. Оператор не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.
3.2 Данные Агента или лица, сопровождающего груз, к которым могут относиться данные водительского удостоверения и его статус, а также информация о транспортном средстве (тип, марка, модель, год производства, цвет, данные технического паспорта, номерной знак, фото транспортного средства, наличие повреждений ТС).
Мы вправе осуществлять проверку личности и (или) анкетных данных, если это разрешено или необходимо в соответствии с законодательством. Для этого может потребоваться сбор и обработка таких данных, как ваша фотография, данные документа, удостоверяющего личность.
3.3 Данные, собираемые автоматически:
Информация о местоположении.
– данные о местоположении Пользователей и/или их грузов для обеспечения транспортировки грузов и/или оказания услуг поддержки Пользователей, в целях безопасности и борьбы с мошенничеством, а также для выполнения требований законодательства.
Информация о транзакциях.
– данные о ваших транзакциях, связанных с использованием Услуг, включая тип запрошенных или оказанных Услуг, детали заказа, сведения о платежных транзакциях, дату и время оказания услуги, сумму оплаты, маршрут, а также способ оплаты.
Информация о использовании Услуг.
-данные об использовании вами Услуг, включая дату и время пользования Сайтом, просмотренные страницы, сбои в работе Сайта и иные аспекты пользования. Мы также можем собирать и использовать в маркетинговых целях данные, относящиеся к сторонним сайтам, которые вы посетили, или к услугам, которыми вы пользовались до использования наших Услуг.
Информация о сообщениях и звонках.
В целях предоставления данной услуги мы получаем данные о времени и дате сообщений и звонков и их содержании. Мы также можем использовать эти данные для поддержки пользователей, для обеспечения безопасности, урегулирования споров между пользователями, улучшения качества наших Услуг, а также в целях аналитики (например, для оценки и повышения эффективности Сайта).

4. Права и обязанности субъектов персональных данных
4.1.Права субъектов персональных данных
Субъект персональных данных имеет право на:
А) Доступ к его персональным данным (за исключением случаев, предусмотренных ч. 8 ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»):
– требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принять предусмотренные законодательством меры по защите своих прав;
– вправе получить информацию, касающуюся обработки его персональных данных, в том числе содержащую:
1) подтверждение факта обработки персональных данных Оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального законодательства;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных его прав;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) требовать от оператора уточнения его персональных данных, их блокирования или информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных;
11) иные сведения, предусмотренные законодательством РФ.
Б) Право на обжалование действий или бездействия Оператора:
– субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы;
– субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

ОГРАНИЧЕНИЕ ПРАВА субъекта персональных данных на доступ к его персональным данным может быть ограничено только в соответствии с федеральными законами.

4.2. Субъект персональных данных, чьи персональные данные обрабатываются на настоящем сайте, обязан:
– предоставлять свои персональные данные в случаях, предусмотренными федеральными законами, с целью соблюдения его законных прав и интересов;
– предоставлять Оператору только достоверные персональные данные.
– своевременно сообщать уполномоченным Оператором лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных;
– кроме указанных обязанностей в вопросах обработки его персональных данных на субъекта персональных данных налагаются иные обязанности, предусмотренные действующим законодательством Российской Федерации.

5. Обязанности оператора
5.1 Обязанности оператора при сборе персональных данных
Обязанности оператора при сборе персональных данных.
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных».
2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных»;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «о Персональных данных».

5.2 Обязанности оператора в ходе обработки персональных данных, при получении запросов по персональным данным, при блокировке и уничтожении персональных данных
– Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением предусмотренных законом случаев.

– Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных

– Оператор обязан сообщить в порядке, предусмотренном статьей 14 ФЗ «О персональных данных» субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

– Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

– Оператор обязан сообщить в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по его запросу необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.

– В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо Роскомнадзора оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

– В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц

– В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзора, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных

– В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора

– В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом ;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)

– В случае отзыва субъектом персональных данных согласия на обработку его персональных данных/ требования субъекта персональных данных о прекращении обработки оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). В случае, если сохранение персональных данных более не требуется для целей обработки персональных данных – уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, за исключением случаев, когда обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; либо необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; либо необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года « 210-ФЗ “Об организации предоставления государственных и муниципальных услуг”, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; иных случаях, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных»

– В случае отсутствия возможности уничтожения персональных данных в установленные законом сроки, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с Приказом Роскомнадзора от 28.10.2022 № 179 “Об утверждении Требований к подтверждению уничтожения персональных данных”.

6. Порядок обеспечения оператором прав субъекта персональных данных
6.1.Оператор обеспечивает права субъектов персональных данных в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.2. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
6.3. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
6.4. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, уведомление об обработке персональных данных, содержащее сведения, указанные в части 3 статьи 22 Федерального закона «О персональных данных».
6.5. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

7. Меры по обеспечению безопасности персональных данных при их обработке
7.1.Организация работ по обеспечению безопасности персональных данных осуществляется Генеральным директором ООО «ИмэксСервис».
7.2 Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.3 Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных соответствуют требованиям к защите персональных данных для каждого из уровней защищенности, установленных Правительством Российской Федерации, в соответствии с ч. 3 ст.19 Федерального закона “О персональных данных”, и Приказу Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», (в ред. Приказов ФСТЭК России от 23.03.2017 № 49 от 14.05.2020 № 68);
7.4 Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
7.4 В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
– идентификация и аутентификация субъектов доступа и объектов доступа;
– управление доступом субъектов доступа к объектам доступа;
– ограничение программной среды;
– защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее – машинные носители персональных данных);
– регистрация событий безопасности;
– антивирусная защита;
– обнаружение (предотвращение) вторжений;
– контроль (анализ) защищенности персональных данных;
– обеспечение целостности информационной системы и персональных данных;
– обеспечение доступности персональных данных;
– защита среды виртуализации;
– защита технических средств;
– защита информационной системы, ее средств, систем связи и передачи данных;
– выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – инциденты), и реагирование на них;
– управление конфигурацией информационной системы и системы защиты персональных данных.
– определение состава информационных систем персональных данных;
– ограничение и регламентация состава работников, имеющих доступ к персональным данным, в том числе утверждение перечня сотрудников;
– ознакомление работников с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
– разграничение прав доступа работников к базе персональных данных;
– обеспечение учёта и хранения материальных носителей информации, исключающих их хищение, подмену, несанкционированное копирование и уничтожение;
– определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз; определение необходимого уровня защищенности персональных данных;
– учет машинных носителей персональных данных;
– реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
– применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
– осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
– использование защищенных каналов связи;
– применение межсетевого экранирования;
– централизованное управление системой защиты персональных данных;
– резервное копирование информации и обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– размещение технических средств обработки персональных данных в пределах охраняемой территории;

– поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности;
– и прочее.

8. Процедуры, направленные на выявление и предотвращение нарушений законодательства российской федерации в сфере персональных данных
Оператор устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
– издание нормативных правовых актов, локальных актов по вопросам обработки персональных данных;
– назначение ответственного лица за организацию обработки персональных данных;
– определение лиц, уполномоченных на обработку персональных данных и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
– получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Оператор извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– обеспечение неограниченного доступа к документам, определяющим политику в отношении обработки персональных данных;
– осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам ООО «ИмэксСервис».

9. Сроки обработки и хранения персональных данных
Сроки обработки персональных данных определяются в соответствии со сроком действия Пользовательского соглашения с субъектом персональных данных, сроком обработки, установленным в согласии субъекта персональных данных на обработку его персональных данных, сроком исковой давности, а также иными требованиями законодательства и нормативными документами.
Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законодательством.

10. Порядок уничтожения персональных данных
10.1. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором или соглашением, стороной которого является субъект персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законодательством.
10.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором или соглашением, стороной которого является субъект персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законодательством.
10.3. В случае выявления неправомерной обработки персональных данных Оператором в срок, не превышающий десяти рабочих дней с момента выявления такой неправомерной обработки.
10.4. В случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством Российской Федерации и локальными документами Оператора.
10.5. В случае предписания уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры Российской Федерации или решения суда.
10.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных и при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Обязанности уполномоченных лиц на обработку персональных данных
11.1. Уполномоченные лица на обработку персональных данных обязаны:
– знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящего Положения, иных локальных актов Общества;
– хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
– соблюдать правила использования персональных данных, порядок их учета и хранения, исключать доступ к ним посторонних лиц;
– обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
11.2.При обработке персональных данных уполномоченным лицам на обработку персональных данных запрещается:
– использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях – в открытой переписке, статьях и выступлениях;
– использовать различные технические средства, в нерабочее время (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;
– выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

12. Ответственность лиц, уполномоченных на обработку персональных данных
12.1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
12.2.Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется Оператором путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.
12.3.Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с Положением об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленными Оператором.

13. Ответственность за нарушение или неисполнение положения
13.1. Лица, виновные в нарушении требований действующего законодательства Российской Федерации, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
13.2 Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

14. Заключительные положения
14.1. Взаимодействие с федеральными органами исполнительной власти, в том числе с Уполномоченным органом по защите прав субъектов персональных данных, по вопросам обработки и обеспечения безопасности, обрабатываемых Оператором персональных данных, осуществляется в соответствии с законодательством Российской Федерации.
14.2. Оператор способствует реализации законных прав субъектов персональных данных и осуществляет реагирование на запросы и обращения субъектов персональных данных, в том числе предоставление им информации, связанной с обработкой их персональных данных, в соответствии с требованиями законодательства Российской Федерации.
14.3. Настоящее Положение подлежит изменению, дополнению в случае изменения/появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
14.4. Положение является общедоступным и размещается на сайте imex-service.ru